Қауіпсіздік мамандары жеке ақпаратты қалай қорғайды

2024 Автор: Malcolm Clapton | [email protected]. Соңғы өзгертілген: 2023-12-17 04:02

Жалпыға қолжетімді Wi-Fi және банктік қосымшалардан бас тартып, онлайн-сатып алулар үшін бөлек карта алудың мағынасы бар ма – ақпараттық қауіпсіздік маманының пікірі.

Ақпараттық қауіпсіздік саласындағы әріптестерімнің жартысы кәсіби параноид. 2012 жылға дейін мен де солай болдым - мен толық шифрланғанмын. Сонда түсіндім, мұндай сұмдық қорғаныс жұмыс пен өмірге кедергі келтіреді.

«Шығу» барысында мен тыныш ұйықтауға мүмкіндік беретін және сонымен бірге айналаға қытай қабырғасын салмайтын әдеттерді дамыттым. Мен қазір қандай қауіпсіздік ережелерін фанатизмсіз ұстанатынымды айтамын, мен оны анда-санда бұзып, бар ынтамен ұстанамын.

Шамадан тыс паранойя

Қоғамдық Wi-Fi желісін пайдаланбаңыз

Мен қолданамын және осыған байланысты ешқандай қорқынышым жоқ. Иә, тегін қоғамдық желілерді пайдалану кезінде қауіптер бар. Бірақ қарапайым қауіпсіздік ережелерін сақтау арқылы тәуекелді азайтады.

1. Хотспот хакерге емес, кафеге тиесілі екеніне көз жеткізіңіз. Заңды нүкте телефон нөмірін сұрайды және кіру үшін SMS жібереді.
2. Желіге кіру үшін VPN қосылымын пайдаланыңыз.
3. Тексерілмеген сайттарда логин/парольді енгізбеңіз.

Жақында Google Chrome браузері тіпті қорғалмаған қосылымдары бар беттерді қауіпті деп белгілей бастады. Өкінішке орай, фишингтік сайттар соңғы уақытта шынайыға еліктеу үшін сертификат алу тәжірибесін қабылдады.

Сондықтан, егер сіз жалпыға қолжетімді Wi-Fi арқылы қандай да бір қызметке кіргіңіз келсе, мен сізге сайттың түпнұсқа екеніне жүз рет көз жеткізуге кеңес берер едім. Әдетте, оның мекенжайын whois қызметі арқылы іске қосу жеткілікті, мысалы Reg.ru. Доменді тіркеудің соңғы күні сізді ескертуі керек - фишингтік сайттар ұзаққа созылмайды.

Басқа адамдардың құрылғыларынан тіркелгілеріңізге кірмеңіз

Мен кіремін, бірақ мен әлеуметтік желілер, пошта, жеке кабинеттер, Мемлекеттік қызмет сайты үшін екі сатылы аутентификацияны орнаттым. Бұл да қорғаныстың жетілмеген әдісі, сондықтан Google, мысалы, пайдаланушының жеке басын тексеру үшін аппараттық таңбалауыштарды қолдана бастады. Бірақ әзірге «жай адамдар» үшін тіркелгіңіз SMS немесе Google Authentificator кодты сұрауы жеткілікті (бұл қолданбада әр минут сайын құрылғының өзінде жаңа код жасалады).

Соған қарамастан, мен паранойяның кішкене элементін мойындаймын: басқа біреу менің поштама кірген жағдайда шолу тарихын үнемі тексеремін. Әрине, егер мен басқа адамдардың құрылғыларынан тіркелгілеріме кірсем, жұмыстың соңында «Барлық сеанстарды аяқтау» түймесін басуды ұмытпаймын.

Банк қолданбаларын орнатпаңыз

Жұмыс үстелі нұсқасындағы онлайн банкингке қарағанда мобильді банкинг қолданбасын пайдалану қауіпсіз. Қауіпсіздік тұрғысынан өте жақсы жобаланған болса да, мәселе браузердің өзінің осалдықтарымен (және олардың көпшілігі бар), сондай-ақ операциялық жүйенің осалдықтарымен қалады. Деректерді ұрлайтын зиянды бағдарламалық құрал оған тікелей енгізілуі мүмкін. Сондықтан, егер онлайн-банкинг мүлдем қауіпсіз болса да, бұл тәуекелдер шынайы емес.

Банктік өтінімге келетін болсақ, оның қауіпсіздігі толығымен банктің ар-ожданында. Олардың әрқайсысы кодтың қауіпсіздігіне мұқият талдаудан өтеді, көбінесе сыртқы көрнекті сарапшылар тартылады. Егер сіз SIM картасын ауыстырсаңыз немесе тіпті оны смартфонның басқа ұясына ауыстырсаңыз, банк қолданбаға кіруді бұғаттай алады.

Кейбір ең қауіпсіз қолданбалар қауіпсіздік талаптары орындалмайынша іске қосылмайды, мысалы, телефон құпия сөзбен қорғалмаған. Сондықтан, егер сіз мен сияқты онлайн төлемдерден бас тартуға дайын болмасаңыз, жұмыс үстеліндегі онлайн-банкингтен гөрі қосымшаны қолданған дұрыс.

Әрине, бұл қолданбалар 100% қауіпсіз дегенді білдірмейді. Тіпті ең жақсылары да осалдықтарды көрсетеді, сондықтан үнемі жаңартулар қажет. Егер бұл жеткіліксіз деп ойласаңыз, мамандандырылған басылымдарды (Xaker.ru, Anti-malware.ru, Securitylab.ru) оқыңыз: егер сіздің банкіңіз жеткілікті түрде қауіпсіз болмаса, олар сонда жазады.

Интернеттегі сатып алулар үшін бөлек картаны пайдаланыңыз

Менің ойымша, бұл қажетсіз қиындық. Қажет болған жағдайда одан картаға ақша аударып, Интернетте сатып алу үшін төлейтін жеке шотым болды. Бірақ мен одан да бас тарттым - бұл жұбанышқа зиян.

Виртуалды банк картасын алу тезірек және арзанырақ. Оны пайдаланып онлайн режимінде сатып алулар жасағанда, Интернеттегі негізгі картаның деректері жанбайды. Егер сіз бұл толық сенімділік үшін жеткіліксіз деп ойласаңыз, сақтандыруды алыңыз. Бұл қызметті жетекші банктер ұсынады. Орташа есеппен жылына 1000 рубль мөлшерінде картаны сақтандыру 100 000 шығынды өтейді.

Смарт құрылғыларды пайдаланбаңыз

Заттар интернеті орасан зор және онда дәстүрліге қарағанда одан да көп қауіп бар. Ақылды құрылғылар шынымен де бұзу үшін үлкен мүмкіндіктерге толы.

Ұлыбританияда хакерлер смарт термостат арқылы VIP тұтынушы деректері бар жергілікті казино желісін бұзды! Егер казино соншалықты қауіпті болып шықса, қарапайым адам туралы не айтуға болады. Бірақ мен смарт құрылғыларды қолданамын және оларға камера жабыстырмаймын. Теледидар мен туралы ақпаратты біріктірсе - тозаққа. Бұл міндетті түрде зиянсыз нәрсе болады, өйткені мен барлық маңызды нәрселерді шифрланған дискіде сақтаймын және оны сөреде сақтаймын - Интернетке қосылмай.

Телефонды тыңдаған жағдайда шетелде телефоныңызды өшіріңіз

Шетелде біз көбінесе мәтіндік және аудио хабарламаларды тамаша шифрлайтын мессенджерлерді қолданамыз. Егер трафик ұсталса, онда тек оқылмайтын "бесарт" болады.

Ұялы байланыс операторлары да шифрлауды пайдаланады, бірақ мәселе олар оны абоненттің білмеуінсіз өшіре алады. Мысалы, арнайы қызметтің сұрауы бойынша: бұл Дубровкадағы лаңкестік әрекет кезінде арнайы қызмет лаңкестердің келіссөздерін тез тыңдауы үшін болған.

Сонымен қатар, келіссөздерге арнайы кешендер кедергі келтіреді. Олардың бағасы 10 мың доллардан басталады. Олар сатылымға шығарылмайды, бірақ олар арнайы қызметтерге қол жетімді. Сондықтан тапсырма сізді тыңдау болса, олар сізді тыңдайды. Сіз қорқасыз ба? Содан кейін барлық жерде телефонды өшіріңіз, Ресейде де.

Бұл мағынасы бар

Әр апта сайын құпия сөзді өзгертіңіз

Шын мәнінде, парольдер ұзақ, күрделі және әрбір қызмет үшін бөлек болған жағдайда айына бір рет жеткілікті. Банктердің кеңестерін тыңдаған дұрыс, өйткені олар есептеу қуаты артқан сайын пароль талаптарын өзгертеді. Енді әлсіз криптоалгоритм бір ай ішінде дөрекі күшпен сұрыпталады, сондықтан парольді өзгерту жиілігі талабы.

Дегенмен, мен тапсырыс беремін. Бір ғажабы, парольдерді айына бір рет өзгерту талабы қауіп төндіреді: адам миы жаңа кодтарды үнемі есте ұстау қажет болса, ол сыртқа шыға бастайтындай етіп жасалған. Киберсарапшылар анықтағандай, бұл жағдайда әрбір жаңа пайдаланушы құпия сөзі бұрынғыға қарағанда әлсіз болады.

Шешім - күрделі құпия сөздерді пайдалану, оларды айына бір рет өзгерту, бірақ сақтау үшін арнайы қолданбаны пайдалану. Және оған кіру мұқият қорғалуы керек: менің жағдайда бұл 18 таңбадан тұратын шифр. Иә, қолданбаларда осалдықтар бар (төмендегі қолданбалар туралы абзацты қараңыз). Ең жақсысын таңдап, оның сенімділігі туралы жаңалықтарды бақылап отыру керек. Менің басымда ондаған күшті құпия сөздерді сақтаудың қауіпсіз жолын әлі көрмеймін.

Бұлттық қызметтерді пайдаланбаңыз

Яндекс іздеуінде Google Docs-ті индекстеу тарихы пайдаланушылардың ақпаратты сақтаудың осы әдісінің сенімділігі туралы қаншалықты қателесетінін көрсетті. Мен бөлісу үшін компанияның бұлттық серверлерін қолданамын, өйткені олардың қаншалықты қауіпсіз екенін білемін. Бұл тегін қоғамдық бұлттар абсолютті зұлымдық дегенді білдірмейді. Құжатты Google Drive-қа жүктеп салмас бұрын, оны шифрлау және кіру үшін құпия сөз енгізу мәселесін шешіңіз.

Қажетті шаралар

Телефон нөміріңізді ешкімге және еш жерде қалдырмаңыз

Бірақ бұл қосымша сақтық шарасы емес. Телефон нөмірін және толық аты-жөнін біле отырып, шабуылдаушы шамамен 10 мың рубльге SIM картасының көшірмесін жасай алады. Жақында мұндай қызметті darknet-те ғана алуға болады. Немесе одан да оңай - байланыс операторының кеңсесінде жалған сенімхат арқылы басқа біреудің телефон нөмірін өзіңізге қайта тіркеу. Содан кейін нөмірді екі факторлы аутентификация қажет болған жәбірленушінің кез келген қызметтеріне қол жеткізу үшін пайдалануға болады.

Осылайша киберқылмыскерлер Instagram және Facebook аккаунттарын ұрлайды (мысалы, олардан спам жіберу немесе оларды әлеуметтік инженерия үшін пайдалану), банктік қосымшаларға қол жеткізу және есептік жазбаларды тазарту. Жақында БАҚ осы схема арқылы мәскеулік кәсіпкерден бір күнде 26 миллион рубль ұрланғанын айтып берді.

Егер SIM картаңыз еш себепсіз жұмысын тоқтатқан болса, абай болыңыз. Оны қауіпсіз ойнап, банк картаңызды блоктаған дұрыс, бұл паранойяға негізделген. Осыдан кейін не болғанын білу үшін оператор кеңсесіне хабарласыңыз.

Менде екі SIM картасы бар. Қызметтер мен банктік қосымшалар бір нөмірге байланысты, мен оны ешкіммен бөліспеймін. Мен басқа SIM картаны байланыс және тұрмыстық қажеттіліктер үшін пайдаланамын. Мен вебинарға тіркелу немесе дүкенде жеңілдік картасын алу үшін осы телефон нөмірін қалдырамын. Екі карта да PIN кодымен қорғалған - бұл қарапайым, бірақ ескерілмеген қауіпсіздік шарасы.

Барлығын телефоныңызға жүктеп алмаңыз

Темірдей ереже. Қолданба әзірлеушісі пайдаланушы деректерін қалай пайдаланатынын және қорғайтынын нақты білу мүмкін емес. Бірақ қолданбаларды жасаушылардың оларды қалай пайдаланып жатқаны белгілі болған кезде, бұл жиі жанжалға айналады.

Соңғы жағдайларға Polar Flow оқиғасы кіреді, онда сіз бүкіл әлем бойынша барлау қызметкерлерінің қайда екенін біле аласыз. Немесе пайдаланушыларды спам жазылымдарынан қорғауы керек болатын, бірақ сонымен бірге алынған деректерді бүйірге сатқан Unroll.me-мен бұрынғы мысал.

Қолданбалар жиі тым көп білгісі келеді. Оқулықтың мысалы - жұмыс істеу үшін тек шам қажет, бірақ ол пайдаланушы туралы барлығын, контактілер тізіміне дейін, фото галереяны және пайдаланушының қайда екенін білуді қалайды.

Басқалары одан да көп талап етеді. UC шолғышы IMEI, Android идентификаторы, құрылғының MAC мекенжайы және кейбір басқа пайдаланушы деректерін Alibaba нарығы үшін ақпарат жинайтын Umeng серверіне жібереді. Мен де өз әріптестерім сияқты мұндай өтініштен бас тартқанды жөн көремін.

Тіпті кәсіби параноидтар тәуекелге барады, бірақ олар саналы. Әрбір көлеңкеден қорықпау үшін сіздің өміріңізде ненің ашық, ненің жеке екенін шешіңіз. Жеке ақпараттың айналасында қабырғаларды тұрғызыңыз және қоғамдық ақпараттың қауіпсіздігі туралы фанатизмге түспеңіз. Содан кейін, егер сіз бір күні бұл жалпыға ортақ ақпаратты қоғамдық доменде тапсаңыз, сіз ауыр зардап шекпейсіз.