Kā drošības speciālisti aizsargā personas informāciju

2024 Autors: Malcolm Clapton | [email protected]. Pēdējoreiz modificēts: 2023-12-17 04:04

Vai ir jēga atteikties no publiskajām Wi-Fi un banku aplikācijām un iegūt atsevišķu karti pirkumiem internetā – informācijas drošības speciālista viedoklis.

Puse no maniem kolēģiem informācijas drošības jomā ir profesionāli paranoiķi. Līdz 2012. gadam es pats tāds biju - biju šifrēts pilnībā. Tad sapratu, ka tāda blāva aizstāvēšanās traucē darbam un dzīvei.

"Iziešanas" procesā man izveidojās tādi ieradumi, kas ļauj mierīgi gulēt un tajā pašā laikā necelt apkārt ķīniešu mūri. Es stāstu, pret kādiem drošības noteikumiem tagad izturos bez fanātisma, kurus ik pa laikam pārkāpju un kurus ievēroju ar visu nopietnību.

Pārmērīga paranoja

Neizmantojiet publisko Wi-Fi

Es lietoju un nebaidos šajā sakarā. Jā, izmantojot bezmaksas publiskos tīklus, pastāv draudi. Bet risks tiek samazināts līdz minimumam, ievērojot vienkāršus drošības noteikumus.

1. Pārliecinieties, vai tīklājs pieder kafejnīcai, nevis hakeram. Juridiskais punkts pieprasa tālruņa numuru un nosūta SMS, lai ievadītu.
2. Izmantojiet VPN savienojumu, lai piekļūtu tīklam.
3. Neievadiet lietotājvārdu/paroli nepārbaudītās vietnēs.

Nesen pārlūkprogramma Google Chrome pat sāka atzīmēt lapas ar nedrošiem savienojumiem kā nedrošas. Diemžēl pikšķerēšanas vietnes nesen ir pārņēmušas praksi iegūt sertifikātu, lai atdarinātu īsto.

Tātad, ja vēlaties pieteikties kādā pakalpojumā, izmantojot publisko Wi-Fi, es ieteiktu simts reizes pārliecināties, vai vietne ir oriģināla. Parasti pietiek ar viņa adresi palaist caur whois pakalpojumu, piemēram, Reg.ru. Jaunākajam domēna reģistrācijas datumam vajadzētu jūs brīdināt - pikšķerēšanas vietnes nav ilgas.

Nepiesakieties savos kontos no citu cilvēku ierīcēm

Es ieeju, bet izveidoju divpakāpju autentifikāciju sociālajiem tīkliem, pastam, personīgajiem kontiem, Valsts dienesta vietnei. Šī ir arī nepilnīga aizsardzības metode, tāpēc Google, piemēram, sāka izmantot aparatūras marķierus, lai pārbaudītu lietotāja identitāti. Bet pagaidām "mirstīgajiem" pietiek ar to, ka jūsu konts pieprasīs kodu no SMS vai no Google Authentificator (šajā aplikācijā ik minūti tiek ģenerēts jauns kods pašā ierīcē).

Tomēr es atzīstu nelielu paranojas elementu: es regulāri pārbaudu savu pārlūkošanas vēsturi, ja kāds cits nav ievadījis manu pastu. Un, protams, ja es pieteicos savos kontos no citu cilvēku ierīcēm, darba beigās neaizmirstu noklikšķināt uz “Beigt visas sesijas”.

Neinstalējiet banku programmas

Mobilās bankas aplikāciju ir drošāk izmantot nekā tiešsaistes banku darbvirsmas versijā. Pat ja tas ir ideāli izstrādāts no drošības viedokļa, jautājums paliek par paša pārlūkprogrammas ievainojamībām (un to ir daudz), kā arī operētājsistēmas ievainojamības. Ļaunprātīga programmatūra, kas zog datus, var tikt ievadīta tieši tajā. Tāpēc, pat ja citādi internetbanka ir pilnīgi droša, šie riski joprojām ir vairāk nekā reāli.

Kas attiecas uz bankas aplikāciju, tad tās drošība ir pilnībā uz bankas sirdsapziņas. Katram no tiem tiek veikta rūpīga koda drošības analīze, bieži vien tiek iesaistīti ārēji izcili eksperti. Banka var bloķēt piekļuvi aplikācijai, ja nomainījāt SIM karti vai pat vienkārši pārvietojāt to uz citu viedtālruņa slotu.

Dažas no drošākajām aplikācijām pat nesākas, kamēr nav izpildītas drošības prasības, piemēram, tālrunis nav aizsargāts ar paroli. Tāpēc, ja jūs, tāpat kā es, principā neesat gatavs atteikties no tiešsaistes maksājumiem, labāk izmantot aplikāciju, nevis desktop internetbanku.

Protams, tas nenozīmē, ka lietojumprogrammas ir 100% drošas. Pat labākajos ir redzamas ievainojamības, tāpēc ir nepieciešami regulāri atjauninājumi. Ja uzskatāt, ka ar to nepietiek, izlasiet specializētās publikācijas (Xaker.ru, Anti-malware.ru, Securitylab.ru): viņi tur rakstīs, ja jūsu banka nebūs pietiekami droša.

Pirkumiem tiešsaistē izmantojiet atsevišķu karti

Es personīgi domāju, ka tā ir lieka problēma. Man bija atsevišķs konts, lai nepieciešamības gadījumā no tā pārskaitītu naudu uz karti un norēķinātos par pirkumiem internetā. Bet es arī atteicos no šī - tas kaitē komfortam.

Ātrāk un lētāk ir iegūt virtuālo bankas karti. Veicot pirkumus tiešsaistē, izmantojot to, galvenās kartes dati internetā neiedegas. Ja uzskatāt, ka pilnīgai pārliecībai ar to nepietiek, veiciet apdrošināšanu. Šo pakalpojumu piedāvā vadošās bankas. Vidēji, maksājot 1000 rubļu gadā, karšu apdrošināšana sedz zaudējumus 100 000 apmērā.

Neizmantojiet viedierīces

Lietu internets ir milzīgs, un tajā ir vēl vairāk draudu nekā tradicionālajā. Viedierīces patiešām ir pilnas ar milzīgām uzlaušanas iespējām.

Apvienotajā Karalistē hakeri, izmantojot viedo termostatu, ielauzās vietējā kazino tīklā ar VIP klientu datiem! Ja kazino izrādījās tik nedrošs, ko lai saka par parastu cilvēku. Bet es izmantoju viedierīces un nelīmēju uz tām kameras. Ja TV un sapludināt informāciju par mani - pie velna. Tas noteikti būs kaut kas nekaitīgs, jo visu kritisko glabāju šifrētā diskā un glabāju plauktā - bez piekļuves internetam.

Izslēdziet tālruni ārzemēs telefonsarunu noklausīšanās gadījumā

Ārzemēs mēs visbiežāk izmantojam kurjerus, kas lieliski šifrē teksta un audio ziņas. Ja satiksme tiks pārtverta, tajā būs tikai nesalasāms "putrs".

Arī mobilo sakaru operatori izmanto šifrēšanu, taču problēma ir tā, ka viņi to var izslēgt bez abonenta ziņas. Piemēram, pēc specdienestu lūguma: tas notika terorakta laikā Dubrovkai, lai specdienesti ātri noklausītos teroristu sarunas.

Turklāt sarunas pārtver īpaši kompleksi. Cena par tiem sākas no 10 tūkstošiem dolāru. Tie nav pieejami pārdošanā, bet tie ir pieejami speciālajiem dienestiem. Tātad, ja uzdevums ir jūs uzklausīt, viņi jūs klausīs. Vai jums bail? Pēc tam izslēdziet tālruni visur, un arī Krievijā.

Tam ir kāda jēga

Mainiet paroli katru nedēļu

Faktiski pietiek ar vienu reizi mēnesī, ja paroles ir garas, sarežģītas un katram pakalpojumam ir atsevišķas. Vislabāk ir ņemt vērā banku ieteikumus, jo tās maina paroles prasības, pieaugot skaitļošanas jaudai. Tagad vājais kriptoalgoritms tiek ar brutālu spēku sakārtots mēneša laikā, tāpēc tiek prasīta paroles maiņas biežums.

Tomēr es izdarīšu rezervāciju. Paradoksāli, bet prasība mainīt paroles reizi mēnesī satur draudus: cilvēka smadzenes ir veidotas tā, ka, ja nepieciešams pastāvīgi paturēt prātā jaunus kodus, tās sāk izkļūt. Kā noskaidrojuši kibereksperti, katra jaunā lietotāja parole šajā situācijā kļūst vājāka par iepriekšējo.

Risinājums ir izmantot sarežģītas paroles, mainīt tās reizi mēnesī, bet uzglabāšanai izmantot īpašu aplikāciju. Un ieeja tajā ir rūpīgi jāaizsargā: manā gadījumā tas ir 18 rakstzīmju šifrs. Jā, lietojumprogrammām ir grēks saturēt ievainojamības (skatiet rindkopu par lietojumprogrammām tālāk). Jāizvēlas labākais un jāseko jaunumiem par tā uzticamību. Es vēl neredzu drošāku veidu, kā savā galvā paturēt desmitiem spēcīgu paroļu.

Neizmantojiet mākoņpakalpojumus

Stāsts par Google dokumentu indeksēšanu Yandex meklēšanā parādīja, cik ļoti lietotāji maldās par šīs informācijas glabāšanas metodes uzticamību. Es personīgi koplietošanai izmantoju uzņēmuma mākoņserverus, jo zinu, cik tie ir droši. Tas nenozīmē, ka bezmaksas publiskie mākoņi ir absolūts ļaunums. Tieši pirms dokumenta augšupielādes Google diskā šifrējiet to un ievietojiet piekļuves paroli.

Nepieciešamie pasākumi

Neatstājiet savu tālruņa numuru nevienam un nekur

Bet tas vispār nav papildu piesardzības pasākums. Zinot tālruņa numuru un pilnu vārdu, uzbrucējs var izveidot SIM kartes kopiju par aptuveni 10 tūkstošiem rubļu. Nesen šādu pakalpojumu var iegūt ne tikai tumšajā tīklā. Vai vēl vienkāršāk – pārreģistrēt pie sevis kāda cita tālruņa numuru, izmantojot viltotu pilnvaru telekomunikāciju operatora birojā. Pēc tam numuru var izmantot, lai piekļūtu visiem cietušā pakalpojumiem, kur nepieciešama divu faktoru autentifikācija.

Tādā veidā kibernoziedznieki nozog Instagram un Facebook kontus (piemēram, lai no tiem nosūtītu surogātpastu vai izmantotu tos sociālajai inženierijai), iegūst piekļuvi banku lietojumprogrammām un iztīra kontus. Nesen mediji stāstīja, kā vienas dienas laikā, izmantojot šo shēmu, kādam Maskavas uzņēmējam nozagti 26 miljoni rubļu.

Esiet piesardzīgs, ja SIM karte pārstāja darboties bez redzama iemesla. Labāk padomājiet un bloķējiet savu bankas karti, tā būs pamatota paranoja. Pēc tam sazinieties ar operatora biroju, lai uzzinātu, kas noticis.

Man ir divas SIM kartes. Pakalpojumi un bankas aplikācijas ir piesaistītas vienam numuram, kuru es ne ar vienu nedalos. Saziņai un sadzīves vajadzībām izmantoju citu SIM karti. Es atstāju šo tālruņa numuru, lai reģistrētos vebināram vai saņemtu atlaižu karti veikalā. Abas kartes ir aizsargātas ar PIN kodu – tas ir elementārs, bet aizmirsts drošības pasākums.

Nelejupielādējiet visu savā tālrunī

Dzelzs likums. Nav iespējams precīzi zināt, kā lietojumprogrammu izstrādātājs izmantos un aizsargās lietotāja datus. Taču, kad kļūst zināms, kā aplikāciju veidotāji tās izmanto, tas nereti pārvēršas skandālā.

Nesenie gadījumi ietver Polar Flow stāstu, kurā var uzzināt izlūkdienesta darbinieku atrašanās vietu visā pasaulē. Vai arī agrāks piemērs ar Unroll.me, kam vajadzēja aizsargāt lietotājus no surogātpasta abonementiem, bet tajā pašā laikā pārdeva saņemtos datus uz malu.

Lietojumprogrammas bieži vēlas uzzināt pārāk daudz. Mācību piemērs ir lietojumprogramma Flashlight, kuras darbībai nepieciešama tikai spuldzīte, taču tā vēlas uzzināt visu par lietotāju, līdz pat kontaktpersonu sarakstam, skatīt fotogaleriju un lietotāja atrašanās vietu.

Citi prasa vēl vairāk. UC Browser nosūta IMEI, Android ID, ierīces MAC adresi un dažus citus lietotāja datus Umeng serverim, kas apkopo informāciju Alibaba tirgum. Es, tāpat kā mani kolēģi, labprātāk atteiktu šādu iesniegumu.

Pat profesionāli paranoiķi riskē, bet ir apzināti. Lai nebaidītos no katras ēnas, izlem, kas tavā dzīvē ir publisks un kas privāts. Veidojiet sienas ap personisko informāciju un nekrītiet fanātiskā par publiskās informācijas drošību. Tad, ja kādu dienu jūs atradīsiet šo publisko informāciju publiskajā telpā, jums netiks nežēlīgi ievainoti.