Jak bezpečnostní profesionálové chrání osobní údaje

2024 Autor: Malcolm Clapton | [email protected]. Naposledy změněno: 2023-12-17 03:50

Má smysl vzdát se veřejných Wi-Fi a bankovních aplikací a pořídit si samostatnou kartu pro online nákupy – názor specialisty na informační bezpečnost.

Polovina mých kolegů v informační bezpečnosti je profesionální paranoidní. Až do roku 2012 jsem byl takový - byl jsem zašifrován v plném rozsahu. Pak jsem si uvědomil, že taková tupá obrana zasahuje do práce a života.

V procesu „vycházky“jsem si vytvořil takové návyky, které vám umožní klidně spát a zároveň si nestavíte čínskou zeď kolem. Říkám vám, jaká bezpečnostní pravidla nyní zacházím bez fanatismu, která čas od času porušuji a která se vší vážností dodržuji.

Nadměrná paranoia

Nepoužívejte veřejné Wi-Fi

Používám a nemám v tomto ohledu žádné obavy. Ano, při používání bezplatných veřejných sítí existují hrozby. Ale riziko je minimalizováno dodržováním jednoduchých bezpečnostních pravidel.

1. Ujistěte se, že hotspot patří kavárně a ne hackerovi. Právní bod požádá o telefonní číslo a pošle SMS pro zadání.
2. Pro přístup k síti použijte připojení VPN.
3. Nezadávejte uživatelské jméno / heslo na neověřených stránkách.

Nedávno dokonce začal prohlížeč Google Chrome označovat stránky s nezabezpečeným připojením jako nebezpečné. Bohužel, phishingové stránky nedávno přijaly praxi získání certifikátu, aby napodobily ty skutečné.

Pokud se tedy chcete k nějaké službě přihlásit pomocí veřejné Wi-Fi, radil bych vám, abyste se ujistili, že jsou stránky stokrát originální. Zpravidla stačí spustit jeho adresu prostřednictvím služby whois, například Reg.ru. Poslední datum registrace domény by vás mělo upozornit – phishingové stránky netrvají dlouho.

Nepřihlašujte se ke svým účtům ze zařízení jiných lidí

Jdu dovnitř, ale nastavil jsem dvoufázové ověření pro sociální sítě, poštu, osobní účty, web státní služby. To je také nedokonalý způsob ochrany, a tak například Google začal používat hardwarové tokeny k ověření identity uživatele. Pro „pouhé smrtelníky“ale zatím stačí, že si váš účet vyžádá kód z SMS nebo z Google Authentificatoru (v této aplikaci se na samotném zařízení každou minutu generuje nový kód).

Přesto připouštím drobný prvek paranoie: pravidelně kontroluji svou historii prohlížení pro případ, že by mi někdo zadal můj mail. A samozřejmě, pokud se ke svým účtům přihlásím ze zařízení jiných lidí, na konci práce nezapomenu kliknout na „Ukončit všechny relace“.

Neinstalujte bankovní aplikace

Je bezpečnější používat aplikaci mobilního bankovnictví než online bankovnictví v desktopové verzi. I když je z bezpečnostního hlediska navržený ideálně, otázkou zůstává zranitelnosti samotného prohlížeče (a není jich málo), stejně jako zranitelnosti operačního systému. Škodlivý software, který krade data, lze vložit přímo do něj. Proto, i když je jinak online bankovnictví naprosto bezpečné, zůstávají tato rizika více než reálná.

Co se týče bankovní aplikace, její zabezpečení je plně na svědomí banky. Každý z nich prochází důkladnou analýzou bezpečnosti kódu, často se jedná o externí odborníky. Banka může zablokovat přístup k aplikaci, pokud jste vyměnili SIM kartu nebo ji dokonce jednoduše přesunuli do jiného slotu ve smartphonu.

Některé z nejbezpečnějších aplikací se ani nespustí, dokud nejsou splněny bezpečnostní požadavky, například telefon není chráněn heslem. Pokud tedy nejste, stejně jako já, v zásadě připraveni vzdát se online plateb, je lepší používat aplikaci spíše než desktopové online bankovnictví.

To samozřejmě neznamená, že jsou aplikace 100% bezpečné. I ty nejlepší vykazují zranitelnosti, takže jsou nutné pravidelné aktualizace. Pokud si myslíte, že to nestačí, přečtěte si specializované publikace (Xaker.ru, Anti-malware.ru, Securitylab.ru): tam napíšou, pokud vaše banka není dostatečně bezpečná.

Pro online nákupy použijte samostatnou kartu

Osobně si myslím, že je to zbytečný problém. Měl jsem samostatný účet, abych z něj v případě potřeby převáděl peníze na kartu a platil nákupy na internetu. Ale i toto jsem odmítl - je to újma na pohodlí.

Je rychlejší a levnější získat virtuální bankovní kartu. Když pomocí něj nakupujete online, data hlavní karty na internetu se nerozsvítí. Pokud si myslíte, že to k naprosté důvěře nestačí, pojistěte se. Tuto službu nabízejí přední banky. V průměru, za cenu 1 000 rublů ročně, pojištění karty pokryje škodu 100 000.

Nepoužívejte chytrá zařízení

Internet věcí je obrovský a je v něm ještě více hrozeb než v tom tradičním. Chytrá zařízení jsou opravdu plná obrovských příležitostí k hackování.

Ve Spojeném království se hackeři nabourali do místní sítě kasin s údaji o VIP zákaznících prostřednictvím chytrého termostatu! Pokud se kasino ukázalo jako tak nejisté, co říci o obyčejném člověku. Ale používám chytrá zařízení a nelepím na ně foťáky. Pokud se TV a sloučit informace o mně - k čertu s tím. Určitě to bude něco neškodného, protože vše kritické ukládám na zašifrovaný disk a mám to na poličce – bez přístupu k internetu.

V případě odposlechu si v zahraničí vypněte telefon

V zahraničí nejčastěji používáme messengery, které dokonale zašifrují textové i zvukové zprávy. Pokud je provoz zachycen, bude obsahovat pouze nečitelný „nepořádek“.

Mobilní operátoři také používají šifrování, ale problém je v tom, že jej mohou vypnout bez vědomí účastníka. Například na žádost speciálních služeb: stalo se tak během teroristického útoku na Dubrovku, aby speciální služby mohly rychle naslouchat jednání teroristů.

Jednání navíc zadržují speciální komplexy. Cena za ně začíná od 10 tisíc dolarů. Nejsou k dispozici na prodej, ale jsou k dispozici speciálním službám. Pokud je tedy úkolem vás poslouchat, poslechnou vás. Bojíš se? Pak vypněte telefon všude a také v Rusku.

Má to smysl

Změňte heslo každý týden

Ve skutečnosti stačí jednou za měsíc, pokud jsou hesla dlouhá, složitá a samostatná pro každou službu. Nejlepší je dbát rad bank, protože ty mění požadavky na hesla s rostoucím výpočetním výkonem. Nyní je slabý kryptoalgoritmus hrubou silou vyřešen za měsíc, proto je vyžadována frekvence změn hesla.

Nicméně udělám rezervaci. Požadavek na změnu hesel jednou za měsíc paradoxně obsahuje hrozbu: lidský mozek je navržen tak, že pokud je potřeba neustále mít na paměti nové kódy, začne se dostávat ven. Jak zjistili kybernetičtí experti, každé nové uživatelské heslo je v této situaci slabší než to předchozí.

Řešením je používat složitá hesla, měnit je jednou měsíčně, ale používat speciální aplikaci pro ukládání. A vstup do něj je třeba pečlivě chránit: v mém případě jde o šifru o 18 znacích. Ano, aplikace mají hřích v tom, že obsahují zranitelnosti (viz odstavec o aplikacích níže). Musíte si vybrat to nejlepší a sledovat novinky o jeho spolehlivosti. Bezpečnější způsob, jak udržet v hlavě desítky silných hesel, zatím nevidím.

Nepoužívejte cloudové služby

Příběh indexování dokumentů Google ve vyhledávání Yandex ukázal, jak moc se uživatelé mýlí ohledně spolehlivosti tohoto způsobu ukládání informací. Osobně používám ke sdílení firemní cloudové servery, protože vím, jak jsou bezpečné. To neznamená, že bezplatné veřejné cloudy jsou absolutní zlo. Těsně před nahráním dokumentu na Disk Google si dejte tu práci, zašifrujte jej a zadejte heslo pro přístup.

Nezbytná opatření

Nikomu a nikde nenechávejte své telefonní číslo

To ale vůbec není extra preventivní opatření. Útočník, který zná telefonní číslo a celé jméno, může vytvořit kopii SIM karty za asi 10 tisíc rublů. V poslední době lze takovou službu získat nejen na darknetu. Nebo ještě jednodušší – přeregistrovat na sebe cizí telefonní číslo pomocí falešné plné moci v kanceláři telekomunikačního operátora. Číslo pak lze použít pro přístup k jakýmkoli službám oběti, kde je potřeba dvoufaktorová autentizace.

Kyberzločinci takto kradou účty na Instagramu a Facebooku (například aby z nich posílali spam nebo je používali pro sociální inženýrství), získávají přístup k bankovním aplikacím a čistí účty. Nedávno média uvedla, jak bylo za jeden den ukradeno 26 milionů rublů moskevskému obchodníkovi pomocí tohoto schématu.

Buďte opatrní, pokud vaše SIM karta přestala fungovat bez zjevného důvodu. Raději hrajte na jistotu a zablokujte si bankovní kartu, to bude oprávněná paranoia. Poté kontaktujte kancelář operátora a zjistěte, co se stalo.

Mám dvě SIM karty. Služby a bankovní aplikace jsou vázány na jedno číslo, které s nikým nesdílím. Pro komunikaci a potřeby domácnosti používám jinou SIM kartu. Toto telefonní číslo nechávám pro registraci na webinář nebo získání slevové karty v obchodě. Obě karty jsou chráněny PINem – to je základní, ale přehlížené bezpečnostní opatření.

Nestahujte vše do telefonu

Železné pravidlo. Není možné s jistotou vědět, jak bude vývojář aplikace používat a chránit uživatelská data. Když ale vyjde najevo, jak je tvůrci aplikací využívají, často se to změní ve skandál.

Mezi nedávné případy patří příběh Polar Flow, kde můžete zjistit, kde se nacházejí zpravodajští důstojníci po celém světě. Nebo dřívější příklad s Unroll.me, který měl chránit uživatele před spamovými odběry, ale zároveň prodával přijatá data stranou.

Aplikace často chtějí vědět příliš mnoho. Učebnicovým příkladem je aplikace Svítilna, která ke svému fungování potřebuje pouze žárovku, ale chce o uživateli vědět vše, až po seznam kontaktů, viz fotogalerie a kde se uživatel nachází.

Jiní požadují ještě více. UC Browser odesílá IMEI, Android ID, MAC adresu zařízení a některá další uživatelská data na server Umeng, který shromažďuje informace pro tržiště Alibaba. Takovou žádost bych stejně jako moji kolegové raději odmítl.

I profesionální paranoidní lidé riskují, ale jsou při vědomí. Abyste se nebáli každého stínu, rozhodněte se, co je ve vašem životě veřejné a co soukromé. Postavte zdi kolem osobních informací a nepropadejte fanatismu ohledně bezpečnosti veřejných informací. Pak, pokud jednoho dne najdete tyto veřejné informace ve veřejné doméně, nebudete nesnesitelně zraněni.