Hvordan sikkerhetseksperter beskytter personlig informasjon

2024 Forfatter: Malcolm Clapton | [email protected]. Sist endret: 2023-12-17 04:07

Er det fornuftig å gi opp offentlige Wi-Fi- og bankapplikasjoner og få et eget kort for nettkjøp - en informasjonssikkerhetsspesialists mening.

Halvparten av mine kollegaer innen informasjonssikkerhet er profesjonelle paranoide. Frem til 2012 var jeg selv sånn – jeg var kryptert i sin helhet. Da skjønte jeg at et så kjedelig forsvar forstyrrer jobb og liv.

I prosessen med å "gå ut" utviklet jeg slike vaner som lar deg sove fredelig og samtidig ikke bygge en kinesisk mur rundt. Jeg forteller deg hvilke sikkerhetsregler jeg nå behandler uten fanatisme, som jeg bryter fra tid til annen, og som jeg følger med fullt alvor.

Overdreven paranoia

Ikke bruk offentlig Wi-Fi

Jeg bruker og har ingen frykt i denne forbindelse. Ja, det er trusler når du bruker gratis offentlige nettverk. Men risikoen minimeres ved å følge enkle sikkerhetsregler.

1. Sørg for at hotspotet tilhører kafeen og ikke hackeren. Det juridiske punktet ber om et telefonnummer og sender en SMS for å komme inn.
2. Bruk en VPN-tilkobling for å få tilgang til nettverket.
3. Ikke skriv inn brukernavn/passord på ubekreftede nettsteder.

Nylig begynte Google Chrome-nettleseren til og med å merke sider med usikre tilkoblinger som usikre. Dessverre har phishing-nettsteder nylig tatt i bruk praksisen med å få et sertifikat for å etterligne de ekte.

Så hvis du vil logge på en tjeneste ved hjelp av offentlig Wi-Fi, vil jeg råde deg til å sørge for at siden er original hundre ganger. Som regel er det nok å kjøre adressen hans gjennom en whois-tjeneste, for eksempel Reg.ru. Den siste domeneregistreringsdatoen bør varsle deg - phishing-nettsteder varer ikke lenge.

Ikke logg på kontoene dine fra andres enheter

Jeg går inn, men jeg setter opp to-trinns autentisering for sosiale nettverk, e-post, personlige kontoer, nettstedet til Statens tjeneste. Dette er også en ufullkommen beskyttelsesmetode, så Google begynte for eksempel å bruke maskinvaretokens for å bekrefte identiteten til brukeren. Men for nå, for "bare dødelige" er det nok at kontoen din vil be om en kode fra SMS eller fra Google Authenticator (i denne applikasjonen genereres en ny kode hvert minutt på selve enheten).

Likevel innrømmer jeg et lite element av paranoia: Jeg sjekker regelmessig nettleserloggen min i tilfelle noen andre har skrevet inn e-posten min. Og selvfølgelig, hvis jeg logger på kontoene mine fra andres enheter, på slutten av arbeidet glemmer jeg ikke å klikke på "Avslutt alle økter".

Ikke installer bankapper

Det er tryggere å bruke mobilbankapplikasjonen enn nettbank i desktopversjonen. Selv om den er designet ideelt fra et sikkerhetssynspunkt, gjenstår spørsmålet med sårbarhetene til selve nettleseren (og det er mange av dem), så vel som sårbarhetene til operativsystemet. Skadelig programvare som stjeler data kan injiseres direkte i den. Derfor, selv om nettbank ellers er helt trygt, forblir disse risikoene mer enn reelle.

Når det gjelder banksøknaden, er sikkerheten helt på bankens samvittighet. Hver av dem gjennomgår en grundig analyse av sikkerheten til koden, ofte er eksterne eminente eksperter involvert. Banken kan blokkere tilgangen til applikasjonen hvis du byttet SIM-kort eller til og med ganske enkelt flyttet det til et annet spor på smarttelefonen.

Noen av de sikreste applikasjonene starter ikke en gang før sikkerhetskravene er oppfylt, for eksempel er ikke telefonen passordbeskyttet. Derfor, hvis du, som meg, ikke er klar til å gi opp nettbetalinger i prinsippet, er det bedre å bruke en applikasjon fremfor stasjonær nettbank.

Dette betyr selvfølgelig ikke at applikasjoner er 100 % sikre. Selv de beste viser sårbarheter, så regelmessige oppdateringer er nødvendige. Hvis du tror at dette ikke er nok, les spesialiserte publikasjoner (Xaker.ru, Anti-malware.ru, Securitylab.ru): de vil skrive der hvis banken din ikke er trygg nok.

Bruk et eget kort for nettkjøp

Jeg personlig synes at dette er unødvendig trøbbel. Jeg hadde en egen konto slik at om nødvendig overføre penger fra den til kortet og betale for kjøp på Internett. Men jeg takket også nei til dette - det er til skade for trøsten.

Det er raskere og billigere å få et virtuelt bankkort. Når du kjøper online ved å bruke det, lyser ikke dataene til hovedkortet på Internett. Hvis du tror at dette ikke er nok for full tillit, tegn forsikring. Denne tjenesten tilbys av ledende banker. I gjennomsnitt, til en pris på 1 000 rubler i året, vil kortforsikring dekke skader på 100 000.

Ikke bruk smarte enheter

Tingenes internett er enormt, og det er enda flere trusler i det enn i det tradisjonelle. Smarte enheter er virkelig fulle av enorme muligheter for hacking.

I Storbritannia hacket hackere seg inn i et lokalt kasinonettverk med VIP-kundedata gjennom en smart termostat! Hvis kasinoet viste seg å være så usikkert, hva skal man si om en vanlig person. Men jeg bruker smarte enheter og fester ikke kameraer på dem. Hvis TV og flette informasjon om meg - til helvete med det. Det vil definitivt være noe ufarlig, for jeg lagrer alt kritisk på en kryptert disk og holder det på hylla – uten tilgang til Internett.

Slå av telefonen i utlandet ved avlytting

I utlandet bruker vi oftest messengers som krypterer tekst- og lydmeldinger perfekt. Hvis trafikken blir avlyttet, vil den kun inneholde uleselig «søl».

Mobiloperatører bruker også kryptering, men problemet er at de kan skru den av uten abonnentens viten. For eksempel på forespørsel fra spesialtjenestene: Dette var tilfellet under terrorangrepet på Dubrovka slik at spesialtjenestene raskt kunne lytte til terroristenes forhandlinger.

I tillegg avlyttes forhandlingene av spesielle komplekser. Prisen for dem starter fra 10 tusen dollar. De er ikke tilgjengelige for salg, men de er tilgjengelige for spesialtjenestene. Så hvis oppgaven er å lytte til deg, vil de lytte til deg. Er du redd? Slå deretter av telefonen overalt, og i Russland også.

Det gir liksom mening

Bytt passord hver uke

En gang i måneden er faktisk nok, forutsatt at passordene er lange, komplekse og separate for hver tjeneste. Det er best å følge rådene fra bankene fordi de endrer passordkravene etter hvert som datakraften øker. Nå er en svak kryptoalgoritme brute-force sortert ut i løpet av en måned, derav kravet til frekvensen av passordendringer.

Jeg vil imidlertid reservere. Paradoksalt nok inneholder kravet om å endre passord en gang i måneden en trussel: den menneskelige hjernen er utformet på en slik måte at den begynner å komme ut, hvis det er nødvendig å hele tiden ha nye koder i tankene. Som cybereksperter har funnet ut, blir hvert nytt brukerpassord i denne situasjonen svakere enn det forrige.

Løsningen er å bruke komplekse passord, endre dem en gang i måneden, men bruke en spesiell applikasjon for lagring. Og inngangen til den må beskyttes nøye: i mitt tilfelle er det et chiffer på 18 tegn. Ja, applikasjoner har synden å inneholde sårbarheter (se avsnittet om applikasjoner nedenfor). Du må velge det beste og følge med på nyhetene om påliteligheten. Jeg ser ikke en tryggere måte å holde dusinvis av sterke passord i hodet mitt ennå.

Ikke bruk skytjenester

Historien om indekseringen av Google Docs i Yandex-søk viste hvor mye brukere tar feil av påliteligheten til denne metoden for lagring av informasjon. Jeg personlig bruker selskapets skyservere for deling fordi jeg vet hvor sikre de er. Dette betyr ikke at gratis offentlige skyer er et absolutt onde. Rett før du laster opp et dokument til Google Disk, ta bryet med å kryptere det og angi et passord for tilgang.

Nødvendige tiltak

Ikke overlat telefonnummeret ditt til noen og hvor som helst

Men dette er ikke en ekstra forholdsregel i det hele tatt. Når han kjenner telefonnummeret og fullt navn, kan en angriper lage en kopi av et SIM-kort for omtrent 10 tusen rubler. Nylig kan en slik tjeneste fås ikke bare på darknet. Eller enda enklere - å omregistrere andres telefonnummer til deg selv ved å bruke en falsk fullmakt på kontoret til en teleoperatør. Deretter kan nummeret brukes til å få tilgang til alle tjenester til offeret der tofaktorautentisering er nødvendig.

Dette er hvordan nettkriminelle stjeler Instagram- og Facebook-kontoer (for eksempel for å sende spam fra dem eller bruke dem til sosial utvikling), får tilgang til bankapplikasjoner og rydde opp i kontoer. Nylig fortalte media hvordan 26 millioner rubler på en dag ble stjålet fra en forretningsmann i Moskva som brukte denne ordningen.

Vær forsiktig hvis SIM-kortet ditt sluttet å fungere uten noen åpenbar grunn. Bedre å spille det trygt og sperre bankkortet ditt, dette vil være berettiget paranoia. Ta deretter kontakt med operatørens kontor for å finne ut hva som har skjedd.

Jeg har to SIM-kort. Tjenester og bankapplikasjoner er knyttet til ett nummer, som jeg ikke deler med noen. Jeg bruker et annet SIM-kort til kommunikasjon og husholdningsbehov. Jeg legger igjen dette telefonnummeret for å registrere meg for et webinar eller få et rabattkort i butikken. Begge kortene er beskyttet av en PIN-kode - dette er et rudimentært, men oversett sikkerhetstiltak.

Ikke last ned alt til telefonen

En jernregel. Det er umulig å vite sikkert hvordan applikasjonsutvikleren kommer til å bruke og beskytte brukerdata. Men når det blir kjent hvordan skaperne av applikasjoner bruker dem, blir det ofte en skandale.

Nylige saker inkluderer Polar Flow-historien, hvor du kan finne ut hvor etterretningsoffiserer rundt om i verden befinner seg. Eller et tidligere eksempel med Unroll.me, som skulle beskytte brukere mot spam-abonnementer, men som samtidig solgte de mottatte dataene til side.

Applikasjoner ønsker ofte å vite for mye. Et lærebokeksempel er Flashlight-applikasjonen, som bare trenger en lyspære for å fungere, men den vil vite alt om brukeren, helt ned i kontaktlisten, se bildegalleriet og hvor brukeren er.

Andre krever enda mer. UC Browser sender IMEI, Android ID, MAC-adressen til enheten og noen andre brukerdata til serveren til Umeng, som samler inn informasjon for Alibaba-markedsplassen. Jeg vil i likhet med mine kolleger foretrekke å avslå en slik søknad.

Selv profesjonelle paranoide mennesker tar risiko, men de er bevisste. For ikke å være redd for hver eneste skygge, bestem deg for hva som er offentlig og hva som er privat i livet ditt. Bygg vegger rundt personlig informasjon, og ikke fall inn i fanatisme om sikkerheten til offentlig informasjon. Så, hvis du en dag finner denne offentlige informasjonen i det offentlige rom, vil du ikke bli uutholdelig skadet.