Com els professionals de la seguretat protegeixen la informació personal

2024 Autora: Malcolm Clapton | [email protected]. Última modificació: 2023-12-17 03:49

Té sentit renunciar a les aplicacions bancàries i de Wi-Fi públiques i obtenir una targeta separada per a les compres en línia? L'opinió d'un especialista en seguretat de la informació.

La meitat dels meus companys de seguretat de la informació són paranoics professionals. Fins al 2012 jo mateix era així: estava encriptat completament. Llavors em vaig adonar que una defensa tan avorrida interfereix amb la feina i la vida.

En el procés de "sortir", vaig desenvolupar aquests hàbits que et permeten dormir tranquil·lament i, alhora, no construir un mur xinès al voltant. Us dic quines normes de seguretat ara tracteo sense fanatisme, que incompleixo de tant en tant, i que segueixo amb tota serietat.

Paranoia excessiva

No utilitzeu Wi-Fi públic

Utilitzo i no tinc pors en aquest sentit. Sí, hi ha amenaces quan s'utilitzen xarxes públiques gratuïtes. Però el risc es minimitza seguint normes de seguretat senzilles.

1. Assegureu-vos que el punt d'accés pertany a la cafeteria i no al pirata informàtic. El punt legal demana un número de telèfon i envia un SMS per entrar.
2. Utilitzeu una connexió VPN per accedir a la xarxa.
3. No introduïu nom d'usuari/contrasenya en llocs no verificats.

Recentment, el navegador Google Chrome fins i tot va començar a marcar pàgines amb connexions no segures com a insegures. Malauradament, els llocs de pesca han adoptat recentment la pràctica d'obtenir un certificat per imitar els reals.

Per tant, si voleu iniciar sessió en algun servei mitjançant Wi-Fi públic, us aconsello que us assegureu que el lloc és original cent vegades. Per regla general, n'hi ha prou amb executar la seva adreça a través d'un servei whois, per exemple Reg.ru. La darrera data de registre del domini us hauria d'avisar: els llocs de pesca no duren gaire.

No inicieu sessió als vostres comptes des dels dispositius d'altres persones

Entro, però he configurat l'autenticació en dos passos per a xarxes socials, correu, comptes personals, el lloc web del Servei de l'Estat. Aquest també és un mètode imperfecte de protecció, de manera que Google, per exemple, va començar a utilitzar fitxes de maquinari per verificar la identitat de l'usuari. Però de moment, per als "simples mortals" n'hi ha prou que el vostre compte sol·liciti un codi des de SMS o de Google Authentificator (en aquesta aplicació, cada minut es genera un codi nou al propi dispositiu).

No obstant això, admeto un petit element de paranoia: comprovo regularment el meu historial de navegació per si algú més ha introduït el meu correu. I per descomptat, si entro als meus comptes des dels dispositius d'altres persones, al final del treball no oblido fer clic a "Finalitzar totes les sessions".

No instal·leu aplicacions bancàries

És més segur utilitzar l'aplicació de banca mòbil que la banca en línia a la versió d'escriptori. Encara que estigui dissenyat idealment des del punt de vista de la seguretat, la qüestió segueix sent amb les vulnerabilitats del propi navegador (i n'hi ha moltes), així com les vulnerabilitats del sistema operatiu. El programari maliciós que roba dades s'hi pot injectar directament. Per tant, encara que la banca en línia sigui perfectament segura, aquests riscos segueixen sent més que reals.

Pel que fa a l'aplicació bancària, la seva seguretat està totalment en la consciència del banc. Cadascun d'ells se sotmet a una anàlisi exhaustiva de la seguretat del codi, sovint hi intervenen experts externs eminents. El banc pot bloquejar l'accés a l'aplicació si heu canviat la targeta SIM o fins i tot simplement l'heu traslladat a una altra ranura del vostre telèfon intel·ligent.

Algunes de les aplicacions més segures ni tan sols s'inicien fins que es compleixen els requisits de seguretat, per exemple, el telèfon no està protegit amb contrasenya. Per tant, si vostè, com jo, no està disposat a renunciar als pagaments en línia en principi, és millor utilitzar una aplicació en lloc de la banca en línia d'escriptori.

Per descomptat, això no vol dir que les aplicacions siguin 100% segures. Fins i tot els millors mostren vulnerabilitats, de manera que calen actualitzacions periòdiques. Si creieu que això no és suficient, llegiu publicacions especialitzades (Xaker.ru, Anti-malware.ru, Securitylab.ru): hi escriuran si el vostre banc no està prou segur.

Utilitzeu una targeta independent per a les compres en línia

Personalment crec que això és un problema innecessari. Tenia un compte separat perquè, si calia, transferir diners a la targeta i pagar les compres a Internet. Però també em vaig negar a això: és un detriment de la comoditat.

És més ràpid i barat obtenir una targeta bancària virtual. Quan fas compres en línia utilitzant-lo, les dades de la targeta principal a Internet no s'il·luminen. Si creus que això no és suficient per a una confiança total, contracta una assegurança. Aquest servei l'ofereixen els principals bancs. De mitjana, amb un cost de 1.000 rubles a l'any, l'assegurança de la targeta cobrirà danys de 100.000.

No utilitzeu dispositius intel·ligents

L'Internet de les coses és enorme, i encara hi ha més amenaces que en el tradicional. Els dispositius intel·ligents estan realment plens d'oportunitats enormes per a la pirateria.

Al Regne Unit, els pirates informàtics van piratejar una xarxa de casino local amb dades de clients VIP mitjançant un termòstat intel·ligent! Si el casino va resultar tan insegur, què dir d'una persona normal? Però faig servir dispositius intel·ligents i no hi enganxo càmeres. Si la televisió i fusionar informació sobre mi - a l'infern. Sens dubte, serà una cosa inofensiva, perquè emmagatzeme tot el que és crític en un disc xifrat i el guardo a la prestatgeria, sense accés a Internet.

Apagueu el telèfon a l'estranger en cas d'escoltes telefòniques

A l'estranger, sovint fem servir missatgers que xifren perfectament missatges de text i àudio. Si el trànsit és interceptat, només contindrà "embolic" il·legible.

Els operadors mòbils també utilitzen l'encriptació, però el problema és que poden desactivar-lo sense que l'abonat ho sàpiga. Per exemple, a petició dels serveis especials: aquest va ser el cas durant l'atac terrorista a Dubrovka perquè els serveis especials poguessin escoltar ràpidament les negociacions dels terroristes.

A més, les negociacions són interceptades per complexos especials. El preu d'ells comença a partir de 10 mil dòlars. No estan disponibles per a la venda, però estan disponibles per als serveis especials. Així que si la tasca és escoltar-te, ells t'escoltaran. Tens por? A continuació, apagueu el telèfon a tot arreu i també a Rússia.

Té sentit

Canvia la contrasenya cada setmana

De fet, n'hi ha prou amb un cop al mes, sempre que les contrasenyes siguin llargues, complexes i separades per a cada servei. El millor és escoltar els consells dels bancs perquè estan canviant els requisits de contrasenya a mesura que creix la potència informàtica. Ara un criptoalgoritme feble es resol per força bruta en un mes, d'aquí el requisit de la freqüència dels canvis de contrasenya.

Tanmateix, faré una reserva. Paradoxalment, l'exigència de canviar les contrasenyes un cop al mes conté una amenaça: el cervell humà està dissenyat de manera que, si cal tenir presents constantment nous codis, comenci a sortir. Tal com han descobert els ciberexperts, cada nova contrasenya d'usuari en aquesta situació es torna més feble que l'anterior.

La solució és utilitzar contrasenyes complexes, canviar-les un cop al mes, però utilitzar una aplicació especial per a l'emmagatzematge. I l'entrada s'ha de protegir amb cura: en el meu cas, és un xifrat de 18 caràcters. Sí, les aplicacions tenen el pecat de contenir vulnerabilitats (vegeu el paràgraf sobre les aplicacions a continuació). Has de triar el millor i seguir les notícies sobre la seva fiabilitat. Encara no veig una manera més segura de mantenir desenes de contrasenyes segures al meu cap.

No utilitzeu serveis al núvol

La història de la indexació de Google Docs a la cerca Yandex va mostrar com s'equivoquen els usuaris sobre la fiabilitat d'aquest mètode d'emmagatzematge d'informació. Jo personalment faig servir els servidors al núvol de l'empresa per compartir perquè sé la seguretat que són. Això no vol dir que els núvols públics gratuïts siguin un mal absolut. Just abans de penjar un document a Google Drive, preneu-vos la molèstia per xifrar-lo i posar una contrasenya per accedir-hi.

Mesures necessàries

No deixis el teu número de telèfon a ningú i enlloc

Però això no és una precaució addicional en absolut. Coneixent el número de telèfon i el nom complet, un atacant pot fer una còpia d'una targeta SIM per uns 10 mil rubles. Recentment, aquest servei es pot obtenir no només a la xarxa fosca. O fins i tot més fàcil: tornar a registrar el número de telèfon d'una altra persona mitjançant un poder notarial fals a l'oficina d'un operador de telecomunicacions. Aleshores, el número es pot utilitzar per accedir a qualsevol servei de la víctima on es necessiti una autenticació de dos factors.

Així és com els ciberdelinqüents roben comptes d'Instagram i Facebook (per exemple, per enviar-los correu brossa o utilitzar-los per a enginyeria social), accedeixen a aplicacions bancàries i netegen els comptes. Recentment, els mitjans de comunicació van explicar com en un dia es van robar 26 milions de rubles a un empresari de Moscou utilitzant aquest esquema.

Aneu amb compte si la vostra targeta SIM va deixar de funcionar sense cap motiu aparent. Millor jugar amb seguretat i bloquejar la teva targeta bancària, això serà una paranoia justificada. Després d'això, poseu-vos en contacte amb l'oficina de l'operador per saber què ha passat.

Tinc dues targetes SIM. Els serveis i les aplicacions bancàries estan lligades a un número, que no comparteixo amb ningú. Utilitzo una altra targeta SIM per a la comunicació i les necessitats domèstiques. Us deixo aquest número de telèfon per registrar-vos a un seminari web o obtenir una targeta de descompte a la botiga. Ambdues targetes estan protegides per un PIN: es tracta d'una mesura de seguretat rudimentària però ignorada.

No baixeu tot al vostre telèfon

Una regla de ferro. És impossible saber amb certesa com utilitzarà i protegirà les dades de l'usuari el desenvolupador de l'aplicació. Però quan se sap com les fan servir els creadors d'aplicacions, sovint es converteix en un escàndol.

Els casos recents inclouen la història de Polar Flow, on podeu esbrinar el parador dels oficials d'intel·ligència d'arreu del món. O un exemple anterior amb Unroll.me, que havia de protegir els usuaris de les subscripcions de correu brossa, però al mateix temps venia les dades rebudes al costat.

Les aplicacions sovint volen saber massa. Un exemple de llibre de text és l'aplicació Flashlight, que només necessita una bombeta per funcionar, però vol saber-ho tot sobre l'usuari, fins a la llista de contactes, veure la galeria de fotos i on es troba l'usuari.

Altres exigeixen encara més. UC Browser envia IMEI, ID d'Android, adreça MAC del dispositiu i algunes altres dades d'usuari al servidor d'Umeng, que recopila informació per al mercat d'Alibaba. Jo, com els meus companys, preferiria rebutjar aquesta sol·licitud.

Fins i tot els professionals paranoics prenen riscos, però són conscients. Per no tenir por de cada ombra, decidiu què és públic i què és privat a la vostra vida. Construïu murs al voltant de la informació personal i no caigueu en el fanatisme sobre la seguretat de la informació pública. Aleshores, si algun dia trobeu aquesta informació pública en el domini públic, no us fereu de manera insoportable.