CERT-EU hardening útmutató: ezekkel a beállításokkal biztonságosabban használható a Signal

 

Az európai intézmények, szervek és hivatalok számítógépes vészhelyzeteket elhárító csoportja (CERT-EU) nemrég a Signal alkalmazás biztonságos használatáról adott ki útmutatót vállalkozások számára, ugyanis a csevegőalkalmazások magáncélú használata mellett egyre jellemzőbb, hogy a felhasználók ezeket munkahelyi kapcsolattartásra, vagy egy-egy feladat gyors koordinálására is alkalmazzák.

Az NBNSZ NKI felhívja a figyelmet arra, hogy az azonnali üzentküldő applikációk információbiztonsági szempontból kockázatot jelenthetnek, ezért semmiképp ne osszunk meg általuk szenzitív szervezeti információkat! Több alkalmazás esetén ismert, hogy a fényképek és videók szolgáltatói oldalon nem titkosítva kerülnek tárolásra, emellett a legtöbb alkalmazás nem nyílt forráskódú, azaz nem felmérhető, hogy valójában mennyire vannak biztonságban a felhasználói adatok. 

A CERT-EU Signal hardening útmutatója (az 1.0-ás verzió alapján) a következő főbb témákra fókuszál:

  1. A Signal alkalmazás letöltése ─ csak hivatalos alkalmazásboltból/weboldalról!

 

 

  1. Engedélyezzük az automatikus frissítést!

 

  • iOS eszközön: Beállítások App Store és jelöljük be az Appfrissítéseket
  • Android eszközön: Beállítások Hálózati beállítások, és válasszuk az Alkalmazások automatikus frissítése lehetőséget. (Ezzel kapcsoltban bővebb információ a Google súgó oldalán érhető el.)
  • Asztali számítógépen: Nyissuk meg az alkalmazást Beállítások Általános és válasszuk a Frissítések automatikus telepítése opciót.

 

  1. Tegyük személyessé a profilunkat?

 

  • A CERT-EU ajánlása szerint szervezeti használat során valódi nevünket is használhatjuk. Az NBSZ NKI ezt azzal egészítené ki, hogy minden esetben kövessük a szervezet erre vonatkozó biztonsági eljárásrendjét! A beállítás eléréséhez kattintsunk a bal felső sarokban lévő profil ikonra, majd a Beállítások lehetőségre.

 

  1. Ellenőrizzük a kontaktok hitelességét!

 

 Amennyiben egy olyan személy veszi fel velünk a kapcsolatot Signalon, akinek a felhasználóneve ismerős, azonban a telefonszáma nem, tegyük a következőket:

  • Jegyezzük fel a telefonszámát annak, aki megpróbált kapcsolatba lépni velünk!
  • Vegyük fel vele a kapcsolatot egy másik megbízható kommunikációs csatornán (pl.: a céges chat felületen, e-mailen, vagy telefonon keresztül), és kérjük visszaigazolást arról, hogy valóban ő próbált kapcsolatba lépni velünk!
  • Amennyiben nem ismerősünktől/munkatársunktól jött a megkeresés, blokkoljuk a kapcsolatot, és szervezeti jelentsük a szervezet IT biztonsági csapatának!

Egy másik fontos funkció a kapcsolatok biztonsági ellenőrzése, amely során egy QR kód vagy egy biztonsági számsor segítségével hitelesíthetjük csevegőpartnereinket. Ezt a kontakt profiljára koppintva, azonbelül a Biztonsági azonosító alatt érhető el. 

 

  1. Használjuk a regisztrációs zárat!

Mivel a Signal alapvetően a telefonszámunkkal működik, annak birtokában könnyen megszemélyesíthetnek minket mások is. Hogy ezt elkerüljük, lépjünk be a profilunkba, majd a Beállítás Fiók menüponton belül kapcsoljuk be a „Regisztrációs zár lehetőséget, így egy plusz PIN kóddal lehet csak aktiválni Signalon a telefonszámunkat.

 

 6. Milyen eszközök vannak társítva a fiókhoz?

A profilunkon belül ellenőrizhetjük a társított eszközeinket a Beállítás Társított eszközök menüben. Amennyiben a listában szereplő eszközök között van, ami nem ismerős, szüntessük meg a párosítást, és jelezzük a cég IT biztonsági csapatának!

 

  1. Aktiváljuk a képernyőzárat!

A Beállítás Adatvédelem menüben aktiválhatjuk a képernyőzár funkciót.

 

  1. Így kapcsolható ki az üzenetek megjelenítése zárolt képernyőn

A Beállítás Értesítések menüben az „Értesítés tartalma” lehetőségek közül korlátozzuk minél jobban a megjelenített tartalmakat, így kisebb valószínűséggel szivárogtatunk érzékeny információkat.

 

  1. Eltűnő üzenetek beállítása

Lépjünk be egy csevegésbe, ahol ezt a funkciót aktiválni szeretnénk, majd a bal felső sarokban kattintsunk a profilra, majd aktiváljuk az „Eltűnő üzeneteket”, és válasszuk ki a számunkra megfelelő időtartamot az üzenetek láthatóságára vonatkozóan!

  1. Indítsuk újra időközönként az eszközeinket!

Érdemes időközönként – akár naponta – újraindítani okoseszközeinket, így egyes ideiglenes rosszindulatú programok, amelyek megfertőzhették eszközeinket eltávolításra kerülhetnek.