Υπάρχουν πολλά «επίπεδα» ευθύνης ώστε να λειτουργήσει ένα δίκτυο και αυτά παρουσιάζονται στο Open Systems Interconnection model (OSI) (Μοντέλο διασύνδεσης ανοιχτών συστημάτων). Αυτά τα επίπεδα περιλαμβάνουν τα ακόλουθα:
Το φυσικό επίπεδο δικτύου, που βρίσκεται στο κάτω μέρος του δικτύου. Αυτό το επίπεδο φροντίζει την πραγματική φυσική μετάδοση των δεδομένων, που σημαίνει ότι φροντίζει ώστε αν ο αποστολέας στείλει 1, ο παραλήπτης να λαμβάνει 1. Το φυσικό επίπεδο μπορεί, για παράδειγμα, να μεταδώσει δεδομένα μέσω καλωδίων φωτός (οπτικές ίνες). Πρέπει να προσδιορίσει αν η κυκλοφορία μπορεί να σταλεί αμφίδρομα και ταυτόχρονα, πώς εδραιώνεται η σύνδεση κ.ο.κ.
Το επίπεδο σύνδεσης δεδομένων είναι υπεύθυνο για την ανίχνευση σφαλμάτων και τη διόρθωσή τους, καθώς και για τη δημιουργία πακέτων δεδομένων που ονομάζονται πλαίσια. Είναι ο φύλακας της πύλης ώστε τα δεδομένα να εισέλθουν στο πραγματικό δίκτυο. Προσδιορίζει επίσης τη διεύθυνση υλικού για την οποία προορίζονται τα δεδομένα. Αυτή, για παράδειγμα, μπορεί να είναι διαφορετικές διασυνδέσεις δικτύου στον ίδιο υπολογιστή.
Το επίπεδο δικτύου είναι το επίπεδο που είναι υπεύθυνο για τη δρομολόγηση των δεδομένων στη συσκευή-στόχο στο δίκτυο. Θυμηθείτε ότι το δίκτυο μπορεί να συνδεθεί σε ένα άλλο δίκτυο και μπορεί να μη χρησιμοποιούν το ίδιο πρωτόκολλο επικοινωνίας. Το επίπεδο δικτύου μεταβιβάζει τα δεδομένα στο επίπεδο μεταφοράς.
Το επίπεδο μεταφοράς διαχειρίζεται τις συνδέσεις μεταξύ του κόμβου εκκίνησης (τα φυσικά μέρη που απαρτίζουν ένα δίκτυο) και του τελικού κόμβου. Προσδιορίζει επίσης πώς γίνεται ο χειρισμός της σύνδεσης, αν τα πακέτα αναμένεται να φτάσουν με τη σειρά και αν θα ζητηθεί η εκ νέου αποστολή ενός πακέτου αν λείπει. Το επίπεδο μεταφοράς διαχειρίζεται επίσης τη διεκπεραιωτική ικανότητα έτσι ώστε οι ταχύτεροι κόμβοι να μην κατακλύζουν τους πιο αργούς κόμβους.
Το επίπεδο συνόδου διαχειρίζεται την εδραίωση συνδέσεων και διατηρεί τις συνδέσεις.
Το επίπεδο παρουσίασης διαχειρίζεται, για παράδειγμα, την κωδικοποίηση την οποία χρησιμοποιούν οι υπολογιστές, οι οποίοι διαθέτουν διαφορετικούς τρόπους εσωτερικής αναπαράστασης δεδομένων, για να επικοινωνήσουν με τρόπο που να είναι κατανοητός και από τους δύο κόμβους. Το επίπεδο παρουσίασης διαχειρίζεται επίσης την κρυπτογράφηση σε μερικές περιπτώσεις, όπως όταν κάνετε περιήγηση στο διαδίκτυο σε μια ασφαλή τοποθεσία.
Το επίπεδο εφαρμογής διαχειρίζεται το επίπεδο πρωτοκόλλου. Για παράδειγμα, σε ένα πρόγραμμα περιήγησης web το πρωτόκολλο HTTP προσδιορίζει τον τρόπο που η εφαρμογή αιτείται μια ιστοσελίδα.
Το κάθε bit δεδομένων που αποστέλλεται, για παράδειγμα η ιστοσελίδα αυτού του μαθήματος, διέρχεται μέσα από τα επίπεδα του δικτύου (ονομάζεται «στοίβα δικτύου»). Η τοποθεσία του μαθήματος χρησιμοποιεί TLS ή transport layer security (ασφάλεια επιπέδου μεταφοράς) (το SSL στην παραπάνω εικόνα έχει αντικατασταθεί κατά κύριο λόγο από το TLS), που είναι ένας τρόπος κρυπτογράφησης των δεδομένων για να αποτρέψει τα χαμηλότερα επίπεδα να «κρυφοκοιτάξουν» μέσα στα πακέτα και να παρατηρήσουν τα δεδομένα. Αν η τοποθεσία του μαθήματος δεν χρησιμοποιούσε TLS, τα δεδομένα σας θα αποστέλλονταν ως απλό κείμενο μέσα από όλα τα επίπεδα και όλους τους υπολογιστές που συμμετέχουν στη μετάδοση των δεδομένων. Αυτό θα μπορούσε να είναι δεκάδες κόμβοι στη χειρότερη περίπτωση. Όλοι αυτοί οι υπολογιστές θα μπορούσαν, θεωρητικά, να παρακολουθήσουν και να υποκλέψουν τα δεδομένα.
Αν και είναι καλό να γνωρίζετε ότι αυτή η τοποθεσία του μαθήματος χρησιμοποιεί TLS για να διασφαλίσει την ασφάλεια, τι θα γινόταν αν τα δεδομένα δεν ήταν το περιεχόμενο του μαθήματος αλλά ευαίσθητα τραπεζικά δεδομένα ή δεδομένα υγείας; Πώς μπορείτε να εμπιστευτείτε τους κόμβους μέσα από τους οποίους διέρχονται τα δεδομένα σας όταν δεν γνωρίζετε ούτε ποιος τους διαχειρίζεται; Ας μάθουμε, λοιπόν.
Προστασία των συνδέσεων στον ιστό
Όταν στέλνετε και λαμβάνετε δεδομένα μέσω του διαδικτύου, το κάνετε πολύ συχνά μέσω ενός προγράμματος περιήγησης web. Τα ασφαλή προγράμματα περιήγησης χρησιμοποιούν ένα πρωτόκολλο που ονομάζεται TLS (ασφάλεια επιπέδου μεταφοράς) για την προστασία της κυκλοφορίας μεταξύ του προγράμματος περιήγησης που χρησιμοποιείτε για την πρόσβαση στο διαδίκτυο (πελάτης) και του διακομιστή στον οποίο στέλνετε ή από τον οποίο λαμβάνετε δεδομένα (π.χ. έναν διακομιστή δικτυακού τόπου).
Μπορείτε να επιβεβαιώσετε ότι είστε προστατευμένοι με το TLS ελέγχοντας τη γραμμή διευθύνσεων του προγράμματος περιήγησης που χρησιμοποιείτε και εξασφαλίζοντας ότι εμφανίζει ένα λουκέτο μαζί με το σωστό όνομα τομέα. Αν δεν βλέπετε ένα λουκέτο δίπλα στη διεύθυνση URL, δεν προστατεύεστε με κρυπτογράφηση.
Ως επίπεδο ασφάλειας δικτύου, το TLS χρησιμοποιεί κρυπτογραφικά πρωτόκολλα για να ελέγξει την ταυτότητα, να επαληθεύσει και να προσφέρει ασφαλή ανταλλαγή κρυπτογραφημένης επικοινωνίας από το πρόγραμμα περιήγησης μέχρι τον διακομιστή-στόχο, προστατεύοντας τα περιεχόμενα των πακέτων δεδομένων ώστε να μην αποκαλυφθούν στα χαμηλότερα επίπεδα δικτύου και σε κόμβους τρίτων που διαβιβάζουν τα δεδομένα κατά τη διαδρομή τους.
Τα πρωτόκολλα TLS διαχειρίζονται την ανταλλαγή των πραγματικών κλειδιών κρυπτογράφησης με ασφαλή τρόπο. Θυμηθείτε, το κλειδί κρυπτογράφησης είναι αυτό που προστατεύει την εμπιστευτικότητα και επαληθεύει την ακεραιότητα της επικοινωνίας (του μηνύματος) που αποστέλλεται.
Τα προγράμματα περιήγησης που χρησιμοποιούν TLS προσπαθούν να σας προστατέψουν επιβεβαιώνοντας την αξιοπιστία του πιστοποιητικού του διακομιστή του δικτυακού τόπου και ότι το πιστοποιητικό ταιριάζει με το όνομα τομέα του δικτυακού τόπου (τη διεύθυνση URL). Αν το πιστοποιητικό του διακομιστή δεν είναι έγκυρο ή αν χρησιμοποιείται σε άλλη τοποθεσία, το πρόγραμμα περιήγησης σάς προειδοποιεί ότι δεν είστε προστατευμένοι. Σε αυτή την περίπτωση, ένα μήνυμα στην οθόνη σας σάς προειδοποιεί για μη έγκυρη αρχή έκδοσης πιστοποιητικών που θα μπορούσε, για παράδειγμα, να σημαίνει ότι ένας επιτιθέμενος εισάγει το δικό του πιστοποιητικό αντί για εκείνο της Google.
Μερικές τοποθεσίες εξακολουθούν να επιτρέπουν συνδέσεις προς αυτές με το μη ασφαλές πρωτόκολλο HTTP. Αυτό σημαίνει ότι όλα τα δεδομένα που αποστέλλονται μεταξύ του προγράμματος περιήγησής σας και του διακομιστή εκείνης της τοποθεσίας μπορεί να είναι ορατά σε οποιονδήποτε ελέγχει τυχόν κόμβους μέσω των οποίων δρομολογούνται τα δεδομένα.
Επιθέσεις ενάντια στο TLS
Όμως, δεν αρκεί να βασίζεστε στο εικονίδιο του λουκέτου. Οποιοσδήποτε μπορεί να δημιουργήσει ένα πιστοποιητικό που χρησιμοποιείται για να ενημερώσει τα προγράμματα περιήγησης ποια κρυπτογράφηση να χρησιμοποιήσουν για τη σύνδεση.
Ένας επιτιθέμενος μπορεί να προσπαθήσει να σας κάνει να χρησιμοποιήσετε τη δική του τοποθεσία αντί για την αυθεντική χρησιμοποιώντας κάποια απλά κόλπα, όπως αλλάζοντας τη διεύθυνση URL της τοποθεσίας με μια διεύθυνση που να μοιάζει με την αυθεντική. Αυτό μπορεί να γίνει, για παράδειγμα, αλλάζοντας το πεζό γράμμα L με τον αριθμό 1. Στις περισσότερες γραμματοσειρές μοιάζουν αρκετά μεταξύ τους ώστε να ξεγελάσουν τον χρήστη αν δεν είναι προσεκτικός. Αυτές οι τοποθεσίες μπορούν επίσης να χρησιμοποιήσουν κρυπτογράφηση, οπότε απλώς η παρουσία του λουκέτου δεν σημαίνει ότι είστε ασφαλής. Αν λάβετε ένα μήνυμα που περιέχει έναν σύνδεσμο, μπορεί να ξεγελαστείτε και να επισκεφτείτε μια τοποθεσία με αυτόν τον τρόπο. Ένας καλός τρόπος να αποφύγετε αυτού του είδους την αντικατάσταση URL είναι να πληκτρολογείτε μόνοι σας τη διεύθυνση αντί να κάνετε κλικ στον σύνδεσμο που λάβατε.
Η επίθεση man-in-the-middle (MITM) (υποκλοπέας επικοινωνίας) είναι μια επίθεση όπου ο επιτιθέμενος βρίσκεται ανάμεσα σε εσάς και τον διακομιστή και αποκρυπτογραφεί την κυκλοφορία, την αποθηκεύει και την κρυπτογραφεί εκ νέου προτού την προωθήσει στον διακομιστή. Αυτού του είδους η επίθεση είναι αρκετά εύκολη στην εκτέλεση αν δεν χρησιμοποιείτε κρυπτογράφηση. Ο τρόπος που το TLS ανταλλάσσει κλειδιά και επαληθεύει τον διακομιστή έχει ως σκοπό να σας προστατεύει από τέτοιες επιθέσεις. Όμως, αν αγνοήσετε τα προειδοποιητικά μηνύματα σχετικά με τις μη ασφαλείς τοποθεσίες, μια επίθεση man-in-the-middle είναι ακόμα εφικτή.
Συμβουλές για την επαλήθευση της ασφάλειας δικτύου του προγράμματος περιήγησης και του δικτυακού τόπου:
Ελέγχετε πάντα την εγκυρότητα του πιστοποιητικού αναζητώντας το λουκέτο στη γραμμή διευθύνσεων. Φροντίστε να μην κάνετε παράλειψη στις προειδοποιήσεις που σας εμφανίζει το πρόγραμμα περιήγησης. Αν το πρόγραμμα περιήγησης αναφέρει ότι το πιστοποιητικό του διακομιστή δεν είναι αξιόπιστο, μην χρησιμοποιήσετε την τοποθεσία.
Είναι σημαντικό να αναφερθεί ότι το TLS και άλλα πρωτόκολλα ασφαλείας όπως είναι το SSL δεν προορίζονται αποκλειστικά για την επικοινωνία μεταξύ των προγραμμάτων περιήγησης web και των διακομιστών των δικτυακών τόπων. Μπορούν να χρησιμοποιηθούν, και χρησιμοποιούνται, σε άλλους τύπους εφαρμογών όπως σε προγράμματα e-mail, υπηρεσίες cloud και εφαρμογές κινητών συσκευών. Αυτό είναι σημαντικό γιατί όλο και περισσότερα από τα δεδομένα που στέλνουμε και λαμβάνουμε στο διαδίκτυο είναι μέσω εφαρμογών κινητών συσκευών και του cloud. Το να προσδιορίσουμε κατά πόσο αυτές οι επικοινωνίες είναι ασφαλείς είναι λίγο πιο περίπλοκο, όπως θα δούμε λίγο αργότερα σε αυτή την ενότητα.
Χρήση VPN για προστασία
Πώς μπορείτε να προστατέψετε τον εαυτό σας από κάποιον που «κρυφακούει» μέσω διαδικτύου ή από επιθέσεις man-in-the-middle; Μια πολύ καλή λύση είναι η χρήση ενός VPN (virtual private network ή εικονικό ιδιωτικό δίκτυο). Ένα VPN κρυπτογραφεί τα δεδομένα σας και τα δρομολογεί από τον υπολογιστή σας σε έναν γνωστό και αξιόπιστο ενδιάμεσο κόμβο που αποκρυπτογραφεί τα δεδομένα και τα προωθεί ώστε να συνεχίσουν τη διαδρομή τους προς τον κόμβο προορισμού.
Σκεφτείτε το VPN ως έναν επιπλέον φάκελο που κρυπτογραφεί το περιεχόμενο (τον αρχικό φάκελο δεδομένων) από τον κόμβο του υπολογιστή σας και κατόπιν, μόλις φτάσει στον κόμβο εξόδου, αποκρυπτογραφεί την κρυπτογράφηση του εξωτερικού φακέλου και επιτρέπει στα αρχικά δεδομένα να συνεχίσουν ως συνήθως. Αυτό μπορεί να αποτρέψει, για παράδειγμα, εχθρικά δίκτυα Wi-Fi από το να «κρυφακούν» τις επικοινωνίες σας.
Αν και δεν συνιστώνται λόγω της εγγενούς τους έλλειψης ασφάλειας, αν χρησιμοποιείτε μια δημόσια σύνδεση Wi-Fi, το VPN είναι μια κρίσιμη προσθήκη ασφαλείας. Ως γενικό κανόνα, αν ποτέ συνδεθείτε σε δημόσιο Wi-Fi, όπως σε δωρεάν πρόσβαση στο διαδίκτυο σε ένα καφέ, φροντίστε να απενεργοποιήσετε την κοινή χρήση αρχείων στη συσκευή σας και να κάνετε κλικ στη ρύθμιση «διαγραφή δικτύου» στις ρυθμίσεις δικτύου σας αφού φύγετε. Αυτό θα αποτρέψει μη εσκεμμένες αυτόματες επανασυνδέσεις σε αυτά τα δίκτυα, που μπορεί να συμβούν όταν θα είστε χωρίς προστασία και δεν θα το γνωρίζετε.
Ένα παράδειγμα μιας λύσης VPN είναι μια εφαρμογή στο κινητό σας τηλέφωνο ή μια εγκατάσταση σε μια φυσική συσκευή στο άκρο του αξιόπιστου δικτύου σας (όπως σε έναν δρομολογητή εσωτερικού δικτύου μιας εταιρείας). Όταν είναι ενεργοποιημένες, και οι δύο υλοποιήσεις προστατεύουν και κρύβουν την επικοινωνία από τα υποκείμενα επίπεδα δικτύου, και με αυτόν τον τρόπο, και από τους κόμβους που διαχειρίζονται την κυκλοφορία.
Κάτι που θα πρέπει να έχετε υπόψη σας, όμως, είναι πως από τη στιγμή που η κρυπτογραφημένη κυκλοφορία του VPN εξέλθει του κόμβου διακομιστή του παρόχου υπηρεσιών VPN, συνεχίζει τη διαδρομή της προς τον κόμβο-στόχο ως συνήθως. Συνεπώς, αν δεν χρησιμοποιείτε ένα ασφαλές πρωτόκολλο δικτύου, όπως το TLS, ή διατερματική κρυπτογράφηση (ανατρέξτε στο κεφάλαιο 3.1), η κυκλοφορία είναι διαθέσιμη σε κάθε κόμβο στην υπόλοιπη διαδρομή.
Το VPN μπορεί να χρησιμοποιηθεί επίσης για να αποκρύψετε την προέλευση της κυκλοφορίας σας και να την κάνει να μοιάζει ότι προέρχεται από τον κόμβο εξόδου του VPN. Αυτή η λειτουργία μπορεί να χρησιμοποιηθεί για την παράκαμψη γεωγραφικών περιορισμών ή για την απόκρυψη της κυκλοφορίας σας από πιθανά εχθρικά δίκτυα. Τα VPN μπορούν επίσης να χρησιμοποιηθούν για την απόκρυψη των επικοινωνιών από εχθρικές κυβερνήσεις που προσπαθούν να «κρυφακούσουν» τους πολίτες της χώρας τους. Το VPN το κάνει αυτό κρυπτογραφώντας και καλύπτοντας τον στόχο της επικοινωνίας μέχρι η σύνδεση να ολοκληρωθεί σε έναν κόμβο εξόδου που μπορεί να βρίσκεται σε μια άλλη χώρα.
Η λύση VPN χρησιμοποιείται συχνά για να συνδέσει ξεχωριστά δίκτυα μεταξύ τους. Αυτό συχνά γίνεται για την επέκταση ενός δικτύου μεταξύ πολλών γραφείων μιας εταιρείας. Αν και τα ξεχωριστά δίκτυα δεν συνδέονται με φυσικό τρόπο μεταξύ τους, το VPN μπορεί να κάνει τα δίκτυα να μοιάζουν με ένα ενιαίο δίκτυο. Η κυκλοφορία που προορίζεται να είναι κυκλοφορία εσωτερικού δικτύου δρομολογείται μέσω της κρυπτογραφημένης σύνδεσης VPN στον κόμβο εξόδου, ο οποίος είναι, σε αυτή την περίπτωση, στο άκρο του άλλου δικτύου.
Το VPN δεν αποτελεί λύση για όλες τις περιπτώσεις. Αν έχετε VPN να τρέχει στο κινητό σας τηλέφωνο και το χρησιμοποιείτε για σύνδεση tethering με τον φορητό σας υπολογιστή, αντίθετα με αυτό που νομίζετε, η σύνδεσή από τον φορητό σας υπολογιστή δεν προστατεύεται από το VPN. Το τηλέφωνο ενεργεί ως δρομολογητής και δεν θα χρησιμοποιήσει το τούνελ VPN για συνδέσεις tethering, ακόμα και αν όλες οι εφαρμογές στο κινητό τηλέφωνο χρησιμοποιούν το VPN.
Σε αυτή την περίπτωση, είναι καλύτερο να ενεργοποιήσετε το VPN στον φορητό υπολογιστή.
Ασφάλεια στις εφαρμογές και τις υπηρεσίες cloud
Παραδοσιακά, τα δεδομένα φιλοξενούνται από κάποιον που χρησιμοποιεί έναν υπολογιστή που ονομάζεται διακομιστής και υπάρχει ένα άτομο που διαχειρίζεται τον διακομιστή και την ασφάλειά του. Η προέλευση πολλών πρακτικών κυβερνοασφάλειας, όπως είναι ο έλεγχος πρόσβασης και η σύνδεση βασίζονται στα πρώτα χρόνια της εμφάνισης των υπολογιστών όταν όλες οι συσκευές ήταν πιο απλές και όλα τα δεδομένα βρίσκονταν τοπικά.
Στις δεκαετίες του 1980 και 1990, η εμπορευματοποίηση και ο καταναλωτισμός των προσωπικών υπολογιστών έφερε στους καταναλωτές και την προσωπική ευθύνη της προστασίας των υπολογιστών τους, ή των «τελικών σημείων» όπως αποκαλούνται στα εταιρικά περιβάλλοντα. Συνήθως, αυτό σήμαινε την εγκατάσταση ενός προγράμματος προστασίας από ιούς. Σήμερα γνωρίζουμε ότι κάτι τέτοιο είναι το ελάχιστο, ειδικά για την κυβερνοασφάλεια σε εταιρικό επίπεδο. Είναι καλή πρακτική να υπάρχει τουλάχιστον τακτική εκπαίδευση για τα βασικά πρωτόκολλα κυβερνοασφάλειας αν οι εργαζόμενοι της εταιρείας πραγματοποιούν εργασία εξ αποστάσεως, συμπεριλαμβανομένων των ταξιδιών για την εργασία.
Αυτή τη στιγμή, τα τελικά σημεία όπως είναι οι σταθμοί εργασίας, τα κινητά τηλέφωνα και τα tablet δεν είναι αποκλειστικά μόνο για εργασία ή μόνο για προσωπική χρήση. Αντιθέτως, αυτοί οι σκοποί συνδυάζονται όσον αφορά τη χρήση των συσκευών και του περιεχομένου που είναι αποθηκευμένο σε αυτές. Επίσης, έχει γίνει λιγότερο ξεκάθαρο το πού διατηρούνται τα δεδομένα. Αυτό το κάνει δύσκολο να βρείτε πού βρίσκονται τα στοιχεία ελέγχου ασφαλείας για τις καθημερινές σας εφαρμογές.
Απλώς «cloud» ή IaaS, PaaS ή SaaS;
Ίσως να έχετε ακούσει τη φράση «το cloud είναι ασφαλές από τη φύση του». Αντίθετα, μερικοί λένε ότι «το cloud είναι απλώς ο υπολογιστής κάποιου άλλου».
Αν και μερικές φορές ισχύουν τα παραπάνω, και οι δύο απόψεις ανήκουν στους πολλούς σύγχρονους μύθους της κυβερνοασφάλειας. Για να κατανοήσουμε τη φύση του «cloud», πρέπει να κάνουμε μερικές ακόμα ερωτήσεις. Ανάλογα με τις απαντήσεις, προσδιορίζεται και η φύση των στοιχείων ελέγχου και των πρακτικών της κυβερνοασφάλειας.
Το cloud έχει γίνει σχεδόν συνώνυμο για οποιαδήποτε επεξεργασία δεδομένων γίνεται από κάποιον άλλο. Όμως υπάρχουν διαφορές μεταξύ των τύπων cloud, IaaS, PaaS και SaaS:
Το IaaS (υποδομή ως υπηρεσία) σημαίνει ότι ένας πάροχος φιλοξενίας, όπως τα AWS, Azure ή GCP, φιλοξενεί εικονικούς διακομιστές σε ένα κλιμακούμενο περιβάλλον. Σε αυτή την περίπτωση, ο πελάτης εξακολουθεί να πρέπει να συντηρήσει την ασφάλεια των λειτουργικών συστημάτων και των υπηρεσιών.
Το PaaS (πλατφόρμα ως υπηρεσία) προσφέρεται από τους ίδιους παραπάνω παρόχους, αλλά προσφέρει επίσης, για παράδειγμα, λογισμικό βάσης δεδομένων ή επεξεργασίας και ανάλυσης δεδομένων ως υπηρεσία. Σε αυτή την περίπτωση, ο πελάτης μπορεί να εστιάσει στα χαρακτηριστικά της πλατφόρμας ενώ την προστατεύει μέσω της σωστής διαμόρφωσης.
Το SaaS (λογισμικό ως υπηρεσία) περιλαμβάνει υπηρεσίες όπως τα Salesforce, Office365 και Gmail. Σε αυτή την περίπτωση, ο πελάτης έχει ελάχιστη ανάμιξη με τον τρόπο προστασίας της υπηρεσίας. Παρόλα αυτά, εξακολουθεί να είναι ευθύνη του πελάτη η διαχείριση των ταυτοτήτων του για την υπηρεσία και η εφαρμογή καλών πρακτικών για την ασφάλεια του δικτύου όπως μάθαμε σε αυτό το μάθημα.
«Είναι ασφαλές να εγκαταστήσω αυτή την εφαρμογή;»
Αυτή είναι μια πολύ κοινή ερώτηση. Η εξοικείωσή σας με τις πληροφορίες που δημοσιεύονται μαζί με την εφαρμογή σας προσφέρει ελάχιστες πληροφορίες για το πόσο ασφαλή είναι τα δεδομένα στην εφαρμογή ή το πώς υποβάλλονται σε επεξεργασία στο παρασκήνιο της εφαρμογής.
Για να αναλύσετε την κυβερνοασφάλεια μιας εφαρμογής, θα πρέπει να λάβετε υπόψη σας τις ακόλουθες ερωτήσεις:
Ποιος δημοσιεύει την εφαρμογή; Είναι από το κατάστημα του κατασκευαστή ή από μια άγνωστη οντότητα; Τα app stores (ή καταστήματα εφαρμογών) (Google Play, Apple store) διαθέτουν κάποιο επίπεδο αξιολόγησης των εφαρμογών για επιβλαβείς λειτουργίες [όπως είναι τα stalkerware (λογισμικό μυστικής παρακολούθησης), τα malware και τα backdoor].
Ποιες πληροφορίες συλλέγει η εφαρμογή από τον χρήστη, με ή χωρίς τη συγκατάθεσή του;
Πώς διασφαλίζονται οι πληροφορίες μεταξύ της εφαρμογής και του παρασκηνίου; (Για να διαβάσετε περισσότερα, ανατρέξτε στο κεφάλαιο 3.)
Πώς διασφαλίζονται οι πληροφορίες μεταξύ του αποστολέα και του παραλήπτη (διατερματική κρυπτογράφηση);
Ποια είναι η ασφάλεια των πρωτοκόλλων κρυπτογράφησης και η διαχείριση των κλειδιών τους; - Για παράδειγμα, διαθέτει η εφαρμογή πιστοποιητικό TLS;
Πώς μπορεί ο εκδότης της εφαρμογής να επεξεργαστεί τεχνικά τις πληροφορίες σας;
Ο εκδότης δραστηριοποιείται στο πλαίσιο μιας νομοθεσίας όπου απαιτείται από τον νόμο η παράδοση των πληροφοριών σας στις τοπικές αρχές (για παράδειγμα η Κίνα);
Ο εκδότης υποκλέπτει και αλλάζει το περιεχόμενο των πληροφοριών κατά τη μεταφορά (επίσης για παράδειγμα το WeChat στην Κίνα);
Η επιβεβαίωση των στοιχείων θα ήταν μια μεγάλη προσπάθεια ακόμα και για έναν επαγγελματία, οπότε μπορείτε να βλέπετε τι έχουν κάνει άλλοι για να μάθετε. Μπορείτε να ξεκινήσετε ρωτώντας αν έχει γίνει πρόσφατα έλεγχος κώδικα και ανεξάρτητη ανάλυση ασφαλείας.
Ίσως η καλύτερη δημόσια διαθέσιμη ανάλυση είναι η σύγκριση των χαρακτηριστικών ασφάλειας και ιδιωτικότητας των διάφορων εφαρμογών ανταλλαγής μηνυμάτων (Signal, Telegram, WhatsApp, Facebook Messenger).
Για να συγκρίνετε διαφορετικές εφαρμογές, δείτε για παράδειγμα τη σύγκριση του EFF (Eletronic Frontier Foundation). Όμως, είναι παλιά οπότε μπορείτε να βρείτε μια πιο πρόσφατη και πολύ πιο λεπτομερής έκδοση εδώ: Securemessagingapp.com.
Είναι σημαντικό να θυμάστε ότι όσον αφορά οποιονδήποτε τύπο λογισμικού, από το λογισμικό συστήματος της συσκευής σας, μέχρι το πρόγραμμα προστασίας από ιούς, το λογισμικό VPN και το λογισμικό εφαρμογών, είναι σημαντικό να κάνετε εγκατάσταση των πιο πρόσφατων ενημερώσεων (διασφαλίζοντας ότι η πρόταση ενημέρωσης προέρχεται από μια αξιόπιστη και ασφαλή πηγή). Αυτές οι ενημερώσεις λογισμικού μπορεί να φαίνονται ασήμαντες και τις αγνοούμε εύκολα, όμως πολύ συχνά περιέχουν σημαντικές ενημερώσεις ασφαλείας, χωρίς τις οποίες η συσκευή σας και οι επικοινωνίες σας μπορεί να είναι ευάλωτες σε επιθέσεις.