Cum sa ne facem viata virtuala mai sigura

Sursa foto Reuters

In 2013, se implinesc 5 ani de cand am un cont de Facebook si 3 ani de cand am un blog. Fac ca toata lumea rezervari pe internet si, uneori, chiar si cumparaturi. Aveam impresia ca stiu sa utilizez toate aceste instrumente in siguranta si ca suntem cumva feriti de intamplari nefaste.

Insa in ultimele 3 saptamani am aflat cat de departe suntem de a ne controla cu adevarat viata virtuala:

• Blogul meu a fost atacat de un malware ceea ce a facut ca, pentru 2 zile, sa nu-l mai puteti citi decat cu riscul de a fi infectati. Am simtit frustrare pentru ca nu reuseam sa rezolv problema iar prelungirea duratei ei ar fi condus la inlaturarea blogului din motoarele de cautare.
• Sotul meu s-a confruntat cu un identity thieft pe e-bay. Nu identitatea lui a fost furata dar, daca nu am fi avut totusi un grad de vigilenta, mesajul primit ne-ar fi putut pacali si am fi devenit victime.
• Un prieten a fost victima phishingului, cred, si i-a disparut din cont o suma importanta in urma unei tranzactii online. 
• O prietena a aflat ca numele ei apare intr-un dosar de frauda electronica si ca este citata la Judecatoria unui oras european. Acest lucru i-a afectat grav o serie de demersuri administrative altfel urgente.

Nu-mi spuneti ca nu vi s-a intamplat inca. Asa credeam si noi si, iata, a ajuns sa ni se intample. Ba chiar putea fi mult mai rau.

Madalin Dumitru

Am apelat la experti la securitate cibernetica, adica i-am scris lui Madalin Dumitru pe care l-am cunoscut la Bruxelles la o conferinta despre internet. Madalin, CEO la Cyber Smart Defence care se ocupa cu securitatea cibernetica, in special cu testele de penetrare si de vulnerabilitate, nu numai ca mi-a raspuns catorva intrebari dar a fost de acord sa impartasesc strategiile de aparare si prevenire cu voi. Sa invatam incet-incet cum sa ne facem viata virtuala mai sigura.

JO:Cum stim pe ce site-uri este safe sa platim cu cardul ? Cam toti comerciantii online sustin zilele astea ca au sisteme safe…

MD : Ca utilizator este destul de greu sa iti dai seama daca site-ul de pe care efectuezi cumparaturi este securizat corect sau nu. Responsabilitatea aceasta este in totalitate a proprietarilor de magazine on-line sa verifice cat de securizat este site-ul lor, pentru a oferi credibilitate si pentru a nu pierde clienti in cazul unui atac informatic care ar putea avea ca efect furtul bazelor cu datele clientilor.

Totusi ca utilizator poti sa ai in vedere urmatoarele aspecte:

1. Sa verifici daca magazinul on-line de unde doresti sa faci o achizitie sau sa efectuezi o tranzactie este facut de o companie serioasa de profil, eventual sa consulti portofoliul de lucrari al companiei respective.

2. Sa verifici daca magazinul on-line este detinut de o companie reala, sa verifici daca se regasesc pe website: datele de contact si numarul de inregistrare ale companiei etc.

3. Sa vezi de catre ce companie de hosting este gazduit site-ul (magazinul on-line) respectiv, daca este o companie respectabila de hosting.

4. Sa observi sau sa-i intrebi pe reprezentantii magazinului online daca au fost supusi unui audit de securitate extern si ce calificativ au primit.

In concluzie: poti sa faci cumparaturi online cu incredere insa trebuie sa faci o minima verificare. Un magazin on-line tip open-source si gazduit pe  servere shared (impreuna cu multe alte site-uri) sau extrem de ieftine si cu masuri de securitate cibernetice precare iti pot pune niste semne de intrebare.

JO:E ok sa trimitem datele cardului prin mail unei companii despre care stim ca e onorabila ? Exista situatii in care ni se solicita o astfel de plata, in UE sau chiar in SUA.

MD : Nu, nu este ok. O companie serioasa nu cere datele cardului dvs prin email.  Exista o multime de metode de plata securizate prin care se pot face plati.

JO:Online banking-ul este safe ?

MD: Cele mai multe sisteme de internet banking sunt corect securizate. Bancile acorda o atentie sporita sistemelor de internet banking. Pot sa spun ca este domeniul cu cele mai sigure metode de plata. Totusi, in rapoartele noastre de audit de securitate cibernetica si facand teste de vulnerabilitate la institutii bancare, nu de putine ori am descoperit vulnerabilitati de diverse tipuri dar care s-au rezolvat foarte rapid la indicatiile noastre.

In concluzie sistemele de internet banking sunt printre cele mai sigure metode de plata insa vreau sa subliniez ca o atenta monitorizare a securitatii nu strica absolut deloc J

JO:Daca avem nevoie sa transmitem datele cardului cuiva apropiat (copil, parinte, partener) pentru ca acesta sa faca o tranzactie urgenta, care este calea cea mai sigura ?

MD : Este bine sa evitam astfel de situatii dar daca totusi nevoia o impune as propune sa se trimita catre persoana respectiva o parte din numarul cardului prin email, o alta parte prin sms si codul cvv2 telefonic sau prin Skype. Astfel evitam o posibila interceptare a tuturor datelor cardului de catre persoane neautorizate sau daca acest lucru s-ar intampla datele nu ar fi complete pentru a putea fi folosite fraudulos.

JO: Cum ne putem proteja mai bine conturile de email, ebay, facebook etc ?

MD : Trebuie sa folosim parole cat mai complexe, unice pe site (diferite) daca este posibil, update-uri pentru: sistemul de operare, browser, flash, java etc + antivirus si un firewall instalat.

Cand ne logam pe unul dintre conturi trebuie sa verificam daca adresa URL (link-ul din browser) corespunde cu site-ul pe care ne logam si daca conexiunea se face prin SSL.

Nu trebuie deschise atasamente de la persoane necunoscute si trebuie sa ne deconectam din contul respectiv dupa ce am terminat.

As mai vrea sa recomand sa nu pastrati in browser parole in functia autocomplete , deoarece exista vulnerabilitati de browser care pot extrage baza de date cu parolele salvate in browser.

 JO: Ce facem impotriva unui atac informatic al site-ului nostru ? E mai bine sa fie un blog pe o platforma online (blogger in cazul meu) sau un domeniu propriu gazduit undeva ? Cum alegem hostingul ?

MD : Datorita faptului ca ne ocupam exact cu securizarea site-urilor si a platformelor online pot sa spun doar ca cea mai buna metoda de aparare este preventia. Trebuie sa gandim proactiv si sa verificam securitatea site-ului (blog-ului) nostru inainte de a fi “verificat “ de catre cei rai J.

Un test de penetrare sau un test de vulnerabilitate care sa ne indice toate vulnerabilitatile identificate, impactul lor asupra site-ului precum si solutia de rezolvare a vulnerabilitatilor respective este exact ce trebuie facut pentru a preveni situatii neplacute de genul: furtul bazelor de date, deface (modificarea paginilor site-ului,  fiind inlocuite cu pagini false sau poze cu caracter denigrant ), etc.

Prejudiciile unor astfel de atacuri nu sunt numai de ordin material ele pot fi si prejudicii de imagine care de multe ori pot fi mult mai daunatoare asupra unei companii sau persoane.

De cele mai multe ori in cazul atacurilor cibernetice care au ca scop furtul bazelor de date, detinatorii site-ului sau al serverului respectiv nici nu stiu ca acest lucru s-a intamplat J

JO:Putem evita cumva sa ni se fure identitatea, sa minimizam riscul de a fi implicati intr-un proces de frauda electronica  ?

MD : Cu o atentie sporita asupra modului in care desfasuram tranzactii online, respectand sfaturile precizate anterior si gandind intr-un mod preventiv se pot preveni multe amenintari de acest gen.

JO: Ce companii ar trebui sa ceara sprijin profesionist pentru siguranta electronica?

MD : Absolut toate companiile sau persoanele care desfasoara activitate online sau detin baze de date, au nevoie de servicii profesioniste de securitate cibernetica. Compania noastra Cyber Smart Defence ofera consultanta specializata pe parte de securitate cibernetica si prevenire a atacurilor cibernetice, prin realizarea de teste (simulari real world) de penetrare, teste de vulnerabilitate care au menirea de a evidentia si rezolva problemele de securitate identificate. Cum spune si sloganul nostru “Better safe than sorry”

In conditiile in care fraudele si criminalitatea cibernetica sunt intr-o continua crestere pe fondul migrarii lumii intregi in mediul online si pentru ca hotii s-au mutat de pe strada in online unde sunt acum banii, suntem obligati sa prevenim aceste amenintari si sa ne adaptam situatiilor impuse.

De ce suntem noi diferiti fata de companii similar din domeniul securitatii cibernetice? Pentru ca folosim hackeri adevarati , hackeri etici care au experienta si mentalitatea necesara pentru a identifica, exploata si raporta atat cele mai critice vulnerabilitati precum si cele noi aparute (0day). Folosim cu precadere inteligenta umana pentru a crea si testa cele mai securizate sisteme informatice.