Nenechte se mýlit: Profesionální a státem podporovaní kybernetičtí zločinci se snaží kompromitovat vaši identitu - ať už doma, nebo ukradením vašich peněz; nebo v práci, abyste ukradli peníze zaměstnavatele, citlivá data nebo duševní vlastnictví.
Většina uživatelů zná základy ochrany osobních údajů a bezpečnosti počítače při používání internetu, včetně spouštění HTTPS a dvoufaktorového ověřování, kdykoli je to možné, a kontroly webu hasibeenpwned.com, aby ověřila, zda jejich e-mailové adresy nebo uživatelská jména a hesla nebyla napadena známým útokem.
V dnešní době by ale uživatelé počítačů měli jít nad rámec zpřísnění nastavení účtu na sociálních sítích. Bezpečnostní elita provozuje celou řadu programů, nástrojů a specializovaného hardwaru, aby zajistila, že jejich soukromí a zabezpečení jsou tak silné, jak jen mohou být. Zde se podíváme na tuto sadu nástrojů, počínaje těmi, které poskytují nejširší bezpečnostní pokrytí až po každou konkrétní aplikaci pro konkrétní účel. K ochraně vašeho soukromí a zajištění nejlepší možné počítačové bezpečnosti použijte kterýkoli nebo všechny z těchto nástrojů.
Vše začíná zabezpečeným zařízením
Dobré zabezpečení počítače začíná ověřeným zabezpečeným zařízením, včetně bezpečného hardwaru a ověřeného a zamýšleného spuštění systému. Pokud lze s kteroukoli manipulovat, neexistuje způsob, jak lze důvěryhodným aplikacím na vyšší úrovni, bez ohledu na to, jak neprůstřelný je jejich kód.
Vstupte do skupiny důvěryhodných počítačů. TCG, podporované společnostmi IBM, Intel, Microsoft a dalšími, pomohlo při vytváření otevřených standardních zabezpečených výpočetních zařízení a bootovacích cest, z nichž nejpopulárnější jsou čipy Trusted Platform Module (TPM) a vlastní -šifrování pevných disků. Vaše zabezpečená práce s počítačem začíná u TPM.
TPM. Čip TPM poskytuje zabezpečené kryptografické funkce a úložiště. Ukládá důvěryhodná měření a soukromé klíče procesů na vyšší úrovni, což umožňuje ukládání šifrovacích klíčů nejbezpečnějším možným způsobem pro univerzální počítače. S TPM mohou počítače ověřovat své vlastní zaváděcí procesy od úrovně firmwaru výše. Téměř všichni výrobci počítačů nabízejí modely s čipy TPM. Pokud je vaše soukromí nejdůležitější, měli byste se ujistit, že zařízení, které používáte, má povolený čip TPM.
UEFI. Universal Extensible Firmware Interface je otevřená specifikace firmwaru, která nahrazuje mnohem méně bezpečné čipy firmwaru BIOS. Pokud je tato možnost povolena, UEFI 2.3.1 a novější umožňuje výrobcům zařízení „uzamknout“ původní pokyny k firmwaru zařízení; jakékoli budoucí aktualizace musí být podepsány a ověřeny, aby bylo možné aktualizovat firmware. Na druhé straně může být systém BIOS poškozen minimálním počtem škodlivých bajtů, aby se systém „zdědil“ a stal se nepoužitelným, dokud nebude zaslán zpět výrobci. Bez UEFI lze nainstalovat obejít i sofistikovaný škodlivý kód Všechno zabezpečení vašeho operačního systému.
Bohužel neexistuje způsob, jak převést z BIOSu na UEFI, pokud to máte.
Bezpečné spuštění operačního systému. Váš operační systém bude potřebovat procesy automatické kontroly, aby zajistil, že nebyl ohrožen jeho zamýšlený spouštěcí proces. Systémy podporující UEFI (v.2.3.1 a novější) mohou k zahájení procesu důvěryhodného spuštění použít proces zabezpečeného spouštění UEFI. Systémy jiné než UEFI mohou mít podobnou funkci, ale je důležité si uvědomit, že pokud základní hardware a firmware nemají zabudované potřebné rutiny automatické kontroly, nelze tak důvěřovat kontrolám vyššího operačního systému.
Bezpečné úložiště. Každé zařízení, které používáte, by mělo mít zabezpečené, výchozí a šifrované úložiště jak pro své primární úložiště, tak pro všechna povolená zařízení pro vyměnitelná média. Místní šifrování výrazně ztěžuje fyzickým útokům čtení vašich osobních údajů. Mnoho dnešních pevných disků šifruje samo a mnoho prodejců OS (včetně Apple a Microsoft) má softwarové šifrování disků. Mnoho přenosných zařízení nabízí šifrování celého zařízení ihned po vybalení z krabice. Neměli byste používat zařízení a / nebo OS, které neumožňují výchozí šifrování úložiště.
Dvoufaktorové ověřování. Dvoufaktorové ověřování se v dnešním světě, kde jsou hesla odcizována stovkami milionů ročně, rychle stává nutností. Kdykoli je to možné, používejte a vyžadujte 2FA pro webové stránky, které ukládají vaše osobní údaje nebo e-mail. Pokud vaše výpočetní zařízení podporuje 2FA, zapněte jej tam. Je-li vyžadována služba 2FA, zajistí, že útočník nebude moci jednoduše uhodnout nebo ukrást vaše heslo.
(Všimněte si, že použití jediného biometrického faktoru, jako je otisk prstu, není ani zdaleka tak bezpečné jako 2FA. Je to druhý faktor, který dává sílu.)
2FA zajišťuje, že útočník vás nebude moci vyfouknout z přihlašovacích údajů tak snadno, jako by to bylo v případě, že používáte samotné heslo. I když dostanou vaše heslo nebo PIN, budou stále muset získat druhý faktor přihlášení: biometrický znak, zařízení USB, mobilní telefon, čipová karta, zařízení, čip TPM atd. Bylo to provedeno, ale je to podstatně náročnější.
Uvědomte si však, že pokud útočník získá úplný přístup k databázi, která ověřuje vaše přihlášení 2FA, bude mít přístup superadministrátora nezbytný pro přístup k vašim datům bez vašich pověření 2FA.
Uzamčení přihlašovacího účtu. Každé zařízení, které používáte, by se mělo uzamknout samo, když se pokusíte o určitý počet chybných přihlášení. Počet není důležitý. Jakákoli hodnota mezi 5 a 101 je dostatečně rozumná, aby útočníkovi zabránila uhádnout vaše heslo nebo PIN. Nižší hodnoty však znamenají, že neúmyslné přihlášení by vás mohlo nakonec uzamknout ze zařízení.
Vzdálené hledání. Ztráta nebo krádež zařízení je jedním z nejběžnějších způsobů kompromisu dat. Většina dnešních zařízení (nebo operačních systémů) je vybavena funkcí, která ve výchozím nastavení není povolena k vyhledání ztraceného nebo odcizeného zařízení. Existuje spousta skutečných příběhů, kdy lidé mohli pomocí softwaru pro vzdálené hledání najít svá zařízení, často u zloděje. Samozřejmě, nikdo by neměl čelit zlodějovi. Vždy zapojte vymáhání práva.
Vzdálené vymazání. Pokud nemůžete najít ztracené nebo odcizené zařízení, další nejlepší věcí je vzdáleně vymazat všechna osobní data. Ne všichni prodejci nabízejí vzdálené vymazání, ale mnozí, včetně Apple a Microsoft, ano. Když je aktivováno, zařízení, které je, doufejme, již šifrované a chráněné proti neoprávněným přihlášením, buď vymaže všechna soukromá data, když zadáte určitý počet nesprávných přihlašovacích údajů, nebo když budete vyzváni, aby tak učinily při příštím připojení k internetu (poté, co budete vyzváni k otřete se jím).
Všechny výše uvedené poskytují základ pro celkový bezpečný výpočetní zážitek. Bez mechanismů ochrany firmwaru, bootování a šifrování úložiště nelze zajistit skutečně bezpečný výpočetní zážitek. Ale to je jen začátek.
Skutečné soukromí vyžaduje zabezpečenou síť
Nejparanoidnější odborníci na počítačovou bezpečnost chtějí, aby bylo zabezpečeno každé síťové připojení, které používají. A vše začíná VPN.
Zabezpečená VPN. Většina z nás zná VPN, od vzdáleného připojení k našim pracovním sítím. Firemní sítě VPN poskytují zabezpečené připojení z vašeho vzdáleného vzdáleného místa do podnikové sítě, ale často nenabízejí žádnou nebo omezenou ochranu žádnému jinému síťovému umístění.
Mnoho hardwarových zařízení a softwarových programů vám umožňuje používat zabezpečenou VPN bez ohledu na to, kam se připojíte. S těmito boxy nebo programy je vaše síťové připojení šifrováno z vašeho zařízení do vašeho cíle, pokud je to možné. Nejlepší VPN skryjí vaše původní informace a / nebo náhodně vyladí vaše připojení mezi mnoha dalšími zúčastněnými zařízeními, což odposlechům ztěžuje určení vaší identity nebo umístění.
Tor je nejpoužívanější, bezplatná a bezpečná služba VPN, která je dnes k dispozici. Pomocí prohlížeče s podporou Tor je veškerý váš síťový provoz směrován přes náhodně vybrané mezilehlé uzly a šifruje co nejvíce provozu. Desítky milionů lidí se spoléhají na Tor, že poskytuje přiměřenou úroveň soukromí a bezpečnosti. Ale Tor má mnoho známých slabin, které se pokouší vyřešit jiná zabezpečená řešení VPN, jako je Riffle od MIT nebo Freenet. Většina z těchto pokusů je však více teoretická než nasazená (například Riffle) nebo pro větší bezpečnost vyžaduje účast opt-in, vylučující účast (například Freenet). Například Freenet se připojí pouze k dalším zúčastněným uzlům Freenetu (pokud je v režimu „darknet“), o kterých předem víte. V tomto režimu se nemůžete připojit k jiným lidem a webům mimo Freenet.
Služby anonymity. Služby anonymity, které také mohou, ale nemusí poskytovat VPN, jsou zprostředkujícím proxy serverem, který jménem uživatele vyplňuje požadavek na síť. Uživatel odešle svůj pokus o připojení nebo připojení prohlížeče na web anonymity, který dokončí dotaz, získá výsledek a předá jej zpět uživateli. Kdokoli, kdo by odposlouchával připojení k cíli, by s větší pravděpodobností zastavil sledování mimo anonymní web, který skrývá informace původce. Na webu je spousta anonymních služeb.
Některé anonymní weby ukládají vaše informace a některé z nich byly prolomeny nebo vynuceny donucovacími orgány, aby poskytly informace o uživateli. Nejlepším řešením pro ochranu osobních údajů je vybrat si anonymní web, jako je Anonymizer, který neukládá vaše informace déle než aktuální požadavek. Další populární, komerční bezpečnou službou VPN je HideMyAss.
Hardware anonymity. Někteří lidé se pokoušeli usnadnit Tor a anonymitu založenou na Tor pomocí speciálně nakonfigurovaného hardwaru. Můj oblíbený je Anonabox (model: anbM6-Pro), což je přenosný směrovač VPN a Tor s podporou Wi-Fi. Místo toho, abyste museli Tor konfigurovat na svém počítači / zařízení, můžete místo toho jednoduše použít Anonabox.
Zabezpečené sítě VPN, anonymní služby a anonymní hardware mohou výrazně zvýšit vaše soukromí zabezpečením síťových připojení. Ale jedna velká poznámka: Žádné zařízení ani služba nabízející zabezpečení a anonymitu se neukázaly jako stoprocentně bezpečné. Odhodlaní protivníci a neomezené zdroje mohou pravděpodobně odposlouchávat vaši komunikaci a určovat vaši identitu. Každý, kdo používá zabezpečenou VPN, anonymní služby nebo anonymní hardware, by měl komunikovat s vědomím, že by se jeho soukromá komunikace mohla kdykoli stát veřejnou.
Bezpečné aplikace jsou také nutností
Se zabezpečeným zařízením a zabezpečeným připojením používají odborníci na bezpečnost ty nejrozumnější aplikace, jaké mohou najít. Zde je přehled některých vašich nejlepších sázek na ochranu vašeho soukromí.
Bezpečné prohlížení. Tor je průkopníkem bezpečného a téměř úplného procházení internetu. Pokud nemůžete používat Tor nebo VPN podobnou Tor, ujistěte se, že prohlížeč, který používáte, byl nastaven na nejbezpečnější nastavení. Chcete zabránit spuštění neautorizovaného kódu (a někdy i legitimního) bez vašeho vědomí. Pokud máte Javu, odinstalujte ji (pokud ji nepoužíváte) nebo se ujistěte, že jsou použity kritické bezpečnostní záplaty.
Většina prohlížečů nyní nabízí režimy „soukromého prohlížení“. Microsoft tuto funkci nazývá InPrivate; Chrome, inkognito. Tyto režimy mazají nebo neukládají lokálně historii prohlížení a jsou užitečné v prevenci toho, aby místní, neoprávněná forenzní vyšetřování byla stejně plodná.
Protokol HTTPS použijte pro všechna internetová vyhledávání (a připojení k jakýmkoli webovým stránkám), zejména na veřejných místech. Povolte ve svém prohlížeči funkce Nesledovat. Sledování vašeho prohlížeče může zabránit další software, včetně rozšíření prohlížeče Adblock Plus, Ghostery, Privacy Badger nebo DoNotTrackPlus. Některé populární weby se pokoušejí tato rozšíření detekovat a blokovat jejich používání, pokud je na svých webech nezakážete.
Zabezpečený e-mail. Původní „zabijácká aplikace“ pro internet, e-mail, je známá tím, že narušuje soukromí uživatelů. Původní otevřený standard internetu pro zabezpečení e-mailů, S / MIME, je stále méně využíván. S / MIME vyžaduje, aby si každý zúčastněný uživatel vyměňoval veřejné šifrovací klíče s ostatními uživateli. Tento požadavek se ukázal jako příliš skličující pro méně důvtipné uživatele internetu.
V dnešní době většina společností, které vyžadují šifrování e-mailů typu end-to-end, používá komerční e-mailové služby nebo zařízení, která umožňují odesílání zabezpečeného e-mailu přes weby s povoleným HTTPS. Většina komerčních uživatelů těchto služeb nebo zařízení tvrdí, že je snadné je implementovat a pracovat s nimi, ale někdy to může být velmi drahé.
Po osobní stránce existují desítky zabezpečených nabídek e-mailů. Nejpopulárnější (a v mnoha firmách široce používaný) je Hushmail. S Hushmailem můžete buď použít web Hushmail k odesílání a přijímání zabezpečeného e-mailu, nebo nainstalovat a používat e-mailový klientský program Hushmail (k dispozici pro stolní počítače a některá mobilní zařízení). Můžete použít vlastní originální e-mailovou adresu, která bude proxy prostřednictvím služeb proxy Hushmail, nebo získat e-mailovou adresu Hushmail, levnější řešení.
Hushmail je jedním z desítek zabezpečených poskytovatelů e-mailů, které jsou v současné době k dispozici.
Zabezpečený chat. Většina chatovacích programů poskytovaných operačním systémem a zařízením nenabízí silné zabezpečení a soukromí. Pro silné zabezpečení typu end-to-end je třeba nainstalovat další chatovací program. Naštěstí existují desítky chatovacích programů, bezplatných i komerčních, které tvrdí, že nabízejí větší bezpečnost. Některé vyžadují instalaci klientské aplikace; další nabízejí webové služby. Většina vyžaduje, aby všechny strany komunikovaly se stejným programem nebo používaly stejnou webovou stránku (nebo alespoň stejný protokol chatu a ochranu).
