10 листопада 2014

Ликбез по кибербезопасности: как защитить свои данные?

Продолжаем еженедельную рубрику, в которой эксперт по кибербезопасности Дмитрий Снопченко рассказывает, как не стать жертвой хакеров в нашем компьютеризированном и трагичном мире. Сегодня читайте о том, какие способы взлома аккаунта и кражи информации существуют и о том, как себя от них обезопасить. 

 

Фотографія: Brian Klug

Существует масса способов взлома, перечислить их невозможно, к тому же постоянно появляются все новые и новые. Условно их можно разделить на две категории: взлом компьютерных систем при помощи уязвимостей, и взлом самого пользователя – социальная инженерия.

 

Дмитрий Снопченко, специалист по цифровой безопасности, 
«Объединение ЮГ»

Защита компьютерных систем ложится на плечи разработчиков програмного обеспечения и администраторов, которые его устанавливают и настраивают. Рядовой пользователь никак не может повлиять на них, кроме как вовремя обновлять ПО.

 

Взлом пользователя можно разделить на подбор или кражу пароля, и социальную инженерию. От перебора паролей можно защититься, выбрав достаточно длинный и сложный пароль, и пользоваться двухэтапной аутентификацией, привязав свой аккаунт к мобильному телефону. От кражи пароля можно защититься, установив надежный антивирус на компютер и не вводить свои пароли на подозрительных фишинговых сайтах. От взлома сайта как такового можно косвенно обезопасить себя двумя способами – выбирать надежные, проверенные сервисы с хорошей репутацией, и использовать минимум персональных данных о себе при работе в нем.

 

Если говорить о конкретном человеке, о личности в сети, то на первом месте стоит социальная инженерия. Да, есть огромное количество вирусов, которые воруют пароли от аккаунтов, следят за пользователями через вебкамеры, подслушивают скайп. Но это все потом. Для начала нужно как-то этим вирусом заразить машину жертвы.

 

Пользователя нужно всеми правдами и неправдами заставить выполнить некое действие на своем ПК. Например, открыть и запустить вложение в почте, замаскированное под PDF-документ, и в систему установится троян. Или перейти по ссылке, где якобы расположен компромат на его босса, а там на самом деле окажется зараженный сайт, который атакует браузер и установит в систему троянца. Или заманить на сайт, который будет похож как две капли воды на сайт с почтовым сервисом. И все его данные оказываются у злоумышленника. Конечно, только при условии, что пользователь САМ нажмет заветную кнопку.

 

Чтобы этого не произошло, человек в первую очередь должен быть внимателен к своим действиям, внимательно следить за тем, что он делает или скачивает. Но не стоит забывать и о технических способах защиты – обновление ОС и браузера, антивирус с актуальными базами и модулем проверки на фишинговые ссылки, модуль проверки почты и блокировки опасных скриптов.

 
Чтобы обезопасить себя от кражи данных, с самого начала нужно усвоить простую истину – вас в любом случае взломают.

И задача состоит не в том, что бы уберечь себя от взлома, а в том чтобы максимально усложнить жизнь злоумышленнику, сделать так, чтоб ему было просто экономически невыгодно, нерентабельно браться за эту работу. Ведь это действительно работа, которая оплачивается заказчиком.

 

Первое, что необходимо сделать, это понять, что именно вы собираетесь защищать, что представляет ценность. Это, например, файлы на компютере и резервные копии в тумбочке, аккаунты в соцсетях и электронные кошельки, почта, и прочее. Просто сделайте список, выпишите себе  на листок бумаги для наглядности. После чего нужно понять где именно это хранится, и кто должен или не должен иметь доступ. Распишите это на том же листе бумаги!

Фотографія: Brian Klug

 

Следующий этап – выбор средств защиты. Для файлов на ПК – шифрование. Для WEB-почты – шифрованный протокол HTTPS и надежный пароль, для клиент-банка – надежный пароль, последняя версия ПО и аппаратный генератор одноразовых паролей. Для каждой системы, для каждого места хранения информации нужно подбирать свой способ защиты, и иногда бывает так что нет технической возможности использовать тот или иной сервис безопасно. В таком случае следует или отказаться от его использования, или хранить там только некритичные данные. По мере возможности мы будем стараться описывать различные методы и технологии безопасности более подробно в следующих статьях.

 

После того как выбраны средства защиты, когда построены «двери», найдите место где вы будете хранить ключи от всех этих дверей. Часто бывает так что пользователи просто записывают пароли в текстовом файле на рабочем столе, и тогда теряется весь смысл построенной защиты. Помните, что информация будет в безопасности только тогда, когда все ключи шифрования и пароли доступа будут только у Вас.

 
В безопасности не должно быть полумер. Это как карточный домик – стоит только рухнуть одной системе, так рассыпется все.

Недостаточно просто зашифровать диск и считать, что все в порядке. Даже зашифрованный диск можно заразить вирусом. Если вы установили еще и антивирус – у вас могут взломать почту, потому что у вас слабый пароль. Если у вас хороший пароль, то вам могут подсунуть фишинговую ссылку и вы сами отдадите пароль злоумышленнику. Только соблюдение всех правил безопасного поведения в кибермире поможет снизить риск того, что вас взломают.

 

И наконец, несмотря на то, что вы все предусмотрели, необходимо всегда иметь запасной план на случай когда (заметьте, не «если», а именно «когда», считайте это неизбежностью) вас все-таки взломали. Всегда нужно отдельно хранить резервные копии документов и ключей шифрования, всегда нужно иметь надежный способ восстановления пароля к аккаунтам в соцсетях, по возможности иметь способ экстренного уничтожения данных, если вам это действительно нужно.

 

Возможно все эти советы звучат как инструкция для параноика, но от здоровой доли паранойи еще никто не умирал.

 

В тему:

Ликбез по кибербезопасности: да кому нужны мои данные?

 

Матеріали в рамках розділу Media Innovations Lab виготовлені за сприяння Фонду розвитку українських ЗМІ посольства США в Україні.

Підписатися на новини проекту у Facebook можна тут.

 

 


comments powered by Disqus