Ako bezpečnostní profesionáli chránia osobné údaje

2024 Autor: Malcolm Clapton | [email protected]. Naposledy zmenené: 2023-12-17 04:09

Má zmysel vzdať sa verejných Wi-Fi a bankových aplikácií a získať samostatnú kartu na online nákupy - názor špecialistu na informačnú bezpečnosť.

Polovica mojich kolegov v informačnej bezpečnosti je profesionálna paranoidná. Do roku 2012 som bol taký – bol som zašifrovaný v plnom rozsahu. Potom som si uvedomil, že takáto otrepaná obrana zasahuje do práce a života.

V procese „chodenia von“som si vytvoril také návyky, ktoré vám umožnia pokojne spať a zároveň si nestavať okolo seba čínsky múr. Hovorím vám, s akými bezpečnostnými pravidlami teraz zaobchádzam bez fanatizmu, ktoré z času na čas porušujem a ktoré dodržiavam so všetkou vážnosťou.

Nadmerná paranoja

Nepoužívajte verejné Wi-Fi

Používam a nemám v tomto smere žiadne obavy. Áno, pri používaní bezplatných verejných sietí existujú hrozby. Ale riziko je minimalizované dodržiavaním jednoduchých bezpečnostných pravidiel.

1. Uistite sa, že hotspot patrí kaviarni a nie hackerovi. Právny bod si vypýta telefónne číslo a pošle SMS na zadanie.
2. Na prístup k sieti použite pripojenie VPN.
3. Nezadávajte používateľské meno / heslo na neoverených stránkach.

Nedávno dokonca začal prehliadač Google Chrome označovať stránky s nezabezpečeným pripojením ako nebezpečné. Bohužiaľ, phishingové stránky nedávno prijali prax získavania certifikátu s cieľom napodobniť tie skutočné.

Ak sa teda chcete do niektorej služby prihlásiť pomocou verejnej Wi-Fi, poradil by som vám, aby ste sa uistili, že stránka je stokrát originálna. Spravidla stačí spustiť jeho adresu prostredníctvom služby whois, napríklad Reg.ru. Najneskorší dátum registrácie domény by vás mal upozorniť – phishingové stránky netrvajú dlho.

Neprihlasujte sa do svojich účtov zo zariadení iných ľudí

Idem dnu, ale nastavím dvojstupňové overenie pre sociálne siete, poštu, osobné účty, webovú stránku štátnej služby. Aj to je nedokonalý spôsob ochrany, preto napríklad Google začal používať hardvérové tokeny na overenie identity používateľa. Pre „obyčajných smrteľníkov“však zatiaľ stačí, že si váš účet vyžiada kód z SMS alebo z Google Authentificator (v tejto aplikácii sa na samotnom zariadení každú minútu generuje nový kód).

Napriek tomu pripúšťam malý prvok paranoje: pravidelne kontrolujem svoju históriu prehliadania pre prípad, že by mi niekto zadal poštu. A samozrejme, ak sa prihlásim do svojich účtov zo zariadení iných ľudí, na konci práce nezabudnem kliknúť na „Ukončiť všetky relácie“.

Neinštalujte bankové aplikácie

Je bezpečnejšie používať aplikáciu mobilného bankovníctva ako online bankovníctvo v desktopovej verzii. Aj keď je z bezpečnostného hľadiska navrhnutý ideálne, otázkou zostáva pri zraniteľnostiach samotného prehliadača (a nie je ich málo), ako aj pri zraniteľnostiach operačného systému. Škodlivý softvér, ktorý kradne údaje, môže byť vložený priamo do neho. Preto, aj keď je inak online bankovníctvo úplne bezpečné, tieto riziká zostávajú viac než reálne.

Čo sa týka bankovej aplikácie, jej bezpečnosť má výlučne na svedomí banka. Každý z nich prechádza dôkladnou analýzou bezpečnosti kódu, často sa na ňom podieľajú externí významní odborníci. Banka môže zablokovať prístup k aplikácii, ak ste vymenili SIM kartu alebo ju dokonca jednoducho presunuli do iného slotu v smartfóne.

Niektoré z najbezpečnejších aplikácií sa ani nespustia, kým nie sú splnené bezpečnostné požiadavky, napríklad telefón nie je chránený heslom. Preto, ak nie ste, rovnako ako ja, v zásade pripravení vzdať sa online platieb, je lepšie použiť aplikáciu a nie desktopové online bankovníctvo.

To samozrejme neznamená, že aplikácie sú 100% bezpečné. Dokonca aj tie najlepšie vykazujú zraniteľné miesta, takže pravidelné aktualizácie sú nevyhnutné. Ak si myslíte, že to nestačí, prečítajte si špecializované publikácie (Xaker.ru, Anti-malware.ru, Securitylab.ru): napíšu tam, ak vaša banka nie je dostatočne bezpečná.

Na online nákupy používajte samostatnú kartu

Osobne si myslím, že je to zbytočné trápenie. Mal som samostatný účet, aby som z neho v prípade potreby previedol peniaze na kartu a zaplatil za nákupy na internete. Ale aj toto som odmietol - je to ujma na pohodlí.

Je rýchlejšie a lacnejšie získať virtuálnu bankovú kartu. Keď pomocou neho nakupujete online, údaje hlavnej karty na internete sa nerozsvietia. Ak si myslíte, že to na úplnú dôveru nestačí, poistite sa. Túto službu ponúkajú popredné banky. V priemere, pri nákladoch 1 000 rubľov ročne, poistenie karty pokryje škodu 100 000.

Nepoužívajte inteligentné zariadenia

Internet vecí je obrovský a hrozieb je v ňom ešte viac ako v tom tradičnom. Inteligentné zariadenia sú skutočne plné obrovských príležitostí na hackovanie.

V Spojenom kráľovstve sa hackeri nabúrali do siete miestnych kasín s údajmi o VIP zákazníkoch prostredníctvom inteligentného termostatu! Ak sa ukázalo, že kasíno je také neisté, čo povedať o obyčajnom človeku. Ale používam inteligentné zariadenia a nelepím na ne fotoaparáty. Ak sa TV a zlúčiť informácie o mne - do čerta. Určite to bude niečo neškodné, pretože všetko kritické ukladám na šifrovaný disk a odkladám na poličku – bez prístupu na internet.

V prípade odpočúvania si v zahraničí vypnite telefón

V zahraničí najčastejšie využívame messengery, ktoré dokonale zašifrujú textové a zvukové správy. Ak je premávka zachytená, bude obsahovať len nečitateľný „neporiadok“.

Šifrovanie využívajú aj mobilní operátori, problémom však je, že ho vedia vypnúť bez vedomia predplatiteľa. Napríklad na žiadosť špeciálnych služieb: stalo sa tak počas teroristického útoku na Dubrovku, aby si špeciálne služby mohli rýchlo vypočuť rokovania teroristov.

Rokovania navyše zachytávajú špeciálne komplexy. Cena za ne začína od 10-tisíc dolárov. Nie sú k dispozícii na predaj, ale sú k dispozícii pre špeciálne služby. Ak je teda úlohou vás počúvať, budú vás počúvať. Bojíš sa? Potom vypnite telefón všade a tiež v Rusku.

To akosi dáva zmysel

Zmeňte heslo každý týždeň

V skutočnosti stačí raz za mesiac za predpokladu, že heslá sú dlhé, zložité a samostatné pre každú službu. Najlepšie je dbať na rady bánk, pretože tie menia požiadavky na heslá s rastúcim výpočtovým výkonom. Slabý kryptoalgoritmus je teraz hrubou silou vyriešený za mesiac, z toho vyplýva požiadavka na frekvenciu zmien hesla.

Urobím však rezerváciu. Paradoxne požiadavka na zmenu hesiel raz za mesiac obsahuje hrozbu: ľudský mozog je navrhnutý tak, že ak je potrebné neustále pamätať na nové kódy, začne sa dostávať von. Ako zistili kybernetickí experti, každé nové heslo používateľa v tejto situácii je slabšie ako to predchádzajúce.

Riešením je používať zložité heslá, meniť ich raz za mesiac, no na ukladanie použiť špeciálnu aplikáciu. A vstup do nej treba starostlivo chrániť: v mojom prípade ide o šifru s 18 znakmi. Áno, aplikácie obsahujú chyby zabezpečenia (pozri odsek o aplikáciách nižšie). Musíte si vybrať to najlepšie a sledovať novinky o jeho spoľahlivosti. Bezpečnejší spôsob, ako udržať v hlave desiatky silných hesiel, zatiaľ nevidím.

Nepoužívajte cloudové služby

Príbeh indexovania dokumentov Google vo vyhľadávaní Yandex ukázal, do akej miery sa používatelia mýlia v spoľahlivosti tohto spôsobu ukladania informácií. Osobne používam cloudové servery spoločnosti na zdieľanie, pretože viem, aké sú bezpečné. To neznamená, že bezplatné verejné cloudy sú absolútne zlo. Tesne pred odovzdaním dokumentu na Disk Google si dajte námahu, zašifrujte ho a zadajte heslo na prístup.

Nevyhnutné opatrenia

Nikomu a nikde nenechávajte svoje telefónne číslo

Ale to vôbec nie je extra preventívne opatrenie. Útočník, ktorý pozná telefónne číslo a celé meno, môže vytvoriť kópiu SIM karty za približne 10 000 rubľov. V poslednej dobe sa takáto služba dá získať nielen na darknete. Alebo ešte jednoduchšie - preregistrovať si cudzie telefónne číslo na seba pomocou falošnej plnej moci v kancelárii telekomunikačného operátora. Potom je možné toto číslo použiť na prístup k akýmkoľvek službám obete, kde je potrebná dvojfaktorová autentifikácia.

Kyberzločinci takto kradnú účty na Instagrame a Facebooku (napríklad, aby z nich posielali spam alebo ich používali na sociálne inžinierstvo), získavajú prístup k bankovým aplikáciám a čistia účty. Nedávno médiá povedali, ako za jeden deň bolo ukradnuté 26 miliónov rubľov od moskovského obchodníka pomocou tohto systému.

Buďte opatrní, ak vaša SIM karta prestane fungovať bez zjavného dôvodu. Radšej hrajte na istotu a zablokujte si bankovú kartu, bude to oprávnená paranoja. Potom kontaktujte kanceláriu operátora a zistite, čo sa stalo.

Mám dve SIM karty. Služby a bankové aplikácie sú viazané na jedno číslo, ktoré s nikým nezdieľam. Na komunikáciu a potreby domácnosti používam inú SIM kartu. Toto telefónne číslo nechávam na registráciu na webinár alebo získanie zľavovej karty v obchode. Obe karty sú chránené PIN kódom – ide o základné, no prehliadané bezpečnostné opatrenie.

Nesťahujte všetko do telefónu

Železné pravidlo. Nie je možné s istotou vedieť, ako vývojár aplikácie použije a ochráni používateľské údaje. Keď však vyjde najavo, ako ich tvorcovia aplikácií využívajú, často sa to zmení na škandál.

Medzi nedávne prípady patrí príbeh Polar Flow, kde môžete zistiť, kde sa nachádzajú spravodajskí dôstojníci po celom svete. Alebo skorší príklad s Unroll.me, ktorý mal chrániť používateľov pred spamovými odbermi, no zároveň predával prijaté dáta bokom.

Aplikácie chcú často vedieť príliš veľa. Učebnicovým príkladom je aplikácia Flashlight, ktorej stačí na fungovanie žiarovka, no chce o používateľovi vedieť všetko, až po zoznam kontaktov, pozri fotogalériu a kde sa používateľ nachádza.

Iní požadujú ešte viac. UC Browser odosiela IMEI, Android ID, MAC adresu zariadenia a niektoré ďalšie používateľské údaje na server Umeng, ktorý zhromažďuje informácie pre trh Alibaba. Rovnako ako moji kolegovia by som takúto žiadosť najradšej odmietla.

Aj profesionálni paranoidní ľudia riskujú, no sú pri vedomí. Aby ste sa nebáli každého tieňa, rozhodnite sa, čo je vo vašom živote verejné a čo súkromné. Stavajte múry okolo osobných informácií a neprepadajte fanatizmu o bezpečnosti verejných informácií. Potom, ak jedného dňa nájdete tieto verejné informácie vo verejnej sfére, nebudete neznesiteľne zranení.