Hoe beveiligingsprofessionals persoonlijke informatie beschermen

2024 Auteur: Malcolm Clapton | [email protected]. Laatst gewijzigd: 2023-12-17 04:06

Heeft het zin om openbare wifi- en banktoepassingen op te geven en een aparte kaart te krijgen voor online aankopen - de mening van een informatiebeveiligingsspecialist.

De helft van mijn collega's in informatiebeveiliging is professioneel paranoïde. Tot 2012 was ik zelf zo - ik was volledig versleuteld. Toen realiseerde ik me dat zo'n saaie verdediging het werk en het leven verstoort.

Tijdens het "uitgaan" heb ik zulke gewoontes ontwikkeld dat je rustig kunt slapen en tegelijkertijd geen Chinese muur kunt bouwen. Ik vertel je welke veiligheidsregels ik nu zonder fanatisme behandel, die ik van tijd tot tijd overtreed en die ik met alle ernst volg.

Overmatige paranoia

Gebruik geen openbare wifi

Ik gebruik en heb geen angsten in dit opzicht. Ja, er zijn bedreigingen bij het gebruik van gratis openbare netwerken. Maar het risico wordt geminimaliseerd door eenvoudige veiligheidsregels te volgen.

1. Zorg ervoor dat de hotspot van het café is en niet van de hacker. Het juridische punt vraagt om een telefoonnummer en stuurt een sms om binnen te komen.
2. Gebruik een VPN-verbinding om toegang te krijgen tot het netwerk.
3. Voer geen gebruikersnaam / wachtwoord in op niet-geverifieerde sites.

Onlangs begon de Google Chrome-browser zelfs pagina's met onbeveiligde verbindingen als onveilig te markeren. Helaas hebben phishing-sites onlangs de praktijk aangenomen om een certificaat te verkrijgen om de echte na te bootsen.

Dus als je wilt inloggen op een dienst met openbare wifi, raad ik je aan om ervoor te zorgen dat de site honderd keer origineel is. In de regel is het voldoende om zijn adres door een whois-service te laten lopen, bijvoorbeeld Reg.ru. De laatste domeinregistratiedatum zou u moeten waarschuwen - phishing-sites duren niet lang.

Log niet in op uw accounts vanaf de apparaten van anderen

Ik ga naar binnen, maar ik heb authenticatie in twee stappen ingesteld voor sociale netwerken, e-mail, persoonlijke accounts, de website van de Staatsdienst. Dit is ook een onvolmaakte beveiligingsmethode, dus Google begon bijvoorbeeld hardwaretokens te gebruiken om de identiteit van de gebruiker te verifiëren. Maar voor nu is het voor "gewone stervelingen" voldoende dat uw account een code vraagt van sms of van Google Authentificator (in deze applicatie wordt elke minuut een nieuwe code gegenereerd op het apparaat zelf).

Toch geef ik een klein element van paranoia toe: ik controleer regelmatig mijn browsegeschiedenis voor het geval iemand anders mijn e-mail invoert. En natuurlijk, als ik inlog op mijn accounts vanaf de apparaten van andere mensen, vergeet ik aan het einde van het werk niet om op "Alle sessies beëindigen" te klikken.

Installeer geen bank-apps

Het is veiliger om de mobielbankieren-applicatie te gebruiken dan internetbankieren in de desktopversie. Zelfs als het vanuit een veiligheidsoogpunt ideaal is ontworpen, blijft de vraag bij de kwetsbaarheden van de browser zelf (en dat zijn er veel), evenals de kwetsbaarheden van het besturingssysteem. Kwaadaardige software die gegevens steelt, kan er rechtstreeks in worden geïnjecteerd. Daarom, zelfs als internetbankieren verder volkomen veilig is, blijven deze risico's meer dan reëel.

Wat de banktoepassing betreft, de veiligheid ervan is volledig op het geweten van de bank. Elk van hen ondergaat een grondige analyse van de beveiliging van de code, waarbij vaak externe eminente experts betrokken zijn. De bank kan de toegang tot de applicatie blokkeren als je de simkaart hebt gewijzigd of zelfs gewoon naar een ander slot op je smartphone hebt verplaatst.

Sommige van de meest veilige applicaties starten niet eens totdat aan de beveiligingsvereisten is voldaan, bijvoorbeeld als de telefoon niet is beveiligd met een wachtwoord. Dus als je, net als ik, in principe niet klaar bent om online betalingen op te geven, kun je beter een applicatie gebruiken in plaats van desktop online bankieren.

Dit betekent natuurlijk niet dat applicaties 100% veilig zijn. Zelfs de beste vertonen kwetsbaarheden, dus regelmatige updates zijn noodzakelijk. Als je denkt dat dit niet genoeg is, lees dan gespecialiseerde publicaties (Xaker.ru, Anti-malware.ru, Securitylab.ru): ze zullen daar schrijven als je bank niet veilig genoeg is.

Gebruik een aparte kaart voor online aankopen

Persoonlijk denk ik dat dit onnodige moeite is. Ik had een aparte rekening om, indien nodig, geld van over te schrijven naar de kaart en aankopen op internet te betalen. Maar ik heb dit ook geweigerd - het is een nadeel voor het comfort.

Het is sneller en goedkoper om een virtuele bankkaart te krijgen. Wanneer u er online aankopen mee doet, lichten de gegevens van de hoofdkaart op internet niet op. Als u denkt dat dit niet genoeg is voor volledig vertrouwen, sluit dan een verzekering af. Deze service wordt aangeboden door toonaangevende banken. Gemiddeld, tegen een kostprijs van 1.000 roebel per jaar, dekt een kaartverzekering schade van 100.000.

Gebruik geen slimme apparaten

Het internet der dingen is enorm en er zijn zelfs meer bedreigingen dan in het traditionele. Slimme apparaten zijn echt beladen met enorme mogelijkheden voor hacking.

In het VK hebben hackers een lokaal casinonetwerk gehackt met VIP-klantgegevens via een slimme thermostaat! Als het casino zo onzeker bleek te zijn, wat te zeggen over een gewoon persoon. Maar ik gebruik slimme apparaten en plak er geen camera's op. Als de TV en informatie over mij samenvoegen - naar de hel ermee. Het zal zeker iets ongevaarlijks zijn, want ik bewaar alles wat kritiek is op een gecodeerde schijf en bewaar het op de plank - zonder toegang tot internet.

Zet je telefoon uit in het buitenland bij afluisteren

In het buitenland gebruiken we meestal messengers die tekst- en audioberichten perfect versleutelen. Als het verkeer wordt onderschept, bevat het alleen onleesbare "rommel".

Mobiele operators gebruiken ook codering, maar het probleem is dat ze het kunnen uitschakelen zonder medeweten van de abonnee. Bijvoorbeeld op verzoek van de speciale diensten: dit was het geval tijdens de terroristische aanslag op Dubrovka zodat de speciale diensten snel konden luisteren naar de onderhandelingen van de terroristen.

Bovendien worden de onderhandelingen onderschept door speciale complexen. De prijs voor hen begint vanaf 10 duizend dollar. Ze zijn niet beschikbaar voor verkoop, maar ze zijn beschikbaar voor de speciale diensten. Dus als het de taak is om naar je te luisteren, zullen ze naar je luisteren. Ben je bang? Zet dan overal je telefoon uit, ook in Rusland.

Het is een beetje logisch

Wijzig wachtwoord elke week

In feite is één keer per maand voldoende, op voorwaarde dat de wachtwoorden lang, complex en voor elke dienst apart zijn. Het is het beste om het advies van banken op te volgen, omdat ze de wachtwoordvereisten wijzigen naarmate de rekenkracht toeneemt. Nu wordt een zwak crypto-algoritme in een maand met brute kracht uitgezocht, vandaar de vereiste voor de frequentie van wachtwoordwijzigingen.

Ik zal echter een reservering maken. Paradoxaal genoeg houdt de eis om eens per maand wachtwoorden te wijzigen een bedreiging in: het menselijk brein is zo ontworpen dat, als het nodig is om voortdurend nieuwe codes in gedachten te houden, het eruit begint te komen. Zoals cyberexperts hebben ontdekt, wordt elk nieuw gebruikerswachtwoord in deze situatie zwakker dan het vorige.

De oplossing is om complexe wachtwoorden te gebruiken, deze één keer per maand te wijzigen, maar een speciale applicatie te gebruiken voor opslag. En de ingang ernaartoe moet zorgvuldig worden beschermd: in mijn geval is het een cijfer van 18 tekens. Ja, applicaties hebben de zonde kwetsbaarheden te bevatten (zie de paragraaf over applicaties hieronder). U moet de beste kiezen en het nieuws over de betrouwbaarheid ervan volgen. Ik zie nog geen veiligere manier om tientallen sterke wachtwoorden in mijn hoofd te houden.

Gebruik geen clouddiensten

Het verhaal van de indexering van Google Docs in Yandex Search toonde aan hoeveel gebruikers zich vergissen over de betrouwbaarheid van deze methode om informatie op te slaan. Ik gebruik persoonlijk de cloudservers van het bedrijf om te delen, omdat ik weet hoe veilig ze zijn. Dit betekent niet dat gratis openbare clouds een absoluut kwaad zijn. Net voordat u een document uploadt naar Google Drive, neemt u de moeite om het te versleutelen en een wachtwoord in te voeren voor toegang.

Noodzakelijke maatregelen

Laat je telefoonnummer aan niemand en waar dan ook achter

Maar dit is helemaal geen extra voorzorgsmaatregel. Als een aanvaller het telefoonnummer en de volledige naam kent, kan hij een kopie van een simkaart maken voor ongeveer 10.000 roebel. Onlangs kan een dergelijke service niet alleen op het darknet worden verkregen. Of nog eenvoudiger - het telefoonnummer van iemand anders opnieuw registreren voor uzelf met behulp van een valse volmacht in het kantoor van een telecomoperator. Vervolgens kan het nummer worden gebruikt om toegang te krijgen tot alle diensten van het slachtoffer waar tweefactorauthenticatie nodig is.

Dit is hoe cybercriminelen Instagram- en Facebook-accounts stelen (bijvoorbeeld om er spam van te verzenden of ze te gebruiken voor social engineering), toegang krijgen tot bankapplicaties en accounts opschonen. Onlangs vertelden de media hoe in één dag 26 miljoen roebel werd gestolen van een Moskouse zakenman die deze regeling gebruikte.

Wees op uw hoede als uw simkaart zonder duidelijke reden niet meer werkt. Het is beter om op veilig te spelen en je bankkaart te blokkeren, dit zal terechte paranoia zijn. Neem daarna contact op met het kantoor van de operator om erachter te komen wat er is gebeurd.

Ik heb twee simkaarten. Diensten en bankapplicaties zijn gekoppeld aan één nummer, dat ik met niemand deel. Ik gebruik een andere simkaart voor communicatie en huishoudelijke behoeften. Dit telefoonnummer laat ik achter om me aan te melden voor een webinar of om een kortingskaart te krijgen in de winkel. Beide kaarten zijn beveiligd met een pincode - dit is een rudimentaire maar over het hoofd geziene beveiligingsmaatregel.

Download niet alles naar je telefoon

Een ijzeren regel. Het is onmogelijk om zeker te weten hoe de applicatieontwikkelaar gebruikersgegevens gaat gebruiken en beschermen. Maar als bekend wordt hoe de makers van applicaties ze gebruiken, wordt het vaak een schandaal.

Recente gevallen zijn onder meer het Polar Flow-verhaal, waar je kunt achterhalen waar inlichtingenofficieren over de hele wereld zich bevinden. Of een eerder voorbeeld met Unroll.me, dat gebruikers moest beschermen tegen spamabonnementen, maar tegelijkertijd de ontvangen gegevens aan de kant verkocht.

Toepassingen willen vaak te veel weten. Een schoolvoorbeeld is de Flashlight-applicatie, die alleen een gloeilamp nodig heeft om te werken, maar alles wil weten over de gebruiker, tot aan de contactenlijst, de fotogalerij en waar de gebruiker zich bevindt.

Anderen eisen nog meer. UC Browser stuurt IMEI, Android ID, MAC-adres van het apparaat en enkele andere gebruikersgegevens naar de server van Umeng, die informatie verzamelt voor de Alibaba-marktplaats. Ik zou, net als mijn collega's, zo'n aanvraag liever weigeren.

Zelfs professionele paranoïde mensen nemen risico's, maar ze zijn bewust. Om niet bang te zijn voor elke schaduw, moet u beslissen wat openbaar en wat privé is in uw leven. Bouw muren rond persoonlijke informatie en verval niet in fanatisme over de veiligheid van openbare informatie. Als u op een dag deze openbare informatie in het publieke domein vindt, zult u niet ondraaglijk worden gekwetst.