Защита на лични данни

Кибер застраховката е инструмент за покриване на рисковете, свързани със загуба на данни и информационни ресурси. В България този финансов продукт все още се счита за екзотичен. Реалността обаче е такава, че популярността му тепърва ще расте.

Световният пазар за кибер застраховки се оценява на 4.2 млрд. долара през 2017 г. от консултантската компания Zion Market Research. Според нейните прогнози оборотът на пазара трябва да нарасне през 2020 г. до 22.8 млрд. долара.

Повече опасности

Една от основните причини за този очакван ръст е зачестяването на кибератаки от всякакъв вид. Тъй като всички бизнеси работят с лични данни, на практика всяка компания с ИТ инфраструктура е застрашена от такива атаки.

Така например компаниите, занимаващи се с онлайн търговия, са пострадали от 4000 инцидента през 2016 и 2017 г. Около 16% от компаниите са отчели над 1 млн. долара загуба като резултат от кибератаки според данните на Zion Market Research.

Защита срещу източване на данни

Кибер застраховките са подходящи за всякакъв вид компании, но са особено важни за фирми, които работят с големи обеми лични данни като например банки, телекоми, здравни заведения, консултантски и маркетингови агенции, аутсорсинг компании и т.н. „Всеки, който разполага с много данни и извършва високорискова дейност в интернет, дори големите банкови институции, биха се защитили така. Това е един вид Гражданска отговорност, толкова популярно би трябвало да бъде“, посочва Спас Иванов, експерт по киберсигурност.

Тези застраховки покриват различни рискове и ограничават загубите при неочаквани или злонамерени инциденти с информационните ресурси на компанията. Освен застрахованата компания те покриват и отговорността на фирмата спрямо нейни клиенти и контрагенти за реализирани от тях загуби.

Загуба на данни заради срив в системата

Всеки срив в информационните системи на компанията носи със себе си риск от загуба на данни. Тук не говорим само за претоварване на информационните ресурси, но и за други заплахи като например амортизация на съррвърите или природни бедствия.

Злонамерена атака и източване на данни

Кибератаките срещу организации се увеличават. Дали ще са под формата на рансъмуер или друг вид малуер, който компрометира информационните системи, тези атаки могат да имат сериозни последствия върху разходните пера на организациите.

Съвместимост с GDPR

Директивата влезе в сила през май 2018 г. и все още не е ясно каква част от фирмите в България покриват изискванията й. Съгласно директивата глобите за неспазване може да стигнат 20 млн. евро или 4% от годишния оборот на компанията(избира се по-голямото от двете). Кибер застраховките могат да покрият част от разходите, които възникват при неспазване на изискванията по GDPR.

Разходи, свързани със съдебни дела и загуба на репутация

Пробивите и изтичането на лични данни могат да доведат до съдебни дела и загуба на репутация. Кибер застраховката може да покрие тези разходи.

 

Личните данни на 29 млн. души са били откраднати заради уязвимост във Facebook, съобщи компанията-собственик на социалната мрежа. Първоначалните прогнози бяха, че атаката е засегнала поне 50 млн. потребителски профили.

Колко профили са засегнати

Организаторите на атаката са получили достъп до имената, телефонните номера и имейлите на 15 млн. потребители.

За други 14 млн. потребители те са събрали много по-детайлна информация. Освен име, телефонен номер и имейл, тази информация включва още пол, религия, местоживеене, рожденна дата, видове използвани устройства за достъп до Facebook, образование, месторабота, места, на които потребителят се е тагнал, последните 15 търсения в търсачката на Facebook и други чувствителни данни.

За 1 млн. потребители уязвимостта не е довела до кражба на лични данни. Техните профили обаче също са били достъпни и с тях общият брой на засегнатите от атаката се качва до 30 млн.

Как е осъществена атаката

По данни на Facebook атаката е осъществена със скрипт, който подобно на верижна реакция е получавал достъп до профил на човек, след това на неговите приятели, след това на приятелите на техните приятели и т.н. Това е било възможно заради уязвимост във функцията View as.

Обикновено тази функция се използва, за да видите как изглежда профилът ви от името на ваш приятел. Но уязвимостта е направила възможно да се получи достъп до профила на човека, за когото се представяте с View as. Прочетете подробно описание на уязвимостта.

За да експлоатират уязвимостта, хакерите най-напред са получили достъп до профилите на определено количество потребители. От там, следвайки принципа на верижната реакция, атаката е достигнала до общо 30 млн. души.

Откраднати ли са чатове и лична кореспонденция

Разследването на Facebook не е открило доказателства, че организаторите на атаката са можели да четат чатовете на хакнатите потребители. Има само едно изключение и то се отнася за потребителите, които са администратори на Facebook страница. Ако по времето на атаката Facebook страницата е получавала съобщения от потребители, хакерите са можели да прочетат кореспонденцията.

Как да разбера дали профилът ми е засегнат

Към момента Facebook е предприела мерки и за потребителите вече няма опасност от изтичане на лични данни. Ако искате да разберете дали сте пострадали от атаката, отворете този линк (преди това трябва да сте влезли във Facebook).

Ако профилът ви не е засегнат, ще видите следното съобщение:

 

Социалната мрежа Facebook e най-големият източник на компрометирани лични данни през първата половина на 2018 г. Това показват резултатите от последното проучване на Breach Level Index.

През първото полугодие на годината са компрометирани над 4.5 млрд. записа на лични данни, показва изследването, което се провежда от компанията за киберсигурност Gemalto. Почти половината от тях (2.2 млрд. записа) се дължат на функция във Facebook. Тя позволява да се идентифицира потребител чрез неговия телефонен номер или имейл.
[tie_index]Уязвими от години[/tie_index]

Уязвими от години

Парадоксалното е, че функцията съществува от години. Тя ви позволява да въведете в търсачката на Facebook телефонния номер на конкретен човек и така да откриете профила му, без да знаете нищо друго за него.

Едва през април 2018 г. Facebook обяви, че с тази функция се злоупотребява от много време. „Предвид мащабите на активността, която наблюдаваме, ние смятаме, че повечето потребители на Facebook са били застрашени от кражба на лични данни“, съобщиха тогава от компанията.

След като Facebook обяви публично за опасността от изтичане на данни, функцията беше деактивирана. Дотогава тя можеше да бъде изключена ръчно от настройките на профила, но няма информация каква част от потребителите са се сетили да го направят. „Бих предположил, че ако функцията е била включена, данните ви в някакъв момент са попаднали в някого“, заяви Марк Закърбърг, основател и главен изпълнителен директор на Facebook.
[tie_index]Един от много пробиви[/tie_index]

Един от много пробиви

Социалната мрежа разполага с 2.2 млрд. потребители, което слага този инцидент на върха в класацията на Breach Level Index. Освен него тази година Facebook беше забъркана и в още поне два скандала с изтичане на лични данни.

Единият се завъртя около компанията за анализ на данни Cambridge Analytica. Самата Facebook призна, че Cambridge Analytica е използвала социалната мрежа, за да събере данни за 87 млн. нейни потребители.

Другият избухна в края на септември и не попада в разглеждания от проучването период. Тогава Facebook обяви, че данните на 50 млн. потребители са били достъпени заради уязвимост във функцията View as.
[tie_index]Пробивите намаляват, компрометираните данни се увеличават[/tie_index]

Пробивите намаляват, компрометираните данни се увеличават

На световно ниво през първото полугодие на 2018 г. са разкрити общо 945 пробива на лични данни, което е с 18% по-малко спрямо същия период на предходната година. Като обем на засегнати потребителски профили обаче бройката се увеличава със 133% до 4.5 млрд. и основната причина за това е именно събирането на данни през търсачката на Facebook.

Общо 56% от всички пробиви на данни са причинени от външно лице, а около една трета се дължат на случайна загуба – например изгубен лаптоп или незащитена база данни.
[tie_index]Най-големите пробиви на данни според Breach Level Index[/tie_index]
[box type=“warning“ align=“alignleft“ class=““ width=““]

Най-големите пробиви на данни според Breach Level Index*

Какво и защо причинява изтичането на огромни количества лични данни? Breach Level Index дава за пример четирите най-големи пробива за полугодието.

1. Facebook

Засегнати потребители: 2.2 млрд.

Социалната мрежа откри, че външни лица използват функцията за откриване на потребители чрез телефонни номера, за да събират лични данни. Класирането е направено не само на база броя на засегнатите потребители, но и на сериозността на пробива.

2. Aadhaar

Засегнати потребители: 1.2 млрд.

Индийската система за раздаване на идентификационни номера беше хакната, а авторите на атаката започнаха да продават достъп до нея. Оказа се, че всеки може да си плати, за да получи име, адрес, телефонен номер и снимка на някой от 1.2 млрд. жители на Индия.

3. Exactis

Засегнати потребители: 340 млн.

В края на юни експертът по информационна сигурност Вини Троя съобщи, че е открил незащитена база данни на Exactis – компания, която събира данни и ги продава за маркетингови цели.

4. Under Armour

Засегнати потребители: 150 млн.

В края на март производителя на спортни стоки съобщи, че някой е получил неоторизиран достъп до MyFitnessPal. Това е платформа, с която потребителите могат да следят храненето и спортната си активност.

*Данните са за първото полугодие на 2018 г.[/box]

Версията на Google+ за индивидуални потребители ще бъде закрита заради уязвимост, която засяга личните данни на около 500 хил. профили. Уязвимостта е открита и отстранена още през март 2018 г. Тя е свързана с един от програмните интерфейси (API) на Google+, който се използва от софтуерните разработчици, за да интегрират своите приложения със социалната мрежа.

От Google са открили, че този интерфейс е позволявал на външни приложения да получат достъп до лични данни на потребителите на Google+. Става дума за данни, които не са били обозначени като публични и външни приложения не би следвало да имат достъп до тях. Такива данни са име, имейл, професия, пол, възраст. Достъп до чувствителна информация като лични съобщения или телефонни номера не е получен.
[tie_index]Половин милион потенциално засегнати профили[/tie_index]

Половин милион потенциално засегнати профили

До 438 външни приложения са използвали уязвимия интерфейс, посочват от Google. Според направения анализ уязвимостта засяга до 500 хил. потребителски профила в Google+. „Не открихме доказателства, че външните разработчици са знаели за уязвимостта. Не открихме и доказателства, че има злоупотреби с данни“, коментират от компанията.

Има и още една причина за закриването на Google+: слабият интерес от страна на потребителите. От Google посочват, че 90% от потребителските сесии са с времетраене до 5 секунди.

Alphabet, компанията- собственик на Google, умишлено е премълчала откритата уязвимост, за да избегне регулаторен натиск, твърди The Wall Street Journal. Изданието цитира становище на адвокати на Alphabet, според което публичното обявяване на уязвимостта ще привлече регулаторен интерес към компанията. Според The Wall Street Journal висшият мениджмънт на Alphabet е бил запознат със становището.
[tie_index]Серия от неуспешни опити[/tie_index]

Серия от неуспешни опити

Google+ се появи през юни 2011 г. с амбицията да конкурира гиганта в социалните мрежи Facebook. В началото социалната медия на Google набра някаква скорост, но така и не може да се утвърди като сериозна алтернатива на Facebook. Това е четвъртият неуспешен опит на Google да навлезе на пазара за социални мрежи. Преди това компанията се опитваше да развие Orkut, Google Friend Connect и Google Buzz. И трите проекта вече са замразени.

Потребителите ще имат 10 месеца, през които могат да свалят копие на личните си данни в Google+. Очаква се социалната мрежа да спре да функционира през август 2019 г.

От Google подчертават, че услугата няма да умре напълно. Нейната функционалност ще бъде използвана за предоставянето на подобна услуга, насочена към бизнеса. Така тя ще се развива като корпоративна социална мрежа.
[tie_index]Вълна от критики[/tie_index]

Вълна от критики

Като много други големи интернет компании, и Google е критикувана заради начина, по който обратботва личните данни на потребителите си. През юли 2018 г. The Wall Street Journal съобщи, че разработчици на мобилни приложения имат достъп до имейлите на потребителите в Gmail. Не става дума само за това, че съдържанието на имейлите може да се сканира, но и за възможността програмисти на външни компании да четат лично съобщения в Gmail.

Решението на Google да спре социалната си мрежа е част от проект, наречен Project Strobe. По думите на компанията целта му е да „преразгледа достъпа на външни разработчици до Google профили и устройства с Android, както и философията ни по отношение достъпа до лични данни“.
[tie_index]Повече контрол над личните данни[/tie_index]

Повече контрол над личните данни

Проектът включва промяна в начина, по който потребителят разрешава на външни приложения да използват данните от Google профила му. В момента при инсталирането на външно приложение потребителят вижда списък от разрешения за достъп до данни. Той трябва да ги одобри наведнъж, за да може приложението да се инсталира. Google ще промени това и потребителят ще трябва да дава всяко разрешение поотделно, а не накуп.

Друга промяна е, че Google ще ограничи достъпа на външни приложения до данни от Gmail профилите на потребителите. Такъв достъп ще се дава само ако функцията на приложението е пряко свързана с Gmail: например имейл, клиент, приложение за създаване на резервно копие на пощенската кутия и т.н.

Предвижда се и ограничение на външните приложения, които имат право да искат достъп до списъка с обаждания на потребителите, както и до SMS-ите, които получават.

Последен ъпдейт на 26 септември 2018 в 14:29 ч.

Фишингът е една от най-масовите и ефективни киберзаплахи за бизнеса. Въпреки че е позната от години, тя продължава да се радва на огромна ефективност – толкова огромна, че имейлът продължава да е най-предпочитаното средство за разпространение на зловредни кодове. Ето защо:

• Според проучване на Wombat Security, средно 76% от бизнесите стават жертва на поне фишинг атака годишно;
• данните на Verizon Data Breach Investigations Report, показват, че 30% от фишинг съобщенията са отваряни от получателите им, а 12% от тези потребители кликат на линковете в писмата – или отварят прикачените към тях файлове;
• според SANS Institute, 95% от атаките срещу корпоративни институции се дължат на успешни таргетирани фишинг атаки;
• средно 1.5 млн. нови фишинг сайта се създават всеки месец, показват данните на Webroot Threat Report

[tie_index]1. Кой е жертва на фишинга?[/tie_index]

Кой е жертва на фишинга?

Причината за продължаващия огромен успех на фишинг атаките е фактът, че те са насочени към едно от най-слабите звена в информационната сигурност на фирмата: нейните служители. И са актуални за бизнес от всеки размер – колкото и малък или голям да е той.

[tie_index]2. Как протича атаката?[/tie_index]

Как протича атаката?

Обикновено фишниг атаката протича по следния начин: служителят получава имейл, който на пръв поглед изглежда от легитимен източник. Имейлът приканва служителя да отвори зловреден сайт и да въведе данните си за достъп до интернет банкиране или облачна услуга. По този начин те биват откраднати и могат да бъдат използвани за злоупотреба, финансови измами, кражба на лични данни, пробиви в критичната ИТ инфраструктура на фирмата и т.н.

Фишингът е най-голямата заплаха за малките и средни предприятия според проучване на изследователската компания Ponemon Institute. Данните показват, че 48% от атаките срещу малки и средни предприятия са направени чрез фишинг и социално инженерство. Това е повече от XSS атаките, пробивите с SQL инжекции и атаките от вътрешен човек, взети заедно.

Защо фишингът постига толкова голяма ефективност? Най-просто казано защото много малко част от служителите успяват да го разпознаят. През май 2015 г. Intel Security публикува резултатите от проучване, според които едва 3% от 19-те хил. анкетирани потребители могат да различат фишинг от легитимен имейл.

“Фишингът е електронна форма на кражба на идентичност. Това е метод за получаване на лични данни като пароли и номера на банкови карти чрез изпращането на фалшиви имейл съобщения, които изглеждат като изпратени от реални организации: например банки”, посочва Гари Дейвис от Intel Security.

[tie_index]3. Как да се предпазим: Съвети за бизнеса и индивидуалните потребители[/tie_index]

[box type=“info“ align=“alignleft“ class=““ width=“100%“]

Как да се предпазим: Съвети за бизнеса и индивидуалните потребители

• Обновявайте редовно антивирусния си софтуер.
• Научете служителите да разпознават фишинг атаки. Спазването на няколко прости правила –  например слагането на курсора на мишката върху линк, за да се види към какъв адрес води – може да е достатъчно, за да се предотврати пробив в сигурността.
• Никога не предоставяйте лични данни(пароли, ЕГН, номер на лична карта и т.н.), които са ви поискани по имейл. Това включва имейли, които съдържат линк към логин портал.
• Активирайте двустепенна автентикация там, където е възможно. Тя е допълнителен слой на защита, който ви предпазва дори и да станете жертва на фишинг кампания.

[/box]

Google съхранява информация за местоположението на Android устройства дори и след изричната забрана на собствениците им. Това показва разследване на информационната агенция Associated Press.

Материалът на агенцията показва, че простото спиране на опцията „Location History” (История на местоположенията, ако използвате българската версия на операционната система) не спира проследяването на локацията на устройството, за което се изискват още 8 различни настройки, разхвърляни в менюто на операционната система.

Какво следи Google?

Ето няколко примера за действия, които ще изпратят точното ви местоположение (до квадратен метър) на Google дори и да сте забранили съхраняването на Location History:

• Всеки път, когато просто отворите Google Maps, без значение дали сте поискали да ви локира
• Всеки път когато търсите нещо, което може да има общо с местоположението ви (ресторанти, магазини и др.)
• Автоматично обновяване на информацията за времето

Тази информация се изпраща към Google с точни дата и час и после се синхронизира с акаунта ви.

От компанията коментират, че следенето е в в интерес на потребителите, за да подобри услугите, които предлагат и също може да бъде изключено.

Какво всъщност прави Location History?

Според описанието на услугата Location History в страницата за техническа поддръжка на Google гласи, че „ако функцията е изключена, местата, които посещавате, повече няма да се съхраняват.“ Което реално не означава, че Google спира да ви следи (каквато е официалната позиция на компанията).

Преводът на човешки език на функционалността от страна на Associated Press показва, че на практика спирането ѝ означава, че Google няма да може да създаде хронология на локациите, на които сте се намирали – но не и, че няма да съхранява самите локации.

Иначе казано – Google ще знае, че сте били (например) в София, Бургас и Благоевград, но няма да знае в какъв ред сте ги посетили.

Как да спрете следенето наистина?

За да може да спите спокойно и да сте сигурни, че Google няма да съхранява не само хронологията на движението ви, а и локациите, на които сте били, то трябва да изключите друга опция – Web & App Activity (Контроли за активността), която на практика управлява „какви видове данни да се запазват в профила ви в Google.“ За да стигнете до нея на устройството си, обаче, трябва да минете през 5 стъпки на компютър или 4 на телефона си (или да кликнете тук). Ето кои са те.

На компютър

1. Влезте в менюто Google Account в горния десен ъгъл на браузъра си, когато използвате услуга на компанията
2. Изберете опцията Personal Info & Privacy
3. Изберете Go to My Activity
4. От навигацията вляво изберете Activity Controls
5. Намерете на екрана опцията Web & App Activity – и я изключете

На Android устройство

1. Влезте в настройките на операционната система
2. Отидете в менюто Google Account
3. Изберете Data & personalization
4. Намерете Web & App Activity
5. Изключете настройката (след като го направите, ще видите изскачащ прозорец с предупредителен текст „Pausing Web & App Activity may limit or disable more personalized experiences across Google services. For example, you may stop seeing more relevant search results or recommendations about places you care about. Even when this setting is paused, Google may temporarily use information from recent searches in order to improve the quality of the active search session.“)

Как да видите какво знае Google за вас?

Можете да видите цялата си активност и всички събрани с нея данни на https://myactivity.google.com/myactivity

При желание, можете да изтриете историята си, но трябва ръчно да намерите и заличите всеки отделен елемент, освен ако не искате да заличите цялата си активност в Google.

Вероятно познавате CCleaner като – софтуерът, който позволява да вършите бързо трудоемки задачи по поддръжката на системата ви.

Доскоро функционалността на приложението беше „чиста“ от събиране на лични данни на начина, по който потребителите ѝ работят с програмата. Това вече не е така, което не се понрави на потребителската база.

Едно от подобренията в новата версия 5.45 на CCleaner е „added more detailed reporting for bug fixes and product improvements“. Уви, това не описва пълната активност на програмата, която събира и изпраща данни за системата ви и активността ви в софтуерния интерфейс на фонов режим. Изключването на това събиране на данни не е част от настройките на новата версия.

Това не е първото провинение на CCleaner, който се разпространява под марката Piriform, но се притежава от Avast. Преди година, програмата намери пътя си до новинарските заглавия след като стана жертва на сериозна хакерска атака. Атакуващите директно замениха софтуера с негово инфектирано копие, което мнозина изтеглиха и инсталираха.

След остра критика от потребителската си база, Piriform съобщиха, че в следващата версия ще адресират всички изисквания и притеснения. Излизането на следващата версия предстои в идните седмици, но надали корекцията в нея ще върне потребителското доверие.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Може ли няколко лава лампи да бъдат използвани като средство за защита от хакери? Може и да звучи странно, но отговорът е да. Как и защо – ще разберете от следващите редове.

Един пример

Всеки път, когато влезете в уебсайт, например, той генерира случайно число. Това случайно число играе ролята на идентификатор за посетителя (вас). Проблемът е, че компютрите не са особено силни в генерирането на наистина произволен стринг, защото зависят от алгоритъма на генериране, който им е зададен.

Да, генерираните комбинации могат да бъдат много сложни за отгатване, но не и абсолютно случайни. А това ги превръща в разбиваеми от хакери.

Интернет гигантът CloudFlare се справя с този недостатък като елиминира компютъра и използва няколко интересни генератора на случайност – 100 лава лампи, махало и гайгеров брояч.

Как няколко случайни предмета ни пазят

Как действа инсталацията? CloudFlare наблюдава 100 лава лампи в изолирано помещение. Те са известни с фигурите от разтопен парафин, които бавно се издигат и падат в тялото на лампата. Както можете да се досетите, няма особено голяма вероятност да се образуват две еднакви парафинови фигури.

По думи на Джон Греъм-Къминг (CTO на компанията), стената от лампи генерира 16,384 бита ентропия (мярка за безпорядък) всеки път, когато се използва.

Това далеч не е всичко

С право можете да си зададете въпроса „Ами ако някой започне да наблюдава лампите без разрешение?“. В такъв случай, може да ви успокои факта, че компанията е добавила допълнителни слоеве към защитата си.

Компанията наблюдава и движението на двойно махало в офиса си в Лондон. Освен него, за защитата ви се грижи и гайгеров брояч, измерващ радиацията от парченце уран в Сингапур, където е другият офис на CloudFlare.

Системата за генериране на случайност се нарича LavaRand и можете да прочетете публикацията на CloudFlare ТУК.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

След големия интерес в подобренията, свързани със сигурността, на новата версия на мобилната операционна система на Apple iOS, идва ред и на конкурента – Android P. 

Сред множеството нововъведения в Android P редица визуални подобрения, нови функции и дори технология за адаптиране на батерията към вашето индивидуално потребление. ДОбрата новина за потребителите на платформата е, че сигурността също не е оставена на заден план. Ето най-важните нововъведения в тази сфера:

Hardware Security Module

HSM е технология, която видяхме в Project Vault – проект, целящ да превърне SD карта в модул, който е изцяло използван за сигурността на устройството. След като проектът беше спрян, Google го възкреси за излизането на Android P.

В новия си вид, HSM ще представлява вграден в устройството модул, който ще присъства само при устройствата чиито производители желаят да го внедрят. Той ще разполага с истински random генератор, собствен процесор и редица механизми, които предотвратяват чуждата намеса в работата на устройството.

Декриптиране на устройството само, докато е отключено

Въпреки че не е сериозна промяна, тази настройка ще ви позволи да направите декриптирането на защитено устройство възможно само когато екранът е отключен. Това ще ви даде допълнителен слой на защита в случай, че устройството ви непредвидено смени собственика си (загубите го, откраднат го и т.н.).

Сигурен трансфер на криптографски ключове

Google ще даде на разработчиците възможността да съхраняват ключове в специфичен дял от паметта, който устройството не може да достъпва просто така. Това ще подобри сигурността за приложения, които прехвърлят информация през HTTPS връзка и такива, които използват локални криптографски ключове по една или друга причина.

HTTPS по подразбиране за всички приложения

Като част от глобалното придвижване към HTTPS, Android P ще въведе сигурна връзка за всички приложения. Въпреки че системата ограничава некриптирания трафик още във версия 8, очакваната версия ще принуждава разработчиците да използват HTTPS. Приложенията ще могат да комуникират само с определени домейни през HTTP връзка.

Камерата и микрофонът не могат да бъдат използвани във фонов режим

Към момента, приложенията са способни да използват камерата и микрофонът ви във фонов режим – без вашето знание. В идната версия на операционната система, те ще са недостъпни, освен когато вие ги използвате за свои цели.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Опазването на личните ни данни (трябва да) е приоритет номер едно за всеки от нас. Затова ще ви разкажем как да намалите риска за прекомерно споделяне или дори източване на информация за вас чрез конфигурация на браузъра ви или чрез инсталиране на допълнителни добавки. 

В първия ни материал по темата ви показахме как да използвате външни добавки, за да подобрите сигурността си и да опазите личните си данни. Това, обаче, не е всичко, което браузърът ви може да ви предложи – има още някои малки детайли, които вероятно не искате да пропуснете.

Ето няколко съвета за това как да вземете максимума от вградените функционалности на браузъра ви за сигурност.

Mozilla Firefox

За да достъпите настройките на браузъра, въведете about:config в адресната лента и приемете предупреждението.

Препоръчителни настройки:

privacy.firstparty.isolate = true

Въведено като част от Tor Uplift проекта, тази настройка изолира идентификаторите на браузъра ви (примерно – бисквитки) до първоначалния домейн, предотвратявайки следенето в други домейни.

privacy.resistFingerprinting = true

Отново въведена в Tor Uplift проекта, тази настройка предпазва браузъра ви от fingerprinting.

privacy.trackingprotection.enabled = true

Това е вградената настройка за спиране на следенето на Firefox. Ако вече използвате филтри от трети страни (като от uBlock Origin), настройте този параметър на false, за да използвате филтрите на добавката.

browser.send_pings = false

Този параметър пречи на сайтове да следят кликовете ви.

dom.battery.enabled = false

Този параметър пречи на сайтове да следят нивото на батерията на лаптопа ви (да, вече и това е възможно).

dom.event.clipboardevents.enabled = false

Забранете на сайтовете да проследяват кога и какво сте селектирали и копирали от страницата.

geo.enabled = false

Забранява геолокацията.

media.navigator.enabled = false

Не позволява следенето на статуса на камерата и микрофона ви.

webgl.disabled = true

WebGL е потенциален риск за сигурността. Научете повече

network.IDN_show_punycode = true

Показването на punycode-a на един домейн може да ви позволи да различите оригинален такъв от домейн, използван за фишинг. Това се дължи на факта, че браузърът ви ще показва специалните символи които се използват да наподобят даден домейн.

Google Chrome

Настройки

В случая на Chrome, имаме основни настройки и едно нововъведение, което може би не сте използвали досега – флагове.

За да достъпите до настройките е нужно само да кликнете върху крайния бутон отдясно на адресната лента и да изберете Settings.

Оттам е нужно да стигнете до „Advanced Settings”, където се намира секцията Privacy & security

В нея можете да въведете настройките както са показани на изображението по-долу или да изберете сами за себе си.

Флагове

За да стигнете до флаговете на Chrome e нужно да въведете chrome://flags в адресната лента.

Предупреждение: Някои от тези функции могат да повлияят на стабилността на браузъра ви.

Флагове за по-добра поверителност:

#disable-hyperlink-auditing

Забранява проследяването на линковете, върху които кликате

#reduced-referrer-granularity

Изпраща по-малко информация за сайтът, от който идвате на нова страница

Флагове за подобрение на сигурността

#extension-content-verification – Strict

Проверява съдържанието на браузърни добавки, с цел да предотврати обмена на информация с трети приложения.

#enable-permissions-blacklist

Сравнява сайтовете, които посещавате срещу black list-a на Google и забранява различни типове достъп за тях ако има съвпадение.

Подобрения на сигурността в бета

#enable-site-per-process
Всеки уебсайт се изпълнява в отделен процес, където междусайтовите iframe елементи не могат да си взаимодействат с процесите на други страници.

Заключение

Като цяло, към момента Mozilla Firefox се движи напред към подобряване на потребителската поверителност по достъпен и ясен начин, докато Chrome дълбае на едно място. Това не прави единия браузър по-добър от другия, но е видим показател за интересите на създателите им.

Без значение дали използвате единия или другия, последвайте препоръките ни в предишната част, за да си подсигурите възможно най-много поверителност и сигурност онлайн.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.