Πώς να προφυλάξεις καλύτερα την ψηφιακή σου ζωή
- 28 ΣΕΠ 2016
Με δεδομένο ότι η πολυπλοκότητα της διασύνδεσης περισσότερων ψηφιακών συστημάτων (βλ. διαχείριση έξυπνων πόλων, αυτόνομη οδήγηση, Internet of Things, ανάλυση δεδομένων μεγάλου όγκου κ.α) γεννά καθημερινά νέες ανάγκες και ερωτήματα γύρω από την ψηφιακή ασφάλεια, δημιουργώντας παράλληλα ένα μεγάλο πεδίο επαγγελματικών ευκαιριών, είναι σίγουρο ότι ήρθε η ώρα να δούμε με πολύ μεγαλύτερη προσοχή το θέμα της προστασίας μας στο ψηφιακό σύμπαν. Τόσο από την πλευρά του τελικού χρήστη, όσο (για κάποιους) και από την πλευρά εκείνου που ενδεχομένως έχει να προτείνει καινοτόμες και πιο αποτελεσματικές λύσεις.
Ο Γιάννης Σολδάτος, μηχανικός υπολογιστών, ερευνητής, επιχειρηματικός σύμβουλος και καθηγητής στο τεχνολογικό κολλέγιο Athens Tech College (στο πρόγραμμα σπουδών του συμπεριλαμβάνεται και Msc in Advance Software Engineering / Information Security) εξηγεί σχετικά: “Ο χώρος της ψηφιακής ασφάλειας είναι ένας από τους δυναμικά αναπτυσσόμενους τεχνολογικούς τομείς. Όσο αυξάνεται η πολυπλοκότητα των ψηφιακών συστημάτων και μεγαλώνει ο όγκος των διαφόρων διασυνδεδεμένων συσκευών – από έναν απλό αισθητήρα μέχρι τα αυτοδηγούμενα οχήματα – τόσο προκύπτουν ανάγκες που γεννούν ευκαιρίες. Σίγουρα είναι ένα δύσκολο πεδίο εφαρμογών, αλλά η ουσιαστική πρόκληση είναι να διαφοροποιηθείς από αυτό που προσφέρουν ήδη οι μεγάλες εταιρείες ψηφιακής ασφάλειας, εστιάζοντας ίσως σε επιμέρους ζητήματα. Επιπλέον, η υποχρεωτική εφαρμογή πριν από τον Μάιο του 2018 μιας νέας ευρωπαϊκής οδηγίας για την αποτελεσματικότερη προστασία των προσωπικών μας δεδομένων θα αυξήσει σημαντικά τη ζήτηση για μηχανικούς που ειδικεύονται στο κομμάτι της ασφάλειας”.
Όπως αναλύει ο καθηγητής, υπάρχουν κάποιες στοιχειώδεις πρακτικές βάσει των οποίων κινούνται τόσο οι μαθητευόμενοι χακτιβιστές μέχρι οι πιο οργανωμένες ομάδες με hackers, προκειμένου να σπάσουν κωδικούς πρόσβασης.
> Ο πιο κλασικός τρόπος είναι να μαντέψεις το password του άλλου. Το οποίο, φυσικά, δεν γίνεται δοκιμάζοντας χειροκίνητα λέξεις ή συνδυασμούς λέξεων, αλλά μέσω προγραμμάτων που μπορεί κάποιος να βρει και έτοιμα, σε κάποιες πιο σκοτεινές γωνιές του Διαδικτύου. Πρόκειται για εργαλεία που απευθύνονται σε όλους όσοι θέλουν να δοκιμάσουν τις δυνάμεις τους ως wannabe hackers ή crackers (αυτοί που παραβιάζει ένα υπολογιστικό σύστημα με κακόβουλες προθέσεις).
> Τα εργαλεία αυτά τους επιτρέπουν να δημιουργούν αυτοματοποιημένα και γρήγορα συνδυασμούς με βάση στοιχεία που μπορεί να γνωρίζουν ήδη για το υποψήφιο θύμα τους, όπως το ονοματεπώνυμο, η ημερομηνία γέννησης, το όνομα ενός κατοικίδιου, η πόλη κατοικίας, η χρονιά αποφοίτησης κ.α. Η συλλογή τέτοιων στοιχείων μπορεί να γίνει επίσης από ανοικτά προφίλ στα social media ή αν ο επιτιθέμενος καταφέρει να γίνει ‘φίλος’ με το θύμα του, οπότε πλέον έχει απευθείας πρόσβαση σε πολύ περισσότερες πληροφορίες.
> Άλλα εργαλεία χρησιμοποιούν τους πιο κοινούς αλγόριθμους κρυπτογράφησης και ανατρέχοντας ταχύτατα σε ολόκληρο το λεξικό μίας ή περισσοτέρων γλωσσών (η επεξεργαστική ισχύς ακόμα και ενός smartphone είναι πλέον ασύλληπτη) προσπαθούν να μαντέψουν τυχαία passwords. Γι αυτό και η πιο συνήθης συμβουλή είναι η δημιουργία μιας φράσης – κλειδί που να περιέχει επίσης σύμβολα, αριθμούς και αναγραμματισμούς, έτσι ώστε να μην βγάζει νόημα σε καμία γλώσσα και να μην συνδέεται με τα δημογραφικά μας στοιχεία. Το ίδιο συμβαίνει και στο επίπεδο του λειτουργικού συστήματος και έτσι λειτουργεί ο κωδικός πρόσβασης που πρέπει να έχουμε για να συνδεθούμε στο PC, το smartphone ή ακόμα και την παιχνιδομηχανή – γι αυτό και οι βιομετρικού τύπου λύσεις προστασίας, όπως το δακτυλικό αποτύπωμα και η αναγνώριση των χαρακτηριστικών του προσώπου, θεωρούνται πιο ασφαλείς, πέραν του ότι είναι πιο πρακτικές.
> Εμβαθύνοντας λίγο περισσότερο, ο Γιάννης Σολδάτος αναφέρεται σε μια άλλη περίπτωση παραβίασης και υφαρπαγής δεδομένων μέσω των ασύρματων, WiFi συνδέσεων. Όταν για παράδειγμα χρησιμοποιούμε παλιά πρωτόκολλα κρυπτογράφησης όπως το WEP (Wireless Encryption Protocol), είναι σχετικά εύκολο για κάποιον με βασικές γνώσεις και τα κατάλληλα εργαλεία να μπει στο δίκτυο μας. Υπάρχουν, βέβαια και ποιο απλές μέθοδοι εξαπάτησης, όπως η δημιουργία ενός ελεύθερου WiFi δικτύου με πρόσβαση στο Διαδίκτυο και όνομα παραπλήσιο μιας γνωστής επιχείρησης (όπως ένα καφέ) σε κάποιο πολυσύχναστο μέρος (ένα αεροδρόμιο). Πολλοί, απρόσεκτοι χρήστες, αναζητώντας βιαστικά σύνδεση στο Internet, είναι πολύ πιθανό να συνδεθούν, απολαμβάνοντας τη δωρεάν πρόσβαση, ενώ την ίδια ώρα αυτός που έχει δημιουργήσει το WiFi δίκτυο θα υποκλέπτει στον αέρα τα δεδομένα τους (το λεγόμενο sniffing data). “Αυτές είναι απλές μέθοδοι hacking που δεν απαιτούν ιδιαίτερα εξιδεικευμένη γνώση”, υποστηρίζει ο καθηγητής.
Κανόνας #1
“Οπρώτος και βασικός κανόνας είναι να είμαστε πάντα υποψιασμένοι. Όπως ακριβώς λειτουργούμε στον φυσικό κόσμο και δεν δίνουμε εύκολα το κλειδί του σπιτιού μας σε κάποιον, ούτε το αφήνουμε κάτω από το χαλάκι της εξώπορτας, έτσι πρέπει να λειτουργούμε και στον ψηφιακό κόσμο. Οι περισσότερες παραβιάσεις συστημάτων απαιτούν την ακούσια συμμετοχή του χρήστη. Ο οποίος θα παρασυρθεί και θα δώσει στοιχεία, πέφτοντας στην παγίδα του phishing (απαντώντας σε ένα παραπλανητικό email) ή θα κάνει το λάθος να ανοίξει ένα μολυσμένο αρχείο, να πατήσει σε ένα link για δει κάποιο βίντεο από μη αξιόπιστη πηγή. Έτσι εκείνη τη στιγμή θα ανοίξει την πόρτα του υπολογιστή ή της συσκευής του σε αυτόν που παραμονεύει να εισβάλει στη ζωή του. Κανένα σύστημα δεν θα μας προστατέψει αν δεν προσέχουμε εμείς οι ίδιοι”, υπογραμμίζει ο καθηγητής του Athens Tech College.
Κανόνας #2
Ο δεύτερος κανόνας είναι να ακολουθούμε τους κανόνες. Όσο και αν οι διαδικασίες ασφαλείας φαίνονται κουραστικές (ή ακόμα και εκνευριστικές σε κάποιους), είναι σημαντικό να κάνουμε αυτό που μας ζητείται, όπως για παράδειγμα να αλλάζουμε σε προκαθορισμένα διαστήματα το password ή να χρησιμοποιούμε μεθόδους διπλής επιβεβαίωσης ταυτότητας του χρήστη (Two Factor Authentication – 2FA). Τέτοια είναι για παράδειγμα η αποστολή ενός δεύτερου κωδικού σε άλλη προσωπική συσκευή με SMS, όταν δοκιμάζουμε να συνδεθούμε σε μία online υπηρεσία. Μπορεί μερικές φορές να φαίνεται χρονοβόρα και πιο περίπλοκη διαδικασία, ωστόσο είναι πολύ πιο αποτελεσματική και μας προφυλάσσει καλύτερα. “Οι λεγόμενες πολιτικές ασφαλείας έχουν προκύψει λαμβάνοντας υπόψη αναρίθμητα προηγούμενα περιστατικά ψηφιακής παραβίασης και βέβαια την ανθρώπινη συμπεριφορά, που είναι συνήθως ο αστάθμητος παράγοντας”, υπενθυμίζει ο Γιάννης Σολδάτος.
Και τονίζει, πως για την ψηφιακή ασφάλεια μας παίζει σημαντικό ρόλο και το πόσο εξελιγμένη είναι η τεχνολογική υποδομή της επιχείρησης ή του φορέα που φιλοξενεί μια online υπηρεσία και συχνά διαχειρίζεται ευαίσθητα δεδομένα. Εκεί εντοπίζεται το μεγαλύτερο πρόβλημα όταν πρόκειται για μικρομεσαίες επιχειρήσεις, καθώς πολλές φορές δυσκολεύονται λόγω περιορισμένων πόρων (ανθρώπινων και οικονομικών) να παρακολουθήσουν τις εξελίξεις και να λάβουν έγκαιρα τα μέτρα τους.
Κανόνας #3
Τρίτος κανόνας προστασίας είναι να μην χρησιμοποιούμε παντού (σε email accounts, social media, ecommerce πλατφόρμες και κυρίως στο web banking) το ίδιο μοναδικό password. Αυτό θα μας προφυλάξει στην απευκταία περίπτωση που κάποιος κωδικός σπάσει ή διαρρεύσει, ώστε αυτός που θα τον έχει στα χέρια του να μην αποκτήσει στη στιγμή πρόσβαση σε κάθε πτυχή της ψηφιακής μας ζωής.
Κανόνας #4
Είναι αναγκαίο να χρησιμοποιούμε στον υπολογιστή και τις mobile συσκευές κάποια λύση ψηφιακής ασφάλειας, αυτά τα προγράμματα ή τα app που κάποτε τα λέγαμε ‘antivirus’. Υπάρχουν αποτελεσματικά εργαλεία που διατίθενται ακόμα και δωρεάν. Και προσοχή: Αν δεις ξαφνικά να ανοίγει στην οθόνη ένα παράθυρο που σε ‘ενημερώνει’ ότι μόλις κόλλησες έναν απίθανα καταστροφικό ιό και σε καλεί να πατήσεις αμέσως κάποιο link για να βρεις τη γιατριά μην το κάνεις… Αυτό είναι μια απλή και συχνά αποτελεσματική διαδικασία ψηφιακού ψαρέματος που παίζει με τα αντανακλαστικά σου και προσπαθεί να σε παρασύρει να κάνεις τη λάθος κίνηση.
Κανόνας #5
Όσο και αν ίσως δυσκολεύεσαι να κατανοήσεις περί τίνος πρόκειται – αν και το χρησιμοποιείς από τότε που απέκτησες το πρώτο σου email στο Yahoo, το Hotmail, το Gmail και πάει λέγοντας, γι αυτό και μπορείς να έχεις πρόσβαση σε αυτό από παντού – τα αρχεία σου είναι καλύτερα προστατευμένα στο Cloud, παρά στον σκληρό δίσκο του υπολογιστή σου ή στην κάρτα μνήμης που έχεις στο smartphone. “Πέραν της φυσικής απώλειας, κλοπής ή καταστροφής είναι πολύ πιο εύκολο για κάποιον hacker να εισβάλει σε έναν προσωπικό υπολογιστή ή μια συσκευή και είναι εξαιρετικά δύσκολο έως απίθανο, χρονοβόρο και ριψοκίνδυνο να παραβιάσει συστήματα ασφαλείας που χρησιμοποιούνται για την προστασία και την κρυπτογράφηση δεδομένων στο Cloud”, λέει ο Γιάννης Σολδάτος, από τη θέση του ειδικού.
Οι ιστορίες που ακούς κατά καιρούς, για κλοπές φωτογραφιών και βίντεο από online λογαριασμούς διασημοτήτων και συνηθέστερα εκκολαπτόμενων σταρ προκύπτουν από τη δική τους αμέλεια – ή ακούσια συμμετοχή, αφού μπορεί να επιμένουν να χρησιμοποιούν για password το μικρό τους όνομα συνοδευόμενο από το έτος γέννησής τους.