Πώς διατηρεί η Google τα δεδομένα σας ασφαλή

Από τις εισβολές και το ηλεκτρονικό ψάρεμα (phishing) μέχρι το κακόβουλο λογισμικό, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν πολλές διαφορετικές μεθόδους όταν επιχειρούν να εισβάλουν σε λογαριασμούς χρηστών. Οι Stephan Micklitz και Tadek Pietraszek της Google φροντίζουν να μην τα καταφέρουν οι εισβολείς.

Κύριε Pietraszek, εσείς και η ομάδα σας είστε υπεύθυνοι για τη διατήρηση της ασφάλειας των λογαριασμών χρηστών. Πώς αποτρέπετε την πρόσβαση των εισβολέων;

Tadek Pietraszek, Επικεφαλής Μηχανικός Λογισμικού για την ασφάλεια των λογαριασμών χρηστών: Πρώτα απ' όλα, είναι σημαντικό να μπορέσουμε να εντοπίσουμε την αρχική επίθεση. Χρησιμοποιούμε περισσότερες από εκατό μεταβλητές για να εντοπίσουμε ύποπτες δραστηριότητες. Ας υποθέσουμε ότι ζείτε στη Γερμανία και ταξιδεύετε στο εξωτερικό πολύ σπάνια και κάποιος προσπαθεί να αποκτήσει πρόσβαση στον λογαριασμό σας από μια άλλη χώρα. Αυτό ενεργοποιεί τους συναγερμούς.

Stephan Micklitz, Διευθυντής Μηχανικός στην ομάδα Απορρήτου και ασφάλειας της Google: Γι' αυτό μερικές φορές ζητάμε από τους χρήστες να επιβεβαιώσουν τον αριθμό τηλεφώνου που έχουν καταχωρίσει ή και άλλες πληροφορίες που γνωρίζουν μόνο οι ίδιοι ως κάτοχοι του λογαριασμού τους.

Για τον Tadek Pietraszek, το ηλεκτρονικό ψάρεμα (phishing) είναι μία από τις μεγαλύτερες ηλεκτρονικές απειλές ασφάλειας.

Πόσο συχνά πραγματοποιούνται αυτές οι επιθέσεις;

Pietraszek: Κάθε μέρα πραγματοποιούνται εκατοντάδες χιλιάδες επιθέσεις στον κυβερνοχώρο. Το μεγαλύτερό μας πρόβλημα είναι ότι το διαδίκτυο περιέχει αμέτρητες λίστες ονομάτων χρηστών και κωδικών πρόσβασης που έχουν κλαπεί από ιστοτόπους στους οποίους έχει πραγματοποιηθεί εισβολή. Καθώς κάποιοι από τους χρήστες μας χρησιμοποιούν τον ίδιο κωδικό πρόσβασης για διαφορετικούς λογαριασμούς, αυτές οι λίστες περιλαμβάνουν επίσης δεδομένα σύνδεσης Λογαριασμών Google.

Αυτές οι λίστες αποτελούν τη μεγαλύτερη απειλή ασφάλειας;

Pietraszek: Ναι, σίγουρα. Αυτές και οι τυπικές επιθέσεις ηλεκτρονικού ψαρέματος (phishing). Σχεδόν όλοι οι χρήστες έχουν λάβει κάποια στιγμή μηνύματα ηλεκτρονικού ταχυδρομείου από εγκληματίες οι οποίοι προσπαθούν να αποκτήσουν κωδικούς πρόσβασης λογαριασμών. Φυσικά, εμείς από τη μεριά μας κάνουμε ό,τι είναι απαραίτητο για να φροντίσουμε να μην τα καταφέρουν. Εάν θεωρήσουμε ότι κάποιο μήνυμα ηλεκτρονικού ταχυδρομείου το οποίο προοριζόταν για τα Εισερχόμενά σας στο Gmail είναι καχύποπτο, μπορούμε να το επισημάνουμε με μια προειδοποίηση για να το εξετάσετε προσεκτικά ή μπορούμε να το φιλτράρουμε αυτόματα και να αφαιρεθεί από τα Εισερχόμενα. Επιπλέον, το πρόγραμμα περιήγησης Chrome στέλνει ειδοποιήσεις όταν προσπαθείτε να επισκεφτείτε έναν ιστότοπο ο οποίος γνωρίζουμε πως είναι ιστότοπος ηλεκτρονικού ψαρέματος (phishing).

Micklitz: Υπάρχουν δύο βασικοί τύποι ηλεκτρονικού ψαρέματος (phishing). Ο ένας είναι τα μαζικά μηνύματα ηλεκτρονικού ταχυδρομείου, τα οποία χρησιμοποιούν οι δράστες προκειμένου να συλλέξουν όσο το δυνατό περισσότερα δεδομένα σύνδεσης. Ο άλλος είναι το γνωστό ως "ψάρεμα τύπου spear" (spear phishing), κατά το οποίο στοχεύεται ο λογαριασμός ενός συγκεκριμένου ατόμου. Πρόκειται για πιο σύνθετες διαδικασίες που διαρκούν πολλούς μήνες, κατά τη διάρκεια των οποίων οι δράστες εξετάζουν τη ζωή του θύματος λεπτομερώς και επιτίθενται πολύ στοχευμένα.

"Εάν θεωρήσουμε ότι κάποιο μήνυμα ηλεκτρονικού ταχυδρομείου το οποίο προοριζόταν για τα Εισερχόμενά σας στο Gmail είναι ύποπτο, μπορούμε να το επισημάνουμε με μια προειδοποίηση."

Tadek Pietraszek

Με ποιον τρόπο βοηθά η Google τους χρήστες της να αντιμετωπίσουν επιτυχώς τέτοιου είδους επιθέσεις;

Pietraszek: Ένα παράδειγμα είναι το σύστημα Επαλήθευσης σε 2 βήματα. Αυτό το σύστημα είναι οικείο σε πολλούς χρήστες από τους τραπεζικούς λογαριασμούς που διατηρούν στο διαδίκτυο. Για παράδειγμα, εάν θέλετε να μεταφέρετε χρήματα, μπορεί να χρειαστεί να πληκτρολογήσετε τόσο τον κωδικό πρόσβασής σας όσο και έναν κωδικό που αποστέλλεται μέσω μηνύματος κειμένου. Η Google εισήγαγε τον Έλεγχο ταυτότητας δύο παραγόντων το 2009, νωρίτερα από τους περισσότερους μεγάλους παρόχους ηλεκτρονικού ταχυδρομείου. Επιπλέον, οι χρήστες της Google που έχουν καταχωρίσει τον αριθμό κινητού τηλεφώνου τους επωφελούνται αυτόματα από παρόμοιο επίπεδο προστασίας ενάντια σε ύποπτες προσπάθειες σύνδεσης.

Micklitz: Ο Έλεγχος ταυτότητας δύο παραγόντων είναι μια καλή μέθοδος, αλλά ακόμα και οι κωδικοί μέσω μηνυμάτων κειμένου μπορεί να υποκλαπούν. Για παράδειγμα, οι εγκληματίες μπορούν να επικοινωνήσουν με τον πάροχο κινητής τηλεφωνίας σας και να προσπαθήσουν να ζητήσουν να τους σταλεί μια δεύτερη κάρτα SIM. Η επαλήθευση με ένα φυσικό διακριτικό ασφαλείας, όπως έναν πομπό Bluetooth ή ένα στικάκι USB, είναι ακόμα πιο ασφαλής.

Pietraszek: Χρησιμοποιούμε αυτόν τον πόρο ως μέρος του Προγράμματος Ενισχυμένης προστασίας.

Τι είναι αυτό;

Pietraszek: Το Πρόγραμμα Ενισχυμένης προστασίας εφαρμόστηκε από την Google το 2017 και απευθύνεται σε ανθρώπους που αντιμετωπίζουν μεγαλύτερο κίνδυνο εισβολής, όπως δημοσιογράφους, διευθύνοντες συμβούλους, πολιτικούς και πολιτικούς αντιφρονούντες.

Micklitz: Εκτός από το φυσικό κλειδί ασφαλείας μας, περιορίζουμε επίσης την πρόσβαση σε δεδομένα από εφαρμογές τρίτου μέρους μέσω της ενσωμάτωσης επιπλέον βημάτων κατά τα οποία οι χρήστες πρέπει να επαληθεύσουν την ταυτότητά τους σε περίπτωση που χάσουν το κλειδί.

Stephan Micklitz
Sicherheitsschlüssel

Ο διευθυντής του τμήματος μηχανικής Stephan Micklitz είναι υπεύθυνος για το παγκόσμιο απόρρητο και την ασφάλεια στην Google. Σπούδασε επιστήμη υπολογιστών στο Τεχνικό Πανεπιστήμιο του Μονάχου και εργάζεται στα γραφεία της Google στο Μόναχο από τα τέλη του 2007.

Μπορείτε να μας πείτε μια μεγάλη επίθεση στον κυβερνοχώρο και πώς την αντιμετωπίσατε;

Pietraszek: Μία από αυτές τις επιθέσεις πραγματοποιήθηκε στις αρχές του 2017. Οι εισβολείς είχαν δημιουργήσει ένα κακόβουλο πρόγραμμα προκειμένου να αποκτήσουν πρόσβαση στους Λογαριασμούς Google των θυμάτων και να στείλουν ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου στις επαφές των χρηστών. Σε αυτά τα μηνύματα, ζητούσαν από τους παραλήπτες να τους εκχωρήσουν πρόσβαση σε ένα ψεύτικο έγγραφο Google. Όσοι προέβησαν σε αυτήν την ενέργεια έδωσαν ακούσια πρόσβαση στο κακόβουλο λογισμικό και έστειλαν αυτόματα τα ίδια ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου στις δικές τους επαφές. Ο ιός μεταδόθηκε με ταχείς ρυθμούς. Έχουμε σχέδια ετοιμότητας αντιμετώπισης για τέτοιες περιπτώσεις.

Micklitz: Σε αυτήν τη συγκεκριμένη περίπτωση, για παράδειγμα, αποκλείσαμε τη διανομή αυτών των μηνυμάτων στο Gmail, ανακαλέσαμε την πρόσβαση που εκχωρήθηκε στο πρόγραμμα και προστατεύσαμε τους λογαριασμούς. Φυσικά, έχουμε προσθέσει επίσης συστηματικά μέτρα προστασίας προκειμένου να είναι πιο δύσκολο να πραγματοποιηθούν παρόμοιες επιθέσεις στο μέλλον. Οι Λογαριασμοί Google δέχονται συνεχώς επιθέσεις και τα αυτοματοποιημένα συστήματά μας προσφέρουν την πιο αποτελεσματική προστασία. Αυτό εξαρτάται, φυσικά, από τη δυνατότητα που έχουμε να επικοινωνήσουμε με τους χρήστες μας με μέσα διαφορετικά από τον Λογαριασμό τους Google, όπως μέσω μιας δεύτερης διεύθυνσης ηλεκτρονικού ταχυδρομείου ή ενός αριθμού κινητού τηλεφώνου.

"Ουσιαστικά, συνήθως αρκεί να εφαρμόζονται με συνέπεια ορισμένοι βασικοί κανόνες."

Stephan Micklitz

Πόσο σημαντική είναι η ασφάλεια για τον μέσο χρήστη;

Pietraszek: Πολλοί άνθρωποι τη θεωρούν πολύ σημαντική, αλλά η λήψη των απαραίτητων προφυλάξεων ασφαλείας μπορεί να είναι κουραστική. Αυτό εξηγεί, για παράδειγμα, γιατί οι άνθρωποι συχνά χρησιμοποιούν τον ίδιο κωδικό πρόσβασης για πολλούς λογαριασμούς, πράγμα το οποίο είναι το μεγαλύτερο λάθος που μπορεί να κάνει ένας χρήστης. Η δική μας δουλειά είναι να εξηγούμε στους χρήστες πώς μπορούν να προστατεύουν τους λογαριασμούς τους με ελάχιστη προσπάθεια. Γι' αυτό προσφέρουμε τη λειτουργία του Ελέγχου ασφαλείας στον Λογαριασμό Google, η οποία επιτρέπει στους χρήστες να ελέγχουν εύκολα τις ρυθμίσεις τους.

Micklitz: Ουσιαστικά, συνήθως αρκεί να εφαρμόζονται με συνέπεια ορισμένοι βασικοί κανόνες.

Και ποιοι είναι αυτοί οι κανόνες;

Micklitz: Μην χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης για πολλές υπηρεσίες, να εγκαθιστάτε τις ενημερώσεις ασφάλειας και αποφεύγετε τα ύποπτα λογισμικά. Να καταχωρίζετε έναν αριθμό τηλεφώνου ή μια εναλλακτική διεύθυνση ηλεκτρονικού ταχυδρομείου για να είναι δυνατή η επικοινωνία μαζί σας με άλλον τρόπο. Τέλος, ενεργοποιήστε το κλείδωμα οθόνης του κινητού σας, για να είναι πιο δύσκολο να αποκτήσουν πρόσβαση άτομα χωρίς εξουσιοδότηση. Αυτά τα βήματα αποτελούν μια καλή αρχή.

Φωτογραφίες: Conny Mirbach

Εξελίξεις στην κυβερνοασφάλεια

Μάθετε με ποιον τρόπο προστατεύουμε περισσότερα άτομα στο διαδίκτυο από οποιονδήποτε άλλο οργανισμό.

Μάθετε περισσότερα