Paano pinapanatiling ligtas ng Google ang iyong data
Mula sa pangha-hack at phising hanggang sa malware, gumagamit ang mga cybercriminal ng iba't ibang paraan para mang-hijack ng mga user account. Tinitiyak nina Stephan Micklitz at Tadek Pietraszek mula sa Google na hindi sila magtatagumpay.
Si Tadek Pietraszek
ay nagtatrabaho na sa lokasyon ng kumpanya sa Zurich mula pa noong 2006, kung saan pinamumunuan niya ang isang malaking team ng mga eksperto. Nakuha ni Pietraszek ang kanyang PhD sa computer science mula sa Albert Ludwig University of Freiburg noong 2006.
Mr. Pietraszek, responsable kayo ng iyong team sa pagpapanatiling secure ng mga user account. Paano ninyo pinipigilang magkaroon ng access ang mga hacker?
Tadek Pietraszek, Principal Software Engineer para sa seguridad ng user account: Una sa lahat, mahalagang matukoy namin ang unang pag-atake. Gumagamit kami ng mahigit isang daang variable para tumukoy ng kahina-hinalang aktibidad. Ipagpalagay nating nakatira ka sa Germany, bihira kang bumiyahe sa ibang bansa, at may taong sumusubok na i-accesa ang iyong account mula sa ibang bansa – matutukoy itong kahina-hinala.
Stephan Micklitz, Director of Engineering sa team ng Privacy at Seguridad ng Google: Kaya naman kung minsan, hinihiling namin sa iyo na kumpirmahin ang numero ng telepono na ibinigay mo sa amin, o ang iba pang impormasyong ikaw lang ang nakakaalam bilang may-ari ng account.
Para kay Tadek Pietraszek (nasa kaliwa), phishing ang isa sa pinakamalaking banta sa seguridad online.
Gaano kadalas nangyayari ang mga pag-atakeng ito?
Pietraszek: Ilang daang libong cyberattack ang nangyayari araw-araw. Ang pinakamalaking problema namin ay naglalaman ang internet ng napakaraming listahan ng mga pangalan at password ng user na ninakaw mula sa mga na-hack na website. Dahil may ilan sa aming mga user na gumagamit ng iisang password para sa iba't ibang account, may data ng pag-log in para sa Google Account din sa mga listahang ito.
Ang mga listahan bang ito ang nagdudulot ng pinakamalaking banta sa seguridad?
Pietraszek: Oo naman. Iyon at ang mga classic na phishing na pag-atake. Halos lahat ay nakatanggap na ng mga email mula sa mga kriminal na sumusubok na kumuha ng mga password ng account. Siyempre, ginagawa namin ang tungkulin namin para matiyak na hindi sila magtatagumpay. Kung sa tingin namin ay kahina-hinala ang isang email na paparating sa iyong inbox sa Gmail, puwede naming markahan ito ng babala para matingnan mo ito nang mas mabuti, o puwede naming awtomatikong i-filter at alisin ito. Nagpapadala rin ng mga alerto ang aming Chrome browser kapag sinusubukan mong bumisita sa site na alam naming phishing website.
Micklitz: May dalawang pangunahing uri ng phishing. Ang mga pangmaramihang email, na ginagamit ng mga kriminal para mangolekta ng pinakamaraming data ng pag-log in na posible, at ang tinatawag na “spear phishing,” kung saan nagta-target sila ng account ng partikular na tao. Posibleng napakahusay ng mga operasyong ito na nagtatagal nang ilang buwan, at sa panahong ito, sinisiyasat ng kriminal ang mga detalye ng buhay ng biktima, at nagsasagawa siya ng lubos na naka-target na pag-atake.
"Kung sa tingin namin ay kahina-hinala ang isang email na paparating sa iyong inbox sa Gmail, puwede naming markahan ito ng babala."
Tadek Pietraszek
Paano tumutulong ang Google sa mga user nito para mapigilang magtagumpay ang mga ganitong pag-atake?
Pietraszek: Isang halimbawa ang aming system ng 2-Step na Pag-verify. Maraming user ang pamilyar sa ganitong uri ng system mula sa kanilang mga online na bank account. Halimbawa, kung gusto mong maglipat ng pera, posibleng kailanganing ilagay mo ang iyong password at ang code na ipapadala sa pamamagitan ng text. Ipinakilala ng Google ang two-factor authentication noong 2009, na mas maaga sa karamihan ng iba pang pangunahing email provider. Bukod pa rito, awtomatikong nakikinabang ang mga user ng Google na nagparehistro ng kanilang mobile number sa katulad na antas ng proteksyon laban sa mga kahina-hinalang pagsubok na mag-log in.
Micklitz: Mahusay na pamamaraan ang two-factor authentication, pero posibleng ma-intercept maging ang mga code sa text message. Halimbawa, puwedeng makipag-ugnayan ang mga kriminal sa iyong mobile provider para subukang humiling na padalhan sila ng pangalawang SIM card. Mas secure pa ang pag-authenticate gamit ang pisikal na token ng seguridad, gaya ng Bluetooth transmitter o USB stick.
Pietraszek: Ginagamit namin ang resource na ito bilang bahagi ng aming Programang Advanced na Proteksyon.
Ano iyon?
Pietraszek: Ipinakilala ng Google ang Programang Advanced na Proteksyon nong 2017 at idinisenyo ito para sa mga taong may mas malaking posibilidad na ma-hack, gaya ng mga mamamahayag, CEO, political dissident, at politiko.
Micklitz: Bukod pa sa aming pisikal na Security Key, nililimitahan din namin ang access sa data ng mga third-party na app sa pamamagitan ng paggamit ng mga karagdagang hakbang kung saan dapat i-verify ng mga user ang kanilang pagkakakilanlan sakaling maiwala nila ang key.
Si Stephan Micklitz, Director of Engineering, ang responsable sa pandaigdigang privacy at seguridad sa Google. Nag-aral siya ng computer science sa Technical University of Munich at nagtatrabaho na siya sa tanggapan ng Google sa Munich mula pa noong katapusan ng 2007.
Puwede ba kayong magkuwento tungkol sa isang malawakang cyberattack at kung paano ninyo ito tinugunan?
Pietraszek: Naganap ang isa sa mga ganoong pag-atake noong simula ng 2017. Gumawa ang mga hacker ng nakakapinsalang program para makakuha ng access sa Mga Google Account ng mga biktima at magpadala ng mga pekeng email sa mga contact ng mga user. Sa mga email na ito, hiniling sa mga nakatanggap na magbigay ng access sa pekeng Google document. Para sa mga taong gumawa nito, hindi sinasadyang nabigyan ng access ang malware at awtomatikong ipinadala ng mga pekeng email na ito sa mga sarili nilang contact. Mabilis na kumalat ang virus. May mga nakahanda kaming plano para sa mga ganitong sitwasyon.
Micklitz: Halimbawa, sa partikular na sitwasyong ito, na-block namin ang pagpapamahagi ng mga email na ito sa Gmail, binawi namin ang access na ibinigay sa program, at na-secure namin ang mga account. Siyempre, nagdagdag din kami ng mga sistematikong pag-iingat para maging mas mahirap ang mga katulad na pag-atake sa hinaharap. Palaging inaatake ang Mga Google Account, at ibinibigay ng aming mga naka-automate na system ang pinakamabisang proteksyon. Siyempre, nakadepende ito sa kakayahan naming makipag-ugnayan sa aming mga user sa mga paraan maliban sa kanilang Google Account – hal., pangalawang email address o numero ng mobile phone.
"Sa katunayan, kadalasang sapat na ang pagsunod sa ilang pangunahing panuntunan."
Stephan Micklitz
Gaano kahalaga ang seguridad sa average na user?
Pietraszek: Maraming tao ang nagsasabing napakahalaga nito, pero posibleng maging mahirap ang pagsasagawa ng mga kinakailangang pag-iingat para sa seguridad. Halimbawa, ipinapaliwanag nito kung bakit madalas na gumagamit ang mga tao ng iisang password para sa maraming account – at ito ang pinakamalaking pagkakamaling puwede mong magawa. Trabaho naming ipaliwanag sa mga user kung paano nila mapoprotektahan ang kanilang mga account nang hindi nahihirapan. Kaya naman iniaalok namin ang function na Security Checkup sa Google Account, na nagbibigay-daan para madaling masuri ng mga user ang kanilang mga setting.
Micklitz: Sa katunayan, kadalasang sapat na ang pagsuod sa ilang pangunahing panuntunan.
At ano ang mga panuntunang iyon?
Micklitz: Huwag gamitin ang iisang password para sa maraming serbisyo, i-install ang mga update sa seguridad, at umiwas sa mga kahina-hinalang software. Magbigay ng numero ng telepono o alternatibong email address para makaugnayan ka sa ibang paraan. At i-enable ang lock ng screen ng iyong telepono para maging mas mahirap para sa mga hindi awtorisadong indibidwal na makakuha ng access. Mabuting simula na ang mga hakbang lang na ito.
Mga Larawan: Conny Mirbach
Mga pagsulong sa cybersecurity
Alamin kung paano namin napapanatiling ligtas ang mas maraming tao online kaysa sa sinupaman sa mundo.
Matuto pa