Το ΤΕΑ προτρέπει τους Αμερικανούς για κρυπτογραφημένες εφαρμογές

Υπάρχει ένας σχετικά εύκολος τρόπος για να βελτιώσετε την προστασία του ψηφιακού απορρήτου σας—χρησιμοποιήστε κρυπτογραφημένες εφαρμογές ανταλλαγής μηνυμάτων από άκρο σε άκρο. Και υπό το πρίσμα των πρόσφατων, εκτεταμένες κυβερνοεπιθέσειςακόμη και το Υπουργείο Εσωτερικής Ασφάλειας έχει εκδώσει μια ανακοίνωση δημόσιας υπηρεσίας καλώντας τους Αμερικανούς να στραφούν σε κρυπτογραφημένες πλατφόρμες E2E για αποστολή μηνυμάτων.

Χάκερ που λειτουργεί για λογαριασμό της κινεζικής κυβέρνησης έχουν εμπλακεί τουλάχιστον από τον Οκτώβριο σε αυτό που ένας Αμερικανός γερουσιαστής αποκάλεσε «το χειρότερο τηλεπικοινωνιακό hack στην ιστορία του έθνους μας.» Η επιχείρηση, γνωστή ως Salt Typhoon, φέρεται να είναι τόσο διεξοδική ενσωματωμένη στην τηλεπικοινωνιακή υποδομή των ΗΠΑ ότι μπορεί να παραχωρήσει σε κακούς ηθοποιούς πρόσβαση σε μη κρυπτογραφημένα κείμενα και τηλεφωνικές κλήσεις στοχευμένων ατόμων. Πολλοί από τους χάκερ θεωρούνται επίσης ενεργοί.

[Related: Why end-to-end encryption is so important now.]

Η σοβαρότητα του ζητήματος ασφαλείας προκλήθηκε Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής του DHS να δημοσιεύσει ένα δελτίο στις 18 Δεκεμβρίου με προτάσεις για «υψηλά στοχευμένα» άτομα—που ορίζονται ως ανώτεροι κυβερνητικοί υπάλληλοι και πολιτικοί που είναι «πιθανόν να διαθέτουν πληροφορίες που ενδιαφέρουν αυτούς τους παράγοντες απειλών».

«Τα άτομα με υψηλή στόχευση θα πρέπει να υποθέσουν ότι όλες οι επικοινωνίες μεταξύ κινητών συσκευών – συμπεριλαμβανομένων των κυβερνητικών και προσωπικών συσκευών – και οι υπηρεσίες διαδικτύου κινδυνεύουν από υποκλοπή ή χειραγώγηση», προειδοποιούν οι ειδικοί της CISA, προσθέτοντας ότι, «αν και καμία λύση δεν εξαλείφει όλους τους κινδύνους, εφαρμόζοντας αυτούς τους καλύτερους Οι πρακτικές ενισχύουν σημαντικά την προστασία των ευαίσθητων επικοινωνιών έναντι κυβερνητικών και άλλων κακόβουλων φορέων στον κυβερνοχώρο».

Αν και απευθύνεται ειδικά σε πολιτικούς και κυβερνητικό προσωπικό, το δελτίο υπογραμμίζει τις ψηφιακές στρατηγικές απορρήτου που παραμένουν εξίσου ωφέλιμες για τους μέσους χρήστες. Συγκεκριμένα, η CISA υπογραμμίζει τη σημασία της χρήσης μόνο επικοινωνιών κρυπτογράφησης από άκρο σε άκρο σε όλες τις συσκευές και τους διαδικτυακούς λογαριασμούς όποτε είναι δυνατόν.

Ορισμένες δωρεάν εφαρμογές ανταλλαγής μηνυμάτων προσφέρουν κρυπτογράφηση E2E, είτε από προεπιλογή είτε διαθέσιμη στις ρυθμίσεις τους. Σύνθημα είναι μια από τις πιο δημοφιλείς επιλογές και πολλοί ειδικοί σε θέματα ασφάλειας πιστεύουν ότι είναι η καλύτερη στην αγορά. Οι εναλλακτικές περιλαμβάνουν WhatsApp (παρά το προηγούμενες διαμάχες για το απόρρητο και μητρική εταιρεία) και Σκόνη. Πέρα από τα μηνύματα κειμένου, το E2E είναι επίσης διαθέσιμο στο Zoom για συνομιλία μέσω βίντεο. Παρά το αυξημένο απόρρητο, ωστόσο, είναι σημαντικό να χρησιμοποιείτε κάθε υπηρεσία με τη νοοτροπία ότι καμία εφαρμογή δεν είναι απαραίτητα αδιαπέραστη από το hacking.

Η ψηφιακή ασφάλεια υπερβαίνει επίσης την απλή κρυπτογράφηση E2E. Το δελτίο της CISA παραθέτει μια σειρά από πρόσθετα βήματα προστασίας, συμπεριλαμβανομένης της ενεργοποίησης Fast Identity Online (FIDO) όπου είναι δυνατόν, και χρησιμοποιώντας έναν διαχειριστή κωδικών πρόσβασης. Υπάρχουν επίσης στρατηγικές που πρέπει να αποφευχθούν — κυρίως, η απομάκρυνση από τις μεθόδους ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) που βασίζονται σε SMS. Αυτά είναι τα μηνύματα κειμένου που αποστέλλονται στους κατόχους λογαριασμών που συνήθως περιλαμβάνουν έναν αριθμητικό κωδικό ή έναν κωδικό πρόσβασης για την επαλήθευση της ταυτότητάς τους. Αντίθετα, η CISA προτείνει εναλλακτικές λύσεις όπως αυτόνομες εφαρμογές ελέγχου ταυτότητας που προσφέρονται από εταιρείες όπως Google, Microsoftκαι Authy.

«Τα μηνύματα SMS δεν είναι κρυπτογραφημένα—ένας παράγοντας απειλής με πρόσβαση σε τηλεπικοινωνίες

το δίκτυο του παρόχου που παρακολουθεί αυτά τα μηνύματα μπορεί να τα διαβάσει», εξηγεί η CISA. “Το SMS MFA δεν είναι ανθεκτικό στο phishing και επομένως δεν είναι ισχυρός έλεγχος ταυτότητας για λογαριασμούς ιδιαιτέρως στοχευμένων ατόμων.”

Υπάρχει λίγη ειρωνεία για τις κορυφαίες υπηρεσίες επιβολής του νόμου που προωθούν ξαφνικά τη μετάβαση σε κρυπτογραφημένες επικοινωνίες. Υπηρεσίες όπως το FBI, για παράδειγμα, έχουν επικρίθηκε επί μακρόν πολίτης χρήση της κρυπτογράφησης E2E, με το επιχείρημα ότι αποτελεί σημαντικό και συχνά ανυπέρβλητο μπλοκ κατά τη διάρκεια των ερευνών. Ανεξάρτητα, φροντίστε να το κάνετε ελέγξτε το PSA για μια πιο εκτενή λίστα με συμβουλές για το ψηφιακό απόρρητο, ακόμα κι αν δεν πληροίτε τα προσόντα για ένα άτομο «υψηλά στοχευμένο»