Praktikal na Remote Security Settings at Pag-iwas sa Scam ng ToDesk

May pangunahing mekanismo ng seguridad ang ToDesk sa antas ng account: sa unang pag-login sa bagong device, magpapadala ang opisyal ng confirmation email na hinihiling na i-click mo ang «Payagan ang pag-login» bago makapag-login, normal na proteksyon ito; ang controlled end naman ay umaasa sa «device code + temporary password» para kumonekta. Hindi nagbibigay ang materyal ng tutukuyang paliwanag sa mga teknikal na detalye ng seguridad tulad ng end-to-end encryption (kailangang patunayan sa totoong pagsubok). Pangkalahatang rekomendasyon sa pagkonekta sa computer ng kompanya: gumamit ng malakas na password, buksan ang login verification ng bagong device, i-disconnect agad pagkatapos at isara ang unattended access, huwag i-leak ang temporary password, at sumunod sa mga patakaran sa seguridad ng impormasyon ng kompanya.

Oo, remote desktop software ng China ang ToDesk, ang opisyal na App ay inilalabas ng «Hainan Youqu Technology», nasa mainland China ang sistema ng account at server (personal login entry na uc.todesk.com). Ipoproseso sa pamamagitan ng server nito ang data ng koneksyon at account; kung, at aling data ang ipapadala pabalik sa server ng China ay hindi tinukoy nang isa-isa sa materyal (kailangang patunayan sa totoong pagsubok). Para sa mga user na nababahala sa data compliance, inirerekomenda na siguraduhin muna kung sumusunod sa patakaran sa seguridad ng impormasyon ng iyong lokasyon at kompanya bago kumonekta sa computer ng kompanya o sensitibong computer.

Sa normal na remote connection, talagang nakikita ng controlling side ang larawan ng controlled computer, kaya dapat lamang ibigay ng panig na kinokonekta ang «device code + temporary password» sa taong pinagkakatiwalaan, at i-disconnect agad pagkatapos, isara ang unattended access, para maiwasang makonekta at masilip ng iba. May karagdagang privacy screen (privacy mode) function ang bayad na bersyon, na puwedeng i-block ang lokal na larawan ng controlled end habang nag-o-operate nang remote. Tungkol naman sa kung mamo-monitor ng platform ng ToDesk mismo ang content, hindi nagbibigay ng kaugnay na paliwanag ang materyal (kailangang patunayan sa totoong pagsubok); ang maingat na paraan ay huwag magproseso ng sensitibong data habang nakakonekta.

Hindi nagbibigay ang materyal ng tiyak na termino tungkol sa proteksyon ng personal na impormasyon o pagbebenta ng data ng ToDesk (kailangang patunayan sa totoong pagsubok), hindi masasabi nang tiyak. Sa praktika may handang benepisyo para sa mga user sa Hong Kong, Taiwan/ibang bansa: kinukumpirma ng opisyal na talagang hindi puwedeng i-bind ang dayuhang numero tulad ng +852, +886, malinaw na sinabi ng customer service na sumusuporta lang sa numero ng mainland, kaya hindi mo na kailangang i-bind ang numero ng telepono — lumipat sa international email (Gmail/Outlook atbp.) para magrehistro mag-login na sapat na, pati ang pagbawi ng password, login verification ay puwede sa email, binabawasan ang alalahanin sa pag-leak ng numero ng telepono mula sa pinagmulan. Inirerekomenda pa ring gumamit ng malakas na password at buksan ang login verification ng bagong device.

Karaniwang hindi maaagaw ng estranghero ang ToDesk. Para makonekta ng estranghero ang computer mo, kailangan niyang makuha nang sabay ang «device code» ng makina mo kasama ang «temporary password» o fixed password na itinakda mo, hindi puwedeng kulang, hindi makakapasok kung device code lang ang alam. Mira-refresh ang temporary password by default pagkatapos ng bawat koneksyon, medyo mataas ang seguridad. Ang pinakamalaking panganib ay kapag aktibo mong sinabi ang code at password sa taong hindi dapat pinagkakatiwalaan (halimbawa pekeng customer service); basta hindi mo i-leak ang dalawang ito, hindi mag-install ng bersyong hindi kilala ang pinagmulan, napakababa ng tsansang maagaw ng estranghero. Sa pang-araw-araw na paggamit inirerekomenda na isara ang hindi kailangang unattended access, regular na suriin ang listahan ng device.

Ang koneksyon at paglilipat ng file ng mainstream na remote desktop software ay karaniwang may encryption protection, sinasabi rin ng ToDesk sa publiko na encrypted ang transmission. Pero hindi nagbibigay ang opisyal sa public page ng salita-por-salitang paliwanag sa teknikal na detalye ng encryption (kung totoong end-to-end, anong algorithm ang ginagamit), kaya ang eksaktong termino na «end-to-end» ay hindi pa ganap na ma-verify sa opisyal na dokumento sa kasalukuyan. Para sa karaniwang remote control at paglilipat ng file, sapat ang platform-level encryption para hindi madaling masilip habang nasa transmission; kung magpoproseso ka ng lubhang kumpidensyal na content, inirerekomenda na isama ang itinakda mong fixed password, buksan ang privacy screen, at gamitin lang sa pinagkakatiwalaang network.

Ang privacy screen (black screen) ng ToDesk ay function na ginagawang itim ang lokal na screen ng controlled computer at nila-lock ang keyboard-mouse habang nag-re-remote, para habang nag-o-operate nang remote ay hindi makita ng katabi ang ginagawa mo, at hindi rin mahawakan ang computer na iyon. Dapat tandaan na bayad na function ito: walang privacy screen ang libreng bersyon, simula sa Pro version ay may «custom privacy screen», may karagdagang «strong privacy mode» ang Performance version. Kaya kung kailangan mong pigilan na masilip o magalaw ng katabi ang lokal na makina habang nag-re-remote, kailangang mag-upgrade sa Pro version o pataas.

Para makonekta ng ToDesk ang computer mo kailangang kumpleto ang dalawang «device code + temporary password (o fixed password)», hindi makakapasok kung device code lang, ang dalawang-layer na hadlang na ito mismo ay may tiyak nang proteksyon. Mia-update ang temporary password by default pagkatapos ng bawat koneksyon, napakababa ng tsansang mahulaan o magamit muli. Ang totoong panganib ay hindi sa brute force, kundi sa aktibong pagbibigay mo ng dalawang ito nang sabay sa taong hindi mapagkakatiwalaan. Inirerekomenda: huwag i-leak ang code at password nang sabay, iwasan ang masyadong simpleng fixed password, suriin ang listahan ng device kung may estranghong koneksyon pagkatapos gamitin.

Pinipigilan ng kompanya ang remote software kadalasan dahil sa pagsasaalang-alang ng patakaran sa seguridad ng impormasyon, hindi dahil tiyak na may problema ang software mismo. Pinapayagan ng remote desktop type na tool ang panlabas na direktang i-operate ang internal network computer, maglipat ng file; para maiwasan ang pag-leak ng data o pag-bypass sa firewall, madalas na pantay na pinipigilan ng kompanya ang empleyado na mag-install mismo ng anumang ganitong software (hindi lang ToDesk). Kaya kung magagamit sa environment ng kompanya ay dapat sumunod sa patakaran ng IT ng kompanya; kung talagang kailangan ng remote control sa trabaho, gamitin ang solusyong inaprubahan ng kompanya, huwag mag-install nang sarili para hindi makalabag.

Ang pagkonekta gamit ang ToDesk sa Hong Kong pabalik sa Taiwan ay cross-border remote, magagamit naman ang koneksyon mismo, puwede ring magkonekta ang device sa loob at labas ng bansa. Sa antas ng seguridad walang pangunahing pagkakaiba sa pagkonekta sa iisang lugar, umaasa pa rin sa «device code + password» na pagbabantay, may encryption protection ang transmission, hindi magiging mas madaling ma-intercept dahil lang cross-border. Ang dapat tandaan ay sa labas ng bansa dumadaan lang sa «ordinaryong linya» ang libreng bersyon, mas halata ang latency at lag; kung gusto ng matatag na mababang latency kailangang bumili nang hiwalay ng bayad na global node function. Ang susi sa seguridad ay nasa kung maayos mong iniingatan ang code at password, hindi ang lokasyong heograpiko.

Inilalabas ang ToDesk ng Hainan Youqu Technology ng China, software na may background na China. Kung malinaw na isinaad ng kompanya mo na hindi puwedeng mag-install ng software ng China, malamang na labag sa patakaran ang pag-install ng ToDesk sa device ng kompanya o network ng kompanya. Inirerekomenda na siguraduhin muna ang saklaw ng patakaran sa IT o superbisor ng kompanya (kung kasama ang personal na device, kung may inaprubahang whitelist). Kung personal lang na computer mo, hindi kasangkot ang data ng kompanya, karaniwang personal na kalayaan ito; pero basta kasangkot ang asset o network ng kompanya, sumunod sa patakaran ng kompanya, huwag magpasya nang sarili.

Ang pangunahing mekanismo ng seguridad ng libreng bersyon ng ToDesk (pagbabantay ng device code + password, encryption ng transmission) ay pareho sa bayad na bersyon, hindi babawasan ang proteksyon ng koneksyon mismo dahil lang libre, ligtas ang pang-araw-araw na paggamit. Ang dagdag sa bayad na bersyon ay pangunahing advanced privacy function tulad ng «privacy screen/strong privacy mode», at mga performance item tulad ng mas malinaw, mas mataas na quota at global node, hindi «walang proteksyon ang libreng bersyon, may proteksyon lang ang bayad». Kaya sa antas ng seguridad hindi kailangang magbayad para sa proteksyon; maliban kung kailangan mong gawing black screen ang lokal na makina para pigilan ang pagsilip habang nag-re-remote, saka kailangang mag-upgrade sa bersyong may privacy screen.

Ang lehitimong remote software, kapag walang nangyayaring koneksyon, ay hindi mag-re-record o mag-screenshot ng screen mo nang kusa, makikita lang ang larawan ng kabilang dulo kapag may taong matagumpay na nakagawa ng koneksyon (hawak ang code + password mo). Para babaan ang alalahanin, mangyaring mag-download lang mula sa opisyal na todeskremote.com o opisyal na app store, iwasan ang ma-install ang binagong pekeng bersyon na posibleng may nakatagong side-recording; kasabay nito pamahalaan nang maayos ang device code at password mo, isara ang unattended access kapag hindi kailangan. Kung hindi pa rin panatag, puwedeng mag-exit sa program o i-disable ang background service nito kapag hindi ginagamit.

Karaniwang nagpapatakbo ang ToDesk ng service sa background para maghintay, pero ang «paghihintay» ay hindi katumbas ng «bukás ang pinto nang maluwang». Para makapasok ang iba, kailangan pa rin nilang hawak ang device code mo kasama ang temporary password o fixed password, ang pagpapatakbo lang ng program sa background ay hindi awtomatikong magpapapasok ng estranghero. Ang totoong dapat bantayan ay ang «unattended access» setting: kapag nagtakda ka ng unattended fixed password, ang taong alam ang code + password na iyon ay makakapasok din kapag wala ka. Kung hindi mo kailangan ang function na ito, inirerekomenda na isara ang unattended access; kapag hindi panatag puwedeng direktang mag-exit sa program o i-disable ang background service nito.

Pagkatapos kumonekta gamit ang ToDesk, sa sandaling ibigay mo ang code at password sa kabila, payagan siyang matagumpay na maka-remote, sa esensya habang nakakonekta siya ay parang nakaupo siya sa harap ng computer mo, kayang i-operate ang mouse keyboard, magbukas ng program, mag-install ng software — kabilang ang sa teorya ay mag-install ng hindi dapat i-install. Kaya kung ligtas o hindi, ganap na depende sa kung mapagkakatiwalaan ang kabila. Inirerekomenda na payagan lang ang taong pinagkakatiwalaan na mag-remote; bantayan sa tabi sa buong proseso, huwag umalis; i-disconnect agad pagkatapos at i-update ang password, kung kailangan suriin ang bagong na-install na program at startup items. Sa hindi kilalang pinagmulan na «customer service», «netizen», huwag kailanman ibigay ang code password.

Hindi binabaklas ng software ng ToDesk mismo ang mga file mo kapag walang koneksyon. Maa-access ang file kapag may taong «matagumpay na nag-remote» o «gumamit ng file transfer» lang — at lahat ng iyon ay kailangang makuha muna ang device code at password mo. Sa madaling salita, kung walang ibinigay mong connection credential, hindi makukuha ng tagalabas ang file mo. Ang panganib ay nasa taong pinayagan mong kumonekta: nakikita at nailipat niya ang file mo habang nag-re-remote. Kaya payagan lang ang pinagkakatiwalaang tao, bantayan sa tabi sa buong proseso, i-disconnect pagkatapos, at mag-download lang mula sa opisyal na pinagmulan para hindi ma-install ang pekeng bersyong nagnanakaw ng file.

Hindi makakapasok agad kahit alam ng iba ang device code ng ToDesk ko. Hindi makakapasok kung device code lang ang alam, kailangan pa rin ng kabila na makuha nang sabay ang «temporary password» mo o fixed password na itinakda mo bago matagumpay na makakonekta. Mia-update ang temporary password by default pagkatapos ng bawat koneksyon, kaya sa na-leak na code lang, hindi basta-basta makakapasok ang iba. Ang totoong dapat ingatan ay huwag ibigay ang code at password nang «sabay» sa taong hindi mapagkakatiwalaan. Kung nag-aalala ka, siguraduhin na hindi ka nagtakda ng fixed password na madaling mahulaan, at isara ang unattended access kapag hindi ginagamit.

Walang privacy screen (black screen) function ang libreng bersyon ng ToDesk. Para gawing itim ang lokal na screen ng controlled computer at i-lock ang keyboard-mouse habang nag-re-remote, kailangang mag-upgrade sa bayad na bersyon: simula sa Pro version ay may «custom privacy screen», may karagdagang mas malakas na «strong privacy mode» ang Performance version. Kung karaniwang remote control lang, walang pakialam kung makita ng katabi ang lokal na larawan, sapat na ang pangunahing function ng libreng bersyon; pero kung kailangang pigilan na masilip o magalaw ng katabi ang lokal na makina, kailangang mag-subscribe ng membership na may privacy screen.

May ganitong panganib kapag kumuha ka ng tao sa internet para ayusin ang computer mo gamit ang ToDesk. Ang pagpapa-remote sa estrangherong netizen ay parang ganap na ibinibigay sa kanya ang computer — puwede siyang mag-install ng anumang program habang nakakonekta, kabilang ang lihim na pag-install ng remote-hijack o trojan. Inirerekomenda: humanap ng kakilala at mapagkakatiwalaang tao kung maaari; bantayan ang bawat hakbang niya sa tabi sa buong koneksyon, huwag umalis; i-disconnect agad pagkatapos ayusin, palitan ang password, at suriin ang bagong na-install na program at startup items kung may kahina-hinala. Pinakamahalaga, huwag kailanman ibigay ang code at password sa «netizen expert» o «customer service» na hindi kilala ang pinagmulan at aktibong nag-contact sa iyo.

Malamang na scam. Halos hindi hihilingin ng lehitimong customer service na mag-install ka ng remote software pagkatapos mag-report ng «device code + password» para «ayusin ang problema». Kapag ibinigay mo ang dalawang ito, ganap na makokontrol ng kabila ang computer mo, sasamantalahin ang pagbaklas ng file, pag-operate ng online banking, pag-install ng trojan. Sinumang aktibong nag-contact sa iyo, nagsasabing «tutulungan ka nang remote» at humihingi ng code password ng ToDesk, ay dapat pag-ingatan nang husto. Tamang paraan: tumanggi, ibaba ang tawag, kumpirmahin mismo sa opisyal na channel; kung naibigay na, i-disconnect agad, palitan ang password, kung kailangan i-freeze ang kaugnay na account.

Malamang na telecom scam ito, karaniwang modus sa Southeast Asia. Ang estrangherong tawag na nag-uutos na i-install mo ang ToDesk at i-report ang «device code + password» ay naglalayong kontrolin nang remote ang computer o telepono mo, sasamantalahin ang pagnanakaw ng data, pag-operate ng online banking transfer. Tandaan: hindi gagamit ng ganitong paraan ang lehitimong institusyon para hilingin na isuko mo ang remote credential. Aksyon — ibaba agad ang tawag, huwag mag-install, huwag magbigay ng anumang code password; kung kailangang kumpirmahin, mag-contact mismo sa opisyal na customer service channel. Kung nasunod na, i-disconnect agad, palitan ang lahat ng mahahalagang password at mag-contact sa bangko.