Fordítás: Olga Alifanova
Hogyan kezdődött az egész
Nem is olyan régen a biztonsági tesztelés (és az ugyanilyen ijesztő testvére, a penetrációs tesztelés) egy hatalmas, ijesztő hiba volt, amelyet azok megszelídítettek, akik megértették. Nagyon-nagyon jól megfizették ezért. Aztán az élet megváltozott, és hirtelen azon kaptam magam, hogy olyan dolgokba botlottam, amelyek sokba kerültek volna a munkáltatómnak, ha nem kapom el őket.
Hirtelen többet tudtam meg a biztonsági tesztelés kezdeteiről – olyan tudásról, amelyre soha nem gondoltam volna, hogy szükségem lesz rá –, és kimerítő volt, lenyűgöző és félelmetes (nagyjából egyenlő arányban).
Így éreztem magam:
Ahogy elkezdtem többet megtudni a biztonsági tesztelésről, rájöttem, hogy ez nem olyan félelmetes és végtelen, mint gondoltam. Kezdtem megérteni, miről beszélnek az emberek, amikor a jogosultságok kiszélesítését, a szerverek veszélyeztetését vagy...
Rengeteg tanulnivaló lesz. De nem olyan nehéz elkezdeni, és némi olvasás és gondolkodás után elkaphat egy sebezhetőséget (egy olyan kódrészletet, amelyet rossz szándékkal rendelkezők használhatnak arra, hogy a szoftver úgy működjön, ahogyan nem kellene), mielőtt a szoftver eléggé megérett ahhoz, hogy drága biztonsági szakemberek kezébe kerüljön (ami azt jelenti, hogy olcsóbb javítani – szép bónusz, tényleg?), és jóval azelőtt, hogy beszivárogna a vad vadnyugat hatalmas kiterjedésű területeire... áh, a világháló.
Ezt tudnom kell, komolyan?
Sokan azt mondanák, hogy minden tesztelőnek tudnia kell a webes biztonsági tesztelésről. Tudjon meg többet erről - jó ötlet mindenkinek, aki online tölt időt, de úgy gondolom, hogy vannak olyan helyzetek, amikor nincs szüksége információra a webes biztonsági tesztelésről.
Lehet, hogy nem kell tudnia a tesztelésrőlWeb- biztonság, ha...
- Ön egy nagy csapat tagja, amelyben biztonsági szakértők is vannak. Ez az ő szakterületük, és ha jól végzik a munkájukat, akkor Önnel és fejlesztőivel együttműködve gondoskodnak arról, hogy minden a megfelelő biztonsági szinten legyen a területükön. Segítenek a szoftver tesztelésében is biztonsági problémák szempontjából.
- Kipróbálsz egy olyan szoftvert, amelyet a felhasználók rendelkezésére bocsátanak, és akkor senki nem törődik vele: nem fér hozzá a szerverekhez, és nem foglalkozik bizalmas információkkal. Egy offline Sudoku alkalmazás jó példa lenne – és ha a céget nem érdekli, hogy a nagyszámú pont és/vagy jól védi a szervereit – egy online casual játék is lehet ilyen példa.
- Ez egy megjelenített webhely, és nem Ön kezeli a tárhelyet.
- Egyáltalán nem dolgozol a weben.
Tudnia kell a tesztelésről Web- Biztonság, ha...
- Az Ön cégének szoftvere bármilyen típusú személyazonosításra alkalmas információt tárol (ezt a törvény határozza meg, de általában felhasználható Ön vagy családja megtalálására)
Példák: címek, levelezés (általában más adatokkal együtt), államilag kibocsátott személyazonosító okmány (társadalombiztosítási szám, jogsi, útlevél)
- Az Ön cégének szoftvere bármilyen típusú fizetési információt használ vagy tárol. Ha hitelkártyaadatokat tárol, a legtöbb országban nagyon szigorú szabályok vonatkoznak az ilyen adatok tárolására és elérésére – és nagyon magas szankciókat szabnak ki az adatok védelmének elmulasztásáért. Ha bankszámlaadatokat tárol, a szabványok nem olyan szigorúak, de továbbra is nyitva kell tartania a szemét.
- Vállalatának be kell tartania az adatbiztonságra vonatkozó jogszabályokat vagy eljárásokat. Néhány példa, amire tudok:
Az Egyesült Államokban működő egészségügyi vállalatoknak számos szövetségi törvényt kell követniük.
Az Egyesült Államokban minden tőzsdén jegyzett társaságnak követnie kell szövetségi törvények szabványokkal kapcsolatban. Ha egy cég ezeket nem tartja be, nem fogadhat el bankkártyás fizetést, és pénzbírsággal és egyéb szankciókkal sújtható.
- Vállalatának adatvédelmi követelményei vannak az általa tárolt adatokra vonatkozóan.
Ha úgy gondolja, hogy többet kell megtudnia a webes biztonsági tesztelésről, akkor talán tényleg szüksége van rá.
Hol kezdjem
A webes biztonsági tesztelés elsajátítása meglehetősen egyszerű – nagyszerű hivatkozások és eszközök állnak rendelkezésre, és ez csak az Ön idejébe kerül. Egy böngészővel sok mindent megtehetsz!
Gondosan! Veszély előttünk!
Mielőtt bármi pusztító tevékenységbe kezdene, győződjön meg arról, hogy teljesen biztos benne, hogy rendelkezik rá engedéllyel. Igen, még egy tesztszerveren is - mások más célokra is használhatják, a céged figyelheti a hálózatot a gyanús viselkedés miatt -, és általában egy csomó olyan tényező játszik itt szerepet, amelyekről talán a leghalványabb fogalmad sincs. Mindig, Mindig győződjön meg arról, hogy rendelkezik engedéllyel játszani hackert.
Ingyenes eszközök
Minden eszköz, amit használok, Windowshoz készült, mert Windows környezetben dolgozom. Némelyik platformon átívelő, van, amelyik nem. Mindegyik meglehetősen könnyen használható egy újonc számára, aki a biztonsági vizeken teszteli a hibákat.
- Böngésző fejlesztői eszközök. Ha nem blokkolja őket a cége, akkor a legtöbb modern böngészők lehetővé teszi az oldal kódjának vizsgálatát, a JavaScript vizsgálatát, valamint a böngésző és a szerver közötti hálózati forgalom megtekintését. Szerkeszthet és futtathat véletlenszerű JavaScriptet is bennük, megpróbálhatja megváltoztatni a kódot, és megismételni a hálózati kéréseket.
- Postás. Bár ez egy Chrome-bővítmény, a Postman önálló alkalmazásként is fut. Használhatja különféle kérések küldésére és a válaszok tanulmányozására (van itt egy trükk: a biztonsági tesztelésben szinte minden tömegesen elvégezhető különféle módokon. Kísérletezzen, hogy megtalálja kedvenceit).
- Hegedűs. Telerik Fiddler – be Ebben a pillanatban kedvenc eszközöm a webes kérések felfedezéséhez és kezeléséhez. Böngészőkön átívelő, több operációs rendszeren is működik, és könnyen elkezdhető a biztonsági tesztelés.
- IronWASP. A Windowshoz készült ingyenes biztonsági szkennerek egyike. Nagyon könnyű vele dolgozni, és általában jó eredményeket hoz.
- És tovább… Rengeteg eszköz áll rendelkezésre. Most kezdtem el tanulni a biztonságról, és csak szimatolgatni kezdtem.
A továbbiakban a Fiddlerre fogok koncentrálni, mert úgy gondolom, hogy ez a legegyszerűbb az ingyenes eszközök közül, és a leggyorsabban jut el a kezelőfelület körbejárásától a valóban hasznos eredményekig.
Fiddler használata
Amikor rábukkantam erre a hatalmas, és potenciálisan nagyon drága sebezhetőségre, amit fent leírtam, csak a Fiddlerrel játszottam. Még jó, hogy akkor rátaláltam: ha piacra került volna, nagy bajok történhettek volna.
Beállítások
A Fiddlert alapbeállításokkal telepítettem. Windowson az Internet Explorerhez is kap egy beépülő modult, amely lehetővé teszi a közvetlen IE-n keresztüli futtatást (és beállítani úgy, hogy csak az IE-forgalmat figyelje, sokkal egyszerűbb, mint más böngészők esetében). Attól függően, hogy mit csinálsz, ezek közül néhány bővítmény nagyon hasznos lehet: itt vannak a kedvenceim
- SzintaxisKilátás/Kiemel. Szintaxis kiemelést biztosít egyéni szkriptek elkészítéséhez, valamint HTML, Javascript, CSS és XML megtekintéséhez. Sokkal kevésbé fájdalmassá teszi a webkóddal való babrálást az összes címke kiemelésével és kulcsszavakat. Nagy rajongója vagyok azoknak a dolgoknak, amelyek megkönnyítik a fontosra összpontosítást, és ez az egyik ilyen.
- PDF - nézegetése. Nagyon fontos, ha az alkalmazás menet közben készít PDF fájlokat. A fülre kattintva megtekintheti a PDF-megjelenítést. Például, ha egy bankszámlakivonat PDF-fájlját teszteli, hogy megbizonyosodjon arról, hogy lehetetlen megnyitni egy másik felhasználó kivonatát, akkor ez az eszköz az Ön barátja.
Az internet sokrétű és nem biztonságos. Minél több lehetőséget ad nekünk, annál több veszélyt és kockázatot rejt magában. Az interneten keresztül történő lopás már régóta valóság.
A lopások kártyáról vagy elektronikus pénztárcáról történnek. És ha ez még nem történt meg veled, az azt jelenti, hogy vagy ász az adatai védelmében, vagy szerencsés, vagy nem használja elég régóta a globális internetet.
Az elsők maguk is megbirkóznak vele, de a másodiknak és a harmadiknak hasznos, ha ismeri a szorításunkat hasznos tippeket. Végül is a fémajtók nem mentenek meg az interneten. Itt az Ön biztonsága más tényezőktől, és ami a legfontosabb, bizonyos helyzetekben végzett cselekedeteitől függ.
Nem csak egy naponta frissülő adatbázissal rendelkező víruskeresővel kell rendelkeznie, hanem a kémprogramok elleni védelemmel is. Sokan azt gondolják, hogy egyetlen vírusirtó telepítésével megvédhetik az információkat, és ez végül végzetes tévedéssé válik.
Ne kattintson egymás után az összes linkre. Főleg, ha postán vagy ICQ-n keresztül küldték el. Még akkor is, ha megbízható címzett küldte. Az internetes szörfözés a vírusok elkapásának legnépszerűbb módja, ami azt jelenti, hogy lehetőséget adunk a támadónak, hogy értékes információkhoz jusson. Ne töltsön le furcsa, ismeretlen programokat, és még kevésbé telepítse őket.
Ha furcsa helyzet adódik, amikor mégis rákattint egy ismeretlen hivatkozásra, szakítsa meg az internetkapcsolatot. Ebben az esetben a biztonsági programok figyelmeztetést adhatnak ki, vagy a számítógép nem válaszol. Hívjon fel egy adatbiztonságért felelős szakembert – ő rájön, mi a probléma.
Ha telepítve van elektronikus pénztárcája, vagy bármilyen más olyan program, amellyel online fizetést bonyolít le, még nagyobb szükség van számítógépe biztonságára. Hozzá nem értés esetén hívjon szakembert, aki telepíti és konfigurálja az összes szükséges programot és azok paramétereit. Hiszen egyre gyakrabban nem hagyjuk el a székünket, hogy fizessünk a szolgáltatásokért és vásároljunk.
A regisztrációs eljárás során soha ne mentse el jelszavát. Minden alkalommal használjon más jelszavakat, amikor valahol regisztrál. A használt jelszavaknak hosszúnak kell lenniük, lehetőleg számokkal. Jobb a jelszavakat a lehető leggyakrabban megváltoztatni, legalább havonta egyszer. Még akkor is, ha kiválaszt egy szót, és beírja nagybetűvel és kisbetűk- ez már kiváló jelszólehetőség lesz.
Ügyeljen arra, hogy hol adja meg jelszavát és bejelentkezik. A csalók gyakran olyan duplikált webhelyeket készítenek, amelyek pontosan megegyeznek az eredetivel – az egyetlen különbség a domainben lehet. De egy gyors pillantásra nehéz észrevenni, különösen egy kezdő számára. A csalók másodpéldányokat használnak a felhasználói bejelentkezési adatok és jelszavak ellopására. Miután megadta adatait, a csalók automatikusan felismerik őket, és felhasználhatják saját céljaikra, de valódi webhelyen.
Ezek az egyszerű igazságok biztosan segítenek valakinek megvédeni magát az interneten. Kivéve talán a tapasztalt felhasználókat és a számítógépes biztonsági szakértőket, mert ők már mindent nagyon jól tudnak.
Megjegyzések és vélemények
Ha követed a játékperifériák piacát, tudod, hogy a HyperX már jó ideje nagyon erős cég...
A Dell új all-in-one PC-jei speciális webkamerát kapnak, amely a ház belsejébe csúsztatva...
Sok modern felhasználó panaszkodik, hogy a laptopok túl kompaktok lettek, és néha azt akarják...
A nagy gyártók már jó ideje forgalomba hoznak kész személyi számítógépeket, hiszen...
alatt augusztus 16-18 Nyizsnyij Novgorod Lezajlott a fő elektronikus zenei fesztivál, az Alfa Future People 2...
Jó napot.
Az utóbbi időben az IT biztonság egyfajta trendté vált, mindenki ír róla, mindenki beszél róla. Mennyire lehetséges ez? ígéretes irány? És ami a legfontosabb: hogyan lehet ehhez csatlakozni? Melyik oktatási anyagok(könyvek, tanfolyamok) segít egy kezdőnek „bevezetni” magát ebbe az egészbe?
Maxim Lagutin, a SiteSecure webhelyvédelmi szolgáltatás alapítója válaszol
Leginkább a vállalatok (közép- és nagyvállalkozások) érdeklődnek a gyakorlati információbiztonság iránt (a továbbiakban: IB)és gyakorló szakemberek. Kevésbé érdekesek, de mégis érdekesek az információbiztonsági menedzserek, akik részt vesznek a belső információbiztonsági folyamatok felépítésében és azok megfelelőségének ellenőrzésében.
Az orosz tanfolyamok közül a Pentestit cég etikus hackelési tanfolyamait tudom ajánlani, amelyek kifejezetten ezen a területen kezdőknek szólnak. Szintén a közelmúltban Alexey Lukatsky, információbiztonsági szakértő és jól ismert blogger ezen a területen közzétette az információbiztonság témájában elérhető kurzusok listáját.
A könyvek közül Boris Beizer „Black Box Testing”, Michael Sutton, Adam Green és Pedram Amini „Brute Force Vulnerability Research” című könyvét tudom ajánlani. Azt is javaslom, hogy iratkozzon fel a SecurityLab cikkeire, a Hacker magazinra és nézze meg érdekes témákatés tegyen fel kérdéseket az Antichat fórumon.
Érdemes időnként ellenőrizni az Owasp frissítéseit, ahol számos pont derül ki a szoftverek és a hálózat sebezhetőségeinek terjedéséről, valamint az oroszországi internetbiztonságról – a miénkről és a pozitív technológiákról – kutatni.
Ha kérdést szeretne feltenni olvasóknak vagy szakértőknek, töltse ki
A Globális Hálózaton keresztül tárgyalásokat folytatunk, nagy vásárlásokat bonyolítunk le, és egyszerűen csak szórakoztatjuk magunkat a kommunikációval a közösségi hálózatokon. Megfelelés 10 egyszerű szabályok Az internet biztonságos használata segít megvédeni személyes adatait, magát a számítógépet és még a pénztárcáját is.
1. Átfogó védelmi rendszer
Az irodai dolgozók szabadidejét gyakran elfoglalja a világháló hatalmas tárháza körüli esztelen barangolás. Az internet böngészésével azonban nem csak sokat lehet kapni új információ, hanem akaratlanul is felkap egy-két egyszerű vírust és trójai programot, amelyek sok kellemetlenséget okozhatnak.
A számítógépére telepíteni kell egy vírusirtót. Ugyanakkor az a tendencia, hogy a védelmi rendszert nem korlátozzák egy víruskereső programra, hanem telepítik a „ összetett rendszerek védelem." Általában tartalmaznak egy víruskeresőt, egy spamszűrőt és még néhány vagy három modult teljes védelem a számítógéped.
2. Rendszeres szoftverfrissítések
A kiberbűnözők folyamatosan fejlesztik hackelési módszereiket, és szó szerint minden nap új vírusok jelennek meg az interneten. De a védekezési módszereket is rendszeresen bővítik. Ezért ne felejtse el rendszeresen frissíteni víruskereső rendszerét, a használt böngészőket és operációs rendszerét.
3. Összetett jelszó
A könnyebb megjegyezhetőség érdekében a felhasználók gyakran választanak egy egyszerű jelszót, és alkalmazzák az e-mailekhez, a közösségi média fiókokhoz és az e-pénztárcákhoz. Pontosan ez az, amit eleve nem szabad megtenned. Legyen sok jelszó, összetettek és különbözőek, ne legyenek egyformák, emellett célszerű a jelszavakat időszakonként megváltoztatni.
A jó minőségű és biztonságos jelszót egyébként nem is olyan egyszerű kitalálni. Felejtsd el azokat a jelszavakat, amelyek azonnal eszedbe jutnak, és könnyen megjegyezhetők. A születési dátumokat, telefonszámokat és egyéb digitális jelszavakat brute force módszerekkel egyszerre törik fel. A biztonságos jelszó legalább nyolc karakterből áll (minél több karakter, annál biztonságosabb a jelszó), és kis- és nagybetűket és számokat is tartalmaz. Nehezebb megjegyezni egy ilyen jelszót, de a hackerek esélye minimális lesz.
4. Biztonságos szörfözés
Vezető álmatlan éjszakák a világhálón ne kövessünk olyan linkeket, amelyek kétségeket ébresztenek. A megdöbbentő híreket tartalmazó színes címek általában nem érdeklik, de a linkre kattintva biztosan kiakad még pár nem biztonságos tartalmú oldal.
5. Levélszemétszűrők
Naponta postán rendszeres felhasználó Több tucat különböző tartalmú levelet dobhatnak ki. Egyes üzenetekben név szerint szólítanak meg, és felajánlják, hogy gyorsan igényelhet hitelkártyát valamelyik banktól, más esetekben pedig arra kérik, hogy kövessen különféle linkeket, vagy küldje el az e-mail jelszavát, mivel „elkapták” a spamküldést. A legjobb az ilyen leveleket anélkül, hogy kinyitná őket. Ezenkívül állítson be egy spamszűrőt az e-mailjeibe.
6. A rövidség a biztonság kulcsa
7. Legyen tisztában a hamisítványokkal
Szinte az összes népszerű közösségi hálózat, legyen az VKontakte vagy Odnoklassniki, sok hamis (hamisított) „másolattal” rendelkezik. A csalók teljesen lemásolják az ilyen oldalak dizájnját, de kissé eltérő címük van. Így a cím egy betűvel eltérhet, amire nem fog figyelni, és a végén elveszíti folyószámláját.
8. Nem minden fájl egyenlő
Ne töltsön le fájlokat ismeretlen webhelyekről. Gyakran előfordul, hogy egy senkit nem érdeklő absztraktot tartalmazó archívum vírust tartalmazhat, amelytől nem lesz könnyű megszabadulni. És még ha évek óta tesztelt fájltárhelyről tölt is le fájlokat, ne feledje, hogy ott is találhatók rosszindulatú programok. Ezért az internetről (és a cserélhető adathordozóról) kapott összes fájlt ellenőrizni kell egy vírusirtó segítségével.
9. Okos vásárlás
Évről évre növekszik az online kereskedelem forgalma, és növekszik a virtuális üzletek száma is. Ma már nem nehéz egy webáruház tulajdonosává válni, és nem igényel hatalmas pénzügyi befektetéseket. Azonban a legtöbb tulajdonos a kis kereskedési platformok ne gondoljon arra, hogyan védje meg az ügyfelek személyes adatait. A problémák elkerülése érdekében vásároljon meglehetősen nagy és megbízható online áruházakban, amelyek ezt igénylik kötelező regisztráció Online.
Továbbá vásárlás előtt figyeljen a https előtaggal kezdődő weboldal címére, illetve a címsor melletti zárt lakat ikonra, amely a biztonságos kapcsolatot jelzi.
10. Segíts bábuk
Segítsen szeretteinek elsajátítani az internetet. Egy óra, amelyet nagyapja vagy anyja a számítógépnél tölt, aki csak az osztálytársakat akarja megtalálni, vagy Skype-on szeretne chatelni, több trójai programot eredményezhet a számítógépén. Szánjon időt arra, hogy gondosan elmagyarázza nekik, milyen forrásokat érdemes felkeresniük, és milyen üzeneteket hagyjanak figyelmen kívül.
Információ biztonság kezdőknek
Még 10 évvel ezelőtt is sok olyan cég, amely elvesztette hozzáférését adatbázisaihoz, egyszerűen bezárt, amint arról a Minnesota Egyetem jelentése is beszámolt, amely kutatásokat végzett ezen a területen. Ma már természetesen számos módja van az információk visszaállításának a munka folytatásához, azonban a bizalmas információk kiszivárgása komoly veszteségeket okozhat. Ugyanakkor nemcsak cégekről, hanem hétköznapi internetezőkről is beszélünk.
Fejlesztés információs technológiák felrakni a társadalmat új szint fejlesztés, amikor számos probléma megoldható személyi számítógép és az internet segítségével: vásárlás, szállásfoglalás és csak kommunikáció, nem beszélve az új lehetőségekről. szakmai tevékenység. Az információk kezelésének egyszerűsége, kényelme és gyorsasága azonban veszélyekkel jár – harmadik felek számára elérhető.
A közelmúltban a kiberbűnözés kifejezést kezdték használni. Korábban csak a tudományos-fantasztikus írók körében találtak ilyen szót, de mára a modern valóság részévé vált. Hackerekről vagy internetes zaklatókról beszélünk, akik adatokat lopnak, hogy hozzáférjenek bankkártyákhoz, speciális forrásokon lévő számlákhoz stb., személyi számítógépeket törnek fel különböző vírusokés trójai programok.
Hogyan védheti meg magát a bűnözőktől? A legegyszerűbb megoldás egy víruskereső program telepítése. De sajnos még ez sem mindig képes megvédeni a hackelést. Egy másik lehetőség, hogy megpróbálsz tanulni valamit nagy mennyiség az információbiztonsággal kapcsolatos eddigi szakirodalom. Igaz, a bennük bemutatott szabványok és programok nagyrészt hozzáférhetőek és érthetőek az e területen dolgozó szakemberek számára, miközben a pénzvesztés veszélye Bank kártya szinte minden internetfelhasználó felett lóg.
Azonban nem minden olyan rossz, mint amilyennek első pillantásra tűnik. Használva józan észés az interneten végzett munka egyszerű szabályait követve jelentősen növelheti adatainak védelmét a külső fenyegetések ellen. Ez olyan, mint egy alapvető aggodalomra ad okot a vagyonbiztonság a lakás védelmével. Egyszerűen beépíthet ajtót és kínai zárat, de meghallgathatja a biztonsági tevékenységgel foglalkozó szakemberek ajánlásait is. És biztosan azt tanácsolják, hogy megbízhatóan telepítse ajtózár nem szabványos kulcsokkal és korszerűsítse az ablakokat úgy, hogy azokat kívülről nehéz kinyitni; videó megfigyelő és riasztórendszerek telepítése; valamint megállapodást kell kötni egy olyan szervezettel is, amely gyorsreagálású szolgáltatásokat nyújt a házba való jogosulatlan belépésre. És talán nem is kevésbé fontos szabály, ami biztosan eszébe jut, mert gyakran megfeledkezünk róla – ne nyisd ki az ajtókat idegenekés főleg ne mondd el senkinek, hol vannak az értékeid.
Mindezek a tevékenységek természetesen befektetést igényelnek. Ezeket azonban átfogóan kell alkalmazni. Ne bízzon magában, hogy a jó zárak megvédik otthonát a tolvajoktól. Bármely mechanizmus előbb-utóbb megnyílik. És ha például nincs riasztás, ami küld riasztó jelzés a biztonsági konzolra, akkor az egész videó megfigyelő rendszer teljesen használhatatlan lesz.
Elmélettől gyakorlatig
Bármilyen biztonsági rendszer egy olyan rendszer, amely számos védelmi vonalból áll, amelyek folyamatosan folyamatban vannak és működésben vannak. A telepítés után nem lehet azonnal megnyugodni technikai eszközökkel védelem - rendszeresen be kell tartani a hálózaton való biztonságos viselkedésre és a berendezések üzemeltetésére vonatkozó szabályokat. Ellenkező esetben a biztonsági rendszer használhatatlanná válik, és csak a biztonság káros illúziója marad.
Hogyan gondoskodjunk az információbiztonságról a gyakorlatban? Nézzük az alapvető szabályokat.
Nulla szabály:Ne bízz senkiben.
Ahogy Andrew Grove, az Intel elnöke mondta: „Csak a paranoiások maradnak életben.” Bármilyen bizalmas információ megadásakor 200%-ig biztosnak kell lennie abban, hogy az Ön által megbízott személy valóban jogosult rendelkezni ezekkel az adatokkal. Például előfordulhat, hogy a bank webhelyén meg kell adnia az útlevéladatait a számlanyitáshoz – ez szokásos eljárás, de az online áruháznak egyáltalán nincs haszna ezeknek az információknak. Nem mutatnád meg az útleveledet annak az eladónak, akitől krumplit veszel a piacon! Ezúttal. Másodszor, soha, senkinek és semmilyen körülmények között ne küldje el a jelszót. Minden biztonsági rendszert úgy terveztek, hogy csak egy személy ismerje a jelszót. Ha a jelszavát e-mailben vagy telefonon el kell küldenie, akár a leghihetőbbnek tűnő ürüggyel is, akkor tudnia kell, hogy ez 100%-os megtévesztés.
Első szabály: Ügyeljen arra, hogy számítógépét úgy állítsa be, hogy a munka megkezdése előtt mindig adjon meg felhasználónevet és jelszót.
A legtöbb fő program minden számítógép-felhasználó számára az operációs rendszer. Azt, hogy mit fog tárolni, csak Önnek kell tudnia, ezért állítson be egy jelszót, amelyet meg kell adnia a számítógép bekapcsolásakor. Az eljárás egyszerű, de számos előnnyel jár. Minden alkalommal, amikor karakterkombinációt ír be egy sorba, megerősíti a számítógépen tárolt összes információ feletti rendelkezési jogát. Kerülje el azokat a helyzeteket, amelyekbe egy idegen kerülhet Szabad hozzáférés az asztalra és az összes fájlra. „Zárja le” az információkat, nehogy úgy nézzen ki, mint egy ajtó nélküli lakás, amelyen „Jöjjön be, ha akar” táblával.
Második szabály: Soha ne dolgozzon alatta fiókot rendszergazdai jogokkal.
A számítógépek esetében az összes felhasználót két típusra osztják: rendszergazdákra és normál felhasználókra. Rendszergazdák- ezek azok a felhasználók, akik az összes számítógépes szolgáltatás működését konfigurálhatják, programokat telepíthetnek és eltávolíthatnak, valamint módosíthatják a rendszer működését. Rendszeres felhasználók nincs joguk semmit megváltoztatni vagy telepíteni, de szabadon futtathatnak programokat, használhatják az internetet és végezhetnek munkát. Most képzeljünk el egy olyan helyzetet, amikor egy rendszergazdai fiókot használó felhasználó hozzáfér a támadó webhelyéhez. A rosszindulatú programok könnyen törölhetik vagy titkosíthatják az adatokat, így a bűnözők pénzt csalhatnak ki adat-helyreállításért. Ugyanakkor sem az operációs rendszer, sem a vírusirtó nem menti meg a felhasználót egy ilyen szerencsétlenségtől, hiszen minden, amit az „adminisztrátor” tesz a számítógépért – és azt fogja gondolni, hogy ezek a te parancsaid –, az törvény. kényelmetlen egy hétköznapi felhasználó fiókja alatt dolgozni, mivel időről időre új programokat kell telepítenie. De ha belegondolunk, nem minden nap kell szoftvert telepíteni. Az előnyök nyilvánvalóak. Ha egyszer egy egyszerű felhasználó jogaival lép fel a támadók webhelyére, akkor a rosszindulatú programot egy védőkorlátnak teszi ki, amelyet nehezebben tud leküzdeni. Már nem tudja gyorsan álcázni magát, és sebezhetővé válik a vírusirtókkal szemben. Ezért célszerű minden esetre elvenni a rendszergazdai jogokat. Ha szükség van a funkció használatára, bármikor ideiglenesen módosíthatja fiókját.
Harmadik szabály:Jelszavai legyenek hosszúak, összetettek és lehetőleg változatosak. Minden jelszót rendszeresen meg kell változtatni.
Jelszavak- ez óriási fejfájás minden információbiztonsági szakember. Ennek az az oka, hogy a felhasználók nem szeretik a hosszú jelszavakat, mivel vagy elfelejtik, vagy egyszerűen lusták beírni. És jó, ha léteznek. Itt minden olyan, mint egy lakásban: a legkönnyebben úgy lehet bejutni, ha felveszi a zár kulcsát. Hasonló módszer működik a számítógépes területen. Az adatokhoz való hozzáférés legegyszerűbb módja a jelszó kiválasztása. Csak a számítógépfejlesztés első évtizedeiben volt elegendő a 8 karakteres jelszó. A technológia fejlődésével azonban az összes kombináció felsorolásának módszere egyszerűvé vált az ilyen kódok kiszámítása. Van olyan, hogy jelszó erősség- annak az időtartamnak a mutatója, amely alatt a támadó brute force módszerekkel választ ki jelszót. Kiderült, hogy a mindössze nyolc számból vagy betűből álló kombinációk kevesebb mint egy másodperc alatt kitalálhatók. Éppen ezért, ha legfeljebb 8 karakter hosszú jelszavakat használ, azt kockáztatja, hogy hozzáférést ad egy támadónak egy kis idő. Habár, ha számokat és betűket is használ egy rövid jelszóban, sőt különböző regiszterekben is, akkor néhány napot kell töltenie azzal, hogy nyers erővel próbálja megtalálni. Ez már nem rossz, de természetesen nem elég. Megfelelő erősségű jelszót érhet el, ha egyszerűen megnöveli annak hosszát, nemcsak betűk és számok kombinációjával, hanem jelek ('$', '%',&'', '#') kombinációjával is. De hogyan lehet hosszú és összetett jelszót létrehozni anélkül, hogy azonnal elfelejtené? Nagyon egyszerű. Használjon jelmondatokat. Például: "$Green_Cactus01". Ilyen jelszót a szótár nem tartalmaz (bár külön „zöld” és „kaktusz” szó van), így a szótárban való kereséssel nem törhető fel. Kiderült, hogy a jelszó több mint 12 karakter hosszú, és több mint 10-20 próbálkozás kell a kitalálásához. Még ha egy másodperc alatt egymilliárd keresést hajtanak végre, egy ilyen jelszó feltöréséhez ~10 11 másodpercre van szükség, ami több mint ezer év.
Negyedik szabály:Naponta legalább kétszer használjon modern, fizetős vírusirtót a frissítési móddal.
A telepített vírusirtó önmagában haszontalan, ha nem tudja frissíteni a víruskereső adatbázisokat. Úgy fog kinézni, mintha aludna őrzőkutya. Úgy tűnik, ott van, de semmi értelme. Ezért ügyeljen arra, hogy a víruskereső program adatbázisait rendszeresen frissítse.
Ötödik szabály:Kapcsolja be az automatikus szoftverfrissítéseket.
Mindig frissítse a szoftver. Főleg ez érinti operációs rendszerés Internet böngésző. A Microsoft például alapértelmezés szerint engedélyezi az automatikus frissítési módot a rendszereiben. Pihenés szoftver termékek konfigurálni kell. Minek ez az egész? Nagyon egyszerű. Modern programok nagyon összetett, és rengeteg hibát tartalmaz, amelyek hatással lehetnek az adatok biztonságára. A gyártók a frissítések kiadásával fokozatosan kiküszöbölik azokat a hibákat, amelyeken keresztül a támadók bejuthatnak a rendszerbe.
Hatodik szabály:Ne tároljon jelszavakat a számítógépén, és ne emlékezzen a jelszavakra az internetböngészőben.
Ha egyszer egy hacker hozzáfér a számítógép bármely részéhez, miután megtalálta a jelszófájlt, meg sem kell próbálnia feltörnie a biztonsági rendszert. Miért törne be egy tolvaj az ajtót, ha kulcsok vannak a lábtörlő alatt? Ezért a jelszavakat tartsa a zsebében lévő pendrive-on, és mindig titkosított formában.
Hetedik szabály:Használjon titkosítási rendszereket a kritikus adatokhoz.
Mindig fel kell készülnie arra, hogy egy támadó fizikailag hozzáférhet a számítógépéhez (például egy laptop banális ellopása). Annak érdekében, hogy ne használja fel a benne tárolt információkat, először is állítson be egy felhasználói jelszót a belépéshez (lásd az első szabályt), másodsorban használjon adattitkosító rendszert. Ebben az esetben a hackernek sok-sok évig kell bütykölnie a gépét.
Nyolcadik szabály:Soha ne használja az internetet és email bizalmas információk továbbítására.
Minden információ az interneten keresztül kerül továbbításra a címre nyitott forma. A távközlési szolgáltató műszaki munkatársaival együttműködve nem nehéz hozzáférni az üzeneteihez. Ezért védekezzen biztonságos kapcsolatok (https), vagy adattitkosítási rendszerek és elektronikus digitális aláírási rendszerek használatával.
Kilencedik szabály:Telepítsen olyan programokat, amelyek célját vagy eredetét biztosan ismeri.
Mindenki ismeri Trója bukásának történetét. A háború legálomosabb találmánya - trójai faló. És bár ez a találmány több ezer éves, ez a hódítási módszer nem veszítette el relevanciáját. De az ellene való védelem már régóta elérhető: ne telepítsen ismeretlen programokat sem saját maga, sem harmadik fél javaslatára. A fő kockázati területek: olyan oldalak, amelyek bizalmatlanságot keltenek, és nincs abszolút bizalom az erőforrás jogszerűségében, csalók az ICQ-n, spammerek. Ezen szereplők mindegyike arra törekszik, hogy becsússzon egy „egyedi” megjelenítőt, asztali háttérképet és egyéb alkalmazásokat, valamint olyan kódot, amely engedelmes zombivá varázsolja számítógépét.
Tizedik szabály:Feltétlenül kövesse Különleges utasítások a biztonságról. Mindig használd a józan észt.
Betöltés...