Jinsi Google inavyolinda usalama wa data
Kuanzia udukuzi na wizi wa data binafsi hadi programu hasidi, wahalifu wa mtandaoni hutumia mbinu nyingi ili kuteka akaunti za watumiaji. Stephan Micklitz na Tadek Pietraszek kutoka Google huhakikisha kuwa hawafaulu.
Tadek Pietraszek
amefanya kazi katika ofisi ya kampuni iliyoko Zurich tangu mwaka wa 2006, ambapo anasimamia timu kubwa ya wataalamu. Pietraszek alipata shahada ya PhD katika sayansi ya kompyuta kutoka Albert Ludwig University of Freiburg mwaka wa 2006.
Bw. Pietraszek, wewe na timu yako mnawajibika katika kulinda usalama wa akaunti za watumiaji. Je, nyinyi huzuiaje wadukuzi dhidi ya kupata uwezo wa kufikia data?
Tadek Pietraszek, Mhandisi Mkuu wa Programu za usalama wa akaunti za watumiaji: Kwanza, ni muhimu tuweze kutambua shambulizi la kwanza. Tunatumai zaidi ya vigezo mia moja ili kutambua shughuli za kutiliwa shaka. Kwa mfano ikiwa unaishi Ujerumani, husafiri nje ya nchi kwa urahisi na mtu fulani ajaribu kufikia akaunti yako kutoka nchi nyingine – shughuli hiyo itatiliwa shaka.
Stephan Micklitz, Mkurugenzi wa Uhandisi katika timu ya Faragha na Usalama ya Google: Hiyo ndiyo maana wakati mwingine tunakuomba uthibitishe nambari ya simu uliyotupatia au maelezo mengine ambayo ni wewe tu kama mmiliki wa akaunti unayeyajua.
Kulingana na Tadek Pietraszek (kushoto), wizi wa data binafsi ni mojawapo ya hatari kubwa zaidi ya usalama mtandaoni.
Mashambulizi ya aina hii hutokea mara ngapi?
Pietraszek: Mashambulizi mengi zaidi ya mtandaoni hutokeo kila siku. Tatizo letu kubwa zaidi ni kuwa intaneti ina orodha nyingi zaidi za manenosiri na majina ya watumiaji yaliyoibwa kutoka kwenye tovuti zilizodukuliwa. Kwa kuwa watumiaji wetu kadhaa wanatumia nenosiri moja katika akaunti tofauti, orodha hizi pia zinajumuisha data ya kuingia katika Akaunti ya Google.
Je, orodha hizi zinaweza kusababisha hatari kubwa zaidi ya usalama?
Pietraszek: Ndiyo, kabisa. Hayo na mashambulizi ya kawaida ya wizi wa data binafsi. Karibu kila mtu amepokea barua pepe kutoka kwa wahalifu wanaojaribu kupata manenosiri ya akaunti. Kwa kawaida, tunatekeleza wajibu wetu ili kuhakikisha kuwa hawafaulu. Ikiwa tunafikiria kuwa barua pepe inayolenga kikasha chako cha Gmail inaonekana kuwa ya kutiliwa shaka, tunaweza kuiwekea alama ya onyo ili uweze kuichunguza au tunaweza kuichuja na kuiondoa kiotomatiki. Kivinjari chetu cha Chrome pia hutuma arifa unapojaribu kutembelea tovuti ambayo tunaifahamu kuwa ya wizi wa data binafsi.
Micklitz: Kuna aina mbili za msingi za wizi wa data binafsi. Barua pepe zinazotumwa kwa watu wengi, ambazo wahalifu hutumia kukusanya data nyingi zaidi ya kuingia katika akaunti kadri wawezavyo na mbinu inayoitwa “wizi wa data binafsi kupitia barua za kilaghai,” ambapo wanalenga akaunti ya mtu mahususi. Hizi zinaweza kuwa shughuli changamano zinazoendelea kwa miezi kadhaa, ambapo wahalifu huchunguza maisha ya anayelengwa kwa kina na kutekeleza shambulizi mahususi zaidi.
"Ikiwa tunafikiria kuwa barua pepe inayolenga kikasha chako cha Gmail inaonekana kuwa ya kutiliwa shaka, tunaweza kuiwekea alama ya onyo."
Tadek Pietraszek
Google huwasaidiaje watumiaji wake kuzuia mashambulizi kama hayo yasifaulu?
Pietraszek: Mfano mmoja ni mfumo wetu wa Uthibitishaji wa hatua mbili. Watumiaji wengi wanafahamu aina hii ya mfumo kutoka kwenye akaunti zao za benki mtandaoni. Kwa mfano, ikiwa unataka kutuma pesa, huenda utahitaji kuweka nenosiri na msimbo uliotumiwa kupitia SMS. Google ilianzisha uthibitishaji wa hatua mbili mwaka wa 2009, mapema zaidi kuliko watoa huduma wengine wengi wakuu wa barua pepe. Zaidi ya hayo, watumiaji wa Google ambao wamesajili nambari zao za simu hunufaika kiotomatiki kutokana na kiwango sawa cha ulinzi dhidi ya majaribio ya kutiliwa shaka ya kuingia katika akaunti.
Micklitz: Uthibitishaji wa hatua mbili ni mbinu nzuri, lakini hata misimbo ya SMS inaweza kuibiwa. Kwa mfano, wahalifu wanaweza kuwasiliana na mtoa huduma za simu yako na kujaribu kupata SIM kadi ya pili. Uthibitishaji kwa kutumia tokeni halisi ya usalama, kama vile kisambazaji kilicho na Bluetooth au kifaa cha USB, ni salama zaidi.
Pietraszek: Tunatumia nyenzo hii kama sehemu ya Mpango wetu wa Ulinzi wa Hali ya Juu.
Hiyo ni nini?
Pietraszek: Mpango wa Ulinzi wa Hali ya Juu ulianzishwa na Google mwaka wa 2017 na unalenga watu walio katika hatari kubwa ya kudukuliwa, kama vile wanahabari, Maofisa Wakuu Watendaji, wapinzani wa kisiasa na wanasiasa.
Micklitz: Kando na Ufunguo wetu halisi wa Usalama, tunadhibiti pia ufikiaji wa data kutoka kwenye programu za wengine kwa kujumuisha hatua za ziada ambapo ni lazima watumiaji wathibitishe utambulisho wao ikiwa watapoteza ufunguo.
Mkurugenzi wa Uhandisi Stephan Micklitz anasimamia faragha na usalama wa jumla katika Google. Alisomea sayansi ya kompyuta katika Chuo Kikuu cha Kiufundi cha Munich na amefanya kazi katika ofisi ya Google jijini Munich tangu mwishoni mwa mwaka wa 2007.
Je, unaweza kutueleza kuhusu shambulizi moja kuu la mtandaoni ulilokumbana nalo na jinsi ulivyolishughulikia?
Pietraszek: Mojawapo ya mashambulizi haya yalitokea mapema mwaka wa 2017. Wadukuzi walikuwa wametengeneza programu hasidi ili kupata uwezo wa kufikia Akaunti za Google za waathiriwa na kutuma barua pepe bandia kwenye anwani za watu wanaowasiliana na watumiaji walioathirika. Kwenye barua pepe hizo, wapokeaji waliombwa kuruhusu ufikiji wa hati bandia ya Google. Waliofanya hivyo, walitoa uwezo wa ufikiaji bila kukusudia kwa programu hasidi na kutuma kiotomatiki barua pepe sawa bandia kwa watu wanaowasiliana nao. Virusi hivyo vilisambazwa kwa haraka. Tuna mipango ya dharura ya kukabili hali kama hizi.
Micklitz: Kwa mfano, katika tukio hili mahususi, tulizuia usambazaji wa barua pepe hizi kwenye Gmail, tukabatilisha uwezo wa ufikiaji uliotolewa kwa programu na kuimarisha ulinzi wa akaunti. Bila shaka, tumeongeza pia ulinzi wa kimfumo ili kufanya iwe vigumu kwa mashambulizi kama hayo kutokea siku za usoni. Akaunti za Google hushambuliwa mara kwa mara na mifumo yetu ya kiotomatiki inatoa ulinzi unaofaa zaidi. Bila shaka, hali hii inatutegemea sisi kuweza kuwafikia watumiaji wetu kupitia njia nyingine kando na Akaunti zao za Google – yaani, anwani ya pili ya barua pepe au nambari ya simu ya mkononi.
"Kwa kweli, hatua ya kufuata kanuni chache tu za msingi huwa imetosha."
Stephan Micklitz
Usalama ni muhimu kwa njia gani kwa mtumiaji wa kawaida?
Pietraszek: Watu wengi wanatambua kuwa ni muhimu zaidi, lakini kuchukua tahadhari za usalama zinazohitajika kunaweza kuchosha. Kwa mfano, hii inafafanua ni kwa nini mara nyingi watu hutumia nenosiri moja katika akaunti nyingi – jambo ambalo ni kosa kubwa zaidi unaloweza kufanya. Kazi yetu ni kuwafafanuliwa watumiaji jinsi ambavyo wanaweza kulinda akaunti zao kwa urahisi. Hiyo ndiyo maana tunatoa kipengele cha Ukaguzi wa Usalama kwenye Akaunti ya Google, ambacho kinawawezesha watumiaji kukagua mipangilio yao kwa urahisi.
Micklitz: Kwa kweli, hatua ya kufuata kanuni chache tu za msingi huwa imetosha.
Kanuni hizo ni gani?
Micklitz: Usitumie nenosiri moja katika huduma nyingi, sakinisha masasisho ya usalama na uepuke programu za kutiliwa shaka. Weka nambari ya simu au anwani mbadala ya barua pepe ili uweze kufikiwa kwa njia nyingine. Washa mbinu ya kufunga skrini kwenye simu yako ili ufanye iwe vigumu kwa watu ambao hawajaidhinishwa kuifikia. Hatua hizi pekee ni mwanzo mzuri.
Picha: Conny Mirbach
Uboreshaji wa usalama mtandaoni
Pata maelezo kuhusu jinsi tunavyohakikisha usalama wa watu wengi zaidi mtandaoni kuliko shirika lolote lingine duniani.
Pata maelezo zaidi