Як стати гуру кібербезпеки

Якщо ви не дуже піклуєтеся про мережевої безпеки, будьте готові до того, що одного разу ваші паспортні дані чи CCV-код вашої картки опиниться в руках шахраїв. І краще запобігти, ніж усувати наслідки.
Антон Карданів
Керівник сектору ІБ компанії AT Consulting.
Масштаб проблеми
Цифровий світ тісно сплелся з нашим повсякденним життям: ми давно спілкуємося, вчимося, працюємо, робимо покупки в режимі онлайн. Але якщо турбота про безпеку в офлайні сприймається як щось природне, то правила поведінки в Мережі дотримуються далеко не всі.
Перш за все треба чітко уявляти масштаби можливої трагедії. Багато люди безтурботно відносяться до безпеки в інтернеті, думаючи: «Кому може знадобитися мій смартфон, у мене там тільки фотографії і книга контактів». Отже, ось що можуть дізнатися про вас хакери, отримавши доступ до телефону або комп’ютера:
Фотографії, відео та інший контент (навіть якщо він зберігається в хмарі).
Інформацію про документи: паспорт, поліс, квитки та інше. Особливо це актуально, якщо ви зберігаєте їх цифрові копії в додатках типу «ВКармане», Wallet або навіть в папці «Фото».
Фінансову інформацію, в тому числі CVV вашої картки, руху по рахунках, останні платежі.
Все, що відбувається у всіх ваших соціальних мережах (злом аккаунта «ВКонтакте», до речі, входить в топ найдорожчих хакерських послуг) і поштою, доступ до вкладень в повідомленнях та конфіденційної корпоративної та особистої листуванні.
Дані геолокаціі, мікрофона та камери.
Пароль — знахідка для шпигуна
Скомпрометований або слабкий пароль — другий по популярності метод хакерського злому (згідно з дослідженням компанії Balabit Balabit: ТОП-10 найпопулярніших хакерських методів ). Тим не менше, з року в рік у списках найпопулярніших паролів ми можемо бачити класичні qwerty, 12345 або навіть просто password.
Буває зворотна ситуація: людина придумує собі супердовгий і складний пароль і використовує його у всіх своїх акаунтах: соціальних мережах, форумах, інтернет-магазинах, особистих кабінетах банків. Зараз, коли кожен з нас зареєстрований як мінімум в десяти різноманітних онлайн-сервісах, єдиний пароль стає ключем до всієї життя людини і може сильно нашкодити їй.
Профілактичні заходи:
Визначайте складність пароля виходячи з того, до якого акаунту він веде. Очевидно, що безпека інтернет-банку пріоритетніше, ніж аккаунта на любительському форумі.
Надійний пароль складається мінімум з восьми символів і відповідає наступним вимогам: наявність прописних і рядкових букв (agRZhtj), спеціальних символів!%@#$?*) і цифр. Для паролю з 14 символів існує 814 трильйонів (!) комбінацій підбору. Перевірити, скільки часу знадобиться хакерам для злому пароля, можна на сайті howsecureismypassword.net.
Не використовуйте загальноприйняті слова або особисту інформацію, яку легко отримати з відкритих джерел: дні народження, клички тварин, назву компанії або університету, ваше прізвисько тощо. Наприклад, пароль 19071089, де 1989 — рік народження, а 0710 — число і місяць, не такий вже й надійний, яким здається на перший погляд. Можна писати назву улюбленої пісні або рядок з вірша в іншій розкладці. Наприклад, ЧайковскийЛебединоеозеро > XfqrjdcrbqKt,tlbyjtjpthj.
Особливо важливі сервіси захищайте одноразовими паролями. Для цього можна скачати програми-диспетчери, які їх генерують, наприклад KeePass і 1Password. Або використовуйте двофакторну аутентифікацію, коли кожен вхід треба буде підтверджувати одноразовим кодом з СМС.
Громадські мережі
Широка публічна Wi-Fi-мережа допомагає жителям великих міст знижувати витрати на мобільний інтернет. Зараз рідко зустрінеш місце без значка Free Wi-Fi. Громадський транспорт, парки, магазини, кафе, салони краси і інші міські простори давно забезпечують своїх відвідувачів безкоштовним інтернетом. Але навіть в улюбленому перевіреному місці можна нарватися на хакера.
Профілактичні заходи:
Слідкуйте за назвою Wi-Fi-точки: ім’я авторизованої мережі зазвичай описує місце, в якому ви знаходитесь, наприклад MT_FREE в московському транспорті. Крім того, офіційна мережа завжди вимагає авторизації через браузер або одноразовий СМС-код.
Вимкніть автоматичне підключення до мережі на телефоні і ноутбуці — так ви знизите ризик зловити підроблену точку доступу.
Якщо ви любите працювати з кафе чи часто буваєте у відрядженнях, переводите гроші в інтернет-банку, то використовуйте підключення VPN (віртуальна приватна мережа). Завдяки йому весь ваш трафік проходить через мережу як би в плащі-невидимці, розшифрувати його дуже складно. Вартість передплати на такий сервіс зазвичай не перевищує 300 рублів на місяць, бувають і безкоштовні пропозиції, наприклад у HotSpot Shield або ProXPN.
Використовуйте протокол безпечного з’єднання HTTPS. Багато сайтів типу Facebook, «Вікіпедії», Google, eBay підтримують його автоматично (придивіться: в адресному рядку назва такого сайту підсвічується зеленим кольором, а поруч стоїть значок замку). Для браузерів Chrome, Opera і FireFox можна скачати спеціальне розширення HTTPS Everywhere.
Завантажити
QR-Code
HTTPS Everywhere
Розробник:
www.eff.org
Ціна:
0
Завантажити
QR-Code
HTTPS Everywhere
Розробник:
efforg
Ціна:
Безкоштовно
Завантажити
QR-Code
HTTPS Everywhereот EFF Technologists
Розробник:
Розробник
Ціна:
Безкоштовно
Додатки: довіряй, але перевіряй
Недавня галас навколо китайського додатки Meitu, яке звинуватили в крадіжці персональних даних, ще раз нагадала про те, як важливо стежити за скачиваемыми на свій смартфон додатками. Серйозно подумайте, чи готові ви ризикувати своєю безпекою заради лайків під фотографією з новим фільтром.
До речі, шпигувати за користувачами можуть навіть платні додатки: поки код програмного забезпечення не відкрито, зрозуміти, що воно робить в реальності, досить проблематично. Що стосується даних, які можуть стати доступними за таких програм, то це будь-які дії та інформація, яка є на пристрої: телефонні розмови, СМС або дані геолокації.
Профілактичні заходи:
Завантажуйте програми тільки з офіційних магазинів (App Store, Google Play) і відомих вам брендів.
Перевіряйте інформацію про програму, розробника, відгуки користувачів, історію оновлень.
Перед скачуванням завжди вивчайте список сервісів, доступ до яких просить додаток, і перевіряйте його на адекватність: додатком для обробки фото може знадобитися камера, а ось іграшці-аркаді — навряд чи.
Фішинг — черв’ячок для особливо довірливих рибок
Все частіше атаки на конкретної людини стають для хакерів трампліном до більш цінних даними — корпоративної інформації. Найдієвіший і популярний прийом обману довірливих користувачів — фішинг (розсилка шахрайських листів з посиланнями на помилкові ресурси). Щоб не стати головним винуватцем витоку корпоративної інформації та кандидатом на звільнення за недотримання правил безпеки, стежте за тим, що і як ви робите на робочому місці.
Профілактичні заходи:
Знайте і дотримуйтесь політику конфіденційності та безпеки компанії, в якій ви працюєте, і порядок дій при її порушенні. Наприклад, до кого треба звернутися за допомогою в разі втрати пароль від пошти або корпоративної системи.
Блокуйте своє невикористовуване робоче місце гарячими клавішами Ctrl + Alt + Del або Win + L для Windows.
Не відкривайте вкладення листів із незнайомих адрес і з підозрілим вмістом. Явні ознаки фішингу — вплив на емоції («Ваш рахунок був заблокований, будь ласка, підтвердіть ваші реквізити») і приховані гіперпосилання або адресу відправника. Щоб не попастися на вудку зловмисника, не завантажуйте підозрілі вкладення (справжнього і важливого документу ніколи не присвоять назву «Звіт» або Zayavka), перевіряйте зовнішній вигляд листа (логотип, структуру, орфографічні помилки та посилання (зашиті вони в текст, на який сайт ведуть, підозріла довжина посилання).