Güvenlik uzmanları kişisel bilgileri nasıl korur?

2024 Yazar: Malcolm Clapton | [email protected]. Son düzenleme: 2023-12-17 04:13

Bir bilgi güvenliği uzmanının görüşü - halka açık Wi-Fi ve bankacılık uygulamalarından vazgeçmek ve çevrimiçi satın alımlar için ayrı bir kart almak mantıklı mı?

Bilgi güvenliğindeki meslektaşlarımın yarısı profesyonel paranoyak. 2012'ye kadar kendim böyleydim - tamamen şifreliydim. Sonra böyle sıkıcı bir savunmanın işe ve hayata müdahale ettiğini fark ettim.

"Dışarı çıkma" sürecinde, huzur içinde uyumanıza izin veren ve aynı zamanda etrafına bir Çin duvarı örmeyen alışkanlıklar geliştirdim. Şimdi size, zaman zaman ihlal ettiğim ve tüm ciddiyetle takip ettiğim, fanatizm olmadan hangi güvenlik kurallarını ele aldığımı anlatıyorum.

aşırı paranoya

Herkese açık Wi-Fi kullanmayın

Kullanıyorum ve bu konuda hiçbir korkum yok. Evet, ücretsiz genel ağları kullanırken tehditler vardır. Ancak basit güvenlik kurallarına uyularak risk en aza indirilir.

1. Erişim noktasının bilgisayar korsanına değil kafeye ait olduğundan emin olun. Yasal nokta bir telefon numarası ister ve girmek için bir SMS gönderir.
2. Ağa erişmek için bir VPN bağlantısı kullanın.
3. Doğrulanmamış sitelerde kullanıcı adı/şifre girmeyin.

Son zamanlarda, Google Chrome tarayıcısı, güvenli olmayan bağlantıları olan sayfaları güvensiz olarak işaretlemeye bile başladı. Ne yazık ki, kimlik avı siteleri son zamanlarda gerçek olanları taklit etmek için sertifika alma uygulamasını benimsemiştir.

Bu nedenle, halka açık Wi-Fi kullanarak bir hizmete giriş yapmak istiyorsanız, sitenin yüzlerce kez orijinal olduğundan emin olmanızı tavsiye ederim. Kural olarak, adresini bir whois servisi aracılığıyla, örneğin Reg.ru aracılığıyla çalıştırmanız yeterlidir. En son alan kaydı tarihi sizi uyarmalıdır - kimlik avı siteleri uzun sürmez.

Başkalarının cihazlarından hesaplarınıza giriş yapmayın

İçeri giriyorum, ancak sosyal ağlar, posta, kişisel hesaplar ve Devlet Hizmeti web sitesi için iki aşamalı kimlik doğrulama ayarladım. Bu aynı zamanda kusurlu bir koruma yöntemidir, bu nedenle örneğin Google, kullanıcının kimliğini doğrulamak için donanım belirteçlerini kullanmaya başladı. Ancak şimdilik "ölümlüler" için hesabınızın SMS'den veya Google Authentificator'dan bir kod istemesi yeterlidir (bu uygulamada, cihazın kendisinde her dakika yeni bir kod oluşturulur).

Yine de küçük bir paranoya unsuru olduğunu kabul ediyorum: Başka birinin postalarıma girmesi ihtimaline karşı tarama geçmişimi düzenli olarak kontrol ederim. Ve tabii ki diğer kişilerin cihazlarından hesaplarıma giriş yaparsam, işin sonunda “Tüm oturumları sonlandır”a tıklamayı da unutmuyorum.

Bankacılık uygulamaları yüklemeyin

Mobil bankacılık uygulamasını kullanmak, masaüstü sürümünde çevrimiçi bankacılıktan daha güvenlidir. Güvenlik açısından ideal bir şekilde tasarlanmış olsa bile, soru tarayıcının kendisinin (ve birçoğu vardır) ve işletim sisteminin güvenlik açıkları olarak kalır. Verileri çalan kötü amaçlı yazılımlar doğrudan veriye enjekte edilebilir. Bu nedenle, aksi takdirde çevrimiçi bankacılık tamamen güvenli olsa bile, bu riskler gerçek olmaktan çok daha fazlasıdır.

Bankacılık uygulamasında ise güvenliği tamamen bankanın vicdanına bırakılmıştır. Her biri, kodun güvenliğinin kapsamlı bir analizinden geçer, genellikle dış seçkin uzmanlar dahil edilir. SIM kartı değiştirdiyseniz veya hatta akıllı telefonunuzdaki başka bir yuvaya taşıdıysanız, banka uygulamaya erişimi engelleyebilir.

En güvenli uygulamalardan bazıları, güvenlik gereksinimleri karşılanana kadar başlamaz, örneğin, telefon parola korumalı değildir. Bu nedenle, benim gibi, prensipte çevrimiçi ödemelerden vazgeçmeye hazır değilseniz, masaüstü çevrimiçi bankacılık yerine bir uygulama kullanmak daha iyidir.

Elbette bu, uygulamaların %100 güvenli olduğu anlamına gelmez. En iyileri bile güvenlik açıkları gösterir, bu nedenle düzenli güncellemeler gereklidir. Bunun yeterli olmadığını düşünüyorsanız, özel yayınları okuyun (Xaker.ru, Anti-malware.ru, Securitylab.ru): Bankanız yeterince güvenli değilse oraya yazarlar.

Çevrimiçi satın alımlar için ayrı bir kart kullanın

Şahsen bunun gereksiz bir sorun olduğunu düşünüyorum. Ayrı bir hesabım vardı, böylece gerekirse ondan karta para aktarın ve İnternet üzerinden yapılan alışverişler için ödeme yapın. Ama bunu da reddettim - bu rahatlık için bir zarar.

Sanal banka kartı almak daha hızlı ve daha ucuzdur. Bunu kullanarak çevrimiçi alışveriş yaptığınızda, İnternet'teki ana kartın verileri yanmıyor. Bunun tam bir güven için yeterli olmadığını düşünüyorsanız, sigorta yaptırın. Bu hizmet önde gelen bankalar tarafından sunulmaktadır. Ortalama olarak, yılda 1.000 ruble maliyetle, kart sigortası 100.000 hasarı karşılayacaktır.

Akıllı cihazlar kullanmayın

Nesnelerin İnterneti çok büyük ve içinde geleneksel olandan daha fazla tehdit var. Akıllı cihazlar, bilgisayar korsanlığı için gerçekten muazzam fırsatlarla doludur.

İngiltere'de bilgisayar korsanları, akıllı bir termostat aracılığıyla VIP müşteri verileriyle yerel bir kumarhane ağına girdi! Kumarhanenin çok güvensiz olduğu ortaya çıktıysa, sıradan bir insan hakkında ne söylenir. Ama ben akıllı cihazlar kullanıyorum ve üzerlerine kamera yapıştırmıyorum. TV ve benimle ilgili bilgileri birleştirirse - cehenneme. Kesinlikle zararsız bir şey olacak çünkü kritik olan her şeyi şifreli bir diskte saklıyorum ve internete erişimim olmadan rafta tutuyorum.

Telefon dinleme durumunda telefonunuzu yurt dışında kapatın

Yurtdışında, genellikle metin ve sesli mesajları mükemmel şekilde şifreleyen haberciler kullanıyoruz. Trafik durdurulursa, yalnızca okunamayan "karışıklık" içerecektir.

Mobil operatörler de şifreleme kullanır, ancak sorun şu ki, abonenin bilgisi olmadan kapatabiliyorlar. Örneğin, özel servislerin talebi üzerine: Dubrovka'ya yapılan terörist saldırı sırasında durum böyleydi, böylece özel servisler teröristlerin müzakerelerini hızlı bir şekilde dinleyebildi.

Ayrıca, müzakereler özel kompleksler tarafından engelleniyor. Onlar için fiyat 10 bin dolardan başlıyor. Satılamazlar, ancak özel hizmetler için kullanılabilirler. Yani görev sizi dinlemekse, sizi dinlerler. Korkuyor musun? Ardından telefonunuzu her yerde ve Rusya'da da kapatın.

Bu biraz mantıklı

Şifreyi her hafta değiştirin

Aslında, parolaların uzun, karmaşık ve her hizmet için ayrı olması koşuluyla ayda bir kez yeterlidir. Hesaplama gücü arttıkça şifre gereksinimlerini değiştirdikleri için bankaların tavsiyelerine kulak vermek en iyisidir. Şimdi zayıf bir şifreleme algoritması, bir ay içinde sıralanan kaba kuvvettir, bu nedenle şifre değişim sıklığı gereksinimi.

Ancak rezervasyon yapacağım. Paradoksal olarak, ayda bir kez şifre değiştirme zorunluluğu bir tehdit içerir: İnsan beyni, sürekli yeni kodları akılda tutmak gerekirse, dışarı çıkmaya başlayacak şekilde tasarlanmıştır. Siber uzmanların keşfettiği gibi, bu durumda her yeni kullanıcı şifresi bir öncekinden daha zayıf hale geliyor.

Çözüm, karmaşık şifreler kullanmak, ayda bir değiştirmek, ancak depolama için özel bir uygulama kullanmaktır. Ve giriş dikkatli bir şekilde korunmalıdır: benim durumumda 18 karakterlik bir şifre. Evet, uygulamaların güvenlik açıkları içerme günahı vardır (aşağıdaki uygulamalarla ilgili paragrafa bakın). En iyisini seçmeli ve güvenilirliği ile ilgili haberleri takip etmelisiniz. Düzinelerce güçlü parolayı kafamda tutmanın daha güvenli bir yolunu henüz göremiyorum.

Bulut hizmetlerini kullanmayın

Yandex aramasında Google Dokümanlar'ın endekslenmesinin hikayesi, bu bilgi depolama yönteminin güvenilirliği konusunda ne kadar kullanıcının yanıldığını gösterdi. Ben şahsen şirketin bulut sunucularını paylaşım için kullanıyorum çünkü ne kadar güvenli olduklarını biliyorum. Bu, özgür genel bulutların mutlak bir kötülük olduğu anlamına gelmez. Google Drive'a bir belge yüklemeden hemen önce, onu şifreleme zahmetine girin ve erişim için bir şifre koyun.

Gerekli tedbirler

Telefon numaranızı kimseye ve hiçbir yere bırakmayın

Ama bu kesinlikle ekstra bir önlem değil. Telefon numarasını ve tam adı bilen bir saldırgan, yaklaşık 10 bin ruble için bir SIM kartın kopyasını çıkarabilir. Son zamanlarda, böyle bir hizmet sadece karanlık ağda elde edilemez. Veya daha da kolay - bir telekom operatörünün ofisinde sahte bir vekaletname kullanarak başka birinin telefon numarasını kendinize yeniden kaydetmek. Ardından numara, iki faktörlü kimlik doğrulamanın gerekli olduğu kurbanın herhangi bir hizmetine erişmek için kullanılabilir.

Siber suçluların Instagram ve Facebook hesaplarını bu şekilde çalması (örneğin, onlardan spam göndermek veya sosyal mühendislik için kullanmak), bankacılık uygulamalarına erişim sağlamak ve hesapları temizlemek. Son zamanlarda, medya bir günde Moskova'daki bir işadamından bu şemayı kullanarak 26 milyon rublenin nasıl çalındığını anlattı.

SIM kartınız görünürde bir sebep olmadan çalışmayı durdurduysa dikkatli olun. Güvenli oynamak ve banka kartınızı bloke etmek daha iyidir, bu haklı bir paranoya olacaktır. Bundan sonra, ne olduğunu öğrenmek için operatörün ofisiyle iletişime geçin.

İki SIM kartım var. Hizmetler ve bankacılık uygulamaları, kimseyle paylaşmadığım tek bir numaraya bağlı. İletişim ve ev ihtiyaçları için başka bir SIM kart kullanıyorum. Bir web seminerine kaydolmak veya mağazada indirim kartı almak için bu telefon numarasını bırakıyorum. Her iki kart da bir PIN ile korunmaktadır - bu ilkel ancak gözden kaçan bir güvenlik önlemidir.

Her şeyi telefonunuza indirmeyin

Demir bir kural. Uygulama geliştiricinin kullanıcı verilerini nasıl kullanacağını ve koruyacağını kesin olarak bilmek imkansızdır. Ancak uygulamaların yaratıcılarının bunları nasıl kullandığı bilindiğinde, çoğu zaman bir skandala dönüşüyor.

Son vakalar, dünyanın dört bir yanındaki istihbarat memurlarının nerede olduğunu öğrenebileceğiniz Polar Flow hikayesini içeriyor. Veya kullanıcıları spam aboneliklerinden koruması beklenen, ancak aynı zamanda alınan verileri bir tarafa satan Unroll.me ile daha önceki bir örnek.

Uygulamalar genellikle çok fazla şey bilmek ister. Bir ders kitabı örneği, çalışması için yalnızca bir ampule ihtiyaç duyan, ancak kullanıcı hakkında, iletişim listesine kadar her şeyi bilmek, fotoğraf galerisini ve kullanıcının nerede olduğunu görmek isteyen El Feneri uygulamasıdır.

Diğerleri daha da fazlasını talep ediyor. UC Tarayıcı, Alibaba pazarı için bilgi toplayan Umeng sunucusuna IMEI, Android ID, cihazın MAC adresi ve diğer bazı kullanıcı verilerini gönderir. Meslektaşlarım gibi ben de böyle bir başvuruyu reddetmeyi tercih ederim.

Profesyonel paranoyak insanlar bile risk alırlar ama bilinçlidirler. Her gölgeden korkmamak için hayatınızda neyin kamusal neyin özel olduğuna karar verin. Kişisel bilgilerin etrafına duvarlar inşa edin ve kamuya açık bilgilerin güvenliği konusunda fanatizme kapılmayın. O zaman, bir gün bu kamuya açık bilgiyi kamu malı olarak bulursanız, dayanılmaz bir şekilde incinmeyeceksiniz.