ترجمة: أولغا أليفانوفا
كيف بدأ كل شيء
منذ وقت ليس ببعيد، كانت الاختبارات الأمنية (وشقيقها المخيف بنفس القدر، اختبار الاختراق) عبارة عن خطأ ضخم ومخيف تم ترويضه من قبل أولئك الذين يفهمونه. لقد حصلوا على أجر جيد جدًا مقابل هذا. ثم تغيرت الحياة ووجدت نفسي فجأة أتعثر في أشياء كانت ستكلف صاحب العمل غالياً إذا لم أتمكن من اكتشافها.
وفجأة، بدأت أتعلم المزيد عن بدايات الاختبارات الأمنية، وهي معرفة لم أعتقد مطلقًا أنني سأحتاج إليها، وكانت مرهقة ومذهلة ومرعبة (بأجزاء متساوية تقريبًا).
هكذا شعرت:
عندما بدأت في تعلم المزيد عن اختبارات الأمان، تعلمت أنها ليست مخيفة ولا نهاية لها كما كنت أعتقد. بدأت أفهم ما كان يتحدث عنه الناس عندما ذكروا تصعيد الامتيازات، أو تعرض الخوادم للخطر، أو...
سيكون هناك الكثير لنتعلمه ولكن ليس من الصعب البدء، ومع بعض القراءة والتفكير، قد تكتشف ثغرة أمنية (قطعة من التعليمات البرمجية يمكن لشخص لديه نوايا سيئة استخدامها لجعل البرنامج يعمل بطريقة لا ينبغي لها) قبل أن يتمكن البرنامج من العمل لقد نضجت بما يكفي لتقع في أيدي المتخصصين في مجال الأمن باهظي الثمن (مما يعني أن إصلاحها أرخص - وهي مكافأة رائعة، حقًا؟) وقبل وقت طويل من تسربها إلى مساحات شاسعة من Wild Wild West... مهم، شبكة الويب العالمية.
أريد أن أعرف هذا، على محمل الجد؟
قد يقول الكثيرون أن جميع المختبرين بحاجة إلى معرفة اختبار أمان الويب. اعرف المزيد عن هذا - فكره جيدهلكل من يقضي وقتًا على الإنترنت، ولكن أعتقد أن هناك مواقف لن تحتاج فيها إلى معلومات حول اختبار أمان الويب.
قد لا تحتاج إلى معرفة المزيد عن الاختبارويب- السلامة إذا...
- أنت جزء من فريق كبير يضم خبراء أمنيين. هذا هو مجال خبرتهم، وإذا قاموا بعملهم بشكل جيد، فسيعملون معك ومع المطورين لديك للتأكد من أن كل شيء على المستوى الصحيح من الأمان في منطقتهم. كما أنها تساعدك على اختبار برنامجك بحثًا عن مشكلات أمنية.
- أنت تختبر البرنامج الذي يتم طرحه للمستخدمين، ثم لا يهتم به أحد: فهو لا يصل إلى خوادمك ولا يتعامل مع المعلومات السرية. سيكون تطبيق Sudoku غير المتصل بالإنترنت مثالًا جيدًا - وإذا كانت الشركة لا تهتم بما إذا كان عدد كبير مننقاط و/أو تحمي خوادمها بشكل جيد - يمكن أيضًا أن تكون اللعبة غير الرسمية عبر الإنترنت مثالاً على ذلك.
- هذا موقع عرض وأنت لا تدير الاستضافة.
- أنت لا تعمل على الويب على الإطلاق.
عليك أن تعرف عن الاختبار ويب-الأمان إذا...
- يقوم برنامج شركتك بتخزين أي نوع من معلومات التعريف الشخصية (هذا ما يحدده القانون، ولكن بشكل عام يمكن استخدامه للعثور عليك أو على عائلتك)
أمثلة: العناوين، والبريد (عادةً مع معلومات أخرى)، وبطاقة الهوية الصادرة عن الحكومة (رقم الضمان الاجتماعي، رخصة السائق، جواز سفر)
- يستخدم برنامج شركتك أو يخزن أي نوع من معلومات الدفع. إذا قمت بتخزين معلومات بطاقة الائتمان، فإن معظم البلدان لديها قواعد صارمة للغاية بشأن تخزين هذه البيانات والوصول إليها - وتفرض عقوبات عالية جدًا على الفشل في حماية هذه البيانات. إذا قمت بتخزين معلومات الحساب المصرفي، فإن المعايير ليست صارمة، ولكن لا تزال بحاجة إلى إبقاء عينيك مفتوحتين.
- يجب أن تلتزم شركتك بالقانون أو الإجراءات المتعلقة بأمن البيانات. بعض الأمثلة التي أعرفها:
يجب على شركات الرعاية الصحية في الولايات المتحدة اتباع عدد من القوانين الفيدرالية.
يجب على أي شركة مساهمة عامة في الولايات المتحدة أن تتبع ذلك القوانين الفدراليةفيما يتعلق بالمعايير. إذا لم تلتزم الشركة بها، فلن تتمكن من قبول الدفع ببطاقات الائتمان وتخضع لغرامات وعقوبات أخرى.
- لدى شركتك متطلبات خصوصية للبيانات التي تخزنها.
إذا كنت تعتقد أنك بحاجة إلى معرفة المزيد حول اختبار أمان الويب، فربما تحتاج إلى ذلك حقًا.
من أين نبدأ
يعد البدء في تعلم اختبار أمان الويب أمرًا سهلاً للغاية - فهناك روابط وأدوات رائعة متاحة ولن يكلفك ذلك سوى وقتك. يمكنك فعل الكثير باستخدام المتصفح فقط!
بحرص! خطر وشيك!
قبل أن تبدأ في فعل أي شيء مدمر، تأكد من أنك متأكد تمامًا من أن لديك الإذن للقيام بذلك. نعم، حتى على خادم اختبار - يمكن لأشخاص آخرين استخدامه لأغراض أخرى، ويمكن لشركتك مراقبة الشبكة بحثًا عن سلوك مشبوه - وبشكل عام، تلعب مجموعة من العوامل دورًا قد لا يكون لديك أدنى فكرة عنه. دائماً، دائماًتأكد من أن لديك الإذن للعب القراصنة.
أدوات مجانية
جميع الأدوات التي أستخدمها مصممة لنظام Windows، لأنني أعمل في بيئة Windows. بعضها عبر الأنظمة الأساسية، والبعض الآخر ليس كذلك. كلها سهلة الاستخدام إلى حد ما بالنسبة للمبتدئ الذي يختبر المياه الأمنية بحثًا عن الأخطاء.
- أدوات مطور المتصفح. إذا لم يتم حظرهم من قبل شركتك، فإن معظمهم المتصفحات الحديثةيسمح لك بفحص رمز الصفحة وفحص JavaScript وعرض حركة مرور الشبكة بين المتصفح والخادم. يمكنك أيضًا تعديل وتشغيل JavaScript عشوائي فيها، ومحاولة تغيير الكود، وتكرار طلبات الشبكة.
- ساعي البريد. على الرغم من أنه امتداد لمتصفح Chrome، إلا أن Postman يعمل أيضًا كتطبيق مستقل. يمكنك استخدامه لإرسال طلبات متنوعة ودراسة الردود (هناك خدعة هنا: يمكن إجراء كل شيء تقريبًا في اختبار الأمان بشكل جماعي بطرق متعددة. تجربة للعثور على المفضلة لديك).
- العابث. تيلريك عازف الكمان - على هذه اللحظةأداتي المفضلة لاستكشاف طلبات الويب ومعالجتها. إنه متعدد المتصفحات، ويعمل على أنظمة تشغيل متعددة، ومن السهل البدء في اختبار الأمان.
- ايرونواسب. واحدة من الأقلية من الماسحات الضوئية الأمنية المجانية المصممة لنظام التشغيل Windows. من السهل جدًا العمل معه وعادةً ما يؤدي إلى نتائج جيدة.
- وأكثر من ذلك… هناك الكثير من الأدوات المتاحة. لقد بدأت للتو في التعرف على الأمان، وبدأت للتو في التجول.
سأركز على Fiddler للمضي قدمًا لأنني أعتقد أنها أسهل الأدوات المجانية، والأسرع للانتقال من البحث في الواجهة إلى نتائج مفيدة بالفعل.
باستخدام عازف الكمان
عندما صادفت هذه الثغرة الأمنية الضخمة والمكلفة للغاية والتي وصفتها أعلاه، كنت ألعب مع Fiddler للتو. من الجيد أنني وجدته في ذلك الوقت: لو انتهى به الأمر في السوق، لكانت حدثت مشاكل كبيرة.
إعدادات
لقد قمت بتثبيت Fiddler بالإعدادات الافتراضية. في نظام التشغيل Windows، يمكنك أيضًا الحصول على مكون إضافي لبرنامج Internet Explorer يسمح لك بالتشغيل مباشرة عبر IE (ويعد إعداده لمراقبة حركة مرور IE فقط أسهل بكثير من المتصفحات الأخرى). اعتمادًا على ما تفعله، يمكن أن تكون بعض هذه المكونات الإضافية مفيدة جدًا: إليك المفضلة
- بناء الجملةمنظر/تسليط الضوء.يوفر تسليط الضوء على بناء الجملة لإعداد البرامج النصية المخصصة وعرض HTML وJavascript وCSS وXML. يجعل العبث بكود الويب أقل إيلامًا بكثير من خلال تسليط الضوء على جميع العلامات و الكلمات الدالة. أنا من أشد المعجبين بالأشياء التي تسهل التركيز على ما هو مهم، وهذه واحدة منها.
- بي دي إف - المعاينة.مهم جدًا إذا كان تطبيقك ينشئ ملفات PDF بسرعة. يمكنك النقر فوق علامة التبويب ورؤية عرض PDF. على سبيل المثال، إذا كنت تختبر ملف PDF لكشف حساب بنكي للتأكد من أنه من المستحيل فتح كشف حساب مستخدم آخر، فهذه الأداة هي صديقتك.
الإنترنت متعدد الأوجه وغير آمن. وكلما زادت الفرص التي تتيحها لنا، زادت المخاطر والمخاطر التي تخفيها. لقد كانت السرقة عبر الإنترنت حقيقة واقعة منذ فترة طويلة.
تحدث السرقات من البطاقة أو المحفظة الإلكترونية. وإذا لم يحدث لك هذا بعد، فهذا يعني أنك إما بارع في حماية معلوماتك، أو محظوظ، أو لم تستخدم شبكة الإنترنت العالمية لفترة كافية.
يستطيع الأولون التعامل مع الأمر بأنفسهم، لكن من المفيد أن يعرف الثاني والثالث ضغطنا نصائح مفيدة. بعد كل شيء، الأبواب المعدنية لا توفر لك على الإنترنت. هنا تعتمد سلامتك على عوامل أخرى، والأهم من ذلك، على تصرفاتك في مواقف معينة.
لا ينبغي أن يكون لديك برنامج مكافحة فيروسات مزود بقاعدة بيانات يتم تحديثها يوميًا فحسب، بل يجب أن يكون لديك أيضًا حماية ضد برامج التجسس. يعتقد الكثير من الناس أنه من خلال تثبيت أحد برامج مكافحة الفيروسات، يمكنهم حماية المعلومات، ويصبح هذا في النهاية خطأً فادحًا.
لا تنقر على كافة الروابط على التوالي. خاصة إذا تم إرسالها إليك عبر البريد أو عبر ICQ. حتى لو تم إرسالها من قبل مستلم موثوق. يعد تصفح الإنترنت الطريقة الأكثر شيوعًا للإصابة بالفيروسات، مما يعني منح المهاجم فرصة للحصول على معلومات قيمة. لا تقم بتنزيل برامج غريبة وغير معروفة، ناهيك عن تثبيتها.
إذا نشأ موقف غريب عندما لا تزال تنقر على رابط غير مألوف، فاقطع اتصالك بالإنترنت. قد تقوم برامج الأمان بإصدار تحذير في هذه الحالة، أو قد يتوقف الكمبيوتر عن الاستجابة. اتصل بأخصائي مسؤول عن أمن البيانات - سيكتشف ما هي المشكلة.
إذا كان لديك محفظة إلكترونية مثبتة أو أي برامج أخرى يمكنك من خلالها إجراء عمليات الدفع عبر الإنترنت، فمن الضروري التأكد من أمان جهاز الكمبيوتر الخاص بك. في حالة عدم الكفاءة، قم بدعوة أحد المتخصصين الذي سيقوم بتثبيت وتكوين جميع البرامج الضرورية ومعلماتها. بعد كل شيء، نحن لا نترك كرسينا بشكل متزايد لدفع ثمن الخدمات وإجراء عمليات الشراء.
أثناء إجراء عملية التسجيل، لا تقم أبدًا بحفظ كلمة المرور الخاصة بك. استخدم كلمات مرور مختلفة في كل مرة تقوم فيها بالتسجيل في مكان ما. يجب أن تكون كلمات المرور المستخدمة طويلة، ويفضل أن تكون مصحوبة بأرقام. من الأفضل تغيير كلمات المرور كلما أمكن ذلك، على الأقل مرة واحدة في الشهر. حتى لو اخترت كلمة واحدة وكتابتها بالأحرف الكبيرة و أحرف صغيرة- سيكون هذا بالفعل خيارًا ممتازًا لكلمة المرور.
كن حذرًا عند إدخال كلمة المرور الخاصة بك وتسجيل الدخول. في كثير من الأحيان، يقوم المحتالون بإنشاء مواقع ويب مكررة مماثلة تمامًا للموقع الأصلي - وقد يكون الاختلاف الوحيد في المجال. ولكن من الصعب ملاحظة ذلك بنظرة سريعة، خاصة بالنسبة للمبتدئين. يستخدم المحتالون النسخ المكررة لسرقة تسجيلات دخول المستخدم وكلمات المرور. بعد إدخال بياناتك، سيتعرف عليها المحتالون تلقائيًا ويمكنهم استخدامها لأغراضهم الخاصة، ولكن على موقع حقيقي.
من المؤكد أن هذه الحقائق البسيطة ستساعد أي شخص على حماية نفسه عبر الإنترنت. ربما باستثناء المستخدمين ذوي الخبرة وخبراء أمن الكمبيوتر، لأنهم يعرفون كل شيء جيدًا بالفعل.
التعليقات والمراجعات
إذا كنت تتابع سوق الأجهزة الطرفية للألعاب، فستعلم أن HyperX كانت شركة قوية جدًا لبعض الوقت...
ستتلقى أجهزة الكمبيوتر الشخصية المتكاملة الجديدة من Dell كاميرا ويب خاصة تنزلق داخل العلبة وتصبح...
يشكو العديد من المستخدمين المعاصرين من أن أجهزة الكمبيوتر المحمولة أصبحت مضغوطة للغاية وأنهم في بعض الأحيان يريدون...
قامت الشركات المصنعة الكبرى بطرح أجهزة الكمبيوتر الشخصية الجاهزة في السوق لبعض الوقت، منذ...
من 16 إلى 18 أغسطس تحت نيزهني نوفجورودأقيم مهرجان الموسيقى الإلكترونية الرئيسي Alfa Future People 2...
مساء الخير.
في الآونة الأخيرة، أصبح أمن تكنولوجيا المعلومات نوعا من الاتجاه، الجميع يكتب عنه، الجميع يتحدثون عنه. إلى أي مدى هذا ممكن؟ اتجاه واعد؟ والأهم من ذلك، كيفية الانضمام إلى هذا؟ أيّ المواد التعليمية(الكتب والدورات) سوف تساعد المبتدئ على "التعريف" بنفسه في كل هذا؟
تم الرد عليه بواسطة مكسيم لاجوتين، مؤسس خدمة حماية المواقع الإلكترونية SiteSecure
تهتم الآن معظم الشركات (الشركات المتوسطة والكبيرة) بأمن المعلومات العملي (يشار إليها فيما بعد بـ IB)والممارسين. الأقل إثارة للاهتمام، ولكن لا يزال مثيرًا للاهتمام، هو مديرو أمن المعلومات الذين يشاركون في بناء عمليات أمن المعلومات الداخلية ومراقبة امتثالها.
ومن بين الدورات الروسية يمكنني أن أوصي بدورات القرصنة الأخلاقية من شركة Pentestit، والتي تستهدف تحديداً المبتدئين في هذا المجال. ومؤخرًا أيضًا، نشر أليكسي لوكاتسكي، خبير أمن المعلومات والمدون المعروف في هذا المجال، قائمة بالدورات المتاحة حول موضوع أمن المعلومات.
ومن بين الكتب، يمكنني أن أوصي بكتاب "اختبار الصندوق الأسود" بقلم بوريس بيزر، و"أبحاث الضعف في القوة الغاشمة" بقلم مايكل ساتون وآدم جرين وبيدرام أميني. أوصي أيضًا بالاشتراك في مقالات SecurityLab ومجلة Hacker والمشاهدة مواضيع مثيرة للاهتماموطرح الأسئلة في منتدى Antichat.
يجدر التحقق بشكل دوري من وجود تحديثات على Owasp، حيث يتم الكشف عن العديد من النقاط حول انتشار نقاط الضعف في البرامج وعلى الشبكة، والبحث حول أمن الإنترنت في روسيا - تقنياتنا والتقنيات الإيجابية
لطرح سؤالك على القراء أو الخبراء، املأ النموذج
من خلال الشبكة العالمية، نقوم بإجراء المفاوضات وإجراء عمليات شراء كبيرة وترفيه أنفسنا ببساطة من خلال التواصل في الشبكات الاجتماعية. الامتثال 10 قواعد بسيطةسيساعد استخدام الإنترنت بأمان على حماية بياناتك الشخصية والكمبيوتر نفسه - وحتى محفظتك.
1. نظام الحماية الشامل
غالبًا ما يشغل التجول الطائش في شبكة الويب العالمية الشاسعة وقت فراغ العامل المكتبي العادي. ومع ذلك، من خلال تصفح الإنترنت، لا يمكنك الحصول على الكثير فقط معلومات جديدة، ولكن أيضًا تلتقط عن غير قصد بعض الفيروسات البسيطة وأحصنة طروادة التي يمكن أن تسبب الكثير من الإزعاج.
يجب أن يكون لديك برنامج مكافحة فيروسات مثبت على جهاز الكمبيوتر الخاص بك. وفي الوقت نفسه، هناك ميل لعدم قصر نظام الحماية على برنامج واحد لمكافحة الفيروسات، بل لتثبيت “ أنظمة معقدةحماية." عادةً ما تشتمل على برنامج مكافحة فيروسات ومرشح للحماية من البريد العشوائي وزوجين أو ثلاث وحدات أخرى لـ حماية كاملةحاسوبك.
2. تحديثات البرامج العادية
يعمل مجرمو الإنترنت باستمرار على تحسين أساليب القرصنة الخاصة بهم، وتظهر فيروسات جديدة على الإنترنت حرفيًا كل يوم. ولكن يتم أيضًا توسيع طرق الحماية بانتظام. لذلك، لا تنسَ تحديث نظام مكافحة الفيروسات لديك والمتصفحات التي تستخدمها ونظام التشغيل الخاص بك بانتظام.
3. كلمة المرور المعقدة
رغبةً في تسهيل تذكرها، غالبًا ما يختار المستخدمون كلمة مرور واحدة بسيطة ويطبقونها على البريد الإلكتروني وحسابات الوسائط الاجتماعية والمحافظ الإلكترونية. هذا هو بالضبط ما لا يجب عليك فعله في المقام الأول. يجب أن تكون كلمات المرور كثيرة ومعقدة ومختلفة، ولا ينبغي أن تكون متماثلة، بالإضافة إلى أنه من المستحسن تغيير كلمات المرور بشكل دوري.
بالمناسبة، التوصل إلى كلمة مرور عالية الجودة وآمنة ليس بالأمر السهل. انسَ كلمات المرور التي تتبادر إلى ذهنك على الفور ويسهل تذكرها. يتم اختراق تواريخ الميلاد وأرقام الهواتف وكلمات المرور الرقمية الأخرى في وقت واحد باستخدام أساليب القوة الغاشمة. تتكون كلمة المرور الآمنة من ثمانية أحرف على الأقل (كلما زاد عدد الأحرف، زادت أمان كلمة المرور) وتتضمن أحرفًا كبيرة وصغيرة وأرقامًا. من الصعب تذكر كلمة المرور هذه، لكن فرص المتسللين ستكون ضئيلة.
4. التصفح الآمن
إجراء ليال بلا نومعلى شبكة الإنترنت العالمية، لا تتبع الروابط التي تثير الشكوك. عادةً لا تكون العناوين الرئيسية الملونة التي تحتوي على أخبار مروعة ذات أهمية، ولكن من خلال النقر على الرابط، من المؤكد أنك ستجذب بضع صفحات أخرى تحتوي على محتوى غير آمن.
5. مرشحات البريد العشوائي في البريد
يوميا في البريد المستخدم العاديقد يتم إلقاء عشرات الرسائل ذات المحتويات المختلفة. في بعض الرسائل، يخاطبونك بالاسم ويعرضون عليك التقدم سريعًا للحصول على بطاقة ائتمان من أحد البنوك، وفي رسائل أخرى يطلبون منك اتباع روابط مختلفة أو إرسال كلمة مرور بريدك الإلكتروني، حيث "تم القبض عليك" وأنت ترسل رسائل غير مرغوب فيها. من الأفضل حذف هذه الرسائل دون فتحها. قم أيضًا بإعداد مرشح مكافحة البريد العشوائي في بريدك الإلكتروني.
6. الإيجاز هو مفتاح السلامة
7. كن على علم بالمزيفات
تحتوي جميع الشبكات الاجتماعية الشهيرة تقريبًا، سواء كانت VKontakte أو Odnoklassniki، على العديد من "النسخ" المزيفة (المزيفة). يقوم المحتالون بنسخ تصميم هذه المواقع بالكامل، ولكن لديهم عنوان مختلف قليلاً. لذلك، قد يختلف العنوان بحرف واحد فقط، وهو ما لن تنتبه إليه، وفي النهاية ستفقد حسابك الجاري.
8. لا يتم إنشاء كافة الملفات على قدم المساواة
لا تقم بتحميل الملفات من مواقع غير معروفة. في كثير من الأحيان، قد يحتوي الأرشيف الذي يحتوي على ملخص لا يهم أي شخص على فيروس، والذي لن يكون من السهل التخلص منه. وحتى إذا قمت بتنزيل ملفات على خدمات استضافة الملفات التي تم اختبارها لسنوات، تذكر أنه يمكن العثور على برامج ضارة هناك أيضًا. لذلك، يجب فحص جميع الملفات المستلمة من الإنترنت (ومن الوسائط القابلة للإزالة) باستخدام برنامج مكافحة الفيروسات.
9. التسوق الذكي
في كل عام، يتزايد حجم مبيعات التجارة عبر الإنترنت، ويتزايد عدد المتاجر الافتراضية نفسها. اليوم، ليس من الصعب أن تصبح مالك متجر عبر الإنترنت ولا يتطلب استثمارات مالية ضخمة. ومع ذلك، فإن معظم أصحاب الصغيرة منصات التداوللا تفكر في كيفية حماية البيانات الشخصية للعملاء. لتجنب المشاكل، يجب عليك إجراء عمليات شراء في المتاجر الكبيرة والموثوقة عبر الإنترنت التي تتطلب ذلك التسجيل الإلزاميمتصل.
وأيضًا، قبل دفع ثمن المشتريات، انتبه إلى عنوان صفحة الويب الذي يبدأ بالبادئة https، وإلى أيقونة القفل المغلق بجوار شريط العناوين، مما يشير إلى اتصال آمن.
10. مساعدة الدمى
ساعد أحبائك على إتقان الإنترنت. يمكن أن تؤدي الساعة التي يقضيها جدك أو والدتك أمام الكمبيوتر، والذين يريدون فقط العثور على زملائهم في الفصل أو الدردشة على Skype، إلى ظهور العديد من أحصنة طروادة على جهاز الكمبيوتر الخاص بك. خذ الوقت الكافي لتشرح لهم بعناية الموارد التي يجب عليهم زيارتها والرسائل التي يجب عليهم تجاهلها.
أمن المعلوماتللاغبياء
وحتى قبل 10 سنوات، أغلقت العديد من الشركات التي فقدت إمكانية الوصول إلى قواعد بياناتها أبوابها ببساطة، كما ورد في تقرير صادر عن جامعة مينيسوتا، التي أجرت بحثًا في هذا المجال. الآن، بالطبع، هناك العديد من الطرق لاستعادة المعلومات لمواصلة العمل، ومع ذلك، فإن تسرب المعلومات السرية يمكن أن يسبب خسائر فادحة. في الوقت نفسه، نحن لا نتحدث فقط عن الشركات، ولكن أيضًا عن مستخدمي الإنترنت العاديين.
تطوير تقنيات المعلوماتوضع المجتمع على مستوى جديدالتطوير، حيث يمكن حل العديد من المشكلات باستخدام الكمبيوتر الشخصي والإنترنت: إجراء عمليات الشراء وحجز الفنادق والتواصل فقط، ناهيك عن الفرص الجديدة لـ النشاط المهني. لكن البساطة والراحة وسرعة التعامل مع المعلومات محفوفة بالمخاطر - وهي توفرها لأطراف ثالثة.
وفي الآونة الأخيرة، دخل مصطلح الجرائم الإلكترونية حيز الاستخدام. في السابق، تم العثور على هذه الكلمة فقط بين كتاب الخيال العلمي، والآن أصبحت جزءا من الواقع الحديث. نحن نتحدث عن المتسللين، أو المتنمرين عبر الإنترنت، الذين يسرقون البيانات للوصول إلى البطاقات المصرفية، والحسابات على الموارد الخاصة، وما إلى ذلك، ويخترقون أجهزة الكمبيوتر الشخصية باستخدام فيروسات مختلفةوبرامج طروادة.
كيف تحمي نفسك من المجرمين؟ الحل الأبسط هو تثبيت برنامج مكافحة الفيروسات. لكن لسوء الحظ، حتى هذا ليس قادرًا دائمًا على الحماية من القرصنة. خيار آخر هو محاولة دراسة شيء ما كمية كبيرةالأدبيات المتعلقة بأمن المعلومات التي تمت كتابتها حتى الآن. صحيح أن المعايير والبرامج المقدمة فيها يمكن الوصول إليها ومفهومة في معظمها للمتخصصين في هذا المجال، في حين أن التهديد بخسارة الأموال مع بطاقة مصرفيةيخيم على كل مستخدم للإنترنت تقريبًا.
ومع ذلك، ليس كل شيء سيئًا كما يبدو للوهلة الأولى. باستخدام الفطرة السليمةوباتباع قواعد بسيطة للعمل على الإنترنت، يمكنك زيادة مستوى حماية بياناتك بشكل كبير من التهديدات الخارجية. وهذا بمثابة اهتمام أساسي بسلامة الممتلكات من خلال حماية الشقة. يمكنك ببساطة تثبيت الباب والقفل الصيني، ولكن يمكنك أيضًا الاستماع إلى توصيات المتخصصين المشاركين في الأنشطة الأمنية. وسوف ينصحونك بالتأكيد بتثبيت موثوق أقفال الأبواببمفاتيح غير قياسية وتحديث النوافذ بحيث يصعب فتحها من الخارج؛ تركيب أنظمة المراقبة بالفيديو والإنذار؛ وإبرام أيضًا اتفاقية مع منظمة تقدم خدمات الاستجابة السريعة للدخول غير المصرح به إلى المنزل. وربما لا أقل قاعدة مهمةوالذي سيتم تذكيرك به بالتأكيد، لأننا كثيرًا ما ننسى ذلك - لا تفتح الأبواب الغرباءوعلى وجه الخصوص، لا تخبر أحدا عن مكان الأشياء الثمينة الخاصة بك.
كل هذه الأنشطة، بطبيعة الحال، تتطلب الاستثمار. ومع ذلك، ينبغي تطبيقها بشكل شامل. لا تعتمد على نفسك أن الأقفال الجيدة ستحمي منزلك من اللصوص. سيتم فتح أي آلية عاجلاً أم آجلاً. وإذا، على سبيل المثال، لا يوجد إنذار يرسل إشارة إنذارإلى وحدة التحكم الأمنية، فإن نظام المراقبة بالفيديو بأكمله سيكون عديم الفائدة على الإطلاق.
من النظرية إلى الممارسة
أي نظام أمنيهو نظام يتكون من العديد من خطوط الدفاع التي تكون في طور العمل والتشغيل بشكل مستمر. لا يمكنك أن تهدأ فورًا بعد التثبيت الوسائل التقنيةالحماية - يجب مراعاة قواعد السلوك الآمن على الشبكة وتشغيل المعدات بانتظام. وإلا فإن النظام الأمني سيصبح غير قابل للاستخدام، ولن يتبقى سوى وهم ضار بالأمن.
كيف يتم الاهتمام بأمن المعلومات عملياً؟ دعونا نلقي نظرة على القواعد الأساسية.
قاعدة الصفر:لا تثق بأحد.
وكما قال أندرو جروف، رئيس شركة إنتل: "فقط المصابون بجنون العظمة هم من يبقون على قيد الحياة". عند إدخال أي معلومات سرية، يجب أن تكون متأكدًا بنسبة 200% من أن الشخص الذي تثق به لديه حقًا الحق في التصرف في هذه البيانات. على سبيل المثال، قد يُطلب منك على موقع البنك الإلكتروني معلومات جواز السفر الخاص بك لفتح حساب - هذا الإجراء القياسي، لكن المتجر الإلكتروني ليس له أي فائدة على الإطلاق لهذه المعلومات. لن تظهر جواز سفرك للبائع الذي تشتري منه البطاطس في السوق! هذا الوقت. ثانيًا، أبدا، لأي شخص وتحت أي ظرف من الظروفلا ترسل كلمة المرور. تم تصميم جميع أنظمة الأمان بحيث لا يعرف كلمة المرور سوى شخص واحد فقط. إذا طُلب منك إرسال كلمة المرور الخاصة بك عبر البريد الإلكتروني أو إخبارها عبر الهاتف تحت أي ذريعة، حتى لو كانت تبدو معقولة، فيجب أن تعلم أن هذا خداع بنسبة 100٪.
القاعدة الأولى: تأكد من إعداد جهاز الكمبيوتر الخاص بك بحيث تقوم دائمًا بتوفير اسم المستخدم وكلمة المرور قبل بدء العمل.
معظم البرنامج الرئيسيلأي مستخدم للكمبيوتر هو نظام التشغيل. ما سيتم تخزينه يجب أن يكون معروفًا لك فقط، لذا قم بتعيين كلمة مرور يجب إدخالها عند تشغيل الكمبيوتر. الإجراء بسيط، ولكن هناك العديد من الفوائد. في كل مرة تقوم فيها بإدخال مجموعة من الأحرف في سطر، ستؤكد حقك في التخلص من جميع المعلومات المخزنة على الكمبيوتر. تجنب المواقف التي قد يتعرض لها شخص غريب حرية الوصولإلى سطح المكتب الخاص بك وجميع الملفات. "احبس" المعلومات حتى لا تبدو وكأنها شقة بلا أبواب مع لافتة "ادخل إذا أردت".
القاعدة الثانية: لا تعمل تحت أبدا حسابمع حقوق المسؤول.
بالنسبة للكمبيوتر، يتم تقسيم كافة المستخدمين إلى نوعين: المسؤولين والمستخدمين العاديين. المسؤولين- هؤلاء هم المستخدمون الذين يمكنهم تكوين تشغيل جميع خدمات الكمبيوتر وتثبيت البرامج وإزالتها وتغيير تشغيل النظام. المستخدمين العاديينليس لديهم الحق في تغيير أو تثبيت أي شيء، ولكن يمكنهم تشغيل البرامج واستخدام الإنترنت والقيام بالعمل بحرية. لنتخيل الآن موقفًا يصل فيه مستخدم يستخدم حساب مسؤول إلى موقع الويب الخاص بالمهاجم. يمكن للبرامج الضارة مسح البيانات أو تشفيرها بسهولة حتى يتمكن المجرمون من الاحتيال على الأموال لاستعادة البيانات. في الوقت نفسه، لن ينقذ نظام التشغيل ولا برامج مكافحة الفيروسات المستخدم من مثل هذه المحنة، لأن كل ما يفعله "المسؤول" للكمبيوتر - وسيعتقد أن هذه أوامرك - هو القانون. يعتقد البعض أنه من غير المناسب العمل على حساب مستخدم عادي، حيث تحتاج من وقت لآخر إلى تثبيت برامج جديدة. ولكن، إذا فكرت في الأمر، فستجد أنه ليس عليك تثبيت البرنامج كل يوم. المزايا واضحة. بمجرد دخولك إلى موقع المهاجمين بحقوق المستخدم البسيط، فإنك بذلك تعرض البرنامج الضار لحاجز وقائي يصعب عليه التغلب عليه. لم يعد بإمكانه إخفاء نفسه بسرعة ويصبح عرضة لبرامج مكافحة الفيروسات. ولذلك، فمن المنطقي أن تأخذ حقوق المسؤول الخاصة بك فقط في حالة. إذا دعت الحاجة إلى اللجوء إلى وظائفه، فيمكنك دائمًا تغيير حسابك مؤقتًا.
القاعدة الثالثة:يجب أن تكون كلمات المرور الخاصة بك طويلة ومعقدة ويفضل أن تكون متنوعة. يجب تغيير جميع كلمات المرور بانتظام.
كلمات المرور- انه ضخم صداعجميع المتخصصين في أمن المعلومات. وذلك لأن المستخدمين لا يحبون كلمات المرور الطويلة، لأنهم إما ينسونها أو ببساطة يتكاسلون عن كتابتها. وهذا جيد عندما يكونون موجودين. كل شيء هنا يشبه الشقة: أسهل طريقة للدخول إليها هي التقاط مفتاح القفل. طريقة مماثلة تعمل في مجال الكمبيوتر. أسهل طريقة للوصول إلى البيانات هي اختيار كلمة مرور. فقط في العقود الأولى من تطوير الكمبيوتر، كان طول كلمة المرور المكونة من 8 أحرف كافيًا. ولكن مع تطور التكنولوجيا، أصبحت طريقة تعداد جميع التركيبات سهلة لحساب مثل هذه الرموز. هناك شيء من هذا القبيل قوة كلمة المرور- مؤشر للوقت الذي يختار فيه المهاجم كلمة المرور باستخدام أساليب القوة الغاشمة. اتضح أن المجموعات التي تتكون من ثمانية أرقام أو أحرف فقط يمكن تخمينها في أقل من ثانية. لهذا السبب، باستخدام كلمات مرور يصل طولها إلى 8 أحرف، فإنك تخاطر بمنح حق الوصول للمهاجم وقت قصير. على الرغم من أنه إذا كنت تستخدم كلاً من الأرقام والحروف في كلمة مرور قصيرة، وحتى في سجلات مختلفة، فستحتاج إلى قضاء بضعة أيام في محاولة العثور عليها باستخدام القوة الغاشمة. وهذا لم يعد سيئا، ولكن، بالطبع، ليس كافيا. يمكنك تحقيق قوة مرضية لكلمة المرور ببساطة عن طريق زيادة طولها، ليس فقط باستخدام مزيج من الحروف والأرقام، ولكن أيضًا العلامات ('$','%',&'','#'). ولكن كيف يمكن إنشاء كلمة مرور طويلة ومعقدة دون نسيانها على الفور؟ بسيط جدا. استخدم عبارات المرور. على سبيل المثال: "$Green_Cactus01". كلمة المرور هذه غير موجودة في القاموس (على الرغم من وجود كلمتين منفصلتين "أخضر" و"صبار")، لذلك لا يمكن اختراقها من خلال البحث في القاموس. تبين أن كلمة المرور مكونة من أكثر من 12 حرفًا وسيستغرق الأمر أكثر من 10 إلى 20 محاولة لتخمينها. حتى لو تم إجراء مليار عملية بحث في ثانية واحدة، فسوف يستغرق الأمر حوالي 10 11 ثانية، أي أكثر من ألف عام، لاختراق كلمة المرور هذه.
القاعدة الرابعة:استخدم برامج مكافحة الفيروسات الحديثة المدفوعة مع تمكين وضع التحديث مرتين يوميًا على الأقل.
برنامج مكافحة الفيروسات المثبت في حد ذاته لا فائدة منه دون القدرة على تحديث قواعد بيانات مكافحة الفيروسات. سيبدو وكأنه نائم الوكالة الدولية للطاقة. يبدو أن هناك، ولكن لا معنى له. لذا تأكد من تحديث قواعد بيانات برنامج مكافحة الفيروسات لديك بانتظام.
القاعدة الخامسة:قم بتشغيل تحديثات البرامج التلقائية.
قم بتحديث بياناتك دائمًا برمجة. خاصة أنها تتعلق نظام التشغيلومتصفح الانترنت . على سبيل المثال، تقوم Microsoft بتمكين وضع التحديث التلقائي بشكل افتراضي في أنظمتها. استراحة منتجات البرمجياتتحتاج إلى تكوين. لماذا كل هذا؟ بسيط جدا. البرامج الحديثةمعقدة للغاية وتحتوي على عدد كبير من الأخطاء التي يمكن أن تؤثر على أمان بياناتك. يقوم المصنعون، الذين يصدرون التحديثات، بإزالة الأخطاء تدريجيًا التي يمكن من خلالها للمهاجمين الدخول إلى نظامك.
القاعدة السادسة:لا تقم بتخزين كلمات المرور على جهاز الكمبيوتر الخاص بك أو تذكر كلمات المرور في متصفح الإنترنت الخاص بك.
بمجرد أن يتمكن المتسلل من الوصول إلى أي جزء من جهاز الكمبيوتر الخاص بك، وبمجرد عثوره على ملف كلمة المرور، فلن يضطر حتى إلى محاولة اختراق نظام الأمان. لماذا يكسر اللص الباب إذا كان هناك مفاتيح تحت ممسحة الباب؟ لذلك، احتفظ بكلمات المرور الخاصة بك على محرك أقراص محمول في جيبك ودائمًا في شكل مشفر.
القاعدة السابعة:استخدم أنظمة التشفير للبيانات الهامة.
يجب أن تكون مستعدًا دائمًا لحقيقة أن المهاجم يمكنه الوصول الفعلي إلى جهاز الكمبيوتر الخاص بك (على سبيل المثال، سرقة جهاز كمبيوتر محمول عادي). لمنعه من استخدام المعلومات المخزنة فيه، أولاً، قم بتعيين كلمة مرور المستخدم للدخول (انظر القاعدة الأولى)، وثانيًا، استخدم نظام تشفير البيانات. في هذه الحالة، سيتعين على المتسلل العبث بجهازك لسنوات عديدة.
القاعدة الثامنة:لا تستخدم الإنترنت أبدًا و بريد إلكترونيلنقل المعلومات السرية.
يتم نقل جميع المعلومات عبر الإنترنت إلى شكل مفتوح. من خلال التواطؤ مع الطاقم الفني لمشغل الاتصالات، ليس من الصعب الوصول إلى رسائلك. لذلك، قم بحماية نفسك باستخدام إما الاتصالات الآمنة (https)، أو أنظمة تشفير البيانات وأنظمة التوقيع الرقمي الإلكتروني.
القاعدة التاسعة:قم بتثبيت البرامج التي تعرف غرضها أو مصدرها بالتأكيد.
الجميع يعرف قصة سقوط طروادة. الاختراع الأكثر غدرا في تلك الحرب - حصان طروادة. وعلى الرغم من أن هذا الاختراع يبلغ من العمر عدة آلاف من السنين، إلا أن طريقة الغزو هذه لم تفقد أهميتها. لكن الحماية ضدها كانت متاحة منذ فترة طويلة: لا تقم بتثبيت برامج غير مألوفة سواء بمفردك أو بناءً على اقتراح من جهة خارجية. مجالات الخطر الرئيسية: المواقع التي تسبب عدم الثقة، ولا توجد ثقة مطلقة في شرعية المورد، والمحتالين في ICQ، ومرسلي البريد العشوائي. يسعى كل واحد من هؤلاء الممثلين إلى إدخال عارض "فريد" وخلفية لسطح المكتب وتطبيقات أخرى، ومعهم كود يحول جهاز الكمبيوتر الخاص بك إلى زومبي مطيع.
القاعدة العاشرة:تأكد من المتابعة تعليمات خاصةعلى السلامة. استخدم دائمًا الحس السليم.
تحميل...