Traduction: Olga Alifanova
Comment tout a commencé
Il n’y a pas si longtemps, les tests de sécurité (et leur frère tout aussi effrayant, les tests d’intrusion) étaient un bug énorme et effrayant qui a été maîtrisé par ceux qui le comprenaient. Ils ont été très, très bien payés pour cela. Puis la vie a changé et je me suis retrouvé soudain face à des choses qui auraient coûté cher à mon employeur si je ne les avais pas détectées.
Soudain, j'en apprenais davantage sur les débuts des tests de sécurité – des connaissances dont je n'aurais jamais pensé avoir besoin – et c'était épuisant, étonnant et terrifiant (à parts égales).
Voici ce que j'ai ressenti :
En commençant à en apprendre davantage sur les tests de sécurité, j’ai appris que ce n’était pas aussi intimidant et sans fin que je le pensais. J'ai commencé à comprendre de quoi les gens parlaient lorsqu'ils mentionnaient l'élévation des privilèges, la compromission des serveurs ou...
Il y aura beaucoup à apprendre. Mais ce n'est pas si difficile de démarrer, et avec un peu de lecture et de réflexion, vous pourriez détecter une vulnérabilité (un morceau de code qu'une personne avec de mauvaises intentions peut utiliser pour faire fonctionner le logiciel d'une manière qu'il ne devrait pas) avant que le logiciel ne le fasse. suffisamment mûri pour tomber entre les mains de professionnels de la sécurité coûteux (ce qui signifie que c'est moins cher à réparer - un joli bonus, non ?) et bien avant qu'il ne s'infiltre dans les vastes étendues du Far West sauvage... hum, le World Wide Web.
J'ai besoin de savoir ça, sérieusement ?
Beaucoup diraient que tous les testeurs doivent connaître les tests de sécurité Web. En savoir plus à ce sujet - bonne idée pour tous ceux qui passent du temps en ligne, mais je pense qu'il existe des situations dans lesquelles vous n'aurez pas besoin d'informations sur les tests de sécurité Web.
Vous n'avez peut-être pas besoin de connaître les testsla toile- la sécurité si...
- Vous faites partie d'une grande équipe qui comprend des experts en sécurité. C'est leur domaine d'expertise, et s'ils font bien leur travail, ils travaillent avec vous et vos développeurs pour s'assurer que tout est au bon niveau de sécurité dans leur domaine. Ils vous aident également à tester votre logiciel pour les problèmes de sécurité.
- Vous testez un logiciel qui est déployé auprès des utilisateurs, et ensuite personne ne s'en soucie : il n'accède pas à vos serveurs et ne traite pas d'informations confidentielles. Une application de Sudoku hors ligne serait un bon exemple – et si l'entreprise ne se soucie pas de savoir si le un grand nombre de points et/ou protège bien ses serveurs – un jeu occasionnel en ligne peut également en être un exemple.
- Il s’agit d’un site display et vous ne gérez pas l’hébergement.
- Vous ne travaillez pas du tout sur le Web.
Vous devez savoir sur les tests la toile-Sécurité si...
- Le logiciel de votre entreprise stocke tout type d'informations personnelles identifiables (cela est défini par la loi, mais elles peuvent généralement être utilisées pour vous retrouver, vous ou votre famille).
Exemples : adresses, courrier (généralement en combinaison avec d'autres informations), pièce d'identité émise par le gouvernement (numéro de sécurité sociale, le permis de conduire, passeport)
- Le logiciel de votre entreprise utilise ou stocke tout type d'informations de paiement. Si vous stockez des informations de carte de crédit, la plupart des pays ont des règles très strictes concernant le stockage et l'accès à ces données – et des sanctions très élevées en cas de non-protection de ces données. Si vous stockez des informations sur votre compte bancaire, les normes ne sont pas aussi strictes, mais vous devez quand même garder les yeux ouverts.
- Votre entreprise doit respecter la loi ou les procédures concernant la sécurité des données. Quelques exemples que je connais :
Aux États-Unis, les entreprises de soins de santé doivent respecter un certain nombre de lois fédérales.
Toute société cotée en bourse aux États-Unis doit suivre Lois fédérales concernant les normes. Si une entreprise ne les respecte pas, elle ne peut accepter les paiements par carte de crédit et s’expose à des amendes et autres pénalités.
- Votre entreprise a des exigences en matière de confidentialité pour les données qu'elle stocke.
Si vous pensez avoir besoin d’en savoir plus sur les tests de sécurité Web, c’est peut-être vraiment nécessaire.
Où commencer
Commencer à apprendre les tests de sécurité Web est assez simple : il existe d'excellents liens et outils et cela ne vous coûtera que du temps. Vous pouvez faire beaucoup de choses en utilisant simplement un navigateur !
Soigneusement! Danger droit devant!
Avant de commencer à faire quoi que ce soit de destructeur, assurez-vous d’être absolument sûr d’avoir la permission de le faire. Oui, même sur un serveur de test - d'autres personnes peuvent l'utiliser à d'autres fins, votre entreprise peut surveiller le réseau à la recherche de comportements suspects - et en général, un certain nombre de facteurs jouent ici un rôle dont vous n'avez peut-être pas la moindre idée. Toujours, Toujours assurez-vous d'avoir la permission de jouer au hacker.
Outils gratuits
Tous les outils que j'utilise sont conçus pour Windows, car je travaille dans un environnement Windows. Certains d’entre eux sont multiplateformes, d’autres non. Ils sont tous assez faciles à utiliser pour un débutant testant les eaux de sécurité à la recherche de bugs.
- Outils de développement de navigateur. S'ils ne sont pas bloqués par votre entreprise, alors la plupart navigateurs modernes vous permet d'examiner le code de la page, d'examiner JavaScript et d'afficher le trafic réseau entre le navigateur et le serveur. Vous pouvez également y modifier et exécuter du JavaScript aléatoire, essayer de modifier le code et répéter les requêtes réseau.
- Facteur. Bien qu'il s'agisse d'une extension Chrome, Postman fonctionne également comme une application autonome. Vous pouvez l'utiliser pour envoyer diverses requêtes et étudier les réponses (il y a une astuce ici : presque tout dans les tests de sécurité peut être fait en masse de diverses façons. Expérimentez pour trouver vos favoris).
- Violoneux. Telerik Fiddler – activé ce moment mon outil préféré pour explorer et manipuler les requêtes Web. Il est multi-navigateur, fonctionne sur plusieurs systèmes d'exploitation et est facile à démarrer avec les tests de sécurité.
- Guêpe de fer. L'un des rares scanners de sécurité gratuits conçus pour Windows. Il est assez facile de travailler avec et produit généralement de bons résultats.
- Et plus loin… Il existe de nombreux outils disponibles. Je viens de commencer à me renseigner sur la sécurité et j'ai commencé à renifler.
Je vais me concentrer sur Fiddler à l'avenir, car je pense que c'est le plus simple des outils gratuits et le plus rapide pour passer de la fouille de l'interface à des résultats réellement utiles.
Utiliser un violon
Lorsque je suis tombé sur cette vulnérabilité énorme et potentiellement très coûteuse que j'ai décrite ci-dessus, je jouais simplement avec Fiddler. C'est bien que je l'ai trouvé à ce moment-là : s'il avait fini sur le marché, de gros problèmes auraient pu survenir.
Paramètres
J'ai installé Fiddler avec les paramètres par défaut. Sous Windows, vous disposez également d'un plugin pour Internet Explorer qui vous permet de l'exécuter directement via IE (et le configurer pour surveiller uniquement le trafic IE est beaucoup plus simple que pour les autres navigateurs). Selon ce que vous faites, certains de ces plugins peuvent être très utiles : voici mes favoris
- SyntaxeVoir/Souligner. Fournit une coloration syntaxique pour préparer des scripts personnalisés et afficher HTML, Javascript, CSS et XML. Rend la manipulation du code Web beaucoup moins pénible en mettant en évidence toutes les balises et mots clés. Je suis un grand fan des choses qui permettent de se concentrer plus facilement sur ce qui est important, et celle-ci en fait partie.
- PDF- visualisation. Très important si votre application crée des fichiers PDF à la volée. Vous pouvez cliquer sur l'onglet et voir le rendu PDF. Par exemple, si vous testez le PDF d'un relevé bancaire pour vous assurer qu'il est impossible d'ouvrir le relevé d'un autre utilisateur, cet outil est votre ami.
Internet est multiforme et dangereux. Plus elle nous offre d’opportunités, plus elle recèle de dangers et de risques. Le vol via Internet est depuis longtemps une réalité.
Les vols se produisent à partir d'une carte ou d'un portefeuille électronique. Et si cela ne vous est pas encore arrivé, cela signifie que vous êtes soit un as dans la protection de vos informations, soit que vous avez de la chance, soit que vous n’utilisez pas le Web depuis assez longtemps.
Les premiers peuvent s’en charger eux-mêmes, mais il est utile que les deuxième et troisième connaissent notre pression. conseils utiles. Après tout, les portes métalliques ne vous sauvent pas sur Internet. Ici, votre sécurité dépend d'autres facteurs et, surtout, de vos actions dans certaines situations.
Vous devez non seulement disposer d’un antivirus avec une base de données mise à jour quotidiennement, mais également d’une protection contre les logiciels espions. Beaucoup de gens pensent qu’en installant un seul antivirus, ils peuvent protéger les informations, ce qui finit par devenir une erreur fatale.
Ne cliquez pas sur tous les liens d'affilée. Surtout s'ils vous ont été envoyés par mail ou via ICQ. Même s'il est envoyé par un destinataire fiable. La navigation sur Internet est le moyen le plus courant d'attraper un virus, ce qui signifie donner à un attaquant une chance d'obtenir des informations précieuses. Ne téléchargez pas de programmes étranges et inconnus, et encore moins installez-les.
Si une situation étrange survient lorsque vous cliquez néanmoins sur un lien inconnu, déconnectez-vous d'Internet. Dans ce cas, les programmes de sécurité peuvent émettre un avertissement ou l'ordinateur peut cesser de répondre. Appelez un spécialiste responsable de la sécurité des données - il découvrira quel est le problème.
Si vous disposez d'un portefeuille électronique ou de tout autre programme avec lequel vous effectuez des paiements en ligne, il est encore plus nécessaire d'assurer la sécurité de votre ordinateur. En cas d'incompétence, invitez un spécialiste qui installera et configurera tous les programmes nécessaires et leurs paramètres. Après tout, nous ne quittons plus notre chaise pour payer des services et faire des achats.
Lors de la procédure d’inscription, ne sauvegardez jamais votre mot de passe. Utilisez des mots de passe différents à chaque fois que vous vous inscrivez quelque part. Les mots de passe utilisés doivent être longs, de préférence comportant des chiffres. Il est préférable de changer les mots de passe aussi souvent que possible, au moins une fois par mois. Même si vous choisissez un mot et que vous le tapez en majuscules et minuscules- ce sera déjà une excellente option de mot de passe.
Faites attention à l'endroit où vous entrez votre mot de passe et vous connectez. Souvent, les fraudeurs créent des sites Web en double qui sont exactement les mêmes que l'original - la seule différence réside peut-être dans le domaine. Mais d’un simple coup d’œil, il est difficile de s’en rendre compte, surtout pour un débutant. Les fraudeurs utilisent des doublons pour voler les identifiants et les mots de passe des utilisateurs. Après avoir saisi vos données, les fraudeurs les reconnaîtront automatiquement et pourront les utiliser à leurs propres fins, mais sur un site réel.
Ces simples vérités aideront certainement quelqu’un à se protéger en ligne. Sauf peut-être pour les utilisateurs expérimentés et les experts en sécurité informatique, car ils savent déjà tout très bien.
Commentaires et avis
Si vous suivez le marché des périphériques de jeu, vous savez qu'HyperX est une entreprise très solide depuis un certain temps...
Les nouveaux PC tout-en-un de Dell recevront une webcam spéciale qui se glisse à l'intérieur du boîtier et devient...
De nombreux utilisateurs modernes se plaignent que les ordinateurs portables sont devenus trop compacts et qu'ils veulent parfois...
Les grands fabricants lancent depuis longtemps sur le marché des ordinateurs personnels prêts à l'emploi, depuis...
Du 16 au 18 août sous Nijni Novgorod Le principal festival de musique électronique Alfa Future People 2 a eu lieu...
Bon après-midi.
Récemment, la sécurité informatique est devenue une sorte de tendance, tout le monde en écrit, tout le monde en parle. Dans quelle mesure est-ce possible ? direction prometteuse? Et surtout, comment y adhérer ? Lequel matériel éducatif(livres, cours) va-t-il aider un débutant à « s'introduire » dans tout ça ?
Réponse de Maxim Lagutin, fondateur du service de protection de sites Web SiteSecure
La plupart des entreprises (moyennes et grandes entreprises) s'intéressent désormais à la sécurité pratique des informations. (ci-après dénommé IB) et les praticiens. Moins intéressants, mais toujours intéressants, sont les responsables de la sécurité de l'information qui sont impliqués dans l'élaboration de processus internes de sécurité de l'information et dans le contrôle de leur conformité.
Parmi les cours de russe, je peux recommander les cours de hacking éthique de la société Pentestit, qui s'adressent spécifiquement aux débutants dans ce domaine. Récemment également, Alexey Lukatsky, expert en sécurité de l'information et blogueur bien connu dans ce domaine, a publié une liste de cours disponibles sur le thème de la sécurité de l'information.
Parmi les livres, je peux recommander « Black Box Testing » de Boris Beizer, « Brute Force Vulnerability Research » de Michael Sutton, Adam Green et Pedram Amini. Je recommande également de vous abonner aux articles SecurityLab, au magazine Hacker et de consulter sujets intéressants et posez des questions sur le forum Antichat.
Il vaut la peine de vérifier périodiquement les mises à jour sur Owasp, où de nombreux points sont révélés sur la propagation des vulnérabilités dans les logiciels et sur le réseau, ainsi que les recherches sur la sécurité Internet en Russie - la nôtre et Positive Technologies.
Pour poser votre question à des lecteurs ou à des experts, remplissez
Grâce au réseau mondial, nous menons des négociations, effectuons des achats importants et nous divertissons simplement en communiquant en dans les réseaux sociaux. Conformité 10 règles simples Utiliser Internet en toute sécurité contribuera à protéger vos données personnelles, l’ordinateur lui-même et même votre portefeuille.
1. Système de protection complet
Se promener sans réfléchir dans l'immensité du World Wide Web occupe souvent le temps libre de l'employé de bureau moyen. Cependant, en naviguant sur Internet, vous pouvez non seulement obtenir beaucoup nouvelle information, mais aussi détecter par inadvertance quelques virus et chevaux de Troie simples qui peuvent causer de nombreux désagréments.
Vous devez avoir un antivirus installé sur votre PC. Dans le même temps, il existe une tendance à ne pas limiter le système de protection à un seul programme antivirus, mais à installer « systèmes complexes protection." Ils comprennent généralement un antivirus, un filtre antispam et quelques ou trois modules supplémentaires pour protection complète ton ordinateur.
2. Mises à jour régulières du logiciel
Les cybercriminels améliorent constamment leurs méthodes de piratage et de nouveaux virus apparaissent littéralement chaque jour sur Internet. Mais les méthodes de protection sont aussi régulièrement élargies. N'oubliez donc pas de mettre régulièrement à jour votre système antivirus, les navigateurs que vous utilisez et votre système d'exploitation.
3. Mot de passe complexe
Voulant faciliter la mémorisation, les utilisateurs choisissent souvent un mot de passe simple et l'appliquent à leurs e-mails, à leurs comptes de réseaux sociaux et à leurs portefeuilles électroniques. C’est exactement ce que vous ne devriez pas faire en premier lieu. Il doit y avoir de nombreux mots de passe, complexes et différents, ils ne doivent pas être les mêmes, de plus, il est conseillé de changer périodiquement les mots de passe.
À propos, trouver un mot de passe sécurisé et de haute qualité n’est pas si simple. Oubliez les mots de passe qui vous viennent immédiatement à l’esprit et sont faciles à retenir. Les dates de naissance, les numéros de téléphone et autres mots de passe numériques sont piratés simultanément en utilisant des méthodes de force brute. Un mot de passe sécurisé comporte au moins huit caractères (plus il y a de caractères, plus le mot de passe est sécurisé) et comprend des lettres majuscules et minuscules ainsi que des chiffres. Il est plus difficile de se souvenir d'un tel mot de passe, mais les risques de piraterie seront minimes.
4. Surfer en toute sécurité
Conduite nuits blanches sur le World Wide Web, ne suivez pas les liens qui suscitent des doutes. Les titres colorés avec des nouvelles choquantes n'ont généralement aucun intérêt, mais en cliquant sur le lien, vous êtes sûr de devenir accro à quelques pages supplémentaires au contenu dangereux.
5. Filtres anti-spam dans le courrier
Quotidiennement par courrier utilisateur régulier Des dizaines de lettres aux contenus variés peuvent être déversées. Dans certains messages, ils vous appellent par votre nom et vous proposent de demander rapidement une carte de crédit auprès d'une banque, dans d'autres, ils vous demandent de suivre divers liens ou d'envoyer votre mot de passe de messagerie, car vous avez été « surpris » en train d'envoyer du spam. Il est préférable de supprimer ces lettres sans même les ouvrir. Configurez également un filtre anti-spam dans votre messagerie.
6. La brièveté est la clé de la sécurité
7. Soyez conscient des contrefaçons
Presque tous les réseaux sociaux populaires, que ce soit VKontakte ou Odnoklassniki, contiennent de nombreuses « copies » fausses (contrefaites). Les fraudeurs copient entièrement le design de ces sites, mais ont une adresse légèrement différente. Ainsi, l'adresse peut différer d'une seule lettre, à laquelle vous ne ferez pas attention, et à la fin vous perdrez votre compte courant.
8. Tous les fichiers ne sont pas créés égaux
Ne téléchargez pas de fichiers à partir de sites inconnus. Souvent, une archive contenant un résumé qui n'intéresse personne peut contenir un virus dont il ne sera pas facile de se débarrasser. Et même si vous téléchargez des fichiers sur des services d’hébergement de fichiers testés depuis des années, n’oubliez pas que des logiciels malveillants peuvent également y être trouvés. Par conséquent, tous les fichiers reçus d'Internet (et de supports amovibles) doivent être vérifiés avec un antivirus.
9. Achats intelligents
Chaque année, le chiffre d'affaires du commerce en ligne augmente et le nombre de magasins virtuels eux-mêmes augmente. Aujourd'hui, devenir propriétaire d'une boutique en ligne n'est pas difficile et ne nécessite pas d'énormes investissements financiers. Cependant, la plupart des propriétaires de petits plateformes de trading ne réfléchissez pas à la manière de protéger les données personnelles des clients. Pour éviter les problèmes, vous devez effectuer des achats dans des magasins en ligne assez grands et fiables qui nécessitent inscription obligatoire En ligne.
Aussi, avant de régler vos achats, faites attention à l'adresse de la page Web commençant par le préfixe https, et à l'icône de cadenas fermé à côté de la barre d'adresse, qui indique une connexion sécurisée.
10. Aidez les nuls
Aidez vos proches à maîtriser Internet. Une heure passée devant l'ordinateur par votre grand-père ou votre mère, qui souhaitent simplement retrouver leurs camarades de classe ou discuter sur Skype, peut entraîner la présence de plusieurs chevaux de Troie sur votre PC. Prenez le temps de bien leur expliquer quelles ressources ils doivent visiter et quels messages ils doivent ignorer.
Sécurité des informations pour les nuls
Il y a dix ans encore, de nombreuses entreprises qui n'avaient plus accès à leurs bases de données ont tout simplement fermé leurs portes, comme le rapporte un rapport de l'Université du Minnesota, qui a mené des recherches dans ce domaine. Bien entendu, il existe désormais de nombreuses façons de restaurer les informations afin de continuer à fonctionner. Cependant, une fuite d'informations confidentielles peut entraîner de graves pertes. Dans le même temps, nous parlons non seulement des entreprises, mais aussi des internautes ordinaires.
Développement technologies de l'information mettre la société en marche nouveau niveau développement, alors que de nombreux problèmes peuvent être résolus à l'aide d'un ordinateur personnel et d'Internet : faire des achats, réserver des hôtels et simplement communiquer, sans parler des nouvelles opportunités de activité professionnelle. Mais la simplicité, la commodité et la rapidité du traitement de l'information comportent de nombreux dangers : sa disponibilité pour des tiers.
Plus récemment, le terme cybercriminalité a été utilisé. Auparavant, un tel mot n'était trouvé que parmi les écrivains de science-fiction, mais il fait désormais partie de la réalité moderne. Nous parlons de pirates informatiques, ou cyberintimidateurs, qui volent des données pour accéder aux cartes bancaires, aux comptes sur des ressources spéciales, etc., piratant des ordinateurs personnels en utilisant différents virus et les programmes chevaux de Troie.
Comment se protéger des criminels ? La solution la plus simple consiste à installer un programme antivirus. Mais malheureusement, même cela ne permet pas toujours de protéger contre le piratage. Une autre option est d'essayer d'étudier quelque chose grande quantité littérature sur la sécurité de l’information qui a été écrite à ce jour. Certes, les normes et les programmes qui y sont présentés sont pour la plupart accessibles et compréhensibles aux spécialistes de ce domaine, tandis que la menace de perdre de l'argent avec carte bancaire pèse sur presque tous les internautes.
Cependant, tout n’est pas aussi mauvais qu’il y paraît à première vue. En utilisant bon sens et en suivant des règles simples pour travailler sur Internet, vous pouvez augmenter considérablement le niveau de protection de vos données contre les menaces externes. Cela s'apparente à un souci fondamental de sécurité des biens en protégeant l'appartement. Vous pouvez simplement installer une porte et une serrure chinoise, mais vous pouvez également écouter les recommandations des spécialistes impliqués dans les activités de sécurité. Et ils vous conseilleront certainement d'installer des serrures de porte avec des clés non standards et moderniser les fenêtres pour qu'elles soient difficiles à ouvrir de l'extérieur ; installer des systèmes de vidéosurveillance et d'alarme; et concluons également un accord avec une organisation qui fournit des services d'intervention rapide en cas d'entrée non autorisée dans la maison. Et peut-être pas moins règle importante, ce qui vous rappellera certainement, car on l'oublie souvent - n'ouvrez pas les portes étrangers et surtout, ne dites à personne où se trouvent vos objets de valeur.
Toutes ces activités nécessitent bien entendu des investissements. Cependant, ils doivent être appliqués de manière globale. Ne comptez pas sur vous-même pour savoir si de bonnes serrures protégeront votre maison des voleurs. Tout mécanisme sera tôt ou tard ouvert. Et si, par exemple, aucune alarme n'envoie signal d'alarmeà la console de sécurité, alors tout le système de vidéosurveillance sera absolument inutile.
De la théorie à la pratique
Tout système de sécurité est un système composé de nombreuses lignes de défense qui sont constamment en processus et en action. Vous ne pouvez pas vous calmer immédiatement après l'installation moyens techniques protection - les règles de comportement sécuritaire sur le réseau et le fonctionnement des équipements doivent être respectées régulièrement. Dans le cas contraire, le système de sécurité deviendra inutilisable, ne laissant qu’une néfaste illusion de sécurité.
Comment assurer la sécurité de l’information en pratique ? Regardons les règles de base.
Règle du zéro :Ne faites confiance à personne.
Comme l’a dit Andrew Grove, président d’Intel : « Seuls les paranoïaques survivent ». Lorsque vous saisissez des informations confidentielles, vous devez être sûr à 200 % que la personne à qui vous confiez ces informations a effectivement le droit de disposer de ces données. Par exemple, sur le site Web de la banque, il peut vous être demandé de fournir les informations de votre passeport pour ouvrir un compte. procédure standard, mais la boutique en ligne n’a absolument aucune utilité pour ces informations. Vous ne montreriez pas votre passeport au vendeur chez qui vous achetez des pommes de terre au marché ! Cette fois. Deuxièmement, jamais, à personne et en aucune circonstance n'envoyez pas le mot de passe. Tous les systèmes de sécurité sont conçus de telle manière qu'une seule personne doit connaître le mot de passe. Si vous devez envoyer votre mot de passe par e-mail ou le communiquer par téléphone sous un prétexte, même le plus plausible, sachez qu'il s'agit d'une tromperie à 100 %.
Première règle : Assurez-vous de configurer votre ordinateur de manière à toujours fournir un nom d'utilisateur et un mot de passe avant de commencer à travailler.
La plupart programme principal pour tout utilisateur d’ordinateur, c’est le système d’exploitation. Ce qu'il stockera ne doit être connu que de vous, alors définissez un mot de passe qui doit être saisi lorsque vous allumez l'ordinateur. La procédure est simple, mais les avantages sont nombreux. Chaque fois que vous saisissez une combinaison de caractères dans une ligne, vous confirmerez votre droit de disposer de toutes les informations stockées sur l'ordinateur. Évitez les situations où un étranger pourrait Accès libre sur votre bureau et tous les fichiers. « Verrouillez » les informations pour qu'elles ne ressemblent pas à un appartement sans portes avec une pancarte « Entrez si vous voulez ».
Deuxième règle : Ne travaillez jamais sous compte avec des droits d'administrateur.
Pour un ordinateur, tous les utilisateurs sont divisés en deux types : les administrateurs et les utilisateurs réguliers. Administrateurs- ce sont les utilisateurs qui peuvent configurer le fonctionnement de tous les services informatiques, installer et supprimer des programmes et modifier le fonctionnement du système. Utilisateurs réguliers n'ont pas le droit de modifier ou d'installer quoi que ce soit, mais ils peuvent exécuter librement des programmes, utiliser Internet et travailler. Imaginons maintenant une situation dans laquelle un utilisateur utilisant un compte administrateur accède au site Web d’un attaquant. Les programmes malveillants peuvent facilement effacer des données ou les chiffrer afin que les criminels puissent ensuite soutirer de l'argent pour récupérer des données. Dans le même temps, ni le système d'exploitation ni les antivirus ne sauveront l'utilisateur d'un tel malheur, puisque tout ce que « l'administrateur » fait pour l'ordinateur - et il pensera que ce sont vos commandes - est la loi. il n'est pas pratique de travailler sous le compte d'un utilisateur régulier, car vous devez de temps en temps installer de nouveaux programmes. Mais si l’on y réfléchit bien, ce n’est pas tous les jours qu’il faut installer un logiciel. Les avantages sont évidents. Une fois que vous accédez au site Web des attaquants avec les droits d’un simple utilisateur, vous exposez ainsi le programme malveillant à une barrière de protection plus difficile à surmonter. Il ne parvient plus à se déguiser rapidement et devient vulnérable aux antivirus. Par conséquent, il est logique de supprimer vos droits d’administrateur au cas où. S'il est nécessaire de recourir à ses fonctionnalités, vous pouvez toujours modifier temporairement votre compte.
Troisième règle :Vos mots de passe doivent être longs, complexes et de préférence variés. Tous les mots de passe doivent être modifiés régulièrement.
Mots de passe- c'est énorme mal de tête tous les spécialistes de la sécurité de l’information. En effet, les utilisateurs n'aiment pas les mots de passe longs, car soit ils les oublient, soit ils sont tout simplement trop paresseux pour les saisir. Et c'est bien quand ils existent. Ici, tout est comme dans un appartement : le moyen le plus simple d'y entrer est de récupérer la clé de la serrure. Une méthode similaire fonctionne dans le domaine informatique. Le moyen le plus simple d’accéder aux données est de choisir un mot de passe. Ce n’est que dans les premières décennies du développement informatique qu’un mot de passe de 8 caractères était suffisant. Cependant, avec le développement de la technologie, la méthode d'énumération de toutes les combinaisons est devenue facile pour calculer de tels codes. Il existe une chose telle que Fiabilité du mot de passe- un indicateur du temps pendant lequel un attaquant sélectionne un mot de passe en utilisant des méthodes de force brute. Il s'avère que des combinaisons composées de seulement huit chiffres ou lettres peuvent être devinées en moins d'une seconde. C'est pourquoi, en utilisant des mots de passe allant jusqu'à 8 caractères, vous risquez de donner accès à un attaquant pour un bref délais. Cependant, si vous utilisez à la fois des chiffres et des lettres dans un mot de passe court, et même dans différents registres, vous devrez alors passer quelques jours à essayer de le trouver en utilisant la force brute. Ce n’est plus mauvais, mais ce n’est bien sûr pas suffisant. Vous pouvez obtenir une sécurité de mot de passe satisfaisante en augmentant simplement sa longueur, en utilisant une combinaison non seulement de lettres et de chiffres, mais également de signes (« $ », « % », & », « # »). Mais comment créer un mot de passe long et complexe sans l’oublier immédiatement ? Très simple. Utilisez des phrases secrètes. Par exemple : "$Green_Cactus01". Un tel mot de passe n'est pas contenu dans le dictionnaire (bien qu'il existe des mots distincts « vert » et « cactus »), il ne peut donc pas être déchiffré en effectuant une recherche dans le dictionnaire. Le mot de passe s'est avéré contenir plus de 12 caractères et il faudra plus de 10 à 20 tentatives pour le deviner. Même si un milliard de recherches sont effectuées en une seconde, il faudra environ 10 à 11 secondes, soit plus de mille ans, pour déchiffrer un tel mot de passe.
Quatrième règle :Utilisez des antivirus payants modernes avec le mode de mise à jour activé au moins deux fois par jour.
Un antivirus installé en lui-même est inutile sans la possibilité de mettre à jour les bases de données antivirus. Il aura l'air de dormir chien de garde. Cela semble être là, mais cela n'a aucun sens. Assurez-vous donc que les bases de données de votre programme antivirus sont mises à jour régulièrement.
Cinquième règle :Activez les mises à jour automatiques du logiciel.
Mettez toujours à jour votre logiciel. Cela concerne particulièrement système opérateur et navigateur Internet. Par exemple, Microsoft active le mode de mise à jour automatique par défaut dans ses systèmes. Repos produits logiciels doivent être configurés. A quoi ça sert tout ça ? Très simple. Programmes modernes très complexes et comportent un grand nombre d’erreurs pouvant affecter la sécurité de vos données. Les fabricants, en publiant des mises à jour, éliminent progressivement les erreurs par lesquelles des attaquants pourraient pénétrer dans votre système.
Sixième règle :Ne stockez pas de mots de passe sur votre ordinateur et ne mémorisez pas les mots de passe dans votre navigateur Internet.
Une fois qu'un pirate informatique accède à n'importe quelle partie de votre ordinateur, une fois qu'il a trouvé le fichier de mots de passe, il n'aura même pas besoin d'essayer de pirater le système de sécurité. Pourquoi un voleur enfoncerait-il une porte s'il y a des clés sous le paillasson ? Conservez donc vos mots de passe sur une clé USB dans votre poche et toujours sous forme cryptée.
Septième règle :Utilisez des systèmes de cryptage pour les données critiques.
Vous devez toujours vous préparer au fait qu'un attaquant puisse accéder physiquement à votre ordinateur (par exemple, le vol banal d'un ordinateur portable). Pour l'empêcher d'utiliser les informations qui y sont stockées, d'une part, définissez un mot de passe utilisateur pour la saisie (voir la première règle), et d'autre part, utilisez un système de cryptage des données. Dans ce cas, le pirate informatique devra bricoler votre machine pendant de très nombreuses années.
Huitième règle :N'utilisez jamais Internet et e-mail pour transmettre des informations confidentielles.
Toutes les informations sont transmises via Internet à formulaire ouvert. En collusion avec le staff technique de l'opérateur télécom, il n'est pas difficile d'accéder à vos messages. Protégez-vous donc en utilisant soit des connexions sécurisées (https), soit des systèmes de cryptage des données et des systèmes de signature numérique électronique.
Neuvième règle :Installez des programmes dont vous connaissez avec certitude le but ou la source d'origine.
Tout le monde connaît l'histoire de la chute de Troie. L'invention la plus insidieuse de cette guerre - cheval de Troie. Et bien que cette invention date de plusieurs milliers d'années, cette méthode de conquête n'a pas perdu de sa pertinence. Mais une protection contre cela existe depuis longtemps : n'installez pas de programmes inconnus ni par vous-même, ni à la suggestion de tiers. Les principaux domaines à risque : les sites qui suscitent la méfiance, et il n'y a pas de confiance absolue dans la légalité de la ressource, les escrocs sur ICQ, les spammeurs. Chacun de ces acteurs s’efforce d’introduire un visualiseur « unique », un fond d’écran et d’autres applications, ainsi que du code qui transformera votre ordinateur en un zombie obéissant.
Dixième règle :Assurez-vous de suivre instructions spéciales sur la sécurité. Faites toujours preuve de bon sens.
Chargement...