Безпека в мережі/Найпростіше і найважливіше

Матеріал з Вікіпідручника

Якою б операційною системою, веб-переглядачем чи типом пристрою ви не користувались, основні правила безпеки є всюди однаковими.

Не довіряйте випадковим веб-сайтам, особливо якщо вони пропонують встановити щось на ваш комп'ютер.

Завжди зберігайте певний скептицизм до того, що вам пропонують[ред.]

Будь-яка кнопка, будь-який файл, будь-яке посилання (URL, hyperlink) можуть робити не те, що на них написано. Будь-який лист може бути фальшивкою або містити вірус. Не відкривайте, не натискайте, та не запускайте підозрілі файли, посилання та програми. Основне правило: якщо ви на це (лист, файл, посилання тощо) не чекали, це підозріло.

Не відкривайте підозрілі посилання, особливо ті, що вказують на веб-сайти, які ви зазвичай не відвідуєте. Завжди перевіряйте доменні імена веб-сайтів, перш ніж натиснути на посилання: зловмисники можуть замаскувати доменне ім'я, щоб воно виглядало знайомим (facelook.com, gooogle.com тощо) Використовуйте HTTPS та перевіряйте SSL-сертифікат веб-сайту, щоб переконатися, що він не клонований або підроблений.

Шкідливі URL-адреси можуть "маскуватися" за довільним текстом в HTML-файлах, документах та електронних листах. У веб-браузері або поштовій програмі наведіть курсор миші на посилання (але не натискайте) і почекайте деякий час (1-2 сек), поки не "спливе" реальний URL. Можна також клацнути правою кнопкою миші на посиланні та скопіювати його в текстовий редактор, щоб побачити його фактичну адресу. Використовуйте VirusTotal для перевірки підозрілих посилань так само, як для сканування файлів.

Шкідливі URL-адреси можуть бути закодовані в вигляді QR-кодів та/або роздруковані на папері, в тому числі в формі скорочених URL, згенерованих спеціальними сервісами на кшталт tinyurl.com, bit.ly, ow.ly тощо. Не вводьте ці посилання в браузер та не скануйте QR-коди вашим смартфоном якщо ви не впевнені у їхньому вмісті та їхньому походженні.

Ви можете розгорнути скорочені URL перед відкриттям за допомогою цих веб-сайтів:

  • Кожна запущена програма (в деяких випадках — також додаток до програми) може отримувати майже необмежений доступ до наших даних і системи. Тому запускайте тільки ті програми, яким у вас є серйозні підстави довіряти. Не піддавайтесь на спроби веб-сайтів переконати вас щось встановити на свій комп'ютер. Встановлюйте програми тільки з надійних джерел, і тільки тоді, коли ці програми вам дійсно потрібні. Контролюйте, щоб на комп'ютер не попадало жодного зайвого програмного забезпечення.

Підозрілі файли[ред.]

Не відкривайте підозрілі файли, вкладення електронної пошти, або архівні документи, якщо ви не довіряєте джерелу, з якого вони надійшли. Відправляйте небажані листи в папку для спаму перед прочитанням – файли або посилання від людей, яких ви не знаєте, повинні розцінюватися як шкідливі за замовчуванням.

Перевіряйте отримані файли іншим шляхом, ніж той, який використовувався для їх передачі. Наприклад, якщо ви отримали документ MS Word по електронній пошті, зв'яжіться з відправником за допомогою програми обміну миттєвими повідомленнями (месенджера) або по телефону та спитайте в нього мету відправки файлу та взагалі, чи він вам його відправив.

Найбільш ризиковані типи файлів:

  • Будь-які виконувані файли: PY, PYC, BIN, DMG, SH, JAVA, LUA, GO, EXE, COM, CMD, BAT, PS1, SWF, JAR, JS, VBS тощо.
  • Документи MS Office, особливо з макросами: DOC/DOCX/DOCM/DOT/DOTX, XLS/XSLX/XLSM/XLT/XLTX тощо.
  • PDF документи: PDF.
  • Файли векторної графіки з вбудованим кодом: SVG.
  • Архіви файлів, особливо захищені паролем.

Іноді, особливо під тиском часу, буває важко відрізнити шкідливі файли від легітимних. Користуйтеся сервісом [VirusTotal] для перевірки підозрілих файлів шляхом їх одночасного сканування більш ніж 50 антивірусами. Це набагато ефективніше, ніж сканування файлів антивірусом в автономному режимі, але враховуйте той факт, що завантажуючи файли на VirusTotal ви надаєте доступ до нього третій стороні.

Підозрілі спливаючі вікна[ред.]

Будьте обережні щодо спливаючих вікон та повідомлень у вашому браузері, програмах, операційній системі та мобільному пристрої. Завжди читайте вміст спливаючих вікон та не "схвалюйте" або "приймайте" нічого похапцем.

Спливаючі вікна можуть становити небезпеку у різні способи: деякі дозволяють зловмисникам встановити у вашій системі підробні SSL-сертифікати, які допоможуть їм перехоплювати ваш мережевий трафік; деякі можуть встановлювати зловмисні програми на ваш комп'ютер та смартфон або перенаправляти ваш браузер на зловмисні веб-сайти, які заражають комп'ютери вірусами та іншими зловмисними програмами.

Підозрілі пристрої[ред.]

Не підключайте флешки та зовнішні диски, не вставляйте CD та DVD тощо у ваш комп'ютер якщо ви не довіряєте повністю їхньому джерелу. Існують техніки зламу комп'ютера ще до того, як ви відкриєте файл на флешці і задовго до того, як ваш антивірус його просканує. Якщо ви знайшли пристрій всередині офісу або на вулиці, якщо ви отримали його по пошті або з доставкою, якщо незнайомець дав вам його з проханням роздрукувати документ або просто відкрити та перевірити його вміст – є великі шанси, що пристрій є зловмисним. Довіряйте лише власним пристроям та будьте обережні з пристроями, які отримуєте від інших людей по роботі або в інших цілях.

Не використовуйте пасфрази[ред.]

Рекомендація використовувати пасфрази застаріла, бо більшість словників вже містять мутації, де літери схожі на них цифри або спецсимволи (`A->4`, `B->8`, `C->(`, `E->3`, `I->1`, `L->7`, `S->5`, `T->7` тощо) вже замінено у кількох варіаціях, а також є словники з мутацій текстів популярних шлягерів, віршів та висловів, де, наприклад, для пасфрази використовують перші (другі, треті і т.і.) літери куплетів відомих пісень.

Як створити сильний пароль?[ред.]

Використовуйте утиліту pwgen для створення паролів з наступними опціями: pwgen -cysn 20 або використовуйте генератор паролів Вашого парольного менеджера.

Парольні менеджери[ред.]

Використовуйте програмне забезпечення для збереження та захисту паролів – парольні менеджери, та виконуйте ці правила:

0. Генеруйте сильні, випадкові паролі довжиною від 20 символів та більше. 1. Переконайтеся, що Ваш майстер-пароль, яким Ви захищаєте решту паролів, є сильним. 2. Використовуйте додатковий файловий ключ на окремому носії для доступу до парольного менеджера. 3. Використовуйте парольний менеджер, який шифрує базу даних перед зберіганням її в хмарі або синхронізації між пристроями по мережі 4. Частіше, бажано автоматично, робіть резервні копії бази даних паролів.

Прикладами хороших кросс-платформенних парольних менеджерів є:

    • KeePassX (надає можливість мати додатково файл-ключ крім паролю до самого менеджера)
    • 1Pasword
    • Password Safe

Надійні паролі довгі, складні та унікальні. Це означає, що вони повинні бути довше 20 символів, містити різні типи символів (літери, цифри, спеціальні символи), та бути різними для кожної служби, веб-сайту або системи. Паролі не повинні бути засновані на простих словах, які можна знайти в словниках. Паролі не повинні бути когнітивними, це означає, що вони не повинні бути засновані на даних про користувача або систему. Інакше випадку, інформація, що стосується користувача або системи, допоможе зловмисникові вгадати пароль.

Тримайте паролі в секреті[ред.]

Ніхто крім Вас не повинен знати Ваші паролі. Не розказуйте їх нікому, включаючи вашого боса, вашого сисадміна або службу підтримки, вашу дружину, ваших батьків, ваших дітей тощо. В них немає ніяких логічних або законних підстав для отримання ваших пасфраз. З технічної точки зору, навіть система, в якій Ви використовуєте пасфразу, не має доступу до неї в її первісному вигляді. Замість цього система зберігає "хеш" – її криптографічно захищену копію.

Ніколи не записуйте Ваші пасфрази на папері або в незашифрованому файлі. Захищений паролем файл Excel – це не шифрування. Архів, захищений паролем – не є належним шифруванням. Використовуйте тільки надійні парольні менеджери для зберігання паролів.

Оновлення паролів[ред.]

Змінюйте паролі на регулярній основі та принаймні один раз на рік. Ваші корпоративні паролі та паролі, які Ви використовуєте найчастіше (наприклад, кілька разів на день), повинні змінюватися принаймні щомісячно або раз на два місяці.

Чим частіше Ви використовуєте пароль, тим частіше він має змінюватись.

Увімкніть двофакторну автентифікацію[ред.]

Більшість поважних онлайн-сервісів підтримують двофакторну автентифікацію. Увімкніть її за допомогою програмного токена (доступний у Facebook, Twitter, Google тощо).

Уникайте SMS у якості другого фактору[ред.]

Надавайте перевагу використанню фізичного токена, або перевірці за допомогою мобільного додатку. Уникайте використання одноразових паролів через SMS коли це можливо. SMS - є ненадійним транспортом доставки другого фактору автентифікації, оскільки, за певних умов, може бути перехопленим.

Операційна система та програмне забезпечення[ред.]

Не використовуйте піратське програмне забезпечення чи невідомі репозиторії. Не запускайте та не встановлюйте програмне забезпечення, завантажене з ненадійних джерел, включаючи торенти та інші peer-to-peer мережі обміну файлами. Це особливо стосується "кейгенів" та "крякалок", які зазвичай вимагають права адміністратора для запуску.

Мораль або етика не мають з цим нічого спільного: це просто абсолютно небезпечно. По-перше, зараження дистрибутиву програми Троянцем та "безкоштовна" публікація його в Інтернеті – це відомий спосіб зараження систем, і це відбувається набагато частіше, ніж хотілося б. По-друге, на піратське програмне забезпечення рідко можна своєчасно встановлювати оновлення безпеки, які просто не надходять до вашої системи. "Активації" та повторні активації згають Ваш час, а ризики неоновлення програмного забезпечення є неприйнятними.

Linux[ред.]

Сучасні дистрибутиви Linux дають змогу налаштувати авто-оновлення за допомогою засобів ОС під час та після встановлення ОС, або ж регулярно оновлювати ПЗ вручну. Наприклад, в Ubuntu та інших похідних від Debian дистрибутивів Linux оновлення ПЗ здійснюється за допомогою команди

$ sudo apt update && sudo apt -y upgrade

або безпосередньо від root-а:

# apt update && apt -y upgrade

В Red Hat, Fedora, Centos

$ sudo yum update && sudo yum -y upgrade

або безпосередньо від root-а:

# yum update && yum -y upgrade

За подробицями щодо вашого дистрибутиву Linux зверніться до документації.


macOS[ред.]

Увімкніть авто-оновлення в `AppStore` як рекомендує Apple.

Використовуйте Homebrew для оновлення вашого стороннього ПЗ. Ви можете легко знайти багато програм, які вже використовуєте, у Homebrew:

brew search vlc
brew search wireshark
brew search gpgtools

Щоб встановити Homebrew, ознайомтеся з офіційною інструкцією.

В якості альтернативи, щоб тримати сторонні програми в актуальному стані, використовуйте MacInformer або еквівалентний інструмент. ПОПЕРЕДЖЕННЯ: хоча це й безпечніше, ніж не використовувати жоден механізм оновлення, такого роду програмне забезпечення може бути "рекламно-агресивним" та звісно ж не таким безпечним, як Homebrew. Отже, URL на продукт тут немає.

Якщо Ви все ж наважились використовувати Microsoft Windows[ред.]

Увімкніть авто-оновлення (`Auto-Update`) в Вашій ОС Windows.

Переконайтеся в тому, що авто-оновлення Windows налаштоване для перевірки оновлень для всіх продуктів Microsoft, включаючи MS Office.

Оновлюйте програмне забезпечення від "сторонніх" постачальників регулярно та автоматично. Для цього використовуйте `Flexera` (раніше відома як Secunia) PSI або еквівалентне рішення, яке перевіряє наявність оновлень для вашого ПЗ та дозволяє вам встановлювати їх автоматично.

Антивірус[ред.]

В Linux або macOS не користуйтеся антивірусом. Серйозно. Рішення з безпеки також містять вразливості, вони не є безпечнішими за будь-який інший програмний продукт. При цьому, з метою ефективності, антивіруси зазвичай вимагають підвищених привілеїв в ОС. Це становить більший ризик, ніж загроза інфікування вірусом або троянцем на порівняно більш безпечній платформі. Якщо Ви дотримуєтесь інших порад з цієї інструкції, Ви можете встановити антивірус, який не буде постійно моніторити вашу ОС, та періодично сканувати вашу систему з його допомогою.

Один з таких варіантів це Malwarebytes

В Windows користуйтеся антивірусом. Але не забувайте, що антивіруси дуже неефективні проти сучасних онлайн-загроз. Ви можете уявити собі ефективність антивірусів десь між 15% та 30%, в більшості випадків це буде правдою.

Вибрати антивірус нелегко: "незалежні" тести більш прихильні до антивірусних вендорів, які в решті решт фінансують ці тестування. Існують, щоправда, більш-менш об'єктивні ревю та результати тестувань.

- AV-Test.org але навіть в цьому переліку є антивірус Касперського, який використовується ФСБ для ведення збору інформації та був використаний для крадіжки даних в NSA, тож не над-то довіряйте і цим дослідженням. - Результати тестування NSS Labs, якщо Ви можете їх знайти.

Робіть резервні копії даних[ред.]

Загальне правило для всіх ОС - використовуйте окремий зашифрований зовнішній жорсткий диск для локального резервного копіювання. Бажано мати окремий RAID 1 масив (NAS) для уникнення можливості втрати даних в результаті пошкодження резервної копії.

Linux[ред.]

Користувачі Linux мають доступ до різноманіття засобів створення резервних копій: від `tar` до `rsync` на мережеву файлову шару. Менш досвідчені користувачі можуть обрати більш комфортний інструмент.

Ви можете створювати резервні копії ваших даних автоматично, зберігаючи їх у хмарних носіях, таких як `Mega.nz`, `Dropbox`, `iCloud Drive`, `OneDrive`, `Google Drive` тощо. Але не забувайте шифрувати Ваші дані перед завантаженням їх у хмару.

macOS[ред.]

Використовуйте `Time Machine`. Підключайте його кожного разу, коли працюєте над чимось важливим, резервні копії будуть створюватися автоматично. Рекомендований об'єм диску: щонайменше вдвічі більший за об'єм вашого внутрішнього носія. Інструкція від Apple.

Windows[ред.]

У Windows 10 налаштування функції створення та відтворення з резервних копій може бути здійснене в меню `Settings -> Update & Security -> Backup`. Інструкція Micrsoft.

Для Windows 8.1 та 7, XP, 98 та 95 використовуйте головне правило - не використовуйте застарілі ОС взагалі!

В якості альтернативи, оберіть та використовуйте програмне забезпечення від стороннього постачальника.


При подорожах павутиною