Journalist Security Fellowship

Elvesztett eszköz

Cél

Segíteni a résztvevőknek felkészülni egy olyan helyzetre, amelyben elvesztik egy vagy több eszközüket, ami akár érzékeny információt is tartalmazhat.

Tanulási célok

• Feltérképezni az újságírók és forrásaik közötti biztonságos kommunikáció formáit.
• Tudatosítani egy telefon vagy laptop elveszítésének kockázatait.
• Megismerni és megérteni az eszközök védelmének jó gyakorlatát
• Megosztani a szervezeti beléptetéssel és kiléptetéssel kapcsolatos jó gyakorlatot, elsősorban az eszközök biztonságával kapcsolatban.

Készségek / viselkedési formák gyakorlásra TTX előtt vagy után

• A Signal (vagy más biztonságos üzenetküldő alkalmazás) telepítése, beállítása és használata.
• Alternatív végpontok között titkosított üzenetküldő (például a WhatsApp vagy a Facebook Messenger Titkosított Chat) beállítása és használata.
• A Mailvelope (vagy egy másik opció az e-mailek titkosítására) telepítése, beállítása és használata.
• Egy mobileszköz titkosítása (jelszó beállítása)
• Jelszavak beállítása mobileszközön lévő egyes alkalmazásokhoz
• A mobileszközökön lévő adatok mentésének elvégzése és titkosítása (felhőszolgáltatások vagy külső meghajtó használatával).

Forgatókönyv

Egy korábban ismeretlen forrás kapcsolatba lép Sárával Facebook Messengeren, és azt állítja, hogy érzékeny információt szeretne vele megosztani. A fájl, amit meg szeretne osztani a védelmi miniszterről tartalmaz információt.

K1: Hogyan tudja Sára elmagyarázni a végpontok közötti titkosítás koncepcióját, hogy meggyőzze a forrást annak fontosságáról?

• Senki - még az üzenetküldőt üzemeltető vállalat - sem fér hozzá az üzenet tartalmához. Az üzenet tartalma nem kerül titkosítatlanul tárolásra a vállalat szerverein sem.
• A hatóságok nem tudják elérni a chat szolgáltatóból.
• Ha egy támadónak sikerül feltörni az üzenet küldésére használt fiókot, akkor sem fog tudni hozzáférni az üzenetek tartalmához (kivéve, ha ott titkosítatlan mentések vannak).

K2: Senki - még az üzenetküldőt üzemeltető vállalat - sem fér hozzá az üzenet tartalmához. Az üzenet tartalma nem kerül titkosítatlanul tárolásra a vállalat szerverein sem.

• A hatóságok nem tudják elérni a chat szolgáltatóból.
• Ha egy támadónak sikerül feltörni az üzenet küldésére használt fiókot, akkor sem fog tudni hozzáférni az üzenetek tartalmához (kivéve, ha ott titkosítatlan mentések vannak).

A forrás örül, hogy Sára biztonságossá szeretné tenni a kettejük közötti kommunikációt, viszont még mindig nem biztos benne, hogy melyik fajtáját részesítse előnyben. Sárához fordul tanácsért a Signallal, Telegrammal, Facebook Messengerrel és emailjével kapcsolatban

K3 (opcionális) - Milyen tényezőket érdemes figyelembe venni üzenetküldő alkalmazás választáskor a digitális biztonság szempontból?

• Telefonszámok: a legtöbb végpontok között titkosított üzenetküldőhöz telefonszámra van szükség, és sok helyen a telefonszámokat regisztrálni kell, így a kormány tudja, hogy melyik személy melyik telefonszám mögött áll. Ez azt jelenti, hogy ha a kormány valaha is átnézné Sára vagy a forrás telefonját, akkor rájönnének, hogy üzentek egymásnak, még akkor is, ha álneveket vagy eltűnő üzeneteket használtak (mérsékelné a helyzetetet, ha törölnék a neveket a névjegyekből, az üzenetküldőkből és ideális esetben a telefont is törölnék).
• Titkosított chatek: A Facebook Messenger és a Telegram kétféle módot kínál, amelyek közül csak az egyik titkosított a végpontok között. Ezt a módot általában titkosított chatnek vagy valami hasonlónak nevezik, bár gyakran el van rejtve a beállítások között.
• Eltűnő üzenetek: nagyjából minden modern üzenetküldő rendelkezik eltűnő üzenetek funkcióval, bár némelyikben ez csak a titkosított chat módban érhető el.
• Chatek törlése: ez elég célratörő, de fontos tudni, hogy egyes üzenetküldők csak archiválják, nem pedig törlik a chateket.
• Képernyőképekkel kapcsolatos tudatosság: a beszélgetés bármely rosszindulatú résztvevője egyszerűen készíthet képernyőképet, vagy - ha az üzenetküldő funkciói ezt nem teszik lehetővé - egyszerűen lefényképezheti a telefonja képernyőjét.
• Kétfaktoros azonosítás (2FA): egy támadó átveheti az üzenetküldő fiók irányítását a fiók regisztrálásához használt telefonszám megszerzésével és az ellenőrző SMS újbóli elküldésével. Ez lehetővé teszi számukra, hogy a fiók tulajdonosának adják ki magukat, bár jellemzően nem ad hozzáférést a korábbi üzenetekhez. A legtöbb üzenetküldő ma már lehetőséget biztosít arra, hogy az SMS-kódon kívül további jelszót is kérjen: ez azt jelenti, hogy még ha egy támadónak sikerül is megszereznie a telefonszámot, nem tud könnyen hozzáférni a fiókhoz.
• Erős jelszavak vagy jelszókódok magához a készülékhez (telefonhoz) való bejelentkezéshez

K4 (választás): Milyen tényezőket érdemes figyelembe venni digitális biztonság szempontjából az emailen történő kommunikáció során?

• A forrásnak egy új e-mail címet kell létrehoznia, csak a Sárával való kommunikációhoz
• Az új e-mail címnek erős és egyedi jelszóval és megbízható kétfaktoros azonosítással kell rendelkeznie.
• A forrásnak figyelnie kell az adathalász-támadásokra is és olyan technológiákat kell használnia, amelyek segítenek ezek mérséklésében, mint például a fizikai biztonsági kulcsok vagy a jelszókezelő automatikus kitöltő funkciója.
• Ideális esetben a forrásnak és Sárának PGP-n keresztül kellene kommunikálnia, például a Mailvelope használatával. Ez azt jelenti, hogy még ha a fiókjaikat valahogy fel is törné is, a támadó a PGP-kulcs nélkül nem tudná elolvasni az üzeneteik tartalmát. A forrás egy biztonságos csatornán küldi el a fájlt Sárának, aki azt a telefonján nézi meg. Örül, hogy megvan az információ, és elmegy a barátaival ünnepelni. A buliban elhagyja a telefonját, és rájön, hogy egy nagyon egyszerű jelszóval (1111) védte csak le.

K5: Mi történhet Sára telefonjával és az információval ami rajta van?

• Bárki, aki megtalálja a telefont hozzáférhet az érzékeny információkhoz, ha rájön, hogy hol vannak azok.
• Bárki, aki megtalálja a telefont üzenetet küldhet Sára ismerőseinek és úgy tehet, mintha ő lenne Sára.
• Bárki, aki átnézi a telefonon lévő információkat, veszélyeztetheti Sára kapcsolatainak személyazonosságát és biztonságát, vagy olyan információkat gyűjthet, melyeket pszichológiai manipulációra használhat fel.
• Sára elveszítheti újságírói hitelességét.

K6: Mit tud Sára tenni most, hogy csökkentse ennek digitális biztonságára gyakorolt hatását?

• Távolról törölheti a telefonját, ha beállította ezt a funkciót.
• Bejelentkezhet a többi eszközén az e-mail és közösségi média fiókjaiba, megváltoztathatja azok jelszavait és ha lehetséges, rákattinthat a “kilépés minden bejelentkezett eszközről” linkre.

K7: Mik az előnyei és hátrányai annak, hogy elmondja a forrásának, hogy elveszítette a telefonját?

• Beszélgetés előre meghatározott helyes válaszok nélkül. Jó hír! Sára egy barátja, aki a bulin volt vele megtalálja a kabátjában a telefont. Felhívta Sárát, és másnap visszaadta neki a telefont.

K8: Most, hogy Sára visszakapta a telefont, milyen lépéseket kell tennie, hogy biztonságban tudja az adatait, amennyiben a jövőben újra elveszítené a telefonját.

• Fontolja meg, hogy biometrikus feloldást használjon. Ennek vannak előnyei (senki nem lesheti ki Sára válla fölött, miközben beírja a jelszavát és a térfigyelő kamerák sem rögzítik) és hátrányai (könnyebb kényszeríteni Sárát, hogy feloldja a készülékét).
• Használjon hosszabb telefonfeloldó kódokat és jelszavakat. Kerülje a mintás feloldásokat (például a pontokat összekötő mintákat), mivel ezeket könnyen azonosíthatja egy megfigyelő személy, egy kamera vagy a képernyőn lévő foltok.
• Zárja le az alkalmazásokat (például az üzenetküldőket) egy további jelszóval is, ha Sára aggódik azon, hogy a telefonját néha mások is használják.
• Állítson be olyan alkalmazásokat, amelyek képesek a készüléket nyomon követni, lokalizálni és távolról törölni.

K9 - Szervezeti szemszögből hogy néz ki egy jó beléptető rendszer egy új munkatárs esetében annak érdekében, hogy az eszközei (pl telefon, számítógép) biztonságban legyenek?

• Biztosítani, hogy minden munkatárs végigmenjen egy beléptetésen, és ennek fontosságával mindenki tisztában legyen.
• Szervezetnek listázni kell az elvárásaikat a munkatársak felé a digitális biztonsági gyakorlatokkal kapcsolatosan.
• Feltérképezni a teendőket biztonság kompromittálódása esetére (pl. ha valakinek ellopják a telefonját, vagy feltörik egy jelszavát)
• IT támogatást kell biztosítani mindenkinek, akinek szüksége van rá.