Советы провайдера по безопасности

Советы провайдера

1. Не нажимайте каку

Что имеется в виду?

Открывать, нажимать и не запускать подозрительные файлы, ссылки и программы.

Основное правило: если вы это (письмо, файл, ссылки и т.д.) не ожидали, это подозрительно.

2. Подозрительные файлы

Не открывайте подозрительные файлы, вложения электронной почты или архивные документы, если вы не доверяете источнику, из которого они поступили.

Отправляйте нежелательные письма в папку для спама перед прочтением - файлы или ссылки от людей, которых вы не знаете, должны расцениваться как вредные по умолчанию.

Проверяйте полученные файлы другим путем, чем тот, который использовался для их передачи. Например, если вы получили документ MS Word по электронной почте, свяжитесь с отправителем с помощью программы обмена мгновенными сообщениями (мессенджера) или по телефону и спросите у него цель отправки файла и вообще, отправлял ли он его вам.

Наиболее рискованные типы файлов:

• Любые исполняемые файлы: EXE, COM, CMD, BAT, PS1, SWF, JAR и тому подобное.

• Документы MS Office, особенно с макросами: DOC / DOCX / DOCM, XLS / XSLX / XLSM тому подобное.

• PDF документы: PDF.

• Файлы векторной графики со встроенным кодом: SVG.

• Архивы файлов, особенно защищены паролем.

Иногда, особенно из-за дефицита времени, бывает трудно отличить вредоносные файлы от легитимных. Пользуйтесь сервисом VirusTotal для проверки подозрительных

файлов путем их одновременного сканирования более 50 антивирусами. Это гораздо эффективнее, чем сканирование файлов антивирусом в автономном режиме, но: exclamation: учитывайте тот факт, что загружая файлы на VirusTotal вы предоставляете доступ к нему третьей стороне.

VirusTotal: https://virustotal.com

3. Подозрительные ссылки

Не открывайте подозрительные ссылки (URL), особенно те, что указывают на сайты, которые вы обычно не посещаете. Всегда проверяйте доменные имена сайтов, прежде чем нажать на ссылку: злоумышленники могут замаскировать доменное имя, чтобы оно выглядело знакомым (facelook.com, gooogle.com т.д.)

Используйте HTTPS и проверяйте SSL-сертификат сайта, чтобы убедиться, что он не клонированный или поддельный.

Вредные URL-адреса могут "маскироваться" по произвольному тексту в HTML-файлах, документах и электронных письмах. В веб-браузере или почтовой программе наведите курсор мыши на ссылку (но не нажимайте) и подождите некоторое время (1-2 сек), пока не "всплывет" реальный URL.

Можно также щелкнуть правой кнопкой мыши на ссылке и скопировать его в текстовый редактор, чтобы увидеть его фактический адрес.

Используйте VirusTotal для проверки подозрительных ссылок так же, как для сканирования файлов.

Вредные URL-адреса могут быть закодированы в виде QR-кодов и / или распечатаны на бумаге, в том числе в форме сокращенных URL, сгенерированных специальными сервисами вроде tinyurl.com, bit.ly, ow.ly тому подобное. Не вводите эти ссылки в браузер и не сканируйте QR-коды вашим смартфоном если вы не уверены в их содержании и их происхождении.

Вы можете развернуть сокращеные URL перед открытием с помощью этих веб-сайтов:

• http: //checkshorturl.com/

• http: //www.expandurl.net/

Эти приложения популярных браузеров осуществляют такое развертывание автоматически:

• Google Chrome, URL Unshortener

• Mozilla Firefox, Long URL Please Mod

Подозрительные всплывающие окна

Будьте осторожны в отношении всплывающих окон и сообщений в вашем браузере, программах, операционной системе и мобильном устройстве. Всегда читайте содержание всплывающих окон и не «одобряйте" или "принимайте" ничего впопыхах.

Всплывающие окна могут представлять опасность разными способами: некоторые позволяют злоумышленникам установить в вашей системе поддельные SSL-сертификаты,

помогут им перехватывать ваш сетевой трафик; некоторые могут устанавливать вредоносные программы на компьютер и смартфон или перенаправить ваш браузер на вредоносные веб-сайты, которые заражают компьютеры вирусами и другими вредоносными программами.

4. Подозрительные устройства

Не подключайте флешки и внешние диски не вставляйте CD и DVD и т.д. в ваш компьютер если вы не доверяете полностью их источнику.

Существуют техники взлома компьютера еще до того, как вы откроете файл на флешке и задолго до того, как ваш антивирус его просканирует.

Если вы нашли устройство внутри офиса или на улице, если вы получили его по почте или с доставкой, если незнакомец дал вам его с просьбой распечатать документ или просто открыть и проверить его содержимое - есть большие шансы, что устройство является злонамеренным.

Доверяйте только собственным устройствам и будьте осторожны с устройствами, которые получаете от других людей по работе или в других целях.

5. Используйте пасфразы вместо паролей

Что такое пасфраза?

Используйте пасфразы вместо паролей чтобы избежать проблем со слабыми паролями. Пароли, которые основаны на известных словах из словаря, легко подобрать.

Выберите фразу, которую вы не сможете легко забыть в следующие 2-3 дня: строка из стихотворения или песни, пословицы, лозунг и тому подобное. Затем трансформируйте

эту фразу в единое "слово" удалив пробелы и заменив некоторые буквы похожими на них цифрами или спецсимволами: A-> 4, B-> 8, C -> (, E-> 3, I-> 1, L-> 7, S-> 5, T-> 7 и т.п.

Добавление цифр и спецсимволов, а также перевод некоторых букв в верхний регистр, сделают пасфразу еще сильнее.

Как создать сильную пасфразу?

Используйте рецепты создания сильных, уникальных пасфраз. Рецепт - это алгоритм, который используется для формирования различных пасфраз для различных систем на совместной основе. К примеру:

А. Выберите прочную основу, скажем, пасфразу w3llD0nem8 "

Б. Придумайте способ привязки ключевой фразы к сервису. Например, простое добавление имени сервера в конце:

w3llD0nem8'google

Или расщепления имени сервиса пополам и добавления в начале и в конце фразы:

goow3llD0nem8'gle

glew3llD0nem8'goo

В. Не забудьте немного "перекрутить" полученную фразу, скажем, изменив последнюю букву имени сервиса на цифру, если это возможно, и добавив восклицательный знак или

другой спецсимвол.

goow3llD0nem8'gl3!

Держите пасфразы в секрете

Никто кроме вас не должен знать ваши пасфразы. Не рассказывайте их никому, включая вашего босса, вашего сисадмина или службу поддержки, вашу жену, ваших родителей, ваших детей и тому подобное. У них нет никаких логических или законных оснований для получения ваших пасфраз. С технической точки зрения, даже система, в которой вы используете пасфразу, не имеет доступа к ней в ее первоначальном виде. Вместо этого система сохраняет "хэш" - ее криптографически защищенную копию.

Никогда не записывайте ваши пасфразы на бумаге или в незашифрованном файле. Защищенный паролем файл Excel - это не шифрование. Архив, защищенный паролем - не шифрование. Используйте только надежные парольные менеджеры для хранения пасфраз, если это необходимо.

Обновления пасфраз

Меняйте пасфразы на регулярной основе и по крайней мере один раз в год. Ваши корпоративные пасфразы и пасфразы, которые вы используете чаще всего (например, несколько раз в день), должны изменяться по мере ежемесячно или раз в два месяца.

"Правило буравчика": чем чаще вы используете пасфразу, тем чаще она должна меняться.

Все еще хотите использовать пароли?

Надежные пароли длинные, сложные и уникальные. Это означает, что они должны быть длиннее 12 символов, содержать различные типы символов (буквы, цифры, специальные символы), и быть различными для каждой службы, сайта или системы. Пароли не должны быть основаны на простых словах, которые можно найти в словарях.

Пароли не должны быть когнитивными, это означает, что они не должны быть основаны на данных о пользователе или систему. В противном случае, информация, касающаяся пользователя или системы поможет злоумышленнику угадать пароль.

Парольные менеджеры

Используйте программное обеспечение для сохранения и защиты паролей - парольные менеджеры - и выполняйте эти правила:

0 Генерируйте сильные, случайные пароли длиной от 20 символов.

1. Убедитесь, что ваш мастер-пароль, которым вы защищаете остальные пароли, является сильной пасфразой.

2. Используйте парольный менеджер, который шифрует базу данных перед хранением ее в облаке или синхронизации между устройствами по сети.

3. Чаще, желательно автоматически, делайте резервные копии базы данных паролей.

Примерами хороших парольных менеджеров являются:

• 1Pasword https://1password.com

• KeePass http://keepass.info

• Password Safe https://pwsafe.org

Используйте двухфакторную аутентификацию.

Включите двухфакторную аутентификацию.

Большинство важных онлайн-сервисов поддерживают двухфакторную аутентификацию. Включите ее с помощью программного токена (Доступен в Facebook, Twitter, Google и т.д.) или с помощью одноразового пароля с доставкой по SMS.

URL-адреса для настройки многофакторной аутентификации популярных сайтов:

• Apple https://support.apple.com/en-us/HT204915

• Google https://myaccount.google.com/security/signinoptions/two-step-verification

• Facebook https://www.facebook.com/settings?tab=security§ion=approvals

• Twitter https://twitter.com/settings/security

• Dropbox https://www.dropbox.com/account/#security

Широкая подборка сервисов, поддерживающих двухфакторную аутентификацию: https://twofactorauth.org

Избегайте SMS

Отдавайте предпочтение использованию Google Authenticator, физического токена или проверке с помощью мобильного приложения. Избегайте использования одноразовых паролей по SMS когда это возможно.

6. Операционная система и программное обеспечение

Не запускайте клиентское программное обеспечение с правами администратора. Всегда осуществляйте интерактивный вход в ОС с правами "обычного" пользователя и при необходимости повышайте привилегии в меню программы Run As ... когда требуется установить или запустить легитимные программы. Никогда не запускайте, особенно с правами администратора, программы на Java, Flash, сценарии PowerShell и cmd и т.д. и любой другой "мобильный" код.

ПРЕДУПРЕЖДЕНИЕ: Запуская программы с правами локального администратора, вы предоставляете им возможность перехватывать реквизиты доступа и текущие сессии других пользователей, которые сейчас работают на вашем компьютере или недавно заходили в него. Таким образом злоумышленник может перехватить реквизиты доступа доменного администратора корпорации и полностью скомпрометировать домен Active Directory.

Не используйте пиратское программное обеспечение. Не запускайте и не устанавливайте программное обеспечение, загруженное из ненадежных источников, включая торренты и другие peer-to-peer сети обмена файлами. Это особенно касается "кейген" и "крякалок", которые обычно требуют права администратора для запуска.

Мораль или этика не имеют с этим ничего общего: это просто абсолютно опасно. Во-первых, заражение дистрибутива программы троянцы и "бесплатная" публикация его в Интернете - это известный способ заражения систем, и это происходит гораздо чаще, чем хотелось бы. Во-вторых, на пиратское программное обеспечение редко можно своевременно устанавливать обновления безопасности, которые просто не поступают в вашей системы. "Активации" и повторные активации потратят ваше время, а риски обновления программного обеспечения являются неприемлемыми.

Windows

Включите автообновления (Auto-Update) в вашей Windows. Для более детального описания действий обратитесь к официальной инструкции.

Убедитесь в том, что автообновление Windows настроено для проверки обновлений для всех продуктов Microsoft, включая MS Office. Обновляйте программное обеспечение от "посторонних" поставщиков регулярно и автоматически. Для этого используйте Flexera (ранее известная как Secunia) PSI или эквивалентное решение, которое проверяет наличие обновлений для ПО и позволяет устанавливать их автоматически.

Flexra PSI: http://www.flexerasoftware.com/enterprise/products/software-vulnerability-management/personal-software-inspector/

macOS

Включите автообновление в AppStore как рекомендует Apple.

Включите автообновление MS Office в macOS как рекомендует Microsoft.

Используйте Homebrew для обновления вашего стороннего ПО. Вы можете легко найти много программ, которые уже используете, в Homebrew:

brew search vlc

brew search wireshark

brew search gpgtools

Чтобы установить Homebrew, ознакомьтесь с официальной инструкцией: http://brew.sh

В качестве альтернативы, чтобы держать сторонние программы в актуальном состоянии, используйте MacInformer или эквивалентный инструмент.

ПРЕДУПРЕЖДЕНИЕ: хотя это и безопаснее, чем не использовать ни один механизм обновления, такого рода программное обеспечение может быть "рекламно-агрессивным" и конечно же не таким безопасным, как Homebrew. Итак, URL на продукт здесь нет.

Linux

Современные дистрибутивы Linux позволяют настроить автообновление с помощью средств ОС, или же регулярно обновлять ПО вручную. Например, в Ubuntu Linux

обновление ПО осуществляется с помощью команды

apt update && apt -y upgrade

За подробностями относительно вашего дистрибутива Linux обратитесь к документации.

Антивирус

macOS и Linux

В Linux или macOS Не используйте антивирусом. Серьезно. Решения по безопасности также содержат уязвимости, они не являются безопаснее любой

другой программный продукт. При этом, в целях эффективности, антивирусы обычно требуют повышенных привилегий в ОС. Это составляет больший риск,

чем угроза инфицирования вирусом или троянцем на сравнительно более безопасной и менее популярной платформе. Если вы следуете другим рекомендациям по

этой инструкции, вы можете установить антивирус, который не будет постоянно мониторить вашу ОС, и периодически сканировать вашу систему с его помощью.

Один из таких вариантов это Malwarebytes: https://www.malwarebytes.com

Windows

В Windows пользуйтесь антивирусом. Но не забывайте, что антивирусы очень неэффективны против современных онлайн-угроз. Вы можете представить себе эффективность антивирусов где-то между 15% и 30%, в большинстве случаев это будет правдой.

Выбрать антивирус нелегко: "независимые" тесты более благосклонны к антивирусным вендоров, которые в конце концов финансируют эти тестирования. Существуют, правда,

более или менее объективные ревю и результаты тестирования.

• AV-Test.org https://www.av-test.org/en/antivirus/home-windows

• Результаты тестирования NSS Labs, если вы можете их найти.

7. Делайте резервные копии данных

macOS

Используйте отдельный зашифрованный внешний жесткий диск для резервного копирования с помощью Time Machine. Подключайте его каждый раз, когда работаете над чем-то важным, резервные копии будут создаваться автоматически. Рекомендуемый объем диска: минимум вдвое больше объем вашего внутреннего носителя. Инструкция от Apple.

Windows

В Windows 10 настройки функции создания и воспроизведения из резервных копий очень простое и может быть осуществлено в меню Settings -> Update & Security -> Backup.

Инструкция Microsoft.

Для Windows 8.1 и 7 выполните следующие рекомендации Microsoft по работе с резервными копиями данных и системы.

В качестве альтернативы, выберите и используйте программное обеспечение от стороннего поставщика.

Linux

Пользователи Linux имеют доступ к многообразию средств резервного копирования от tar к rsync на сетевую файловую слоя. Менее опытные пользователи могут выбрать наиболее комфортный инструмент. Вы можете создавать резервные копии ваших данных автоматически, сохраняя их в облачных носителях, таких как Dropbox, iCloud Drive, OneDrive, Google Drive и тому подобное. Но не забывайте шифровать ваши данные перед загрузкой их в облако.

используйте криптографию

Проверяйте шифрования веб-сайтов

Всегда убеждайтесь, что веб-сайт, которому вы передаете свои чувствительные данные, использует HTTPS. Это означает, что его адрес в адресной строке браузера начинается с https: // и его сертификат проверенный вашим браузером, следовательно, он не делает вам предупреждений безопасности.

Обратите внимание, что наличия HTTPS недостаточно для возникновения доверия к сайту: любой может сгенерировать действительный сертификат для веб-сервера.

Нужно обратить внимание и проверить правильность доменного имени сайта, так как оно может быть легко поддельное, а сайт - клонированный.

Никогда, даже для временного использования, не принимайте недействительны сертификаты.

Шифруйте данные

Вы можете использовать функцию Full Disk Encryption операционной системы для защиты данных на вашем ноутбуке или ПК от кражи или потери. FDE это бесплатная функция в Linux, MacOS и Windows Pro.

macOS

Включите File Vault. Вот и все, вы это сделали. Инструкция от Apple.

macOS

Включите File Vault. Вот и все, вы это сделали. Инструкция от Apple.

Linux

Используйте LUKS или другие средства полного шифрования диска. В качестве альтернативы, при установке ОС обычно можно выбрать параметры шифрования диска или шифрования только вашего домашнего раздела. Вот это достаточно подробная инструкция для Arch, но каждый популярный дистрибутив имеет аналогичный документ.

Windows

Включите BitLocker. Это быстро сделать и легко настроить и использовать, потому что это "родной" механизм Windows. Инструкция от Microsoft.

В случае, если ваша версия ОС Windows поставляется без BitLocker, используйте "посторонние" решения. Например VeraCrypt, который является ответвлением от TrueCrypt,: exclamation: который в свою очередь прекратил существование и не рекомендуется для использования.

VeraCrypt: https://veracrypt.codeplex.com

Вы также можете шифровать внешние диски или отдельные файлы.

Шифруйте каналы связи

Используйте надежное шифрование "из конца в конец" для передачи частных и конфиденциальных данных. Шифрование "из конца в конец" гарантирует, что никто, кроме вас и вашего получателя не может получить доступ к разговору. Средствами шифрования электронной почты "из конца в конец" является PGP / GPG, и S / MIME. Программы обмена мгновенными сообщениями, которые осуществляют шифрование "из конца в конец": Signal, WhatsApp, iMessage, Viber, Threema. В Facebook Messenger, Google Allo, и Telegram есть "секретные чаты", которые можно рассматривать как более безопасный режим, чем чаты по умолчанию.

Шифрование электронной почты

• GPGTools для Apple Mail и macOS: https://gpgtools.org/

• OpenPGP в Microsoft Outlook 2016/2013/2010/2007: https://www.encryptomatic.com/openpgp/

• S / MIME в Outlook Web App: https://support.office.com/en-us/article/Encrypt-messages-by-using-S-MIME-in-Outlook-Web-App-2e57e4bd-4cc2-4531 -9a39-426e7c873e26

Мессенджеры, которые осуществляют шифрование "из конца в конец" по умолчанию

• Signal https://whispersystems.org

• WhatsApp (uses Signal protocol) https://www.whatsapp.com

• Viber https://www.viber.com

• Threema https://threema.ch

Инструкция по безопасному обмену мгновенными сообщениями и сравнения уровня безопасности современных мессенджеров от EFF: https://www.eff.org/secure-messaging-scorecard

Шифруйте облачные данные.

Шифруйте данные перед загрузкой в облако. Помните: нет никакого "облака", это просто чужой компьютер. Boxcryptor является инструментом, который позволяет шифровать данные в автономном режиме, прежде чем положить их в облачный диск. Используйте его бесплатно для одного облачного диска.

Boxcryptor: https://www.boxcryptor.com

пользуйтесь VPN

Для того, чтобы защитить ваши сетевые данные и метаданные от прослушивания, используйте VPN (виртуальная частная сеть). Вы можете выбрать один из многих провайдеров услуг VPN, таких как proXPN или PrivateTunnel. Вы можете установить и поддерживать свой собственный VPN-сервер. Во время удаленной работы с бизнес-данными, всегда используйте корпоративную VPN.

Персональные VPN (рекомендуется Daniel Miessler):

• Mullvad https://www.mullvad.net/

• Zipline https://atenlabs.com/zipline/

• IVPN https://www.ivpn.net/

• AzireVPN https://www.azirevpn.com/

• OVPN.se https://www.ovpn.se/

Как настроить свой собственный VPN-сервер: https://www.digitalocean.com/community/tutorials/openvpn-access-server-centos

8. Мобильная безопасность

Мобильная (сотовая) сеть так же опасна, как публичные точки доступа Wi-Fi. Используйте те же криптографические средства в вашей мобильной сети передачи данных. Не сочтите SMS или ваши голосовые разговоры частными: вместо этого используйте голосовые вызовы и сообщения, шифруются "из конца в конец".

Используйте iOS. Судя по всему, мобильная безопасность Apple и безопасность их экосистемы приложений намного безопаснее, чем решения на базе ОС Android, которые контролируются оператором связи или OEM-производителем (Samsung, LG, Sony и др.)

Если Android, то Google. Только прямая поддержка операционной системы со стороны производителя может гарантировать своевременные обновления безопасности.

Любые дополнительные шаги в цепочке поставок (OEM поставщики, сотовые операторы, корпоративные ИТ и т.д.) снижают уровень безопасности.

В некоторых случаях обновление просто прекращают поступать к устройству через год или два после начала его использования.

Не «рутайте» (root) свой смартфон. Используйте только разрешенные репозитории приложений, например, Google Play и AppStore.

Не загружайте и не устанавливайте "обновления безопасности", которые поступают из неавторизованных источников программного обеспечения.

9. Физическая безопасность

Держите ваши вещи там, где вы можете видеть или контролировать. Ваш компьютер и гаджеты требуют такого же уровня физической безопасности, который вы обеспечиваете вашим кредитным картам и ключам от квартиры или автомобиля. Помните: если злоумышленник проведет даже недолгое время наедине с компьютером, это уже будет не ваш компьютер, а его. Скорее всего, он сможет полностью скомпрометировать вашу систему, не приложив существенных усилий. Блокирования сессии пользователя может помочь, но существуют современные атаки, от которых оно не защищает.

Итак, не оставляйте устройство без присмотра, особенно когда оно работает. Выключайте его или отправляйте в режим гибернации каждый раз, когда вы оставляете его без присмотра даже на несколько минут. Настройте запрос пароля каждый раз, когда он включается.

Совершайте чувствительные и нечувствительные операции с разных компьютеров. Если вы позволяете детям играть в онлайн-игры на компьютере, который вы используете для онлайн-банкинга - вас сломают. Если вы посещаете интернет-магазины с ПК в компьютерном клубе или интернет-кафе - вас сломают. Если вы отправляете деловые письма с ПК в открытой зоне вашего отеля - вас сломают.

Используйте отдельный компьютер для бизнес и финансовых операций и всех действий, которые требуют приватности или конфиденциальности. Используйте специальную виртуальную или физическую машину для наиболее критических операций.

В некоторых авторитарных странах вас могут попросить предоставить пароль к вашему зашифрованному носителю информации на границе и в аэропорту. Пересекая границы таких государств, воспользуйтесь советом: попросите человека, которому вы доверяете (желательно юриста) изменить ваш пароль перед отъездом и предоставить его вам только когда вы завершите путешествие. Повторите процедуру на обратном пути.

10. Берегитесь!

Спасибо, что уделяете внимание своей кибер-безопасности. Поделитесь этой памяткой с близкими, друзьями и коллегами, чтобы сделать мир немного безопаснее.

Эта памятка - результат работы специалистов по кибер-безопасности, имеющих многолетний опыт построения, проверки и этического взлома компьютерных систем, приложений и сетей. Эти установки предоставляются "как есть", автор (ы) не несут ответственности за ваши действия или бездействие.
Скомпилированы и подготовлено by Vlad Styran, Berezha Security, https://blog.styran.com

02.03.2018