Kako sigurnosni profesionalci štite lične podatke

2024 Autor: Malcolm Clapton | [email protected]. Zadnja izmjena: 2023-12-17 03:49

Ima li smisla odustati od javnih Wi-Fi i bankarskih aplikacija i dobiti posebnu karticu za kupovinu putem interneta - mišljenje stručnjaka za informatičku sigurnost.

Polovina mojih kolega u informacionoj bezbednosti je profesionalni paranoik. I sam sam do 2012. bio takav - bio sam šifrovan u potpunosti. Tada sam shvatio da takva dosadna odbrana ometa rad i život.

U procesu "izlaska" stekao sam takve navike koje vam omogućavaju da mirno spavate, a da pritom ne gradite kineski zid. Kažem vam prema kojim se sigurnosnim pravilima sada ponašam bez fanatizma, koja s vremena na vrijeme prekršim i kojih se s ozbiljnošću pridržavam.

Preterana paranoja

Nemojte koristiti javni Wi-Fi

Koristim i nemam straha po tom pitanju. Da, postoje prijetnje prilikom korištenja besplatnih javnih mreža. Ali rizik je minimiziran pridržavanjem jednostavnih sigurnosnih pravila.

1. Uvjerite se da hotspot pripada kafiću, a ne hakeru. Pravna tačka traži broj telefona i šalje SMS za ulazak.
2. Koristite VPN vezu za pristup mreži.
3. Ne unosite korisničko ime / lozinku na neprovjerenim stranicama.

Nedavno je pretraživač Google Chrome čak počeo da označava stranice sa nezaštićenim vezama kao nesigurne. Nažalost, phishing stranice su nedavno usvojile praksu dobivanja certifikata kako bi oponašale prave.

Dakle, ako se želite prijaviti na neki servis koristeći javni Wi-Fi, savjetovao bih vam da se sto puta uvjerite da je stranica originalna. U pravilu, dovoljno je proći njegovu adresu putem whois servisa, na primjer Reg.ru. Najnoviji datum registracije domene trebao bi vas upozoriti - phishing stranice ne traju dugo.

Nemojte se prijavljivati na svoje račune sa tuđih uređaja

Ulazim, ali postavljam autentifikaciju u dva koraka za društvene mreže, poštu, lične račune, web stranicu Državne službe. Ovo je također nesavršen način zaštite, pa je Google, na primjer, počeo koristiti hardverske tokene za provjeru identiteta korisnika. Ali za sada je za "obične smrtnike" dovoljno da vaš nalog zatraži kod iz SMS-a ili od Google Authentificator-a (u ovoj aplikaciji se novi kod generira svake minute na samom uređaju).

Ipak, priznajem mali element paranoje: redovno provjeravam svoju historiju pretraživanja u slučaju da neko drugi uđe u moju poštu. I naravno, ako se ulogujem na svoje naloge sa tuđih uređaja, na kraju rada ne zaboravim da kliknem „Završi sve sesije“.

Nemojte instalirati bankarske aplikacije

Sigurnije je koristiti aplikaciju za mobilno bankarstvo nego online bankarstvo u desktop verziji. Čak i ako je dizajniran idealno sa sigurnosne tačke gledišta, ostaje pitanje ranjivosti samog pretraživača (a ima ih mnogo), kao i ranjivosti operativnog sistema. Zlonamjerni softver koji krade podatke može se ubaciti direktno u njega. Stoga, čak i ako je internet bankarstvo inače savršeno sigurno, ovi rizici ostaju više nego stvarni.

Što se tiče bankarske aplikacije, njena sigurnost je u potpunosti na savjesti banke. Svaki od njih prolazi temeljnu analizu sigurnosti koda, često su uključeni vanjski eminentni stručnjaci. Banka može blokirati pristup aplikaciji ako ste promijenili SIM karticu ili je čak jednostavno premjestili u drugi slot na svom pametnom telefonu.

Neke od najsigurnijih aplikacija se čak ni ne pokreću dok se ne ispune sigurnosni zahtjevi, na primjer, telefon nije zaštićen lozinkom. Stoga, ako i vi, kao i ja, u principu niste spremni odustati od online plaćanja, bolje je koristiti aplikaciju, a ne desktop internet bankarstvo.

Naravno, to ne znači da su aplikacije 100% sigurne. Čak i oni najbolji pokazuju ranjivosti, pa su neophodna redovna ažuriranja. Ako mislite da to nije dovoljno, pročitajte specijalizovane publikacije (Xaker.ru, Anti-malware.ru, Securitylab.ru): tamo će pisati ako vaša banka nije dovoljno sigurna.

Koristite posebnu karticu za kupovinu na mreži

Ja lično smatram da je ovo nepotrebna muka. Imao sam poseban račun tako da, ako je potrebno, prenosim novac sa njega na karticu i plaćam kupovinu na internetu. Ali i ovo sam odbio - to je šteta za udobnost.

Brže je i jeftinije nabaviti virtuelnu bankovnu karticu. Kada kupujete putem Interneta, podaci glavne kartice na Internetu ne svijetle. Ako mislite da to nije dovoljno za potpuno povjerenje, osigurajte se. Ovu uslugu nude vodeće banke. U prosjeku, po cijeni od 1.000 rubalja godišnje, osiguranje kartice pokriva štetu od 100.000.

Nemojte koristiti pametne uređaje

Internet stvari je ogroman, a prijetnji u njemu ima još više nego u tradicionalnom. Pametni uređaji su zaista prepuni ogromnih mogućnosti za hakiranje.

U Velikoj Britaniji, hakeri su upali u lokalnu mrežu kazina sa VIP podacima o klijentima putem pametnog termostata! Ako se kazino pokazalo tako nesigurnim, šta reći o običnom čovjeku. Ali koristim pametne uređaje i ne lijepim kamere na njih. Ako TV i spojite informacije o meni - dovraga s tim. To će svakako biti nešto bezazleno, jer sve kritično pohranjujem na šifrirani disk i držim na polici - bez pristupa internetu.

Isključite telefon u inostranstvu u slučaju prisluškivanja

U inostranstvu najčešće koristimo glasnike koji savršeno šifriraju tekstualne i audio poruke. Ako se promet presretne, sadržavat će samo nečitljiv "nered".

Mobilni operateri također koriste enkripciju, ali problem je što je mogu isključiti bez znanja pretplatnika. Na primjer, na zahtjev specijalnih službi: to je bio slučaj prilikom terorističkog napada na Dubrovku kako bi specijalne službe mogle brzo saslušati pregovore terorista.

Osim toga, pregovore presreću specijalni kompleksi. Cijena za njih kreće se od 10 hiljada dolara. Nisu dostupni za prodaju, ali su dostupni specijalnim službama. Dakle, ako je zadatak da vas slušaju, oni će vas saslušati. Plašiš li se? Onda isključite telefon svuda, pa i u Rusiji.

Nekako ima smisla

Mijenjajte lozinku svake sedmice

Zapravo, dovoljno je jednom mjesečno, pod uslovom da su lozinke dugačke, složene i odvojene za svaki servis. Najbolje je poslušati savjete banaka jer one mijenjaju zahtjeve lozinke kako računarska snaga raste. Sada se slab kriptoalgoritam rješava grubom silom za mjesec dana, otuda i zahtjev za učestalost promjene lozinke.

Ipak, napraviću rezervaciju. Paradoksalno, zahtjev za promjenom lozinki jednom mjesečno sadrži prijetnju: ljudski mozak je dizajniran tako da, ako je potrebno stalno imati na umu nove kodove, počinje da izlazi. Kako su otkrili sajber stručnjaci, svaka nova korisnička lozinka u ovoj situaciji postaje slabija od prethodne.

Rješenje je korištenje složenih lozinki, mijenjanje ih jednom mjesečno, ali korištenje posebne aplikacije za pohranu. I ulaz u njega mora biti pažljivo zaštićen: u mom slučaju to je šifra od 18 znakova. Da, aplikacije imaju grijeh što sadrže ranjivosti (pogledajte odlomak o aplikacijama ispod). Morate odabrati najbolje i pratiti vijesti o njegovoj pouzdanosti. Još ne vidim sigurniji način da u glavi zadržim desetine jakih lozinki.

Nemojte koristiti usluge u oblaku

Priča o indeksiranju Google dokumenata u Yandex pretraživanju pokazala je koliko su korisnici u zabludi o pouzdanosti ovog načina pohranjivanja informacija. Ja lično koristim cloud servere kompanije za dijeljenje jer znam koliko su sigurni. To ne znači da su besplatni javni oblaci apsolutno zlo. Neposredno prije nego što otpremite dokument na Google Drive, potrudite se da ga šifrirate i stavite lozinku za pristup.

Neophodne mjere

Ne ostavljajte svoj broj telefona nikome i nigdje

Ali to uopće nije dodatna mjera opreza. Poznavajući broj telefona i puno ime, napadač može napraviti kopiju SIM kartice za oko 10 hiljada rubalja. Nedavno se takva usluga može dobiti ne samo na darknetu. Ili još lakše - da preregistrujete tuđi broj telefona na sebe koristeći lažno punomoćje u kancelariji telekom operatera. Tada se broj može koristiti za pristup svim uslugama žrtve gdje je potrebna dvofaktorska autentifikacija.

Ovo je način na koji sajber kriminalci kradu Instagram i Facebook naloge (na primjer, da od njih šalju neželjenu poštu ili ih koriste za društveni inženjering), dobijaju pristup bankarskim aplikacijama i čiste račune. Nedavno su mediji ispričali kako je u jednom danu 26 miliona rubalja ukradeno od moskovskog biznismena koristeći ovu šemu.

Budite oprezni ako vaša SIM kartica prestane da radi bez očiglednog razloga. Bolje je igrati na sigurno i blokirati bankovnu karticu, to će biti opravdana paranoja. Nakon toga, kontaktirajte kancelariju operatera da saznate šta se dogodilo.

Imam dvije SIM kartice. Usluge i bankarske aplikacije vezane su za jedan broj, koji ne dijelim ni sa kim. Koristim drugu SIM karticu za komunikaciju i kućne potrebe. Ostavljam ovaj broj telefona da se registrujem za webinar ili dobijem karticu za popust u trgovini. Obje kartice su zaštićene PIN-om - ovo je rudimentarna, ali zanemarena mjera sigurnosti.

Nemojte preuzimati sve na svoj telefon

Gvozdeno pravilo. Nemoguće je sa sigurnošću znati kako će programer aplikacije koristiti i zaštititi korisničke podatke. Ali kada se sazna kako ih kreatori aplikacija koriste, to se često pretvori u skandal.

Nedavni slučajevi uključuju priču Polar Flow, gdje možete saznati gdje se nalaze obavještajci širom svijeta. Ili raniji primjer sa Unroll.me, koji je trebao zaštititi korisnike od pretplata na neželjenu poštu, ali je u isto vrijeme prodavao primljene podatke na stranu.

Aplikacije često žele da znaju previše. Primer iz udžbenika je aplikacija Flashlight, kojoj je za rad potrebna samo sijalica, ali želi da zna sve o korisniku, sve do liste kontakata, da vidi galeriju fotografija i gde se korisnik nalazi.

Drugi traže još više. UC Browser šalje IMEI, Android ID, MAC adresu uređaja i neke druge korisničke podatke na server Umeng, koji prikuplja informacije za Alibaba marketplace. Ja bih, kao i moje kolege, najradije odbio takvu molbu.

Čak i profesionalni paranoični ljudi riskiraju, ali su svjesni. Kako se ne biste plašili svake senke, odlučite šta je javno, a šta privatno u vašem životu. Gradite zidove oko ličnih podataka i ne padajte u fanatizam o sigurnosti javnih informacija. Onda, ako jednog dana nađete ove javne informacije u javnom domenu, nećete biti strašno povrijeđeni.