Seorang teman saya bertanya kepada saya hari ini tentang kebersihan perilaku digital. Saya akan mencoba menjelaskan secara singkat prinsip-prinsip tersebut dengan mengikuti mana Anda akan meningkatkan tingkat keamanan Anda di jaringan.
Dalam artikel ini saya mencoba untuk beralih dari saran yang benar-benar dangkal menjadi sangat sulit untuk diterapkan. Setiap orang harus memutuskan sendiri tingkat keamanan apa yang dapat diterima secara pribadi untuknya. Semuanya persis sama dengan brankas: ada brankas untuk seratus dolar, ada brankas untuk seratus ribu dolar. Adalah bodoh untuk menyimpan jutaan dolar di bagian pertama, dan beberapa hal kecil di bagian kedua.
Jika Anda memiliki informasi penting, dan Anda takut kehilangannya, dan pemikiran bahwa informasi ini dapat membuat musuh Anda membuat Anda takut, maka Anda harus memikirkan keamanan informasi.
Yah, menganggap serius perlindungan data saat data tidak ada biaya adalah buang-buang waktu.
Prinsip keamanan
Jika Anda ingin melindungi informasi Anda, maka hal pertama yang perlu Anda lakukan adalah memahami prinsip-prinsip dasar.
Jika Anda memiliki pengalaman dalam keamanan informasi, maka dengan berani bukalah bab selanjutnya.
Sejauh penuh tentang ini dapat ditemukan dalam buku karya Kevin Mitnik, berjudul The Art of Deception. Ada sejumlah besar cerita tentang masalah yang dihadapi perusahaan karena mereka tidak mengajari karyawan mereka prinsip dasar melindungi informasi mereka.
Tetapi jika Anda masih memberikan beberapa tips universal, maka akan menjadi seperti ini:
- Jangan gunakan kata sandi mudah: kata sandi yang mungkin dikaitkan dengan Anda atau ditemukan dalam kamus.
- Jangan gunakan kata sandi yang sama untuk layanan yang berbeda.
- Jangan menyimpan kata sandi dalam teks yang jelas (sejarah terbaru dengan google-dokumen yang diindeks oleh Yandex, itu menunjukkan).
- Jangan memberi tahu siapa pun kata sandi. Bahkan staf pendukung.
- Jangan gunakan jaringan Wi-Fi gratis. Dan jika Anda menggunakan, berhati-hatilah dan cobalah untuk tidak bekerja di situs tanpa koneksi https.
Anda akan belajar lebih banyak dari buku. Banyak cerita menarik dijelaskan di sana, dan meskipun beberapa di antaranya sudah usang karena kemajuan, esensi itu sendiri tidak akan pernah berhenti menjadi relevan.
"Siapa yang butuh aku?"
Orang-orang sering mengajukan pertanyaan seperti itu dalam hal perlindungan data. Sesuatu seperti: "Mengapa perusahaan membutuhkan data saya?" atau "Mengapa seorang hacker harus meretas saya?" Tidak mengerti bahwa mereka tidak bisa diretas. Layanan itu sendiri dapat diretas dan semua pengguna yang terdaftar dalam sistem akan menderita. Artinya, penting tidak hanya untuk mematuhi aturan keamanan informasi, tetapi juga untuk memilih alat yang tepat yang Anda gunakan. Untuk membuatnya lebih jelas, saya akan memberikan beberapa contoh:
Saat sedikit diperburukHanya beberapa hari yang lalu, kita semua mengetahui bahwa aplikasi Burger King, yang terletak di Google Play dan Apple Store, merekam semua yang dilakukan pengguna. Dan sama sekali tidak ada data yang dianonimkan, seperti yang dikatakan oleh perwakilan Burger King. Secara harfiah semua dicatat: bagaimana pengguna memasukkan nama depannya, nama belakang, alamat, dan bahkan informasi kartu kredit. Video selalu direkam.
Apakah Anda berpikir bahwa ini adalah satu-satunya aplikasi yang menangkap semua yang Anda lakukan di dalamnya?
AppSeeSaya bekerja untuk perusahaan perangkat lunak. Dan kami punya beberapa kasing.
Pada bulan Februari 2016, klien dengan aplikasi seluler datang kepada kami dan diminta untuk menambahkan beberapa fungsionalitas di sana.
Kami melihat kode dan melihat bahwa benda analitik bernama AppSee sedang digunakan. Mereka meminta pelanggan untuk mengaksesnya, dan dia menjawab bahwa dia sendiri tidak tahu dari mana asalnya, dan bahwa tidak ada akses ke sana. Kami berbicara dengan dukungan untuk waktu yang lama dan menghabiskan banyak waktu untuk memulihkan akses. Dan mereka melihat bahwa pengembang sebelumnya mengatur AppSee untuk merekam video dari beberapa layar. Dan beberapa layar adalah tempat di mana pengguna memasukkan kartu kredit atau data paypal.
Enkripsi kata sandiKasus kedua adalah ketika seorang pelanggan datang kepada kami dengan proyek yang agak besar, di mana terdapat sekitar dua juta pengguna terdaftar. Kami mulai bekerja, pelanggan memberi kami akses ke kode dan database. Dan dalam database semua kata sandi pengguna dalam bentuk tidak terenkripsi.
Saya pikir Anda mengerti apa yang bisa menjadi konsekuensi jika pangkalan jatuh ke tangan yang buruk.
Apakah Anda yakin bahwa semua layanan yang Anda gunakan sangat sensitif terhadap keamanan, tidak menggabungkan data Anda, dan tidak akan pernah menggunakan data Anda untuk melawan Anda? Saya tidak yakin.
Dan yang terburuk: bagaimana jika layanan penyimpanan kata sandi seperti 1password, LastPass tidak dapat menyimpan kata sandi Anda dengan aman? Bagaimana jika mereka bocor? Secara pribadi, saya bahkan takut untuk memikirkannya.
Solusi yang mungkin
Bagaimana saya melihat jalan keluar? Menurut pendapat saya, ini adalah Open Source.
Menggunakan aplikasi Open Source Anda mendapatkan satu plus besar dan satu minus besar. Kelemahannya adalah kurangnya dukungan, semua risiko hanya terserah Anda. Nilai tambahnya adalah tidak ada tautan lain yang menyimpan data Anda: Anda mengecualikan kemungkinan tautan ini akan kehilangan, menjual, atau membahayakan data Anda. Tentu saja, Open Source itu sendiri bukanlah obat mujarab, dan tidak menjamin bahwa pengembang tidak akan memasukkan hal buruk ke dalam kode. Kepercayaan hanya bernilai proyek-proyek di mana komunitas besar.
Selanjutnya, saya akan berbicara tentang apa yang saya gunakan secara pribadi.
Saya tahu bahwa setiap topik yang mulai berbicara tentang mana yang lebih baik: mac atau win, win atau linux, masuk ke dalam perdebatan yang sia-sia. Tolong jangan lakukan itu.
Sistem operasi hanyalah alat. Dan tidak mungkin para profesional akan berpendapat bahwa mereka lebih baik menggunakan obeng atau palu. Untuk setiap kasus, mereka akan menemukan alat yang paling cocok. Mari memperlakukan sistem operasi dan perangkat lunak lain dengan cara yang sama.
Pengelola kata sandi
Bukan kebetulan di tempat pertama. Bagaimanapun, ini adalah bagian terpenting dalam keselamatan Anda. Semuanya tersimpan di sini. Dan, setelah kehilangan akses ke pengelola kata sandi, Anda bisa mendapatkan banyak masalah.
Seperti yang saya katakan sebelumnya, saya tidak tahu apa yang akan terjadi jika semua kata sandi saya bocor. Karena itu, saya menggunakan pass. Ini adalah program terminal tempat Anda dapat menyimpan kata sandi dalam bentuk terenkripsi.
Ini untuk semua sistem operasi. Ada aplikasi untuk iOS dan Android. Dan ada juga plugin untuk Chrome dan Firefox.
Program ini sepenuhnya terbuka dan gratis, menggunakan perpustakaan GPG gratis. Ini mengenkripsi setiap catatan dengan kunci GPG Anda. Menurut pendapat saya, ini adalah opsi teraman.
Sistem operasi
Menurut pendapat saya, yang paling aman adalah OS open source. Ada banyak dari mereka. Anda bisa mulai dengan yang paling mudah dipasang dan digunakan - Ubuntu. Tetapi secara pribadi, saya tidak begitu menyukainya karena memiliki berbagai layanan, seperti kontes popularitas, yang mengirimkan beberapa data ke pengembang.
Selain itu, ubunta sudah sedikit merusak reputasinya, menggunakan apa yang disebut "pencarian mata-mata" hingga versi 16.04.
Secara pribadi, saya membuat pilihan untuk Arch linux, walaupun lebih sulit untuk menginstal. Meskipun ada cukup banyak analog, saya tidak bisa mengatakan mereka lebih buruk.
Telepon pintar
Menurut pendapat saya, OS open source yang sangat baik adalah LineageOS. Ini sangat stabil dan cukup sering diperbarui. Sekarang ini adalah Android 8.1.0 yang sangat segar, yang berfungsi dengan baik. Jangan lupa untuk mengunci bootloader setelah instalasi.
Bersama-sama dengan OS gratis, saya sarankan menggunakan toko perangkat lunak gratis bernama F-Droid.
Pikirkan tentang bagaimana Anda membuka kunci ponsel cerdas Anda.
Menurut pendapat saya, membuka kunci di wajah bukanlah metode yang sangat andal, ada banyak masalah.
Sidik jari juga merupakan metode yang cukup kontroversial. Bahkan, jika Anda tidak mempercayai Google atau Apple dan tidak menggunakan sistem operasi mereka, tetapi pada saat yang sama membuka kunci ponsel dengan sidik jari Anda, maka Anda dapat mengasumsikan bahwa sidik jari Anda sudah dikompromikan. Dan Anda tidak bisa lagi menggunakan sidik jari untuk melindungi sesuatu yang penting.
Penyimpanan file
Alih-alih Google Drive atau Dropbox, saya menggunakan NextCloud di server saya. Ada beberapa plus.
- Keamanan Saya yakin tidak ada orang lain yang memiliki akses ke data saya. Dan bahkan jika itu muncul, maka semua data di NextCloud dienkripsi. Seperti Dropbox, ia memiliki klien untuk semua sistem operasi, termasuk seluler.
- Fleksibilitas. Saya dapat menggunakan jumlah penyimpanan yang saya butuhkan. Saya dapat dengan mudah menghasilkan 100GB dan 20TB.
- Plugin NextCloud menawarkan beberapa add-on yang cukup praktis. Seperti catatan, kalender, task manager. Dan semua ini disinkronkan dan juga berfungsi pada smartphone.
Browser
Mungkin sama dengan paragraf sebelumnya. Yang terbaik adalah menggunakan browser open source: Firefox, Chromium, Brave, Icecat. Dalam hal kemudahan penggunaan dan karakteristik lainnya, mereka tidak kalah dengan krom yang sama.
Mesin pencari
Saya tidak terlalu menyukai kenyataan bahwa mesin pencari tahu terlalu banyak tentang saya. Berikut adalah contoh dari apa yang Google ketahui tentang Anda.
myactivity.google.com/myactivitymaps.google.com/locationhistoryadssettings.google.com/authenticated?hl=idSaya harus mengatakan bahwa Google sangat bagus dalam mencari. Ada beberapa analog gratis yang menghargai privasi Anda. Bahkan, hanya ada DuckDuckGo yang tidak terlihat sempurna.
Enkripsi on-the-fly
Ada beberapa program seperti TrueCrypt yang memungkinkan Anda mengenkripsi informasi Anda dengan cepat.
TrueCrypt sendiri dianggap paling andal untuk enkripsi disk lengkap atau pembuatan wadah. Namun di sini hanya pengembang yang mempublikasikan pesan di mana mereka menyarankan semua pengguna untuk beralih ke Bitlocker. Dalam pesan ini, masyarakat melihat apa yang disebut "kesaksian kenari," yaitu, upaya untuk mengatakan sesuatu tanpa mengatakan apa-apa dan memberikan sedikit tanda ketidaktulusan mereka. Sejak pengembang selalu diejek Bitlocker.
Selain itu, beberapa pengguna ingin melakukan fork proyek. Tetapi penulis TrueCrypt menjawab dengan singkat dan ringkas: βIni sangat menyesal, tapi saya pikir Anda meminta hal yang mustahil. Saya tidak berpikir garpu TrueCrypt adalah ide yang bagus. "
Berdasarkan ini, saya percaya bahwa TrueCrypt, dan semua analognya seperti VeraCrypt, tidak aman.
Saya tidak tahu analog lainnya. Meskipun saya mendengar tentang Tomb, saya selalu ingin mencobanya, tetapi tangan saya tidak mencapai. Jika Anda dapat menyarankan sesuatu, maka tulis di komentar.
Tambahan penting
Enkripsi seluruh diskApakah Anda tahu apa yang akan terjadi jika Anda kehilangan laptop dan orang jahat menemukannya? Ia akan menyalakannya dengan USB flash drive yang dapat di-boot dan dengan tenang mendapatkan akses ke semua data Anda.
Karena itu, sangat penting untuk mengenkripsi seluruh disk. Sehingga jika Anda kehilangan perangkat Anda, seseorang tidak dapat mengaksesnya.
Buat cadangan (dan enkripsi)Demikian pula, penting untuk tidak kehilangan semua data Anda sendiri. Karena itu, buat cadangan. Dan pastikan untuk mengenkripsi mereka. Yah, tentu saja, jangan menyimpan cadangan di media yang sama.
Melacak aksesSaat Anda menjual perangkat Anda, jangan lupa untuk menghapusnya dari akun Anda. Ini sangat penting.
myaccount.google.com/device-activitywww.dropbox.com/account/securitywww.icloud.com/#settingsPantau tingkat akses yang dibutuhkan aplikasi dan plugin Anda.
Ada situasi ketika Anda menginstal aplikasi, tetapi itu membutuhkan akses penuh ke folder Dropbox. Walaupun sepertinya aplikasi ini tidak membutuhkan akses sama sekali. Nah, dalam kasus ekstrim, tipe akses: "Folder aplikasi" akan cukup baginya. Hal-hal semacam itu untuk Dropbox dapat diperiksa di sini:
www.dropbox.com/account/connected_appsDan beberapa aplikasi memerlukan akses ke Google Drive. Saya tidak begitu mengerti mengapa mereka membutuhkan akses ke dokumen saya. Ini dapat diperiksa di tautan ini:
myaccount.google.com/permissionsOtentikasi dua faktorGunakan otentikasi dua faktor di mana pun Anda bisa. Ini adalah lapisan keamanan ekstra yang sangat efektif. Ada beberapa jenis di antaranya.
- Kata sandi yang disinkronkan waktu. Menurut pendapat saya, salah satu opsi otentikasi dua faktor yang paling umum, aman, dan paling berhasil. Anda ditunjukkan kode QR yang perlu Anda foto dengan aplikasi, dan Anda akan melihat garis dengan kata sandi satu kali Anda yang berubah setiap 30 detik. Saya sarankan Anda entah bagaimana menyimpan gambar kode QR ini atau menggunakan aplikasi yang dapat mengekspor database dengan catatan Anda.
- Kunci perangkat keras FIDO U2F. Menurut pendapat saya, ini juga pilihan yang cukup bagus, tetapi saya bingung dengan beberapa poin. Misalnya, tidak jelas apa yang harus dilakukan jika kunci ini rusak dan hanya berhenti berfungsi. Namun, ini adalah teknik, dan teknik apa pun yang pernah rusak. Juga, saya tidak mengerti apa yang harus dilakukan jika saya kehilangannya.
- Daftar kata sandi satu kali adalah opsi yang layak jika tidak ada yang lain. Masalah dengan opsi ini adalah bahwa pengguna akan paling sering menyimpan kata sandi dan daftar kata sandi satu kali di satu tempat.
- Otentikasi SMS. Saya benar-benar tidak menyukai metode ini, dan saya berusaha untuk tidak menggunakannya, meskipun kadang-kadang tidak berhasil, karena beberapa layanan hanya menawarkannya. Masalahnya adalah ada begitu banyak cara untuk mendapatkan nomor telepon Anda.