Μετάφραση: Μαριάννα Τζίμα
Οι φορητές συσκευές έχουν αναχθεί σε παντοδύναμα εργαλεία της καθημερινής μας ζωής, σε όλους τους τομείς κοινωνικής, προσωπικής και επαγγελματικής δράσης. Οι τεχνολογικές δυνατότητες που διαθέτουν – στις οποίες συνεχώς προστίθενται και νέες – επιτρέπουν στους χρήστες να έχουν σε πραγματικό χρόνο πρόσβαση και έλεγχο σε χιλιάδες συσκευές, συστήματα και βάσεις δεδομένων. Ειδικά τα έξυπνα τηλέφωνα (smartphones) και τα tablets είναι άρρηκτα συνδεδεμένα με την εργασία και με κάθε είδους εμπορικές και μη συναλλαγές. Οι φορητές συσκευές έχουν το σημαντικό πλεονέκτημα ότι επιτρέπουν στους ανθρώπους να εργάζονται, να πραγματοποιούν συναλλαγές, να ελέγχουν αντικείμενα και συστήματα τόσο από απόσταση όσο και εν κινήσει. Δεδομένης αυτής της κυριαρχίας τους κρίνεται σκόπιμο να επισημανθούν ορισμένα ζητήματα ασφάλειας των φορητών συσκευών.
Υπάρχουν πολλοί και διαφορετικοί τύποι απειλών για την ασφάλεια των φορητών συσκευών έναντι των οποίων οι χρήστες χρειάζεται να λάβουν μέτρα για να προστατευθούν. Η πρώτη κατηγορία απειλών αφορά τις απειλές ασφάλειας από κακόβουλες εφαρμογές. Πρόκειται για εφαρμογές τις οποίες εγκαθιστά ο χρήστης στη συσκευή του, οι οποίες είναι πλασματικά νόμιμες και στην ουσία είτε διαγράφουν, είτε υποκλέπτουν δεδομένα από τη συσκευή. Οι κυβερνοεγκληματίες μπορούν να βρουν κενά ασφαλείας σε πλήθος εφαρμογών που βρίσκονται τόσο στο Google Play όσο και στο App Store και χρησιμοποιώντας αυτές ώστε να υποκλέψουν δεδομένα, ψηφιακά πορτοφόλια ή άλλες ευαίσθητες πληροφορίες απευθείας από την εφαρμογή. Προτού επιτραπεί η εγκατάστασή τους στη φορητή συσκευή εμφανίζεται μια λίστα αδειών πρόσβασης σε αρχεία ή φακέλους και οι περισσότεροι απλώς συμφωνούν στην παροχή αυτής χωρίς να εξετάσουν λεπτομερώς τι επιτρέπουν να συλλεχθεί και να χρησιμοποιηθεί. Είναι εξέχουσας σημασίας πριν την εγκατάσταση μιας οποιασδήποτε εφαρμογής οι χρήστες να διαβάζουν αναλυτικά τους όρους χρήσης, την πολιτική απορρήτου αλλά και τις αξιολογήσεις άλλων χρηστών.
Ένας δεύτερος και ιδιαίτερα διαδεδομένος τύπος απειλών είναι οι επιθέσεις κοινωνικής μηχανής. Με τον όρο επιθέσεις κοινωνικής μηχανικής εννοούνται τα ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου (phishing) ή τα ψεύτικα μηνύματα κειμένου (smishing) που αποστέλλονται από κυβερνοεγκληματίες σε μια προσπάθεια εξαπάτησης των χρηστών, ώστε να παραδώσουν προσωπικές πληροφορίες, όπως κωδικούς πρόσβασής ή να κατεβάσουν κακόβουλο λογισμικό στις συσκευές τους. Η καλύτερη άμυνα απέναντι σ’ αυτού του τύπου τις απειλές είναι η ενημέρωση και η εκπαίδευση των χρηστών ώστε να εντοπίζουν μηνύματα με κακόβουλο περιεχόμενο.
Υπάρχουν, φυσικά και οι απειλές ασφάλειας μέσω διαδικτύου και είναι αυτές που τείνουν να μη γίνονται αντιληπτές από τους χρήστες. Ένα πρώτο παράδειγμα είναι η επίσκεψη φαινομενικά έγκυρων ιστοτόπων ή/και το άνοιγμα συνδέσμων κακόβουλων διαφημίσεων που οδηγούν στην χωρίς έγκριση λήψη κακόβουλου περιεχομένου στην συσκευή. Η επίσκεψη επισφαλών ιστοτόπων, όταν μάλιστα η συσκευή χρησιμοποιείται και για τραπεζικές συναλλαγές, μπορεί να αποβεί ιδιαίτερα επικίνδυνη. Οι ιστοσελίδες αυτές μπορούν να εγκαταστήσουν λογισμικά κατασκοπείας (spyware), τα οποία δρουν παρακολουθώντας τις ενέργειες του χρήστη και αποθηκεύοντας πληροφορίες, όπως δεδομένα τοποθεσίας, επιλογές περιήγησης και δεδομένα εισόδου σε λογαριασμούς, τραπεζικούς και μη. Η εγκατάσταση ενός έγκριτου Internet Security μπορεί να προλάβει τέτοιους κινδύνους.
Οι φορητές συσκευές μπορούν να εκτεθούν σε κάθε είδους διαδικτυακή απειλή βάσει του δικτύου σύνδεσης που θα επιλέξει ο χρήστης. Όταν οι χρήστες χρησιμοποιούν δημόσια δίκτυα WiFi, είναι ιδιαίτερα εύκολο για τους εγκληματίες του κυβερνοχώρου να υποκλέψουν τα μη κρυπτογραφημένα δεδομένα. Το ρίσκο με τη χρήση δημόσιων δικτύων WiFi έγκειται στο ότι δεν υπάρχει τρόπος για τους χρήστες να γνωρίζουν αν κάποιος παρακολουθεί τις περιηγήσεις τους ή αν το δίκτυο είναι ασφαλισμένο με κρυπτογράφηση. Εάν για παράδειγμα χρησιμοποιηθεί ένα κακόβουλο σημείο πρόσβασης WiFi για την είσοδο σε τραπεζικό λογαριασμό θα μπορούσε να προωθηθεί στους χρήστες η διεύθυνση ενός ιστοτόπου ηλεκτρονικού ψαρέματος που μοιάζει με την σελίδα της τράπεζας, εξυπηρετώντας με αυτόν τον τρόπο τα συμφέροντα κακόβουλων χρηστών. Τα μη κρυπτογραφημένα δημόσια δίκτυα WiFi επιτρέπουν, μέσω ενός κενού στη σύνδεση, σε εγκληματίες του κυβερνοχώρου να έχουν πρόσβαση στις πληροφορίες που μοιράζονται οι χρήστες. Ο κίνδυνος από την έλλειψη κρυπτογράφησης αφορά ακόμα και εφαρμογές. Ο καλύτερος τρόπος προστασίας από απειλές μέσω δημόσιων δικτύων WiFi είναι η χρήση VPN, η οποία διασφαλίζει ότι η σύνδεσή τους θα παραμείνει ιδιωτική και ασφαλής, ακόμα κι αν χρησιμοποιούν δημόσια δίκτυα.
Μια ακόμα απειλή, η οποία αποτελεί επέκταση της αμέσως προηγούμενης, είναι η επαναχρησιμοποίηση κωδικών πρόσβασης μεταξύ λογαριασμών ή η χρήση αδύναμων κωδικών πρόσβασης. Αυτές οι κακές συνήθειες κωδικών πρόσβασης αποτελούν απειλή όχι μόνο για τους προσωπικούς λογαριασμούς των χρηστών (τράπεζες, μέσα κοινωνικής δικτύωσης) αλλά και για το εργασιακό τους περιβάλλον. Είναι συνηθισμένο οι υπάλληλοι να χρησιμοποιούν τις προσωπικές τους συσκευές για να αποκτήσουν πρόσβαση στα εταιρικά συστήματα και δεδομένα. Δεδομένου ότι τόσο οι προσωπικοί όσο και οι εργασιακοί λογαριασμοί είναι προσβάσιμοι από την ίδια συσκευή με τον ίδιο κωδικό πρόσβασης, διευκολύνεται με αυτόν τον τρόπο η δράση ατόμων που θέλουν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση.
Η τελευταία κατηγορία αναφέρεται στις φυσικές απειλές απώλειας ή κλοπής της φορητής συσκευής. Αν και μπορεί να θεωρηθεί ότι από τη στιγμή που μια φορητή συσκευή κλαπεί ή χαθεί τα προσωπικά δεδομένα και ευαίσθητες πληροφορίες του νόμιμου κατόχου είναι πλέον εκτεθειμένα σε οποιονδήποτε κακόβουλο χρήστη, υπάρχουν ορισμένες ενέργειες που μπορούν να αποτρέψουν κάτι τέτοιο να συμβεί. Αρχικά οι περισσότερες συσκευές διαθέτουν υπηρεσίες απομακρυσμένης πρόσβασης για τη διαγραφή ή τη μεταφορά πληροφοριών, οι οποίες καλό είναι και να ενεργοποιούνται για την ασφάλεια αυτών των δεδομένων. Εξίσου σημαντικός είναι ο πολυπαραγοντικός έλεγχος ταυτότητας ο οποίος θα μπορούσε να αποτρέψει τη μη εξουσιοδοτημένη πρόσβαση. Ο πολυπαραγοντικός έλεγχος απαιτεί δύο ή περισσότερες μεθόδους ελέγχου ταυτότητας, οι οποίες μπορεί να περιλαμβάνουν έναν κωδικό πρόσβασης, την επαλήθευση μέσω SMS, τη χρήση δακτυλικού αποτυπώματος ή και την σάρωση προσώπου.
Απόλυτη ασφάλεια στη χρήση του διαδικτύου δεν υπάρχει. Καινούργιες απειλές και κακόβουλα λογισμικά αναπτύσσονται διαρκώς. Οι χρήστες χρειάζεται να βρίσκονται σε επαγρύπνηση και να ενημερώνονται για τις νέες μορφές απειλών, προκειμένου να μπορούν κι εκείνοι να είναι έτοιμοι να ακολουθήσουν τα βήματα που θα τους παρέχουν τη μεγαλύτερη δυνατή ασφάλεια.
Πηγή: www.itsecuritypro
Η εθελοντική ομάδα του CSI Institute, αποτελούμενη από εξειδικευμένους επιστήμονες όπως, ψυχολόγους, εγκληματολόγους, κοινωνιολόγους καθώς και τεχνικούς δικτύων & πληροφορικής, είναι κοντά σας παρέχοντας πληροφορία, ενημέρωση και γνώση μέσα από ποικίλα θέματα αρθρογραφίας.