Federatat kanë disa këshilla për individët ‘shumë të synuar’: Mos përdorni një VPN. Pas hakimeve të Salt Typhoon, Agjencia e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës në SHBA miraton gjithashtu mesazhet e koduara, menaxherët e fjalëkalimeve dhe instalimin e menjëhershëm të përditësimeve të softuerit. Udhëzimi më i fundit nga Agjencia e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës së SHBA-së (CISA) mund të mos i lërë amerikanët të ndihen më pak të mërzitur për hakimet e telekomit “Salt Typhoon”. Por duhet të mbrojë më mirë njerëzit e shënjestruar nga ata sulmues të sponsorizuar nga shteti kinez.
Rekomandimet e sigurisë të postuara të mërkurën nga CISA kanë për qëllim individët “shumë të shënjestruar” – të përcaktuar si njerëz “në pozita të larta qeveritare ose poste të larta politike dhe që kanë gjasa të kenë informacion me interes për këta aktorë kërcënimi”. Por pjesa më e madhe e kësaj këshille karakteristike të detajuar duhet të zbatohet për njerëzit, modelet e kërcënimit të të cilëve nuk paraqesin sulmues të shteteve kombëtare. Udhëzimi prej pesë faqesh i agjencisë këshillon individët me shënjestër të lartë që të “supozojnë se të gjitha komunikimet midis pajisjeve celulare – duke përfshirë qeverinë dhe pajisjet personale – dhe shërbimet e internetit janë në rrezik të përgjimit ose manipulimit” dhe për këtë arsye thekson rëndësinë e kriptimit nga fundi në fund për aplikacionet e mesazheve.
CISA këshillon gjithashtu përmirësimin e vërtetimit me shumë faktorë në metoda që nuk mund të mashtrohen nga faqet e phishing; ai miraton çelësat dhe çelësat e sigurisë së harduerit, të cilët të dy injorojnë faqet e rreme që ngjajnë me faqet e vërteta të hyrjes, por që nuk qëndrojnë në emrin e duhur të domenit.
Udhëzimi i agjencisë lejon përdorimin e kodeve një herë të krijuar nga aplikacione të tilla si Google Authenticator ose Twilio’s Authy për llogari më pak kritike, por këshillon heqjen e mesazheve me tekst MFA, ndër opsionet më pak të sigurta për verifikimin e hyrjes. Ai gjithashtu i nxit lexuesit të sigurojnë llogaritë e tyre me valë me një PIN dytësor për të parandaluar marrjen e numrave të telefonit me shkëmbimin e kartës SIM.
VPN: Politika të dyshimta të sigurisë dhe privatësisë?
Përkrahjet e CISA për t’u mbështetur te menaxherët e fjalëkalimeve, instalimi i menjëhershëm i përditësimeve të softuerit dhe veçanërisht arnimeve të sigurisë, dhe zgjedhja e modeleve më të reja të smartfonëve që mbështesin plotësisht veçoritë më të reja të sigurisë nuk duhet të jenë lajm për lexuesit me mendje sigurie. Direktiva e tij “Mos përdorni një rrjet privat virtual personal (VPN)”, megjithatë, mund të ngrejë disa vetulla.
Pse të mos përdorni një VPN për të enkriptuar të gjithë trafikun tuaj në internet? “VPN-të personale thjesht i zhvendosin rreziqet e mbetura nga ofruesi juaj i shërbimit të internetit (ISP) te ofruesi VPN, shpesh duke rritur sipërfaqen e sulmit,” shpjegon në mënyrë të drejtë udhëzimi i CISA. “Shumë ofrues të VPN falas dhe komercialë kanë politika të dyshimta sigurie dhe privatësie.”
(Për më tepër, pothuajse të gjitha sajtet tani kodojnë të dhënat që rrjedhin midis tyre dhe shfletuesit të një vizitori. Ose ISP-ja ose VPN-ja juaj mund të tregojnë se po vizitoni PCMag.com, por jo se po e lexoni këtë postim.)
Mos harroni për telefonin tuaj
CISA gjithashtu ofron disa këshilla specifike për sistemin operativ celular. Ai rekomandon mbrojtjen e kërkimeve të sistemit të emrave të domenit të pajisjes suaj të adresave të faqeve dhe shërbimeve duke kaluar në DNS të koduar nga firma të tilla si Cloudflare dhe Google—ose, në iOS, duke aktivizuar iCloud Private Relay të Apple.
Raporti këshillon përdoruesit e Android dhe iOS që të kontrollojnë lejet që u kanë dhënë aplikacioneve të tyre, që është një këshillë e shëndoshë që ne e kemi ndarë vetë; më tej u kujton përdoruesve të Android që të verifikojnë që skanimi i aplikacioneve Play Protect i Google, i aktivizuar si parazgjedhje, është ende aktiv.
iMessage i Apple dhe RCS i Google ofrojnë të dyja kriptim nga fundi në fund për mesazhet me tekst, por CISA paralajmëron saktë se ky kriptim zhduket në skenarë të tillë si mesazhet midis përdoruesve të Android dhe iOS. Kjo është e koduar vetëm në tranzit me iOS 18 të pajtueshëm me RCS të Apple, megjithëse po punohet për të shtuar enkriptimin “e2e” në ato biseda ndër-platformë.
Raporti sugjeron që përdoruesit e iOS të çaktivizojnë opsionin e kthimit për të dërguar një mesazh me SMS të pakriptuar. Dhe rekomandon që përdoruesit e Android të përdorin RCS vetëm nëse të gjithë në një bisedë përdorin aplikacionin Mesazhe të Google. Si në, vetëm nëse askush në një bisedë në grup nuk po përdor iOS ose Google Voice.
CISA i kushton vëmendje cilësisë së ndryshme të mbështetjes për arnimet e sigurisë midis shitësve të ndryshëm të telefonave duke i këshilluar lexuesit të blejnë nga “prodhuesit me të dhëna të forta sigurie dhe angazhime afatgjata të përditësimit të sigurisë”. Por lista e pajisjeve “Android Enterprise Recommended” me të cilat lidh dokumenti përfshin pothuajse çdo shitës telefoni në SHBA.
Postimi i CISA mbyllet me një kujtesë për të raportuar sulmet dhe dobësitë në internet – nëpërmjet faqes së saj, emailit në [email protected] ose një telefonate të modës së vjetër, por më pak të sigurt në 844-729-2472.
