Get best of the week

Analisamos recomendações para a proteção de dados pessoais e segurança das informações - no que você deve prestar atenção

No outro dia, analisamos vários livros sobre riscos em TI , engenharia social, vírus e a história de grupos de hackers . Hoje vamos tentar passar da teoria para a prática e ver o que cada um de nós pode fazer para proteger os dados pessoais. No Habré e na mídia, você pode encontrar um grande número de dicas básicas: do uso de gerenciadores de senhas e autenticação de dois fatores à atitude atenta às cartas e possíveis sinais de phishing.

Sem dúvida, essas medidas são importantes como base da higiene cibernética, mas você não deve se limitar apenas a elas . Falamos sobre pontos menos óbvios em relação à segurança da informação ao trabalhar com serviços da Internet.


Fotos - Bianca Berg - Unsplash

Senhas em vez de senhas


Os gerentes que trabalham com senhas complexas eliminam a necessidade de lembrá-las. No entanto, o gerenciador de senhas é sempre um compromisso entre conveniência e confiabilidade. Os desenvolvedores às vezes têm vazamentos. Por exemplo, em 2015, os hackers roubaram endereços de e-mail do LastPass e perguntas de segurança do usuário.

Com isso em mente, vários especialistas em SI ( incluindo representantes do escritório do FBI em Portland) preferem uma opção alternativa para trabalhar com autenticadores - senhas. Eles são mais fáceis de lembrar do que as senhas alfanuméricas com caracteres especiais .

Ao mesmo tempo, eles são considerados mais confiáveis ​​- em 2015, um especialista no campo da ciência da computação, Evgeny Panferov, provou matematicamente que, para fortalecer a proteção contra ataques de força bruta, é necessário estender o identificador, e não aumentar sua complexidade devido a números, treliças e asteriscos ( p . 2 ). Esse conceito também foi ilustrado pelo autor do quadrinho xkcd sobre dias úteis do desenvolvedor.


Foto - Erik Mclean - Unsplash

E-Frontier Engineers (EFF) apóiam a ideia com senhas. Eles até sugeriram uma maneira incomum de gerá-los - usando dados. A EFF compilou uma lista de 60 mil palavras em inglês , comparando cada uma com uma sequência específica de números que aparecem no cubo.

Basta selecionar seis palavras para obter um identificador aleatório de 25 a 30 caracteres. Recomenda-se rolar os dados porque o cérebro humano não é capaz de gerar uma sequência aleatória de números. Nós subconscientemente nos esforçamos para escolher números que tenham algum significado para nós. Portanto, em 1890, o psicólogo inglês Francis Galton escreveu que os dados são o "gerador aleatório" mais eficaz.

Rotação de senha não necessária


Todos nós enfrentamos os requisitos para alterar a senha de uma conta uma vez por mês ou seis meses. Mas o chefe da empresa de segurança da Spycloud, Ted Ross , diz que essa rotação é inútil.

Ele incentiva os usuários a modificar levemente senhas e reutilizar identificadores antigos . Tudo isso prejudica a segurança da sua conta. Também considerado no Instituto Nacional de Padrões e Tecnologia dos EUA (NIST). Eles estão desenvolvendo uma nova estrutura de senha. A propósito, ele já foi implementado na Microsoft - desde o ano passado, o Windows deixou de exigir que os usuários apresentassem regularmente novos dados de autenticação.

Os identificadores devem ser alterados apenas se estiverem comprometidos. Existem ferramentas especiais para verificar esse fato - por exemplo, o serviço familiar Muitos já foram Pwned . Basta digitar seu endereço de email e ele mostrará se o email foi "exposto" em algum vazamento. Você também pode configurar notificações - no caso de um novo "dreno", uma notificação será recebida.


Foto - Nijwam Swargiary - Unsplash

Substitua as senhas de rede que vazaram devem ser para contas que não estão ativas há muito tempo. Mas é melhor excluir essas contas completamente. Se não forem atendidos, eles podem causar um comprometimento dos dados pessoais. Mesmo um pequeno pedaço de informação ajudará os atacantes a coletar as informações ausentes sobre a "vítima" em outros serviços.

Em alguns recursos, o procedimento para fechar contas não é tão simples. Às vezes você precisa se comunicar com o suporte técnico e, às vezes - por um longo tempo, procurando o botão desejado na interface. No entanto, existem ferramentas que podem simplificar esta tarefa. Por exemplo, JustDeleteMe é um diretório de instruções curtas e links para desativar contas. Esta é uma extensão do Chrome que adiciona um botão especial ao omnibar. Ao clicar nela, uma página é aberta para desativar a conta no recurso atual (se possível). Resta seguir as instruções.

Trabalhar com documentos em um sistema operacional especial


Aproximadamente 38% dos vírus se apresentam como arquivos dock. Hoje é um dos vetores mais comuns de ataques de hackers. Você pode se proteger de malware distribuído dessa maneira se abrir documentos suspeitos em editores de nuvem. Os especialistas da EFF observam que, nesse caso, você quase certamente pode impedir a instalação de malware. Mas esse método não é adequado para documentos confidenciais - existe o risco de torná-los públicos. Por exemplo, em 2018, documentos pessoais dos usuários do Google caíram em domínio público - eles foram indexados por um mecanismo de pesquisa.

Os engenheiros da Electronic Frontier Foundation dizem que a instalação de um sistema operacional especial pode ser uma maneira de se proteger contra vírus em PDF e DOC.(possível na nuvem do provedor de IaaS ) para ler documentos eletrônicos - por exemplo, Qubes . Nele, as ações do sistema operacional e do usuário são executadas em máquinas virtuais separadas. Portanto, se um dos componentes estiver comprometido, o malware será isolado e não poderá acessar todo o sistema.

(NÃO) instalação automática de atualização


Os especialistas em segurança da informação - por exemplo, engenheiros da Tech Solidarity e FOSS Linux - recomendam a instalação automática de atualizações de segurança para sistemas operacionais e aplicativos. No entanto, essa visão não é compartilhada por todos.


Foto - Rostyslav Savchyn - Unsplash

Uma parte significativa dos sistemas de TI invadidos pode realmente ser evitada se forem atualizados a tempo. Um exemplo impressionante é o vazamento de dados pessoais de 140 milhões de residentes nos EUA de Equifax. Os invasores usaram a vulnerabilidade na estrutura do Apache Struts ( CVE-2017-5638 ) relacionada a um erro no tratamento de exceções. Um patch apareceu para eladois meses antes do ataque a Equifax. Mas a atualização automática pode levar a conseqüências não agradáveis. Há situações em que “novas correções”, resolvendo um problema, criam outro - mais sério . Em 2018, a Microsoft teve que interromper a distribuição de uma nova versão do sistema operacional devido a um erro ao excluir os arquivos pessoais dos usuários.

Podemos concluir que as atualizações devem ser instaladas o mais rápido possível, mas tenha cuidado. Antes de lançar um patch, você deve estudar o comportamento dele, ler comentários e tomar uma decisão com base nas informações que encontrou.

Na próxima vez, continuaremos a falar sobre recomendações incomuns que ajudarão a proteger os sistemas de TI contra invasores. Também estamos interessados ​​em ouvir quais soluções você usa para aumentar a segurança das informações - compartilhe-as nos comentários.

Em 1cloud.ru, oferecemos o serviço Nuvem Privada . Você pode alugar uma infraestrutura virtual para seus projetos. Para novos clientes - teste gratuito.
Nós usar equipamentos de classe empresarial da Cisco, Dell, NetApp. A virtualização é construída no hypervisor VMware vSphere.

More articles:


All Articles