כיצד מומחי אבטחה מגנים על מידע אישי

2024 מְחַבֵּר: Malcolm Clapton | [email protected]. שונה לאחרונה: 2023-12-17 03:56

האם זה הגיוני לוותר על יישומי Wi-Fi ובנקאות ציבוריים ולקבל כרטיס נפרד לרכישות מקוונות - חוות דעת של מומחה אבטחת מידע.

מחצית מהקולגות שלי באבטחת מידע הם פרנואידים מקצועיים. עד 2012 אני בעצמי הייתי כזה - הייתי מוצפן במלואו. ואז הבנתי שהגנה כל כך משעממת מפריעה לעבודה ולחיים.

בתהליך ה"יציאה" פיתחתי הרגלים כאלה שמאפשרים לישון בשקט ויחד עם זאת לא לבנות חומה סינית מסביב. אני אומר לכם באילו כללי בטיחות אני מתייחס עכשיו ללא קנאות, שאני מפר מדי פעם, ושאני ממלא אחריהם במלוא הרצינות.

פרנויה מוגזמת

אל תשתמש ב-Wi-Fi ציבורי

אני משתמש ואין לי פחדים בהקשר הזה. כן, ישנם איומים בעת שימוש ברשתות ציבוריות בחינם. אבל הסיכון ממוזער על ידי הקפדה על כללי בטיחות פשוטים.

1. ודא שהנקודה החמה שייכת לבית הקפה ולא להאקר. הנקודה המשפטית מבקשת מספר טלפון ושולחת SMS לכניסה.
2. השתמש בחיבור VPN כדי לגשת לרשת.
3. אין להזין שם משתמש/סיסמה באתרים לא מאומתים.

לאחרונה, דפדפן גוגל כרום אף החל לסמן דפים עם חיבורים לא מאובטחים כלא בטוחים. למרבה הצער, אתרי פישינג אימצו לאחרונה את הנוהג של קבלת תעודה על מנת לחקות את אלה האמיתיים.

לכן, אם אתה רוצה להיכנס לשירות כלשהו באמצעות Wi-Fi ציבורי, הייתי ממליץ לך לוודא שהאתר מקורי מאה פעמים. ככלל, די להפעיל את כתובתו באמצעות שירות whois, למשל Reg.ru. תאריך רישום הדומיין האחרון אמור להזהיר אותך - אתרי דיוג לא נמשכים זמן רב.

אל תיכנס לחשבונות שלך ממכשירים של אנשים אחרים

אני נכנס, אבל הגדרתי אימות דו-שלבי לרשתות חברתיות, דואר, חשבונות אישיים, אתר שירות המדינה. גם זו שיטת הגנה לא מושלמת, אז גוגל, למשל, החלה להשתמש באסימוני חומרה כדי לאמת את זהות המשתמש. אבל לעת עתה, ל"סתם בני תמותה" מספיק שהחשבון שלכם יבקש קוד מ-SMS או מ-Google Authenticator (באפליקציה הזו נוצר קוד חדש בכל דקה במכשיר עצמו).

עם זאת, אני מודה באלמנט קטן של פרנויה: אני בודק בקביעות את היסטוריית הגלישה שלי למקרה שמישהו אחר נכנס לדואר שלי. וכמובן, אם אני נכנס לחשבונות שלי ממכשירים של אנשים אחרים, בסוף העבודה אני לא שוכח ללחוץ על "סיום כל הפעלות".

אל תתקין אפליקציות בנקאות

בטוח יותר להשתמש באפליקציית הבנקאות הניידת מאשר בבנקאות מקוונת בגרסת שולחן העבודה. גם אם הוא מעוצב בצורה אידיאלית מנקודת מבט אבטחה, השאלה נשארת עם נקודות התורפה של הדפדפן עצמו (ויש רבות מהן), כמו גם נקודות התורפה של מערכת ההפעלה. תוכנה זדונית שגונבת נתונים יכולה להיות מוזרקת ישירות לתוכה. לכן, גם אם אחרת הבנקאות המקוונת בטוחה לחלוטין, הסיכונים הללו נשארים יותר ממשיים.

לגבי הבקשה הבנקאית, אבטחתה היא כולה על מצפונו של הבנק. כל אחד מהם עובר ניתוח יסודי של אבטחת הקוד, לעתים קרובות מעורבים מומחים חיצוניים בולטים. הבנק יכול לחסום את הגישה לאפליקציה אם החלפת את כרטיס ה-SIM או אפילו פשוט העברת אותו לחריץ אחר בסמארטפון שלך.

חלק מהיישומים המאובטחים ביותר אפילו לא מתחילים עד לעמידה בדרישות האבטחה, למשל, הטלפון אינו מוגן בסיסמה. לכן, אם אתה, כמוני, לא מוכן לוותר באופן עקרוני על תשלומים מקוונים, עדיף להשתמש באפליקציה ולא בבנקאות מקוונת שולחנית.

כמובן, זה לא אומר שיישומים מאובטחים ב-100%. אפילו הטובים שבהם מציגים נקודות תורפה, ולכן יש צורך בעדכונים שוטפים.אם אתה חושב שזה לא מספיק, קרא פרסומים מיוחדים (Xaker.ru, Anti-malware.ru, Securitylab.ru): הם יכתבו שם אם הבנק שלך לא בטוח מספיק.

השתמש בכרטיס נפרד לרכישות מקוונות

אני אישית חושב שזו צרות מיותרות. היה לי חשבון נפרד כך שבמידת הצורך מעבירים ממנו כסף לכרטיס ומשלמים על רכישות באינטרנט. אבל גם לזה סירבתי - זה פוגע בנחמה.

זה מהיר יותר וזול יותר לקבל כרטיס בנק וירטואלי. כאשר אתה מבצע רכישות באינטרנט באמצעותו, הנתונים של הכרטיס הראשי באינטרנט אינם נדלקים. אם אתם חושבים שזה לא מספיק לביטחון מלא, עשו ביטוח. שירות זה מוצע על ידי בנקים מובילים. בממוצע, בעלות של 1,000 רובל בשנה, ביטוח הכרטיס יכסה נזק של 100,000.

אל תשתמש במכשירים חכמים

האינטרנט של הדברים הוא עצום, ויש בו אפילו יותר איומים מאשר במסורתי. מכשירים חכמים מלאים באמת בהזדמנויות אדירות לפריצה.

בבריטניה, האקרים פרצו לרשת קזינו מקומית עם נתוני לקוחות VIP באמצעות תרמוסטט חכם! אם הקזינו התברר כל כך לא בטוח, מה לומר על אדם רגיל. אבל אני משתמש במכשירים חכמים ולא מדביק עליהם מצלמות. אם הטלוויזיה ומיזוג מידע עליי - לעזאזל עם זה. זה בהחלט יהיה משהו לא מזיק, כי אני מאחסן כל דבר קריטי בדיסק מוצפן ושומר אותו על המדף - ללא גישה לאינטרנט.

כבה את הטלפון בחו"ל במקרה של האזנות סתר

בחו"ל אנו משתמשים לרוב במסנג'רים שמצפינים בצורה מושלמת הודעות טקסט ואודיו. אם התעבורה יורטה, היא תכיל רק "בלגן" בלתי קריא.

גם מפעילי סלולר משתמשים בהצפנה, אבל הבעיה היא שהם יכולים לכבות אותה ללא ידיעת המנוי. למשל, לבקשת השירותים המיוחדים: כך היה במהלך הפיגוע בדוברובקה כדי שהשירותים המיוחדים יוכלו להאזין במהירות למשא ומתן של המחבלים.

בנוסף, המשא ומתן יורט על ידי מתחמים מיוחדים. המחיר עבורם מתחיל מ-10 אלף דולר. הם אינם זמינים למכירה, אך הם זמינים לשירותים המיוחדים. אז אם המשימה היא להקשיב לך, הם יקשיבו לך. האם אתה מפחד? לאחר מכן כבה את הטלפון שלך בכל מקום, וגם ברוסיה.

זה קצת הגיוני

שנה סיסמא כל שבוע

למעשה, מספיקה פעם בחודש, בתנאי שהסיסמאות ארוכות, מורכבות ונפרדות לכל שירות. עדיף להישמע לעצת הבנקים מכיוון שהם משנים את דרישות הסיסמה ככל שכוח המחשוב גדל. כעת אלגוריתם קריפטו חלש מסודר תוך חודש, ומכאן הדרישה לתדירות שינויי הסיסמה.

עם זאת, אעשה הזמנה מראש. באופן פרדוקסלי, הדרישה להחליף סיסמאות פעם בחודש טומנת בחובה איום: המוח האנושי מעוצב בצורה כזו שאם יש צורך לזכור כל הזמן קודים חדשים, הוא מתחיל לצאת החוצה. כפי שגילו מומחי סייבר, כל סיסמת משתמש חדשה במצב זה הופכת חלשה יותר מהקודמת.

הפתרון הוא להשתמש בסיסמאות מורכבות, להחליף אותן פעם בחודש, אבל להשתמש באפליקציה מיוחדת לאחסון. והכניסה אליו חייבת להיות מוגנת בקפידה: במקרה שלי זה צופן של 18 תווים. כן, לאפליקציות יש את החטא של מכילות נקודות תורפה (ראה את הפסקה על יישומים למטה). אתה צריך לבחור את הטוב ביותר ולעקוב אחר החדשות לגבי מהימנותו. אני עדיין לא רואה דרך בטוחה יותר לשמור על ראשי עשרות סיסמאות חזקות.

אל תשתמש בשירותי ענן

הסיפור של הוספה לאינדקס של Google Docs בחיפוש Yandex הראה עד כמה המשתמשים טועים לגבי האמינות של שיטה זו לאחסון מידע. אני אישית משתמש בשרתי הענן של החברה לשיתוף כי אני יודע עד כמה הם מאובטחים. זה לא אומר שעננים ציבוריים בחינם הם רוע מוחלט. רגע לפני שאתה מעלה מסמך לגוגל דרייב, טרח להצפין אותו ולשים סיסמה לגישה.

אמצעים הכרחיים

אל תשאיר את מספר הטלפון שלך לאף אחד ולכל מקום

אבל זה בכלל לא אמצעי זהירות נוסף. לדעת את מספר הטלפון ואת השם המלא, תוקף יכול לעשות עותק של כרטיס SIM עבור כ -10 אלף רובל. לאחרונה, שירות כזה ניתן להשיג לא רק ב-darknet. או אפילו יותר קל - לרשום מחדש את מספר הטלפון של מישהו אחר לעצמך באמצעות ייפוי כוח מזויף במשרדו של מפעיל טלקום. אז ניתן להשתמש במספר כדי לגשת לכל שירות של הקורבן שבו יש צורך באימות דו-גורמי.

כך פושעי סייבר גונבים חשבונות אינסטגרם ופייסבוק (למשל כדי לשלוח מהם דואר זבל או להשתמש בהם להנדסה חברתית), מקבלים גישה לאפליקציות בנקאיות ומנקות חשבונות. לאחרונה, התקשורת סיפרה כיצד ביום אחד נגנבו 26 מיליון רובל מאיש עסקים מוסקבה המשתמש בתוכנית זו.

היזהר אם כרטיס ה-SIM שלך הפסיק לעבוד ללא סיבה נראית לעין. עדיף לשחק בטוח ולחסום את כרטיס הבנק שלך, זו תהיה פרנויה מוצדקת. לאחר מכן, פנה למשרד המפעיל כדי לברר מה קרה.

יש לי שני כרטיסי סים. שירותים ויישומים בנקאיים קשורים למספר אחד, אותו אני לא חולק עם אף אחד. אני משתמש בכרטיס SIM אחר לצורכי תקשורת ומשק בית. אני משאיר את מספר הטלפון הזה כדי להירשם לוובינר או לקבל כרטיס הנחה בחנות. שני הכרטיסים מוגנים באמצעות קוד PIN - זהו אמצעי אבטחה בסיסי אך התעלמו ממנו.

אל תוריד הכל לטלפון שלך

כלל ברזל. אי אפשר לדעת בוודאות כיצד מפתח האפליקציה הולך להשתמש ולהגן על נתוני המשתמש. אבל כשנודע כיצד יוצרי היישומים משתמשים בהם, זה הופך לעתים קרובות לשערורייה.

מקרים אחרונים כוללים את סיפור Polar Flow, שבו אתה יכול לגלות את מקום הימצאם של קציני מודיעין ברחבי העולם. או דוגמה מוקדמת יותר עם Unroll.me, שאמור היה להגן על המשתמשים מפני מנויי ספאם, אך במקביל מכר את הנתונים שהתקבלו לצד.

יישומים לרוב רוצים לדעת יותר מדי. דוגמה לספר לימוד היא אפליקציית Flashlight, שצריכה רק נורה כדי לעבוד, אבל היא רוצה לדעת הכל על המשתמש, עד לרשימת אנשי הקשר, לראות את גלריית התמונות והיכן נמצא המשתמש.

אחרים דורשים אפילו יותר. דפדפן UC שולח IMEI, מזהה אנדרואיד, כתובת MAC של המכשיר ועוד כמה נתוני משתמש לשרת של Umeng, אשר אוסף מידע עבור השוק של עליבאבא. אני, כמו עמיתיי, מעדיף לסרב לבקשה כזו.

אפילו אנשים פרנואידים מקצועיים לוקחים סיכונים, אבל הם מודעים. כדי לא לפחד מכל צל, החליטו מה זה ציבורי ומה פרטי בחייכם. בנה חומות סביב מידע אישי, ואל תיפול לקנאות לגבי בטיחות המידע הציבורי. ואז, אם יום אחד תמצא את המידע הציבורי הזה בנחלת הכלל, לא תיפגע באופן מייגע.