Για να κατανοήσετε πόσο ασφαλείς είστε και ποιες μεθόδους θα πρέπει να χρησιμοποιήσετε για να προστατευτείτε, θα μπορούσατε για παράδειγμα να δημιουργήσετε ένα σχέδιο ασφάλειας για εσάς. Σε ένα τέτοιο σχέδιο θα πρέπει να αξιολογήσετε τι είδος πληροφοριών έχετε σε ηλεκτρονική μορφή και πώς θα επιθυμούσατε να τις προστατέψετε.
Προσδιορίστε το στοιχείο που θέλετε να προστατέψετε.
Αξιολογήστε τον κίνδυνο για να κατανοήσετε το επίπεδο της απαιτούμενης προστασίας (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα).
Αναλογιστείτε την άμυνα σε βάθος και προσθέστε προστασίες.
Ένας καλός γενικός κανόνας όταν σκέφτεστε την ασφάλεια, είναι η χρήση του τρίπτυχου CIA για το οποίο μάθαμε στο πρώτο κεφάλαιο αυτού του μαθήματος. Το τρίπτυχο CIA αποτελείται από τρεις πλευρές του ίδιου θέματος:
Confidentiality (Εμπιστευτικότητα)
Integrity (Ακεραιότητα)
Availability (Διαθεσιμότητα)
Για να δείτε λίγο καλύτερα τον τρόπο σκέψης με γνώμονα την ασφάλεια, ας δούμε ένα παράδειγμα:
Η Τίνα χρησιμοποιεί το Google Mail ως την κύρια υπηρεσία e-mail της. Χρησιμοποιεί τη διεύθυνσή της @gmail.com για να εγγραφεί στις περισσότερες από τις άλλες υπηρεσίες που χρησιμοποιεί.
Ας σκεφτούμε αρχικά ποιο πραγματικά είναι το στοιχείο.
Περιέχει όλα τα προσωπικά της e-mail.
Μπορεί να χρησιμοποιηθεί για κλοπή ταυτότητας και για να την υποδυθεί κάποιος διαδικτυακά.
Περιέχει προσωπικές πληροφορίες από διάφορες υπηρεσίες, διευθύνσεις, τηλεφωνικούς αριθμούς, ίσως και αριθμό ΑΜΚΑ ή ακόμα και πληροφορίες πιστωτικών καρτών.
Μπορεί να χρησιμοποιηθεί ως e-mail ανάκτησης για τους περισσότερους λογαριασμούς που χρησιμοποιεί.
Όπως βλέπετε, η διεύθυνση e-mail, δεν είναι απλώς μια διεύθυνση e-mail αλλά μπορεί να είναι πολλά περισσότερα. Πώς θα προσδιορίζατε τον κίνδυνο για αυτόν τον λογαριασμό; Ποια είδη προστασίας πρέπει να χρησιμοποιηθούν για αυτόν;
Πιθανότατα θα αξιολογήσατε ότι ο κίνδυνος για την απώλεια του λογαριασμού είναι υψηλός. Ωραία, ας σκεφτούμε τι μπορούμε να κάνουμε για να προστατέψουμε τον λογαριασμό από κακή χρήση.
Ο κωδικός πρόσβασης που χρησιμοποιεί θα πρέπει να έχει μεγάλη πολυπλοκότητα (εντροπία), οπότε θα πρέπει να χρησιμοποιήσει έναν μακρύ κωδικό πρόσβασης.
Ο κωδικός πρόσβασης δεν θα πρέπει να είναι πουθενά αποθηκευμένος σε απλό κείμενο.
Οι λογαριασμοί της Google επιτρέπουν τη χρήση ελέγχου ταυτότητας πολλών παραγόντων, που προσθέτει ένα επιπλέον επίπεδο ασφάλειας για τον λογαριασμό.
Υπάρχουν πολλοί τρόποι προσέγγισης της ασφάλειας στην περίπτωση της Τίνας. Όμως, πώς μπορούμε να επιτύχουμε ισορροπία μεταξύ ασφάλειας και χρηστικότητας; Πώς αποκτά πρόσβαση στο e-mail;
Ένας σχετικά καλός τρόπος για την προστασία του λογαριασμού είναι η χρήση ενός μεγάλου κωδικού πρόσβασης με τουλάχιστον 15 χαρακτήρες. Μπορεί να απομνημονευτεί ή να αποθηκευτεί σε ένα πρόγραμμα διαχείρισης κωδικών πρόσβασης ή σε ένα χαρτί μέσα σε ένα χρηματοκιβώτιο. Μπορεί να ενεργοποιηθεί ο έλεγχος ταυτότητας πολλών παραγόντων, και με τις υπηρεσίες της Google μπορείτε να χρησιμοποιήσετε την εφαρμογή της Google ως επιπλέον διακριτικό (token). Αυτό είναι πιο ασφαλές από τη χρήση SMS και δεν απαιτεί τίποτα άλλο εκτός από το να έχετε την εφαρμογή της Google για τον έλεγχο ταυτότητας.
Όμως, αν η Τίνα χρησιμοποιεί την εφαρμογή e-mail του τηλεφώνου της, το e-mail είναι τόσο ασφαλές όσο και η πρόσβασή στο τηλέφωνό της. Οπότε, αν το τηλέφωνο της κλαπεί και ο επιτιθέμενος γνωρίζει τον κωδικό της PIN, τότε ο λογαριασμός μπορεί να χρησιμοποιηθεί κακόβουλα με πολλούς τρόπους. Για να περιορίσει την κακόβουλη χρήση του λογαριασμού της e-mail, θα μπορούσε να χρησιμοποιεί τον λογαριασμό μόνο μέσω του προγράμματος περιήγησης και πάντοτε να αποσυνδέεται μετά τη χρήση του λογαριασμού. Αυτό είναι ένα μεγάλο πλήγμα στη χρηστικότητα και ίσως είναι καλύτερα να μην μοιράζεται τον κωδικό της PIN με κανέναν. Είναι δικό σας θέμα το πώς θα προσεγγίσετε αυτό το ζήτημα της χρηστικότητας έναντι της ασφάλειας.
Αν η Τίνα χρησιμοποιεί το τηλέφωνο της ως διακριτικό πολλών παραγόντων, θα ήταν καλό να ενεργοποιήσει τη δημιουργία αντιγράφων ασφαλείας για το τηλέφωνό της ώστε να ανακτήσει γρήγορα την πρόσβασή της σε περίπτωση που το τηλέφωνό της χαλάσει ή χαθεί. Είναι σημαντικό να έχετε εναλλακτικά μέσα πρόσβασης στον λογαριασμό, πλέον του τηλεφώνου σας. Οι περισσότερες τοποθεσίες που προσφέρουν έλεγχο ταυτότητας πολλών παραγόντων, σάς παρέχουν εφεδρικούς κωδικούς σε περίπτωση που χαθεί το διακριτικό σας. Αυτά τα διακριτικά μίας χρήσης μπορούν να χρησιμοποιηθούν για την ανάκτηση του λογαριασμού σας σε περίπτωση που δεν μπορείτε να αποκτήσετε πλέον πρόσβαση στο λογισμικό του διακριτικού ή στη συσκευή. Τα αντίγραφα ασφαλείας προστατεύουν το μέρος της Διαθεσιμότητας από το τρίπτυχο CIA. Αν ο σκληρός δίσκος σας χαλάσει και δεν διαθέτετε πρόσφατο αντίγραφο ασφαλείας, η Διαθεσιμότητα των δεδομένων είναι ανύπαρκτη.
Η Google προσφέρει μια υπηρεσία που ονομάζεται Google Advanced Protection, η οποία επιτρέπει τη σύνδεση στον λογαριασμό σας Google μόνο με διακριτικά ασφαλείας υλικού ή με τη χρήση της εφαρμογής Google Smart Lock.
Δεν τελειώσαμε, όμως, καθώς πρέπει να αναλογιστούμε το σύστημα που χρησιμοποιεί η Τίνα για να αποκτήσει πρόσβαση στον λογαριασμό. Θα πρέπει να εγκατασταθούν όλες οι ενημερώσεις λογισμικού για να διασφαλιστεί ότι δεν υπάρχουν γνωστές ευπάθειες στο λειτουργικό σύστημα ή στο λογισμικό που χρησιμοποιεί η Τίνα. Επίσης θα πρέπει να βεβαιωθεί ότι εκτελείται σαρωτής ιών με ενημερωμένους ορισμούς ιών.
Η Τίνα πρέπει επίσης να συνηθίσει να αξιολογεί το είδος του δικτύου που χρησιμοποιεί για να αποκτήσει πρόσβαση στον λογαριασμό της e-mail. Αν συνδέεται σε ένα δημόσιο ασύρματο δίκτυο, μπορεί να προστατεύσει την κυκλοφορία δικτύου χρησιμοποιώντας ένα λογισμικό VPN, για το οποίο θα μάθουμε περισσότερα στο επόμενο κεφάλαιο.
Ο Nick Rosener έχει γράψει μια πολύ καλή δημοσίευση blog για τη δική του προσέγγιση στην προσωπική κυβερνοασφάλεια.
Αν δεν χρησιμοποιείτε υπηρεσίες της Google, μην ανησυχείτε. Οι περισσότερες άλλες υπηρεσίες σάς προσφέρουν παρόμοια επίπεδα επιλογών ασφάλειας. Με τον ίδιο τρόπο, οι περισσότερες από τις λύσεις λογισμικού που αναφέρθηκαν κατά τη διάρκεια αυτού του μαθήματος έχουν εναλλακτικές που μπορεί να σας εξυπηρετήσουν καλύτερα.
Στο τέλος, εσείς αποφασίζετε πόση ασφάλεια θέλετε, όμως το θέμα είναι η απόφαση να είναι βασισμένη στη γνώση και όχι στην πρώτη διαθέσιμη λύση.
Για να ανακεφαλαιώσουμε, ο λογαριασμός e-mail της Τίνας είναι ένα πολύ σημαντικό στοιχείο καθώς αποτελεί υψηλό κίνδυνο αν έχανε την πρόσβασή της σε αυτόν ή αν ένας επιτιθέμενος αποκτούσε πρόσβαση σε αυτόν. Θα πρέπει να χρησιμοποιήσει μια προσέγγιση άμυνας σε βάθος για να χρησιμοποιήσει μέτρα ασφάλειας πολλών επιπέδων, χρησιμοποιώντας τα τρία στοιχεία στο τρίπτυχο CIA:
Εμπιστευτικότητα: Ισχυροί κωδικοί πρόσβασης, κρυπτογράφηση όταν μεταφέρονται τα δεδομένα, έλεγχος ταυτότητας πολλών παραγόντων.
Ακεραιότητα: Μόνο η Τίνα θα πρέπει να έχει πρόσβαση στον λογαριασμό και δεν θα πρέπει να κάνει κοινή χρήση των πληροφοριών του λογαριασμού της.
Διαθεσιμότητα: Δημιουργία αντιγράφων ασφαλείας των δεδομένων που επιτρέπουν πρόσβαση στον λογαριασμό.
Αφού ολοκληρώσετε το κεφάλαιο 4, πρέπει να μπορείτε:
να έχετε μια βασική κατανόηση για τον τρόπο λειτουργίας των δικτύων
να κατανοείτε τη σημασία μιας ασφαλούς σύνδεσης και πώς η κρυπτογράφηση είναι ένα σημαντικό βήμα σε αυτήν
να κατανοήσετε πώς αλληλεπιδρούν οι συσκευές και το υλικό με τα θέματα ασφάλειας του δικτύου
να εξηγήσετε τα βασικά για το πώς να διασφαλίσετε τις συσκευές και το υλικό σας
