Showing posts with label προστασία. Show all posts
Showing posts with label προστασία. Show all posts

Saturday, May 13, 2017

Άμυνα στους Κινδύνους του Διαδικτύου

Με όλο τον κουρνιαχτό των ημερών για τις κυβερνοεπιθέσεις με ιούς ransomware, με ρωτάνε, ως πληροφορικάριο, τι κάνω για να αισθάνομαι ασφαλής κατά τη χρήση υπολογιστή, κινητού και tablet.

Η σύντομη απάντηση

Προσπαθώ να θυμάμαι ότι ο πιο αδύναμος κρίκος, σε θέματα ασφαλείας, είμαι εγώ.  
Ποτέ, από το 1987 που χρησιμοποιώ PC, δεν έπαθα ή έγινα μάρτυς κακού χωρίς να έχει προηγηθεί εσκεμμένη ή απερίσκεπτη, εκούσια ή ακούσια παράβαση των στοιχειωδών κανόνων ασφαλείας που ακολουθούν (με μακράν βασικότερη, από την εποχή των Windows XP, το 2002, τη λάθος απόκριση σε ερώτηση του λειτουργικού συστήματος, προγράμματος ή ιστοσελίδας). Που μας φέρνει στην …

Αναλυτική απάντηση

  • Τηρώ επικαιροποιημένο το λειτουργικό μου, τουλάχιστον με τις ενημερώσεις ασφαλείας. Ομοίως, για όλα τα προγράμματα, ειδικά αυτά που επικοινωνούν με το Διαδίκτυο (browsers, chat, email, downloaders κ.τ.λ.)
    Τα Windows XP και Vista π.χ., δεν υποστηρίζονται πια με ενημερώσεις, οπότε έχουν κενά ασφαλείας) και κάνω επανεκκίνηση, όταν το ζητάει, το συντομότερο δυνατό. Ομοίως, οι τελευταίες εκδόσεις των Chrome, Firefox, π.χ., δεν τα υποστηρίζουν.
  • Χρησιμοποιώ firewall, antispam, antivirus και antimalware
    Τα τηρώ διαρκώς ενημερωμένα και τα προγραμματίζω να κάνουν αυτόματους περιοδικούς ελέγχους. Αν έχω οποιαδήποτε ανησυχία, ενεργοποιώ τους χειροκίνητους ελέγχους αυτών των προγραμμάτων
  • Ενεργοποιώ το firewall στο router μου (αν έχει επιλογή)
  • Απεγκαθιστώ συστηματικά προγράμματα και πρόσθετα (όπως Chrome, Firefox, Office κ.τ.λ.) που δεν ξέρω (ή δεν θυμάμαι) πού βρέθηκαν και τι κάνουν
    Ιδανικά, τηρώ καταλόγους με όλα όσα είχε ο υπολογιστής καινούργιος και ό,τι εγκαθιστώ, ώστε να εντοπίζω εύκολα έξωθεν «πρωτοβουλίες»
  • Ενεργοποιώ τη μόνιμη εμφάνιση όλων των επεκτάσεων εγγράφων (file/document extension)
    Το κακόβουλο λογισμικό συχνά μεταμφιέζεται σε έγγραφο γνωστού τύπου (πχ. .docx, pdf, txt), που στην πραγματικότητα καταλήγει σε .exe, cmd ή άλλους τύπους που εκτελούν κώδικα, αντί να ανοίγουν στο Word, στον Reader ή στο Notepad κ.ά., όπως θα περιμέναμε.
  • Δεν ανοίγω άκριτα συνημμένα σε email που δεν περίμενα, ακόμα και από γνωστό αποστολέα
  • Δεν απαντώ για κανένα λόγο σε email που ζητάει προσωπικά, τραπεζικά κ.ο.κ. στοιχεία
    Καμία σοβαρή υπηρεσία δεν ζητάει, για οποιονδήποτε λόγο, τα στοιχεία πρόσβασης ενός λογαριασμού, πολύ περισσότερο όταν εμπλέκονται χρήματα. Μεταξύ των συμβουλών της τράπεζάς μου και των αυτόκλητων, συνήθως διατυπωμένων σε άθλια ελληνικά (αλλά δεν θα «καρφώνονται» πάντα τόσο εύκολα) παροτρύνσεων, τηρώ ευλαβικά τις πρώτες και καταγγέλλω συστηματικά τις δεύτερες.
  • Δεν μπαίνω σε τραπεζικές κ.ά. ευαίσθητες υπηρεσίες από τον σύνδεσμο που προτείνει οποιοσδήποτε πλην του επίσημου ιστότοπου του φορέα της υπηρεσίας και πάντα ελέγχω ότι η σύνδεση είναι ασφαλής (https://…) και το πρόγραμμα περιήγησης δεν δίνει αντενδείξεις για την ασφάλεια της σύνδεσης
  • Επιδεικνύω δυσπιστία και διαβάζω πολύ προσεκτικά προτού απαντήσω «ναι», «εντάξει», «δέχομαι» κ.τ.λ. σε απρόσμενες ερωτήσεις και ακόμα περισσότερο στο μήνυμα που ζητάει να επιτρέψω αλλαγές στο σύστημά μου
    Το λειτουργικό, εφαρμογές και ιστοσελίδες ζητούν, ενίοτε, έγκριση για διάφορες πρωτοβουλίες που θέλουν να λάβουν. Συχνά μια τέτοια έγκριση ισοδυναμεί με παραχώρηση δικαιωμάτων διαχειριστή, με όλους τους κινδύνους που αυτό συνεπάγεται.
    Για τους πιο σκληροπυρηνικούς και γι' αυτούς που σπάνια εγκαθιστούν λογισμικό στον υπολογιστή τους, μια καλή πρόταση είναι ο λογαριασμός τους κύριας χρήσης να μην έχει δικαιώματα διαχειριστή. Οι σύγχρονες εκδόσεις των λειτουργικών προσωπικών υπολογιστών επιτρέπουν την παράκαμψη αυτού του περιορισμού, όταν χρειάζεται, χωρίς να απαιτείται έξοδος και επανασύνδεση με λογαριασμό με δικαιώματα διαχειριστή.
  • Κλείνω το Internet, όσο δεν το χρησιμοποιώ
    Εντάξει, αυτό, στην περίπτωσή μου, δεν συμβαίνει ποτέ…
  • Σημειώνω το μήνυμα από ό,τι ειδοποιήσεις πετάγονται στην οθόνη, ειδικά τις επαναλαμβανόμενες
    Αν δεν καταλαβαίνω τι σημαίνουν ψάχνω να βρω ή ρωτάω. Συσφίγκω τις σχέσεις μου με τη Διαδικτυακή αναζήτηση και τους πιο ενημερωμένους γνωστούς μου.
  • Δεν εμπιστεύομαι προστασίες, καθαρισμούς, βελτιστοποιήσεις κ.ά. γιατροσόφια από πουθενά, ειδικά τους αυτοματισμούς που τάζουν
    Ακόμα και επαγγελματικά εργαλεία επώνυμων κατασκευαστών ενδέχεται να προκαλέσουν μεγαλύτερη ζημιά από αυτή που, ίσως, διορθώνουν, ειδικά όταν δρουν αυτόματα ή οι χρήστες τους δεν αντιλαμβάνονται τις συνέπειες των επιλογών τους
  • Αν υπάρχει θέμα επίκαιρου, συγκεκριμένου κινδύνου, βρίσκω και χρησιμοποιώ τις ενδεδειγμένες άμυνες για αυτόν
    Δεν εμπιστεύομαι τις λύσεις που προτείνουν τα ΜΜΕ, εκτός αν πρόκειται για έμπιστους, εξειδικευμένους ιστότοπους της δικής μου επιλογής.
    Σημειώνω, ενδεικτικά, το αφοριστικό που άκουσα, μόλις (Κυ 13/5/2017 ~15:10, στην ΕΡΤ1, για αυτούς που έχουν ήδη πληγεί από την κακόβουλη κρυπτογράφηση εγγράφων: «[…] Ή θα πληρώσεις ή θα χάσεις πλήρως τα αρχεία σου.». Δυστυχώς, ο εκφωνητής δεν μας είπε για το 'The “No More Ransom” Project', μια συλλογική προσπάθεια αποκρυπτογράφησης των «αιχμάλωτων» αρχείων με επιτυχίες στο ενεργητικό της.
  • Χρησιμοποιώ μεγάλα, δύσκολα password, διαφορετικά για κάθε εργασία, ειδικά όπου παίζονται χρήματα (web banking, paypal κ.τ.λ.)
    Ένα αξιοπρεπές password έχει μήκος τουλάχιστον 8 χαρακτήρες, «λέξεις» που δεν υπάρχουν σε λεξικό, πεζά και κεφαλαία γράμματα, αριθμούς και σύμβολα. Ακόμα κι αν είχα ένα αγαπημένο password για όλες τις δουλειές, κάποτε θα έπεφτα σε έναν ιστότοπο που η προδιαγραφή του δεν θα το επέτρεπε.
    Επίσης, φυλάγω ευλαβικά τους κωδικούς μου, καθώς είναι δεδομένο ότι, αργά ή γρήγορα, ξεχνιούνται, προστατευμένους από αδιάκριτα βλέματα.
Ως επαγγελματίας της πληροφορικής, αυτά κάνω. Πιθανότατα κι εσείς, όπως κι εγώ και η πλειοψηφία των χρηστών υπολογιστή (περιλαμβάνονται κινητά και tablets), προτιμάτε να χειρίζεστε τα θέματά τους μόνοι σας. Τότε, χωρίς καν να το συνειδητοποιείτε, στο δίλημμα: «Θέλω να ρωτήσω κάποιον ειδικό πριν ή αφού πάθω τη ζημιά;» επιλέγετε το δεύτερο…

Friday, January 28, 2011

Protect Your Email from Spam, BCC: and Circulars Etiquette

Είναι ενδιαφέρον πώς μερικά πράγματα είναι διαχρονικά. Ήθελα να γράψω μια υπενθύμιση στους θιασώτες των μαζικών email να χρησιμοποιούν το, συχνά άγνωστο, πεδίο BCC: (Βlind Carbon Copy, Κρυφή Κοινοποίηση) και βρήκα ένα email που είχα γράψει σαν απάντηση στο "τι κάνουμε με το spam". Το παραθέτω παρακάτω, έχοντας αφαιρέσει μόνο ό,τι το προσωποποιεί. Για όσους μοιάζει μεγάλο, η περίληψη είναι:
  1. Προστατέψετε τη διεύθυνση email σας όπως το πορτοφόλι σας. Μην την εμπιστεύεστε άκριτα. Αποκτήστε και δίνετε μία εφεδρική για χρήσεις ανασφαλείς από διαρροή
  2. Προστατεύοντας τις διευθύνσεις email των άλλων, μακροπρόθεσμα προστατεύετε και τη δική σας, αφού οι χρήστες γενικά κάνουν ό,τι βλέπουν
  3. Χρησιμοποιείτε μόνο BCC στις μαζικές αποστολές σας, εκτός αν πρόκειται για πολύ κλειστό κύκλο παραληπτών που συζητούν και δεν θα προωθήσουν ποτέ ένα τέτοιο email παραέξω χωρίς να καθαρίσουν τα στοιχεία των εμπλεκομένων
________________
Sent: Πέμ 15/1/2007
Subject: Ως προς το spam

Δυστυχώς δεν υπάρχει απολύτως ασφαλής προστασία από το spam. Αυτό, γιατί ισχυρά φίλτρα κινδυνεύουν να αποκλείσουν επιστολές που θέλουμε να λάβουμε, ενώ ασθενέστερα φίλτρα δεν αποδίδουν πολύ καλά, ειδικά με την εκάστοτε σύγχρονη γενιά spam.

Παρόλα αυτά, βλέπω ότι ο ISP χρησιμοποιεί το Spam Assasin και έχει ήδη χαρακτηρίσει αυτό το μήνυμα ως spam. Ο χαρακτηρισμός αυτός δεν είναι 100% ασφαλής, είναι όμως τουλάχιστον κατά 90%. Μπορείτε να τον αξιοποιήσετε χρησιμοποιώντας ένα κανόνα για να μεταφέρετε αυτά τα μηνύματα σε ένα άλλο φάκελο (πχ. με όνομα "Spam?") τον οποίο θα βλέπετε δειγματολειπτικά για την περίπτωση εσφαλμένου χαρακτηρισμού.

Επιπροσθέτως, τα προγράμματα διαχείρισης email έχουν δικά τους φίλτρα antispam που είναι επαρκή για το προφανή spam, ενώ υποστηρίζουν και τη λεγόμενη Λευκή Λίστα (περιέχει τους αποστολείς από τους οποίους δεχόμαστε να λαμβάνουμε email ανεξαρτήτως αν θα χαρακτηριζόταν "spam" ή όχι) περιορίζοντας τον κίνδυνο εσφαλμένου χαρακτηρισμού.

Τέλος, προγράμματα "internet security" περιλαμβάνουν φίλτρα antispam.

Για όλα αυτά ισχύει ότι απλώς περιορίζουν και δεν εξαφανίζουν το φαινόμενο, ειδικά αν θεωρούμε απαράδεκτο το πιθανό φιλτράρισμα μηνύματος που θέλαμε να λάβουμε.

Αποδεικνύεται, πάντως, ότι η ασφαλέστερη προστασία είναι να μη δίνουμε το email μας όπου να 'ναι, ειδικά στο Internet. Μια λύση προς τούτο είναι η χρήση δύο διευθύνσεων email:
  • Mια που προορίζεται για τέτοια ευρεία χρήση και τη συμβουλευόμαστε μόνο όταν περιμένουμε κάτι συγκεκριμένο, οπότε το spam δεν μας ενοχλεί (πχ. στο gmail, hotmail, yahoo mail κτλ.)
  • Mια άλλη, την οποία εμπιστευόμαστε σε πολύ λίγα (φυσικά) πρόσωπα (οι λίστες των εταιριών έχουν μια τάση να διαρρέουν) με την επισήμανση να μη μας στείλουν ποτέ οτιδήποτε από internet site (υπό τύπον "send to a friend")
Ακόμα και τότε, οι διευθύνσεις κινδυνεύουν να διαρρεύσουν από τους παραλήπτες μας (όταν προωθούν τα email μας) και από τις μαζικές αποστολές στις οποίες είστε παραλήπτης, όπου κοινοποιούνται τα emails του κάθε παραλήπτη σε όλους τους άλλους και στους (εκ προωθήσεως) παραλήπτες τους. Η προστασία απ' αυτό είναι όταν εμείς κάνουμε μαζικές αποστολές:
  • Να βάζουμε όλους τους παραλήπτες στο πεδίο BCC (Blind Carbon Copy)
  • Να βάζουμε ανύπαρκτη διεύθυνση αποστολέα
Έτσι, αφενός κάθε παραλήπτης δεν βλέπει ποιος άλλος έλαβε το email, αφετέρου τα δικά μας ίχνη χάνονται σε τυχόν προωθήσεις του μηνύματός μας. Το αρνητικό σε αυτή τη λύση είναι ότι δεν μπορούμε να δεχτούμε απαντήσεις με ένα απλό "Reply", ούτε να γίνει συζήτηση με "Reply to All"...

Δυστυχώς πρόκειται για πόλεμο, όπου τα μεγαλύτερα θύματα είναι, ως συνήθως, οι άμαχοι. Και, εκτός από το προφανές ότι κάποιοι θέλουν να μας βομβαρδίζουν για να πωλούν, όπως και με τους ιούς, υπάρχουν ισχυρά οικονομικά συμφέροντα που συντηρούν το πρόβλημα, ώστε κάποιοι να μπορούν να πωλούν "λύσεις". Γι' αυτό και η πρότασή μου είναι να προτιμάμε δωρεάν προϊόντα όπως το Spam Assasin και να μην πληρώνουμε για εμπορικές λύσεις.
________________

Προσθέτω εδώ ότι η σύγχρονη τάση (και πιο αγχολυτική, καλή ώρα) είναι αντί για μαζικές αποστολές email να τα γράφουμε σε ένα blog...