Como os profissionais de segurança protegem as informações pessoais

2024 Autor: Malcolm Clapton | [email protected]. Última modificação: 2023-12-17 04:08

Faz sentido desistir de aplicativos bancários e Wi-Fi públicos e obter um cartão separado para compras online - a opinião de um especialista em segurança da informação.

Metade dos meus colegas de segurança da informação são profissionais paranóicos. Até 2012, eu mesmo era assim - estava totalmente criptografado. Então percebi que essa defesa enfadonha interfere no trabalho e na vida.

No processo de "sair", desenvolvi hábitos que permitem que você durma em paz e ao mesmo tempo não construa uma parede da China ao redor. Digo-lhe quais são as regras de segurança que agora trato sem fanatismo, que violei de vez em quando e que sigo com toda a seriedade.

Paranóia excessiva

Não use Wi-Fi público

Eu uso e não tenho medo a esse respeito. Sim, existem ameaças ao usar redes públicas gratuitas. Mas o risco é minimizado seguindo regras de segurança simples.

1. Certifique-se de que o ponto de acesso pertence ao café e não ao hacker. O ponto legal pede um número de telefone e envia um SMS para entrar.
2. Use uma conexão VPN para acessar a rede.
3. Não digite o nome de usuário / senha em sites não verificados.

Recentemente, o navegador Google Chrome começou a marcar páginas com conexões não seguras como inseguras. Infelizmente, sites de phishing adotaram recentemente a prática de obter um certificado para imitar os verdadeiros.

Portanto, se você quiser se conectar a algum serviço usando Wi-Fi público, aconselho que verifique se o site é original cem vezes. Via de regra, basta acessar seu endereço por meio de um serviço whois, por exemplo, Reg.ru. A última data de registro de domínio deve alertá-lo - os sites de phishing não duram muito.

Não faça login em suas contas de dispositivos de outras pessoas

Eu entro, mas configurei a autenticação em duas etapas para redes sociais, e-mail, contas pessoais, o site do Serviço Estadual. Esse também é um método imperfeito de proteção, então o Google, por exemplo, começou a usar tokens de hardware para verificar a identidade do usuário. Mas, por enquanto, para “meros mortais” basta que sua conta solicite um código do SMS ou do Google Authentificator (neste aplicativo, um novo código é gerado a cada minuto no próprio dispositivo).

No entanto, admito um pequeno elemento de paranóia: regularmente verifico meu histórico de navegação para o caso de alguém ter inserido meu e-mail. E claro, se eu entrar em minhas contas a partir de dispositivos de outras pessoas, no final do trabalho não me esqueço de clicar em “Encerrar todas as sessões”.

Não instale aplicativos bancários

É mais seguro usar o aplicativo de banco móvel do que o banco on-line na versão para desktop. Mesmo que seja projetado idealmente do ponto de vista da segurança, a questão permanece com as vulnerabilidades do próprio navegador (e há muitos deles), bem como as vulnerabilidades do sistema operacional. O software malicioso que rouba dados pode ser injetado diretamente nele. Portanto, mesmo que o banco on-line seja perfeitamente seguro, esses riscos permanecem mais do que reais.

Quanto ao aplicativo bancário, sua segurança está inteiramente na consciência do banco. Cada um deles passa por uma análise minuciosa da segurança do código, muitas vezes, especialistas externos eminentes estão envolvidos. O banco pode bloquear o acesso ao aplicativo se você trocar o cartão SIM ou simplesmente movê-lo para outro slot do smartphone.

Alguns dos aplicativos mais seguros nem iniciam até que os requisitos de segurança sejam atendidos, por exemplo, o telefone não é protegido por senha. Portanto, se você, como eu, não está pronto para desistir de pagamentos on-line em princípio, é melhor usar um aplicativo em vez de um banco on-line de desktop.

Obviamente, isso não significa que os aplicativos são 100% seguros. Mesmo os melhores apresentam vulnerabilidades, portanto, atualizações regulares são necessárias. Se você acha que isso não é suficiente, leia publicações especializadas (Xaker.ru, Anti-malware.ru, Securitylab.ru): eles escreverão lá se o seu banco não for seguro o suficiente.

Use um cartão separado para compras online

Pessoalmente, acho que isso é um problema desnecessário. Eu tinha uma conta separada para, se necessário, transferir dinheiro dela para o cartão e pagar as compras na Internet. Mas também recusei - é um prejuízo para o conforto.

É mais rápido e barato obter um cartão de banco virtual. Quando você faz compras online com ele, os dados do cartão principal na Internet não acendem. Se você acha que isso não é suficiente para obter total confiança, faça um seguro. Este serviço é oferecido pelos principais bancos. Em média, a um custo de 1.000 rublos por ano, o seguro do cartão cobre danos de 100.000.

Não use dispositivos inteligentes

A Internet das Coisas é enorme e contém ainda mais ameaças do que na tradicional. Dispositivos inteligentes são realmente repletos de oportunidades tremendas para hackear.

No Reino Unido, hackers invadiram uma rede local de cassino com dados de clientes VIP por meio de um termostato inteligente! Se o cassino se revelou tão inseguro, o que dizer de uma pessoa comum. Mas eu uso dispositivos inteligentes e não coloco câmeras neles. Se a TV e mesclar informações sobre mim - para o inferno com isso. Com certeza será algo inofensivo, porque guardo tudo o que é crítico em um disco criptografado e o mantenho na prateleira - sem acesso à Internet.

Desligue seu telefone no exterior em caso de escuta telefônica

No exterior, costumamos usar mensageiros que criptografam perfeitamente mensagens de texto e áudio. Se o tráfego for interceptado, ele conterá apenas "bagunça" ilegível.

As operadoras de celular também usam criptografia, mas o problema é que podem desligá-la sem o conhecimento do assinante. Por exemplo, a pedido dos serviços especiais: foi o que aconteceu durante o ataque terrorista a Dubrovka, para que os serviços especiais pudessem ouvir rapidamente as negociações dos terroristas.

Além disso, as negociações são interceptadas por complexos especiais. O preço para eles começa a partir de 10 mil dólares. Eles não estão disponíveis para venda, mas estão disponíveis para os serviços especiais. Portanto, se a tarefa é ouvir você, eles irão ouvi-lo. Você está com medo? Em seguida, desligue o telefone em qualquer lugar e na Rússia também.

Meio que faz sentido

Altere a senha todas as semanas

Na verdade, uma vez por mês é suficiente, desde que as senhas sejam longas, complexas e separadas para cada serviço. É melhor seguir os conselhos dos bancos porque eles estão alterando os requisitos de senha à medida que o poder do computador aumenta. Agora, um criptoalgoritmo fraco é resolvido por força bruta em um mês, daí a necessidade de frequência de mudanças de senha.

No entanto, vou fazer uma reserva. Paradoxalmente, a exigência de trocar as senhas uma vez por mês contém uma ameaça: o cérebro humano é projetado de tal forma que, se for necessário manter constantemente novos códigos em mente, ele comece a sair. Como os especialistas cibernéticos descobriram, cada nova senha de usuário nesta situação torna-se mais fraca do que a anterior.

A solução é usar senhas complexas, trocá-las uma vez por mês, mas usar um aplicativo especial para armazenamento. E a entrada deve ser protegida com cuidado: no meu caso, é uma cifra de 18 caracteres. Sim, os aplicativos têm o pecado de conter vulnerabilidades (consulte o parágrafo sobre aplicativos abaixo). Você tem que escolher o melhor e acompanhar as novidades sobre sua confiabilidade. Não vejo uma maneira mais segura de manter dezenas de senhas fortes na minha cabeça ainda.

Não use serviços em nuvem

A história da indexação do Google Docs na busca do Yandex mostrou o quanto os usuários se enganam sobre a confiabilidade desse método de armazenamento de informações. Eu pessoalmente uso os servidores em nuvem da empresa para compartilhamento porque sei como eles são seguros. Isso não significa que as nuvens públicas gratuitas sejam um mal absoluto. Antes de enviar um documento ao Google Drive, criptografe-o e coloque uma senha de acesso.

Medidas necessárias

Não deixe seu número de telefone para ninguém e em qualquer lugar

Mas isso não é uma precaução extra. Sabendo o número de telefone e o nome completo, um invasor pode fazer uma cópia de um cartão SIM por cerca de 10 mil rublos. Recentemente, esse serviço pode ser obtido não apenas na darknet. Ou ainda mais fácil - registrar novamente o número de telefone de outra pessoa usando uma procuração falsa no escritório de uma operadora de telecomunicações. Em seguida, o número pode ser usado para acessar quaisquer serviços da vítima onde a autenticação de dois fatores é necessária.

É assim que os cibercriminosos roubam contas do Instagram e do Facebook (por exemplo, para enviar spam deles ou usá-los para engenharia social), obtêm acesso a aplicativos bancários e limpam contas. Recentemente, a mídia contou como em um dia 26 milhões de rublos foram roubados de um empresário de Moscou usando esse esquema.

Desconfie se o seu cartão SIM parou de funcionar sem motivo aparente. Melhor jogar pelo seguro e bloquear o cartão do banco, isso será paranóia justificada. Depois disso, entre em contato com o escritório da operadora para saber o que aconteceu.

Eu tenho dois cartões SIM. Os serviços e aplicativos bancários estão vinculados a um número, que não divido com ninguém. Eu uso outro cartão SIM para comunicações e necessidades domésticas. Deixo este número de telefone para me inscrever em um webinar ou obter um cartão de desconto na loja. Ambos os cartões são protegidos por um PIN - esta é uma medida de segurança rudimentar, mas negligenciada.

Não baixe tudo para o seu telefone

Uma regra de ferro. É impossível saber ao certo como o desenvolvedor do aplicativo irá usar e proteger os dados do usuário. Mas quando se sabe como os criadores dos aplicativos os estão usando, muitas vezes isso se transforma em um escândalo.

Casos recentes incluem a história do Polar Flow, onde você pode descobrir o paradeiro de oficiais de inteligência em todo o mundo. Ou um exemplo anterior com Unroll.me, que deveria proteger os usuários de assinaturas de spam, mas ao mesmo tempo vendeu os dados recebidos para o lado.

Os aplicativos geralmente querem saber muito. Um exemplo de livro didático é o aplicativo Lanterna, que só precisa de uma lâmpada para funcionar, mas quer saber tudo sobre o usuário, direto na lista de contatos, ver a galeria de fotos e onde o usuário está.

Outros exigem ainda mais. O UC Browser envia IMEI, Android ID, endereço MAC do dispositivo e alguns outros dados do usuário para o servidor de Umeng, que coleta informações para o mercado Alibaba. Eu, como meus colegas, preferiria recusar tal pedido.

Mesmo os paranóicos profissionais correm riscos, mas são conscientes. Para não ter medo de todas as sombras, decida o que é público e o que é privado em sua vida. Construa muros ao redor das informações pessoais e não caia no fanatismo sobre a segurança das informações públicas. Então, se um dia você descobrir que esta informação pública é de domínio público, você não será dolorosamente ferido.