Как специалистите по сигурността защитават личната информация

2024 Автор: Malcolm Clapton | [email protected]. Последно модифициран: 2023-12-17 03:47

Има ли смисъл да се откажете от публичните Wi-Fi и банкови приложения и да вземете отделна карта за онлайн покупки - мнението на специалист по информационна сигурност.

Половината от колегите ми в информационната сигурност са професионални параноици. До 2012 г. аз самият бях такъв - бях криптиран изцяло. Тогава разбрах, че такава тъпа защита пречи на работата и живота.

В процеса на „излизане“развих такива навици, които ви позволяват да спите спокойно и в същото време да не издигате китайска стена наоколо. Казвам ви към какви правила за безопасност сега се отнасям без фанатизъм, които от време на време нарушавам и които спазвам с цялата сериозност.

Прекомерна параноя

Не използвайте обществен Wi-Fi

Използвам и нямам никакви страхове в това отношение. Да, има заплахи при използване на безплатни обществени мрежи. Но рискът е сведен до минимум, като се спазват прости правила за безопасност.

1. Уверете се, че горещата точка принадлежи на кафенето, а не на хакера. Правната точка иска телефонен номер и изпраща SMS за влизане.
2. Използвайте VPN връзка за достъп до мрежата.
3. Не въвеждайте потребителско име/парола на непроверени сайтове.

Наскоро браузърът Google Chrome дори започна да маркира страници с незащитени връзки като опасни. За съжаление фишинг сайтовете наскоро възприеха практиката да получават сертификат, за да имитират истинските.

Така че, ако искате да влезете в някаква услуга, използвайки публичен Wi-Fi, бих ви посъветвал да се уверите, че сайтът е оригинален сто пъти. По правило е достатъчно да изведете адреса му чрез услуга whois, например Reg.ru. Най-новата дата на регистрация на домейн трябва да ви предупреди – фишинг сайтовете не издържат дълго.

Не влизайте в акаунтите си от устройства на други хора

Влизам, но настройвам удостоверяване в две стъпки за социални мрежи, поща, лични акаунти, уебсайта на държавната служба. Това също е несъвършен метод за защита, така че Google например започна да използва хардуерни токени за проверка на самоличността на потребителя. Но засега за „простосмъртните“е достатъчно вашият акаунт да поиска код от SMS или от Google Authentificator (в това приложение се генерира нов код всяка минута на самото устройство).

Въпреки това признавам малък елемент на параноя: редовно проверявам историята си на сърфиране, в случай че някой друг влезе в пощата ми. И разбира се, ако вляза в акаунтите си от устройства на други хора, в края на работата не забравям да щракна върху „Край на всички сесии“.

Не инсталирайте банкови приложения

По-безопасно е да използвате приложението за мобилно банкиране, отколкото онлайн банкирането в настолната версия. Дори и да е проектиран идеално от гледна точка на сигурността, остава въпросът за уязвимостите на самия браузър (а има много от тях), както и уязвимостите на операционната система. Зловреден софтуер, който краде данни, може да бъде инжектиран директно в него. Следователно, дори ако иначе онлайн банкирането е напълно безопасно, тези рискове остават повече от реални.

Що се отнася до банковото приложение, сигурността му е изцяло на съвестта на банката. Всеки от тях се подлага на задълбочен анализ на сигурността на кода, често се включват външни изтъкнати експерти. Банката може да блокира достъпа до приложението, ако смените SIM картата или дори просто я преместите в друг слот на вашия смартфон.

Някои от най-сигурните приложения дори не се стартират, докато не бъдат изпълнени изискванията за сигурност, например телефонът не е защитен с парола. Ето защо, ако и вие като мен не сте готови да се откажете от онлайн плащанията по принцип, по-добре е да използвате приложение, а не настолно онлайн банкиране.

Разбира се, това не означава, че приложенията са 100% сигурни. Дори най-добрите показват уязвимости, така че са необходими редовни актуализации. Ако смятате, че това не е достатъчно, прочетете специализирани публикации (Xaker.ru, Anti-malware.ru, Securitylab.ru): те ще пишат там, ако вашата банка не е достатъчно безопасна.

Използвайте отделна карта за онлайн покупки

Аз лично смятам, че това е излишен проблем. Имах отделна сметка, така че, ако е необходимо, да прехвърля пари от нея към картата и да плащам за покупки в интернет. Но и това отказах - вреди на комфорта.

По-бързо и по-евтино е да получите виртуална банкова карта. Когато правите покупки онлайн с него, данните на основната карта в Интернет не светват. Ако смятате, че това не е достатъчно за пълна увереност, сключете застраховка. Тази услуга се предлага от водещи банки. Средно, при цена от 1000 рубли годишно, застраховката на картата ще покрие щети от 100 000.

Не използвайте смарт устройства

Интернет на нещата е огромен и в него има дори повече заплахи, отколкото в традиционния. Умните устройства наистина са изпълнени с огромни възможности за хакване.

В Обединеното кралство хакери хакнаха местна казино мрежа с VIP клиентски данни чрез интелигентен термостат! Ако казиното се оказа толкова несигурно, какво да кажем за обикновен човек. Но аз използвам смарт устройства и не лепя камери върху тях. Ако телевизора и слее информация за мен - по дяволите. Определено ще е нещо безобидно, защото съхранявам всичко критично на криптиран диск и го държа на рафта - без достъп до интернет.

Изключете телефона си в чужбина в случай на подслушване

В чужбина най-често използваме месинджъри, които перфектно криптират текстови и аудио съобщения. Ако трафикът бъде прихванат, той ще съдържа само нечетими "бъркотия".

Мобилните оператори също използват криптиране, но проблемът е, че могат да го изключат без знанието на абоната. Например по искане на специалните служби: така беше по време на терористичната атака на Дубровка, за да могат специалните служби бързо да изслушат преговорите на терористите.

Освен това преговорите се прихващат от специални комплекси. Цената за тях започва от 10 хиляди долара. Те не се продават, но са достъпни за специалните служби. Така че, ако задачата е да те слушат, те ще те изслушат. Страхуваш ли се? След това изключете телефона си навсякъде, а и в Русия.

Някак си има смисъл

Сменяйте паролата всяка седмица

Всъщност веднъж месечно е достатъчно, при условие че паролите са дълги, сложни и отделни за всяка услуга. Най-добре е да се вслушате в съветите на банките, защото те променят изискванията за пароли с нарастването на изчислителната мощност. Сега слаб криптоалгоритъм се сортира с груба сила за един месец, оттук и изискването за честотата на смяна на паролата.

Все пак ще направя резервация. Парадоксално е, че изискването за смяна на пароли веднъж месечно съдържа заплаха: човешкият мозък е проектиран по такъв начин, че ако е необходимо постоянно да се имат предвид нови кодове, той започва да излиза. Както са установили кибер експерти, всяка нова потребителска парола в тази ситуация става по-слаба от предишната.

Решението е да използвате сложни пароли, да ги сменяте веднъж месечно, но да използвате специално приложение за съхранение. И входът към него трябва да бъде внимателно защитен: в моя случай това е шифър от 18 знака. Да, приложенията имат греха да съдържат уязвимости (вижте параграфа за приложенията по-долу). Трябва да изберете най-доброто и да следите новините за неговата надеждност. Все още не виждам по-сигурен начин да запазя десетки силни пароли в главата си.

Не използвайте облачни услуги

Историята на индексирането на Google Документи в търсенето на Yandex показа колко много потребителите се заблуждават относно надеждността на този метод за съхранение на информация. Аз лично използвам облачните сървъри на компанията за споделяне, защото знам колко са сигурни. Това не означава, че безплатните обществени облаци са абсолютно зло. Точно преди да качите документ в Google Drive, постарайте се да го шифровате и да поставите парола за достъп.

Необходими мерки

Не оставяйте телефонния си номер на никого и никъде

Но това изобщо не е допълнителна предпазна мярка. Познавайки телефонния номер и пълното име, нападателят може да направи копие на SIM карта за около 10 хиляди рубли. Напоследък такава услуга може да се получи не само в тъмната мрежа. Или още по-лесно - да пререгистрирате телефонен номер на някой друг към себе си, като използвате фалшиво пълномощно в офиса на телекомуникационен оператор. След това номерът може да се използва за достъп до всички услуги на жертвата, където е необходима двуфакторна автентификация.

Ето как киберпрестъпниците крадат акаунти в Instagram и Facebook (например, за да изпращат спам от тях или да ги използват за социално инженерство), получават достъп до банкови приложения и почистват акаунти. Наскоро медиите разказаха как за един ден са били откраднати 26 милиона рубли от московски бизнесмен по тази схема.

Бъдете внимателни, ако SIM картата ви спре да работи без видима причина. По-добре е да играете на сигурно и да блокирате банковата си карта, това ще бъде оправдана параноя. След това се свържете с офиса на оператора, за да разберете какво се е случило.

Имам две SIM карти. Услугите и банковите приложения са обвързани с един номер, който не споделям с никого. Използвам друга SIM карта за комуникация и битови нужди. Оставям този телефонен номер, за да се регистрирам за уебинар или да получа карта за отстъпка в магазина. И двете карти са защитени с ПИН - това е елементарна, но пренебрегвана мярка за сигурност.

Не изтегляйте всичко на телефона си

Желязно правило. Невъзможно е да се знае със сигурност как разработчикът на приложението ще използва и защитава потребителските данни. Но когато стане известно как създателите на приложения ги използват, това често се превръща в скандал.

Последните случаи включват историята на Polar Flow, където можете да разберете местонахождението на офицери от разузнаването по целия свят. Или по-ранен пример с Unroll.me, който трябваше да защитава потребителите от абонаменти за спам, но в същото време продава получените данни на страната.

Приложенията често искат да знаят твърде много. Пример за учебник е приложението Flashlight, което се нуждае само от крушка, за да работи, но иска да знае всичко за потребителя, чак до списъка с контакти, да види галерията със снимки и къде се намира потребителят.

Други изискват дори повече. UC Browser изпраща IMEI, Android ID, MAC адрес на устройството и някои други потребителски данни до сървъра на Umeng, който събира информация за пазара на Alibaba. Аз, както и моите колеги, бих предпочел да откажа такова заявление.

Дори професионалните параноици поемат рискове, но са в съзнание. За да не се страхувате от всяка сянка, решавайте кое е публично и кое е лично в живота ви. Изграждайте стени около личната информация и не изпадайте във фанатизъм относно безопасността на обществената информация. Тогава, ако един ден откриете тази обществена информация в публичното пространство, няма да бъдете мъчително наранени.