Poradnik BINGO 2. Bezpieczeństwo informacji: wybrane narzędzia

Artykuł

W pierwszym odcinku Poradnika BINGO staraliśmy się Wami nieco wstrząsnąć, pokazując, jak newralgicznym narzędziem jest smartfon. Udało się? Jesteście zmotywowani do zmian? Jeśli tak, to czas na stawienie czoła kolejnym zagrożeniom. W tym odcinku zaprezentujemy kilka narzędzi, które pomogą Wam zmierzyć się z konkretnymi wyzwaniami dotyczącymi bezpieczeństwa cyfrowego.

1. Zarządzanie hasłami

Wycieki haseł zdarzają się co dzień. To taki rodzaj zagrożenia, od którego może ucierpieć dowolne konto. Możesz nawet tego nie zauważyć i dane będą dalej wyciekać. Albo odczujesz to bardzo boleśnie, np. jeśli stracisz kontrolę nad profilem na Facebooku – swoim lub swojej organizacji. Na stronie Have I Been Pwned możesz sprawdzić, czy dane Twojego konta (loginy, hasła) wyciekły. Nieprzekonanym polecamy premierowy odcinek przygód hakera Janusza (Niebezpiecznik).

Jak sobie radzić z zagrożeniem? Przede wszystkim ustawiaj mocne hasła: długie, zawierające małe i wielkie litery, cyfry, znaki specjalne. Może to być też ciąg przypadkowych słów. Ale to nie wszystko: używaj różnych haseł do różnych usług i regularnie je zmieniaj. Wreszcie: bezpiecznie je przechowuj. Karteczka przylepiona do monitora odpada. Lepiej sprawdzi się jeden z programów do zarządzania hasłami (nazywanych też: portfelami do haseł, menedżerami haseł – nie należy ich mylić z opcją zapamiętywania haseł przez przeglądarkę internetową, która jest antytezą bezpiecznego przechowywania haseł), np. KeePassXC / KeePassDroid (wersja programu na telefony z systemem Android).

Korzystając z programu do zarządzania hasłami, możesz używać dowolnie trudnych haseł (choćby ciągu dwudziestu przypadkowych znaków) do setek usług, a pamiętać musisz jedno silne hasło matkę. Korzystasz z różnych urządzeń? To nie problem. Zaszyfrowany (hasłem matką) plik z hasłami możesz umieścić w chmurze czy na pendrivie.

Zrzut ekranu: Have I Been Pwned

2. Dwuetapowe/dwustopniowe logowanie

Możesz dodatkowo zwiększyć ochronę kont, włączając – gdzie to tylko możliwe – dwustopniowe logowanie. To metoda wymagana przez wiele systemów bankowości elektronicznej, a dostępna w różnych innych usługach. Polega na tym, że zalogowanie się do konta jest możliwe tylko po podaniu dwóch rodzajów haseł, np. hasło użytkownika + kod z tokena lub hasło użytkownika + kod SMS. Dzięki temu samo poznanie hasła nie wystarczy do włamania się na konto.

Opcja ta jest możliwa do włączenia w popularnych usługach: Google, Facebook czy Twitter.

3. Bezpieczne przeglądanie Internetu

Każda Twoja aktywność w sieci jest śledzona i zapisywana, naruszając nie tylko Twoją prywatność, ale też bezpieczeństwo informacji, które posiadasz. Reklamy w Internecie są nie tylko irytujące – bywają też nośnikiem złośliwego oprogramowania. Ciasteczka i skrypty śledzące są używane nie tylko przez strony komercyjne, ale i publiczne. Nie są od nich wolne także strony organizacji społecznych. Ale ciastko ciastku nierówne. Dwa przykłady:

  1. Strona panoptykon.org serwuje ciastka z narzędzia do mierzenia statystyk (Piwik), o czym informuje w polityce prywatności. Piwik Panoptykonu jest umieszczony na naszym serwerze, więc informacje o użytkownikach nie trafiają poza Panoptykon. Zbierane dane pomagają administrować stroną, zapewnić jej wysoką jakość merytoryczną, analizować, czy struktura strony nie zawiera błędów itd.
  2. Strona pozytek.gov.pl prowadzona przez Ministerstwo Rodziny, Pracy i Polityki Społecznej serwuje ciastka firmy Google. W polityce plików cookies informuje, że pliki te mogą służyć do personalizacji strony, dostosowywania reklam i śledzenia konwersji. Informacje o użytkownikach trafiają jednak na serwery Google’a, który poza tym gromadzi też dane o nich z wielu innych źródeł.

Dziennik żądań uBlock: panoptykon.org

uBlock: dziennik żądań ze strony panoptykon.org

Dziennik żądań uBlock: pozytek.gov.pl

uBlock: dziennik żądań ze strony pozytek.gov.pl

Wśród organizacji społecznych korzystanie z narzędzi Google Analytics czy wtyczek Facebooka jest powszechne, co oznacza, że zaglądający na ich strony użytkownicy muszą się liczyć z tym, że informacje o nich zostaną przekazane dalej (dzięki third party cookies). Jeśli prowadzisz stronę internetową, zadbaj o prywatność i bezpieczeństwo Twoich odbiorców. Na co zwrócić uwagę?

Jak bezpiecznie przeglądać Internet:

  • Wybierz bezpieczną przeglądarkę: Chromium, Firefox.
  • Zadbaj o ustawienia chroniące prywatność: w ustawieniach przeglądarki włącz kasowanie ciasteczek podczas zamykania programu, włącz ochronę przed śledzeniem (opcja Do not track – chociaż nie wszystkie strony internetowe ją szanują), blokuj ciasteczka trzecich stron (ang. third party cookies), nie zapisuj haseł w przeglądarce i danych wypełnianych w formularzach).

Więcej o ustawieniach przeglądarki

  • Zainstaluj w przeglądarce wtyczki, które blokują reklamy, chronią przed śledzeniem Twojej aktywności w sieci, pomagają zarządzać ciasteczkami:
    • dla Firefoxa: HTTPS Everywhere, uBlock Origin, Disconnect. Dla zaawansowanych użytkowników też: Flashblock, Better Privacy, Cookie Monster, Self-Destructing Cookies, NoScript;
    • dla Chromium: HTTPS Everywhere, uBlock Origin, Disconnect, Flashblock.
  • Odinstaluj wtyczkę Adobe Flash lub wybierz w ustawieniach tryb „Pytaj o aktywację”.

Więcej o wtyczkach

  • Przesiądź się na wyszukiwarkę, która nie zbiera informacji o Tobie: StartPage.com, DuckDuckGo.com. Więcej o alternatywnych wyszukiwarkach.
  • Zadbaj o ustawienia usług, z których korzystasz w sieci, np. ustaw, kto może widzieć Twoje posty w mediach społecznościowych, wyłącz geolokalizację czy dopasowywanie reklam.
  • Nie łącz kont: używaj osobnych kont i różnych adresów e-mail/nicków do różnych usług. Uważaj na wtyczki portali społecznościowych na innych stronach: nie „lajkuj”, nie komentuj i nie loguj się na innych stronach za pośrednictwem danych do logowania do portalu społecznościowego.
  • Zachowaj zasady bezpieczeństwa dotyczące pracy na telefonie, które opisaliśmy w poprzednim odcinku Poradnika BINGO 1. (Nie)bezpieczny smartfon.

4. Szyfrowanie plików: 7zip

Przesyłanie plików z wrażliwymi informacjami to codzienność w organizacjach. Można to robić zaszyfrowanym e-mailem, ale ta opcja ma pewien minus – obie strony muszą opanować szyfrowanie e-maili. Inny, łatwiejszy sposób to szyfrowanie samych plików z informacjami. Sprawdzi się do tego program 7zip, dzięki któremu dostęp do plików będzie możliwy tylko po wpisaniu hasła.

Uwaga: hasło do odszyfrowania pliku powinno spełniać wymogi opisane w punkcie 1.: być trudne do odgadnięcia i bezpiecznie przekazane odbiorcy. Nie przesyłaj go w e-mailu razem z zaszyfrowanym załącznikiem! Przekaż je odbiorcy na żywo albo w zaszyfrowanej wiadomości tekstowej – do tego celu przyda się np. aplikacja Signal, o której pisaliśmy w 1. odcinku Poradnika.

Anna Obem

Współpraca: Małgorzata Szumańska, Anna Walkowiak, Izabela Meyza

Konsultacja merytoryczna: Marcin Karpezo, Kamil Śliwowski

Poradnik BINGO powstaje w ramach projektu „BINGO, czyli bezpieczne organizacje” finansowanego ze środków Fundacji im. S. Batorego. Możesz dołożyć się do naszych działań, wspierając nas darowiznami i przekazując 1% na rzecz Panoptykonu.

Komentarze

Chciałbym tylko wskazać że opcja "do not track" to jedynie prośba wysyłana do przeglądanych stron o nie śledzenie użytkownika.
Określanie jej mianem "ochrony przed śledzeniem" nie jest poprawne i myślę że wprowadza czytelnika w błąd.

Coś jak parasol - chroni przed deszczem, ale nie do końca. Zastrzeżenie dodane!

Dwustopniowe logowanie to nic innego jak ułatwienie inwigilacji - powiązanie konta w internecie z konkretnym użytkownikiem GSM (wcześniej już zarejestrowanym przez teoretyczne państwo).

Jeśli ktoś chce uniknąć inwigilacji przez firmy internetowe, lepiej byłoby, gdyby nie korzystał z ich usług. Skoro jednak decyduje się na to, warto zastanowić się nad odpowiednim zabezpieczeniem dostępu.

Pani Anna Obem pisze:
Jeśli ktoś chce uniknąć inwigilacji przez firmy internetowe, lepiej byłoby, gdyby nie korzystał z ich usług

Nie do końca - są takie firmy, które świadczą płatne usługi od początku zaprojektowane do ochrony prywatności. Przykłady to przeróżne VPN'y, ale są też inne podmioty:
protonmail.ch
posteo.de
mailbox.org
tarsnap.com

@Piotr J. Poradnik BINGO jest przeznaczony przede wszystkim dla organizacji społecznych. Staramy się pomóc im bezpieczniej korzystać z tych kanałów, które są dla nich ważne. A to te, gdzie są ich odbiorcy. Czyli m.in. Facebook i Twitter. 

W komentarzach są już ciekawe podpowiedzi, jak zadbać o prywatność. Teoretycznie do 2FA można też używać służbowych nr telefonów - ale to też wydatki dla organizacji. Podpowiadając rozwiązania, musimy wziąć pod uwagę potrzeby i możliwości organizacji.

Logowanie dwuetapowe z telefonem nie jest do końca bezpieczne. Rozmowy i SMSy można podsłuchać. Może to zrobić nie tylko rząd lub operator.

> Logowanie dwuetapowe z telefonem nie jest do końca bezpieczne. Rozmowy
> i SMSy można podsłuchać. Może to zrobić nie tylko rząd lub operator.

Dlatego warto mieć token sprzętowy, jak wspomniany YubiKey.

@Piotr J. pod warunkiem, że zaufasz właścicielom tych usług.

@ Anna Obem (Fundacja Panoptykon): "Zainstaluj w przeglądarce wtyczki, które blokują reklamy, chronią przed śledzeniem Twojej aktywności w sieci, pomagają zarządzać ciasteczkami:"

W Firefoksie to są ROZSZERZENIA (extensions), a nie wtyczki.

Harlock: "pod warunkiem, że zaufasz właścicielom tych usług"

Oczywiście to dopiero wstęp. Podstawą jest szyfrowanie end-to-end. Ale lepiej mieć konto pocztowe płatne, u dostawcy, który stawia na prywatność. Opłata jest właśnie za to, że serwer pocztowy jest lepiej zabezpieczony i nie sprzedaje informacji o treści prywatnych maili. Konta te mają też różne inne fajne bonusy.

Ini merespons lava tour merapi perubahan yang memindahkan kita dari era industri komando dan jasa spembuatan logo kontrol, ke zaman intelektual berbasis masyarakat dan manusia. Para manajer sekarang memiliki peran penting dalam memberi inspirasi, tidak mewajibkan, kinerja. Hal ini membutuhkan komunikasi, lava tour merapi jogja pengasuhan dan minat yang besar pada setiap karyawan. Siapa yang lebih baik dalam hal ini? Mari kita lihat biologi.Otak laki-laki yang terlatih secara spatially, kompetitif, agresif dan jasa seo mengambil risiko yang ditandai oleh biologi laki-laki sejak awal, berhasil di era agraris dan industri. Manusia benar menurut sifat mereka; Banjir testosteron kemeja pria di otak laki-laki mengaktifkan saklar dan tas wanita terbaru bahan kimia yang menentukan otak laki-laki untuk bersaing, mendominasi, dan menang. Di zaman rekayasa, mesin, produktivitas dan dominasi lingkungan, pemikiran laki-laki sangat sesuai.Namun, wanita tidak menerima banjir testosteron

Dodaj komentarz