In che modo i professionisti della sicurezza proteggono le informazioni personali

2024 Autore: Malcolm Clapton | [email protected]. Ultima modifica: 2023-12-17 04:01

Ha senso rinunciare al Wi-Fi pubblico e alle applicazioni bancarie e ottenere una carta separata per gli acquisti online - l'opinione di uno specialista della sicurezza delle informazioni.

Metà dei miei colleghi della sicurezza informatica sono paranoici professionali. Fino al 2012 io stesso ero così: ero completamente crittografato. Poi ho capito che una difesa così noiosa interferisce con il lavoro e la vita.

Nel processo di "uscita", ho sviluppato tali abitudini che ti permettono di dormire sonni tranquilli e allo stesso tempo di non costruire un muro cinese intorno. Vi dico quali regole di sicurezza ora tratto senza fanatismo, che di tanto in tanto violi, e che seguo con tutta serietà.

Paranoia eccessiva

Non utilizzare il Wi-Fi pubblico

Io uso e non ho timori in questo senso. Sì, ci sono minacce quando si utilizzano reti pubbliche gratuite. Ma il rischio è ridotto al minimo seguendo semplici regole di sicurezza.

1. Assicurati che l'hotspot appartenga al bar e non all'hacker. Il punto legale chiede un numero di telefono e invia un SMS per entrare.
2. Utilizzare una connessione VPN per accedere alla rete.
3. Non inserire nome utente/password su siti non verificati.

Di recente, il browser Google Chrome ha persino iniziato a contrassegnare come non sicure le pagine con connessioni non protette. Sfortunatamente, i siti di phishing hanno recentemente adottato la pratica di ottenere un certificato per imitare quelli reali.

Quindi, se vuoi accedere a qualche servizio utilizzando il Wi-Fi pubblico, ti consiglio di assicurarti che il sito sia originale cento volte. Di norma, è sufficiente eseguire il suo indirizzo tramite un servizio whois, ad esempio Reg.ru. L'ultima data di registrazione del dominio dovrebbe avvisarti: i siti di phishing non durano a lungo.

Non accedere ai tuoi account dai dispositivi di altre persone

Entro, ma ho impostato l'autenticazione in due passaggi per i social network, la posta, gli account personali, il sito Web del servizio statale. Anche questo è un metodo di protezione imperfetto, quindi Google, ad esempio, ha iniziato a utilizzare i token hardware per verificare l'identità dell'utente. Ma per ora, per i "comuni mortali" è sufficiente che il tuo account richieda un codice da SMS o da Google Authentificator (in questa applicazione viene generato un nuovo codice ogni minuto sul dispositivo stesso).

Tuttavia, ammetto un piccolo elemento di paranoia: controllo regolarmente la mia cronologia di navigazione nel caso in cui qualcun altro abbia inserito la mia posta. E ovviamente, se accedo ai miei account dai dispositivi di altre persone, alla fine del lavoro non dimentico di fare clic su "Termina tutte le sessioni".

Non installare app bancarie

È più sicuro utilizzare l'applicazione di mobile banking rispetto all'online banking nella versione desktop. Anche se è progettato idealmente da un punto di vista della sicurezza, la questione rimane con le vulnerabilità del browser stesso (e ce ne sono molte), così come le vulnerabilità del sistema operativo. Il software dannoso che ruba i dati può essere iniettato direttamente al suo interno. Pertanto, anche se per il resto l'online banking è perfettamente sicuro, questi rischi rimangono più che reali.

Per quanto riguarda l'applicazione bancaria, la sua sicurezza è interamente sulla coscienza della banca. Ciascuno di essi viene sottoposto a un'analisi approfondita della sicurezza del codice, spesso sono coinvolti eminenti esperti esterni. La banca può bloccare l'accesso all'applicazione se hai cambiato la carta SIM o anche semplicemente spostata in un altro slot del tuo smartphone.

Alcune delle applicazioni più sicure non si avviano nemmeno finché non vengono soddisfatti i requisiti di sicurezza, ad esempio il telefono non è protetto da password. Pertanto, se tu, come me, non sei pronto a rinunciare ai pagamenti online in linea di principio, è meglio utilizzare un'applicazione piuttosto che l'online banking desktop.

Naturalmente, questo non significa che le applicazioni siano sicure al 100%. Anche i migliori mostrano vulnerabilità, quindi sono necessari aggiornamenti regolari. Se pensi che questo non sia abbastanza, leggi le pubblicazioni specializzate (Xaker.ru, Anti-malware.ru, Securitylab.ru): scriveranno lì se la tua banca non è abbastanza sicura.

Usa una carta separata per gli acquisti online

Personalmente penso che questo sia un problema inutile. Avevo un account separato in modo che, se necessario, trasferissi denaro da esso alla carta e pagassi gli acquisti su Internet. Ma ho anche rifiutato questo: è un danno per il comfort.

È più veloce ed economico ottenere una carta di credito virtuale. Quando effettui acquisti online utilizzandolo, i dati della carta principale su Internet non si illuminano. Se pensi che questo non sia sufficiente per una completa fiducia, stipula un'assicurazione. Questo servizio è offerto da primarie banche. In media, al costo di 1.000 rubli all'anno, l'assicurazione della carta coprirà i danni di 100.000.

Non utilizzare dispositivi intelligenti

L'Internet delle cose è enorme e contiene ancora più minacce rispetto a quella tradizionale. I dispositivi intelligenti sono davvero pieni di enormi opportunità per l'hacking.

Nel Regno Unito, gli hacker sono entrati in una rete di casinò locale con i dati dei clienti VIP tramite un termostato intelligente! Se il casinò si è rivelato così insicuro, cosa dire di una persona normale. Ma uso dispositivi intelligenti e non ci attacco fotocamere. Se la TV e unire le informazioni su di me - al diavolo. Sarà sicuramente qualcosa di innocuo, perché conservo tutto ciò che è critico su un disco crittografato e lo tengo sullo scaffale, senza accesso a Internet.

Spegnere il telefono all'estero in caso di intercettazioni

All'estero, utilizziamo molto spesso messenger che crittografano perfettamente i messaggi di testo e audio. Se il traffico viene intercettato, conterrà solo "pasticcio" illeggibile.

Anche gli operatori mobili utilizzano la crittografia, ma il problema è che possono disattivarla all'insaputa dell'abbonato. Ad esempio, su richiesta dei servizi speciali: così è stato durante l'attacco terroristico a Dubrovka affinché i servizi speciali potessero ascoltare rapidamente le trattative dei terroristi.

Inoltre, le trattative vengono intercettate da complessi speciali. Il prezzo per loro parte da 10 mila dollari. Non sono disponibili per la vendita, ma sono disponibili per i servizi speciali. Quindi, se il compito è ascoltarti, ti ascolteranno. Hai paura? Quindi spegni il telefono ovunque, e anche in Russia.

Ha senso

Cambia password ogni settimana

Infatti, una volta al mese è sufficiente, a patto che le password siano lunghe, complesse e separate per ogni servizio. È meglio seguire i consigli delle banche perché stanno cambiando i requisiti delle password man mano che la potenza di calcolo cresce. Ora un algoritmo crittografico debole viene risolto con la forza bruta in un mese, da qui il requisito per la frequenza delle modifiche alla password.

Comunque farò una prenotazione. Paradossalmente, l'obbligo di cambiare password una volta al mese contiene una minaccia: il cervello umano è progettato in modo tale che, se è necessario tenere costantemente a mente nuovi codici, cominci a uscire. Come hanno scoperto gli esperti informatici, ogni nuova password utente in questa situazione diventa più debole della precedente.

La soluzione è utilizzare password complesse, cambiarle una volta al mese, ma utilizzare un'applicazione speciale per l'archiviazione. E l'ingresso va protetto con cura: nel mio caso è un cifrario di 18 caratteri. Sì, le applicazioni hanno il peccato di contenere vulnerabilità (vedi il paragrafo sulle applicazioni più avanti). Devi scegliere il meglio e seguire le notizie sulla sua affidabilità. Non vedo ancora un modo più sicuro per tenere nella mia testa dozzine di password complesse.

Non utilizzare servizi cloud

La storia dell'indicizzazione di Google Docs nella ricerca Yandex ha mostrato quanto gli utenti si sbagliano sull'affidabilità di questo metodo di memorizzazione delle informazioni. Personalmente utilizzo i server cloud dell'azienda per la condivisione perché so quanto siano sicuri. Ciò non significa che i cloud pubblici gratuiti siano un male assoluto. Poco prima di caricare un documento su Google Drive, prenditi la briga di crittografarlo e inserisci una password per l'accesso.

Misure necessarie

Non lasciare il tuo numero di telefono a nessuno e ovunque

Ma questa non è affatto una precauzione in più. Conoscendo il numero di telefono e il nome completo, un utente malintenzionato può fare una copia di una carta SIM per circa 10 mila rubli. Di recente, un tale servizio può essere ottenuto non solo sulla darknet. O ancora più semplice: registrare nuovamente il numero di telefono di qualcun altro utilizzando una falsa procura nell'ufficio di un operatore di telecomunicazioni. Quindi il numero può essere utilizzato per accedere a tutti i servizi della vittima in cui è necessaria l'autenticazione a due fattori.

È così che i criminali informatici rubano account Instagram e Facebook (ad esempio, per inviare spam o utilizzarli per l'ingegneria sociale), ottengono l'accesso alle applicazioni bancarie e ripuliscono gli account. Di recente, i media hanno riferito come in un giorno 26 milioni di rubli siano stati rubati a un uomo d'affari di Mosca utilizzando questo schema.

Fai attenzione se la tua carta SIM ha smesso di funzionare senza una ragione apparente. Meglio andare sul sicuro e bloccare la tua carta di credito, questa sarà paranoia giustificata. Successivamente, contatta l'ufficio dell'operatore per scoprire cosa è successo.

Ho due schede SIM. I servizi e le applicazioni bancarie sono legati a un numero, che non condivido con nessuno. Uso un'altra carta SIM per la comunicazione e le esigenze domestiche. Lascio questo numero di telefono per registrarmi a un webinar o ottenere una carta sconto in negozio. Entrambe le carte sono protette da un PIN: si tratta di una misura di sicurezza rudimentale ma trascurata.

Non scaricare tutto sul telefono

Una regola di ferro È impossibile sapere con certezza come lo sviluppatore dell'applicazione utilizzerà e proteggerà i dati dell'utente. Ma quando si scopre come le utilizzano i creatori di applicazioni, spesso si trasforma in uno scandalo.

Casi recenti includono la storia di Polar Flow, in cui puoi scoprire dove si trovano gli ufficiali dell'intelligence in tutto il mondo. O un esempio precedente con Unroll.me, che avrebbe dovuto proteggere gli utenti dagli abbonamenti spam, ma allo stesso tempo ha messo da parte i dati ricevuti.

Le applicazioni spesso vogliono sapere troppo. Un esempio da manuale è l'applicazione Flashlight, che ha bisogno solo di una lampadina per funzionare, ma vuole sapere tutto sull'utente, fino all'elenco dei contatti, vedere la galleria fotografica e dove si trova l'utente.

Altri chiedono ancora di più. UC Browser invia IMEI, ID Android, indirizzo MAC del dispositivo e alcuni altri dati utente al server di Umeng, che raccoglie informazioni per il mercato Alibaba. Io, come i miei colleghi, preferirei rifiutare una simile domanda.

Anche le persone paranoiche professionali corrono dei rischi, ma sono consapevoli. Per non aver paura di ogni ombra, decidi cosa è pubblico e cosa è privato nella tua vita. Costruisci muri attorno alle informazioni personali e non cadere nel fanatismo sulla sicurezza delle informazioni pubbliche. Quindi, se un giorno troverai queste informazioni pubbliche di dominio pubblico, non sarai ferito in modo atroce.