Hogyan védik a biztonsági szakemberek a személyes adatokat

2024 Szerző: Malcolm Clapton | [email protected]. Utoljára módosítva: 2023-12-17 03:59

Van-e értelme lemondani a nyilvános Wi-Fi-ről és a banki alkalmazásokról, és külön kártyát szerezni az online vásárláshoz – egy információbiztonsági szakember véleménye.

Az információbiztonsággal foglalkozó kollégáim fele szakmai paranoiás. 2012-ig én magam is ilyen voltam – teljesen titkosítva voltam. Aztán rájöttem, hogy egy ilyen tompa védekezés zavarja a munkát és az életet.

A „kilépés” során olyan szokásokat alakítottam ki, amelyek lehetővé teszik, hogy nyugodtan aludj, és ugyanakkor ne építs kínai falat. Elmondom, milyen biztonsági szabályokat kezelek most fanatizmus nélkül, amelyeket időnként megszegek, és amelyeket teljes komolysággal betartok.

Túlzott paranoia

Ne használjon nyilvános Wi-Fi-t

Használom, és nem félek e tekintetben. Igen, vannak veszélyek az ingyenes nyilvános hálózatok használatakor. De a kockázat minimálisra csökkenthető az egyszerű biztonsági szabályok betartásával.

1. Győződjön meg arról, hogy a hotspot a kávézóé, és nem a hackeré. A jogi pont telefonszámot kér, és SMS-t küld a belépéshez.
2. Használjon VPN-kapcsolatot a hálózat eléréséhez.
3. Ne írjon be felhasználónevet / jelszót nem ellenőrzött webhelyeken.

A közelmúltban a Google Chrome böngésző még a nem biztonságos kapcsolattal rendelkező oldalakat is elkezdte nem biztonságosként megjelölni. Sajnos az adathalász oldalak a közelmúltban átvették azt a gyakorlatot, hogy tanúsítványt szereznek, hogy utánozzák a valódit.

Tehát, ha nyilvános Wi-Fi-n keresztül szeretne bejelentkezni valamilyen szolgáltatásba, azt tanácsolom, hogy százszor ellenőrizze, hogy az oldal eredeti-e. Általában elegendő, ha a címét egy whois szolgáltatáson keresztül futtatja, például Reg.ru. A domain regisztrációjának legkésőbbi dátuma figyelmezteti Önt – az adathalász webhelyek nem tartanak sokáig.

Ne jelentkezzen be a fiókjába mások eszközeiről

Bemegyek, de beállítom a kétlépcsős azonosítást a közösségi oldalakhoz, levelekhez, személyes fiókokhoz, az Állami Szolgálat weboldalához. Ez is egy tökéletlen védelmi módszer, ezért például a Google hardveres tokeneket kezdett használni a felhasználó személyazonosságának ellenőrzésére. De egyelőre a "pusztán halandóknak" elég, ha a fiókja kér egy kódot SMS-ből vagy a Google Authentificatorból (ebben az alkalmazásban magán a készüléken percenként generálódik egy új kód).

Ennek ellenére bevallom a paranoia egy kis elemét: rendszeresen ellenőrzöm a böngészési előzményeimet, hátha valaki más lépett be a leveleimbe. És természetesen, ha mások eszközeiről jelentkezem be a fiókjaimba, a munka végén ne felejtsek el kattintani az „Összes munkamenet befejezése” gombra.

Ne telepítsen banki alkalmazásokat

Biztonságosabb a mobilbanki alkalmazás használata, mint az online bankolás az asztali verzióban. Még ha biztonsági szempontból is ideálisan van megtervezve, a kérdés továbbra is magának a böngészőnek a sérülékenysége (és ezek közül sok van), valamint az operációs rendszer sebezhetősége. Az adatokat lopó rosszindulatú szoftvereket közvetlenül be lehet fecskendezni. Ezért még ha az online bankolás egyébként teljesen biztonságos is, ezek a kockázatok több mint valósak maradnak.

Ami a banki alkalmazást illeti, annak biztonsága teljes mértékben a bank lelkiismeretén múlik. Mindegyikük alapos elemzésen esik át a kód biztonságáról, gyakran külső kiváló szakértők bevonásával. A bank blokkolhatja az alkalmazáshoz való hozzáférést, ha SIM-kártyát cserélt, vagy akár egyszerűen áthelyezte az okostelefon másik nyílásába.

A legbiztonságosabb alkalmazások némelyike el sem indul addig, amíg a biztonsági követelmények nem teljesülnek, például a telefon nincs jelszóval védve. Ezért, ha Ön, mint én, nem hajlandó elvileg lemondani az online fizetésről, jobb, ha egy alkalmazást használ az asztali online banki szolgáltatások helyett.

Ez természetesen nem jelenti azt, hogy az alkalmazások 100%-ban biztonságosak. Még a legjobbak is mutatnak sebezhetőséget, ezért rendszeres frissítésekre van szükség. Ha úgy gondolja, hogy ez nem elég, olvassa el a speciális kiadványokat (Xaker.ru, Anti-malware.ru, Securitylab.ru): ott írják, ha a bank nem elég biztonságos.

Az online vásárláshoz használjon külön kártyát

Én személy szerint úgy gondolom, hogy ez felesleges baj. Volt egy külön számlám, hogy szükség esetén pénzt utaljak át a kártyára, és fizessek az internetes vásárlásokért. De ezt is visszautasítottam – ez a kényelem rovására megy.

Gyorsabb és olcsóbb a virtuális bankkártya beszerzése. Amikor online vásárol ennek használatával, a fő kártya adatai nem világítanak az interneten. Ha úgy gondolja, hogy ez nem elég a teljes bizalomhoz, kössön biztosítást. Ezt a szolgáltatást vezető bankok kínálják. Átlagosan évi 1000 rubel költséggel a kártyabiztosítás 100 000 kárt fedez.

Ne használjon okoseszközöket

A tárgyak internete hatalmas, és még több fenyegetés is van benne, mint a hagyományosban. Az intelligens eszközök valóban tele vannak hatalmas hackelési lehetőségekkel.

Az Egyesült Királyságban hackerek egy intelligens termosztáton keresztül hackerek törtek be egy helyi kaszinóhálózatba VIP ügyféladatokkal! Ha a kaszinó ennyire bizonytalannak bizonyult, mit is mondhatna egy hétköznapi emberről. De okoseszközöket használok, és nem ragasztok rájuk kamerát. Ha a TV és egyesíti információkat rólam - a pokolba is. Minden bizonnyal ártalmatlan lesz, mert mindent, ami kritikus fontosságú, titkosított lemezen tárolok, és a polcon tartom - internet hozzáférés nélkül.

Külföldön kapcsolja ki telefonját lehallgatás esetén

Külföldön leggyakrabban olyan messengereket használunk, amelyek tökéletesen titkosítják a szöveges és hangüzeneteket. Ha a forgalmat elfogják, az csak olvashatatlan "zűrzavart" tartalmaz.

A mobilszolgáltatók is használnak titkosítást, de az a baj, hogy az előfizető tudta nélkül ki tudják kapcsolni. Például a különleges szolgálatok kérésére: így volt ez a Dubrovka elleni terrortámadáskor, hogy a különleges szolgálatok gyorsan lehallgathassák a terroristák tárgyalásait.

Ezenkívül a tárgyalásokat speciális komplexumok akadályozzák meg. Az ár számukra 10 ezer dollártól kezdődik. Eladásra nem kaphatók, de a szakszolgálatok rendelkezésére állnak. Tehát ha az a feladat, hogy hallgassanak rád, akkor ők is hallgatnak rád. Félsz? Ezután kapcsolja ki a telefont mindenhol, és Oroszországban is.

Valahogy van értelme

Jelszóváltás hetente

Valójában elég havonta egyszer, feltéve, hogy a jelszavak hosszúak, összetettek és minden szolgáltatáshoz különállóak. A legjobb, ha megfogadjuk a bankok tanácsát, mert a számítási teljesítmény növekedésével változtatnak a jelszavakra vonatkozó követelményeken. A gyenge kriptoalgoritmus most egy hónap alatt nyers erővel megoldódik, ezért a jelszóváltás gyakoriságára vonatkozó követelmény.

Azonban lefoglalom. Paradox módon a havi egyszeri jelszócsere követelménye fenyegetést rejt magában: az emberi agy úgy van kialakítva, hogy ha folyamatosan új kódokat kell szem előtt tartania, akkor elkezd kiszállni. Amint azt a kiberszakértők megállapították, ebben a helyzetben minden új felhasználói jelszó gyengébb lesz, mint az előző.

A megoldás az, hogy összetett jelszavakat használunk, havonta egyszer cseréljük, de tároláshoz használjunk speciális alkalmazást. A bejáratot pedig gondosan védeni kell: az én esetemben ez egy 18 karakteres titkosítás. Igen, az alkalmazásoknak megvan az a bűne, hogy sebezhetőséget tartalmaznak (lásd az alábbi, az alkalmazásokról szóló bekezdést). Ki kell választani a legjobbat, és követni kell a megbízhatóságáról szóló híreket. Egyelőre nem látok biztonságosabb módot arra, hogy több tucat erős jelszót a fejemben tartsak.

Ne használjon felhőszolgáltatásokat

A Google Dokumentumok Yandex keresésben való indexelésének története megmutatta, hogy a felhasználók mennyire tévednek az információtárolás ezen módszerének megbízhatóságában. Én személy szerint a cég felhőszervereit használom megosztásra, mert tudom, mennyire biztonságosak. Ez nem jelenti azt, hogy az ingyenes nyilvános felhők abszolút rosszak. Mielőtt feltöltene egy dokumentumot a Google Drive-ra, tegye meg a fáradságot a titkosítással és adjon meg egy jelszót a hozzáféréshez.

Szükséges intézkedések

Ne hagyja a telefonszámát senkinek és sehol

De ez egyáltalán nem extra óvintézkedés. A telefonszám és a teljes név ismeretében a támadó körülbelül 10 ezer rubelért másolatot készíthet a SIM-kártyáról. A közelmúltban egy ilyen szolgáltatás nem csak a darkneten érhető el. Vagy még egyszerűbb - hamis meghatalmazással egy távközlési szolgáltató irodájában újra regisztrálhatja valaki más telefonszámát. Ezután a szám segítségével hozzáférhet az áldozat bármely szolgáltatásához, ahol kétlépcsős azonosításra van szükség.

Így lopnak el a kiberbűnözők Instagram- és Facebook-fiókokat (például, hogy spamet küldjenek róluk, vagy közösségi manipulációra használják őket), hozzáférjenek a banki alkalmazásokhoz, és megtisztítsák a fiókokat. A közelmúltban a média beszámolt arról, hogy egy nap alatt 26 millió rubelt loptak el egy moszkvai üzletembertől ezzel a rendszerrel.

Legyen óvatos, ha a SIM-kártya látható ok nélkül leállt. Jobb, ha kockáztat, és blokkolja a bankkártyáját, ez indokolt paranoia lesz. Ezt követően lépjen kapcsolatba az üzemeltető irodájával, hogy megtudja, mi történt.

Két SIM kártyám van. A szolgáltatások és a banki alkalmazások egy számhoz vannak kötve, amit nem osztok meg senkivel. Másik SIM kártyát használok kommunikációra és háztartási igényekre. Meghagyom ezt a telefonszámot, hogy regisztráljak egy webináriumra, vagy vásároljak kedvezményes kártyát az üzletben. Mindkét kártyát PIN kód védi – ez egy kezdetleges, de figyelmen kívül hagyott biztonsági intézkedés.

Ne töltsön le mindent a telefonjára

Vasszabály. Nem lehet biztosan tudni, hogy az alkalmazásfejlesztő hogyan fogja használni és védeni a felhasználói adatokat. De amikor kiderül, hogy az alkalmazások készítői hogyan használják őket, az gyakran botrányba torkollik.

A legutóbbi esetek közé tartozik a Polar Flow sztori, ahol megtudhatod, hol vannak a hírszerző tisztek szerte a világon. Vagy egy korábbi példa az Unroll.me-vel, ami állítólag megvédte a felhasználókat a spam előfizetésektől, ugyanakkor a kapott adatokat eladta az oldalnak.

Az alkalmazások gyakran túl sokat akarnak tudni. Tankönyvi példa erre a Flashlight alkalmazás, amelynek működéséhez csak egy villanykörte kell, de mindent tudni akar a felhasználóról, egészen a névjegyzékig, a fotógalériáig és a felhasználó tartózkodási helyéig.

Mások még többet követelnek. Az UC Browser elküldi az IMEI-t, az Android ID-t, az eszköz MAC-címét és néhány egyéb felhasználói adatot az Umeng szerverének, amely információkat gyűjt az Alibaba piactér számára. Kollégáimhoz hasonlóan én is legszívesebben visszautasítanám az ilyen kérelmet.

Még a hivatásos paranoiás emberek is vállalnak kockázatot, de tudatosak. Annak érdekében, hogy ne féljen minden árnyéktól, döntse el, mi nyilvános és mi privát az életében. Építs falakat a személyes adatok köré, és ne ess fanatizmusba a nyilvános információk biztonságával kapcsolatban. Aztán ha egy nap közkinccsé találja ezt a nyilvános információt, akkor nem fog elviselhetetlenül bántani.