Vertimas: Olga Alifanova
Kaip viskas prasidėjo
Ne taip seniai saugumo bandymai (ir jo ne mažiau baisus brolis, skverbties testas) buvo didžiulė, baisi klaida, kurią sutramdė tie, kurie jį suprato. Už tai jiems buvo sumokėta labai, labai gerai. Tada gyvenimas pasikeitė ir netikėtai užkliuvau už dalykų, kurie, jei nebūčiau jų pagavęs, darbdaviui būtų brangiai kainavęs.
Staiga sužinojau daugiau apie saugumo testavimo pradžią – žinių, kurių niekada nemaniau, kad man prireiks – ir tai buvo varginantis, nuostabus ir bauginantis (maždaug lygiomis dalimis).
Štai kaip aš jaučiausi:
Kai pradėjau daugiau sužinoti apie saugumo testavimą, sužinojau, kad jis nėra toks bauginantis ir begalinis, kaip maniau. Pradėjau suprasti, apie ką žmonės kalba, kai paminėjo privilegijų eskalavimą, serverių pažeidimus ar...
Bus daug ko išmokti. Tačiau pradėti nėra taip sunku, o šiek tiek skaitydami ir galvodami galite pagauti pažeidžiamumą (kodo fragmentą, kurį blogų ketinimų turintis asmuo gali panaudoti, kad programinė įranga veiktų taip, kaip neturėtų), prieš tai pakankamai subrendęs, kad pakliūtų į brangių saugos specialistų rankas (tai reiškia, kad taisyti pigiau – graži premija, tikrai?) ir gerokai anksčiau, nei nutekėjo į laukinių laukinių vakarų platybes... ah, pasaulinis tinklas.
Aš turiu tai žinoti, rimtai?
Daugelis sakytų, kad visi bandytojai turi žinoti apie žiniatinklio saugumo testavimą. Sužinokite daugiau apie tai - gera idėja visiems, kurie leidžia laiką internete, bet manau, kad yra situacijų, kai jums neprireiks informacijos apie žiniatinklio saugumo testavimą.
Galbūt jums nereikės žinoti apie testavimąŽiniatinklis- sauga, jei...
- Esate didelės komandos, kurioje dirba saugos ekspertai, dalis. Tai yra jų kompetencijos sritis, ir jei jie gerai atlieka savo darbą, jie bendradarbiauja su jumis ir jūsų kūrėjais, siekdami užtikrinti, kad jų srityje viskas būtų tinkamo lygio. Jie taip pat padeda išbandyti programinę įrangą dėl saugos problemų.
- Jūs išbandote programinę įrangą, kuri yra įdiegta vartotojams, ir tada ji niekam nerūpi: ji nepasiekia jūsų serverių ir nesusitvarko su konfidencialia informacija. Geras pavyzdys būtų neprisijungus veikianti „Sudoku“ programa – ir jei įmonei nerūpi, ar didelis skaičius taškų ir (arba) gerai apsaugo savo serverius – tokiu pavyzdžiu gali būti ir atsitiktinis internetinis žaidimas.
- Tai rodoma svetainė ir jūs nevaldote prieglobos.
- Jūs visiškai nedirbate internete.
Turite žinoti apie testavimą Žiniatinklis- Saugumas, jei...
- Jūsų įmonės programinė įranga saugo bet kokios rūšies asmenį identifikuojančią informaciją (tai apibrėžta įstatymuose, tačiau paprastai ji gali būti naudojama norint surasti jus ar jūsų šeimą).
Pavyzdžiai: adresai, paštas (paprastai kartu su kita informacija), vyriausybės išduotas asmens tapatybės dokumentas (socialinio draudimo numeris, vairuotojo pažymėjimas, pasas)
- Jūsų įmonės programinė įranga naudoja arba saugo bet kokio tipo mokėjimo informaciją. Jei saugote kredito kortelės informaciją, daugumoje šalių galioja labai griežtos tokių duomenų saugojimo ir prieigos taisyklės ir labai didelės baudos už šių duomenų neapsaugą. Jei kaupiate banko sąskaitos informaciją, standartai nėra tokie griežti, bet vis tiek reikia neatmerkti akių.
- Jūsų įmonė turi laikytis įstatymų ar procedūrų dėl duomenų saugumo. Keletas man žinomų pavyzdžių:
JAV sveikatos priežiūros įmonės turi laikytis daugelio federalinių įstatymų.
Turi sekti bet kuri JAV viešai prekiaujama bendrovė federaliniai įstatymai dėl standartų. Jei įmonė jų nesilaiko, ji negali priimti atsiskaitymų kreditinėmis kortelėmis, jai gresia baudos ir kitos nuobaudos.
- Jūsų įmonė turi saugomų duomenų privatumo reikalavimus.
Jei manote, kad jums reikia daugiau sužinoti apie žiniatinklio saugos testavimą, galbūt jums tikrai reikia.
Kur pradėti
Pradėti mokytis žiniatinklio saugos testavimo yra gana paprasta – yra puikių nuorodų ir įrankių, ir tai kainuos tik jūsų laiką. Naudodami tik naršyklę galite daug nuveikti!
Atsargiai! Pavojus priekyje!
Prieš pradėdami daryti ką nors destruktyvaus, įsitikinkite, kad esate visiškai tikras, kad turite leidimą tai daryti. Taip, net ir bandomajame serveryje – kiti žmonės gali jį naudoti kitiems tikslams, jūsų įmonė gali stebėti tinklą dėl įtartino elgesio – ir apskritai čia turi įtakos daugybė veiksnių, apie kuriuos galbūt neturite nė menkiausio supratimo. Visada, Visadaįsitikinkite, kad turite leidimą žaisti įsilaužėlį.
Nemokami įrankiai
Visi mano naudojami įrankiai yra skirti Windows, nes dirbu Windows aplinkoje. Kai kurie iš jų yra kelių platformų, kai kurie ne. Visais jais gana paprasta naudotis naujokams, tikrinantiems saugumo vandenis, ieškantiems klaidų.
- Naršyklės kūrėjo įrankiai. Jei jūsų įmonė jų neblokuoja, tada dauguma šiuolaikinės naršyklės leidžia ištirti puslapio kodą, ištirti JavaScript ir peržiūrėti tinklo srautą tarp naršyklės ir serverio. Taip pat galite juose redaguoti ir paleisti atsitiktinį „JavaScript“, pabandyti pakeisti kodą ir kartoti tinklo užklausas.
- Paštininkas. Nors tai yra „Chrome“ plėtinys, „Postman“ taip pat veikia kaip atskira programa. Galite naudoti jį norėdami siųsti įvairias užklausas ir tyrinėti atsakymus (čia yra gudrybė: beveik viską saugumo testavimo metu galima atlikti masiškai įvairiais būdais. Eksperimentuokite, kad surastumėte savo mėgstamiausius).
- Smuikininkas. Telerik Fiddler – įjungta Šis momentas mano mėgstamiausias įrankis, skirtas naršyti ir valdyti žiniatinklio užklausas. Tai kelios naršyklės, veikia keliose OS ir lengva pradėti nuo saugos testavimo.
- IronWASP. Vienas iš mažumos nemokamų saugos skaitytuvų, sukurtų „Windows“. Tai gana lengva dirbti ir paprastai duoda gerų rezultatų.
- Ir toliau… Yra daug įrankių. Aš ką tik pradėjau mokytis apie saugumą ir tiesiog pradėjau uostyti.
Ateityje daugiausia dėmesio skirsiu „Fiddler“, nes manau, kad jis yra lengviausias iš nemokamų įrankių ir greičiausias nuo sąsajos ieškojimo iki iš tikrųjų naudingų rezultatų.
Naudojant Fiddler
Kai aptikau šį didžiulį ir potencialiai labai brangų pažeidžiamumą, kurį aprašiau aukščiau, aš tiesiog žaidžiau su Fiddler. Gerai, kad tada radau: jei jis būtų atsidūręs rinkoje, galėjo nutikti didelių bėdų.
Nustatymai
Įdiegiau Fiddler su numatytaisiais nustatymais. „Windows“ sistemoje taip pat gausite „Internet Explorer“ papildinį, leidžiantį paleisti tiesiogiai per IE (ir nustatyti jį stebėti tik IE srautą yra daug lengviau nei kitose naršyklėse). Priklausomai nuo to, ką darote, kai kurie iš šių papildinių gali būti labai naudingi: čia yra mano mėgstamiausi
- SintaksėŽiūrėti/Paryškinti. Teikia sintaksės paryškinimą ruošiant pasirinktinius scenarijus ir peržiūrėti HTML, Javascript, CSS ir XML. Palengvina naršymą su žiniatinklio kodu, nes paryškinamos visos žymos ir raktinius žodžius. Aš esu didelis gerbėjas dalykų, kurie padeda lengviau susikoncentruoti į tai, kas svarbu, ir tai yra vienas iš jų.
- PDF – žiūrėjimas. Labai svarbu, jei jūsų programa sukuria PDF failus skrydžio metu. Galite spustelėti skirtuką ir pamatyti PDF atvaizdavimą. Pavyzdžiui, jei bandote banko ataskaitos PDF formatą, kad įsitikintumėte, jog neįmanoma atidaryti kito vartotojo išrašo, šis įrankis yra jūsų draugas.
Internetas yra daugialypis ir nesaugus. Kuo daugiau galimybių ji mums suteiks, tuo daugiau pavojų ir rizikos ji slepia. Vagystės internetu jau seniai tapo realybe.
Vagystės įvyksta iš kortelės ar elektroninės piniginės. Ir jei jums taip dar neatsitiko, tai reiškia, kad esate arba asas saugantis savo informaciją, arba jums pasisekė, arba nepakankamai ilgai naudojatės pasauliniu žiniatinkliu.
Pirmieji gali susitvarkyti patys, bet antrajam ir trečiajam pravartu žinoti mūsų spaudimą naudingų patarimų. Juk internete metalinės durys negelbsti. Čia jūsų saugumas priklauso nuo kitų veiksnių ir, svarbiausia, nuo jūsų veiksmų tam tikrose situacijose.
Turėtumėte turėti ne tik antivirusinę programą su kasdien atnaujinama duomenų baze, bet ir apsaugą nuo šnipinėjimo programų. Daugelis žmonių mano, kad įdiegę vieną antivirusinę gali apsaugoti informaciją, ir tai galiausiai tampa lemtinga klaida.
Nespustelėkite visų nuorodų iš eilės. Ypač jei jie buvo išsiųsti jums paštu arba per ICQ. Net jei atsiuntė patikimas gavėjas. Naršymas internete yra populiariausias būdas pagauti virusą, o tai reiškia, kad užpuolikui suteikiama galimybė gauti vertingos informacijos. Nesisiųskite keistų, nežinomų programų, juo labiau jų neįdiekite.
Jei vis dėlto spustelėjus nepažįstamą nuorodą susiklosto keista situacija, atsijunkite nuo interneto. Tokiu atveju saugos programos gali įspėti arba kompiuteris gali nustoti reaguoti. Iškvieskite už duomenų saugumą atsakingą specialistą – jis išsiaiškins, kokia problema.
Jei turite įdiegtą elektroninę piniginę ar kitas programas, kuriomis atsiskaitote internetu, tai dar labiau būtina užtikrinti kompiuterio saugumą. Esant nekompetencijai, pasikvieskite specialistą, kuris įdiegs ir sukonfigūruos visas reikalingas programas ir jų parametrus. Juk vis dažniau nepaliekame kėdės atsiskaityti už paslaugas ir pirkti.
Vykdydami registracijos procedūrą, niekada neišsaugokite slaptažodžio. Kiekvieną kartą kur nors registruodamiesi naudokite skirtingus slaptažodžius. Naudojami slaptažodžiai turi būti ilgi, pageidautina su skaičiais. Slaptažodžius geriau keisti kuo dažniau, bent kartą per mėnesį. Net jei pasirinksite vieną žodį ir įvedate jį didžiosiomis raidėmis ir mažosios raidės- tai jau bus puikus slaptažodžio pasirinkimas.
Būkite atsargūs, kur įvedate slaptažodį ir prisijungimą. Dažnai sukčiai sukuria pasikartojančias svetaines, kurios yra visiškai tokios pačios kaip ir originalios – skirtumas gali būti tik domene. Tačiau greitu žvilgsniu tai sunku pastebėti, ypač pradedantiesiems. Sukčiai naudoja dublikatus, kad pavogtų vartotojų prisijungimo vardus ir slaptažodžius. Kai įvesite savo duomenis, sukčiai juos automatiškai atpažins ir galės naudoti savo tikslams, bet tikroje svetainėje.
Šios paprastos tiesos tikrai padės apsisaugoti internete. Išskyrus galbūt patyrusius vartotojus ir kompiuterių saugumo ekspertus, nes jie jau viską puikiai išmano.
Komentarai ir atsiliepimai
Jei sekate žaidimų periferinių įrenginių rinką, žinote, kad „HyperX“ jau ilgą laiką buvo labai stipri kompanija...
Naujieji „Dell“ viskas viename kompiuteriai gaus specialią internetinę kamerą, kuri slysta korpuso viduje ir tampa...
Daugelis šiuolaikinių vartotojų skundžiasi, kad nešiojamieji kompiuteriai tapo per kompaktiški ir kartais nori...
Stambūs gamintojai jau seniai į rinką išleidžia jau paruoštus asmeninius kompiuterius, nes...
Nuo rugpjūčio 16 iki 18 d Nižnij Novgorodas Pagrindinis elektroninės muzikos festivalis „Alfa Future People 2“ įvyko...
Laba diena.
Pastaruoju metu IT saugumas tapo savotiška tendencija, visi apie tai rašo, visi kalba. Kiek tai įmanoma? daug žadanti kryptis? Ir svarbiausia, kaip prie to prisijungti? Kuris mokomoji medžiaga(knygos, kursai) padės pradedančiajam „įsileisti“ į visa tai?
Atsako Maksimas Lagutinas, svetainės apsaugos paslaugos „SiteSecure“ įkūrėjas
Daugiausia įmonės (vidutinio ir didelio verslo) dabar domisi praktiniu informacijos saugumu (toliau – IB) ir praktikai. Mažiau įdomūs, bet vis tiek įdomūs yra informacijos saugumo vadovai, kurie dalyvauja kuriant vidinius informacijos saugos procesus ir stebint jų laikymąsi.
Iš rusų kalbos kursų galiu rekomenduoti etiško įsilaužimo kursus iš bendrovės Pentestit, kurie yra skirti būtent šios srities pradedantiesiems. Taip pat neseniai Aleksejus Lukatskis, informacijos saugumo ekspertas ir gerai žinomas šios srities tinklaraštininkas, paskelbė galimų kursų informacijos saugumo tema sąrašą.
Tarp knygų galiu rekomenduoti Boriso Beizerio „Juodosios dėžės testavimą“, Michaelo Suttono, Adamo Greeno ir Pedramo Amini „Brute Force Vulnerability Research“. Taip pat rekomenduoju prenumeruoti SecurityLab straipsnius, žurnalą „Hacker“ ir peržiūrėti įdomios temos ir užduoti klausimus Antichat forume.
Verta periodiškai tikrinti, ar nėra „Owasp“ naujinimų, kur atskleidžiama daug dalykų apie programinės įrangos ir tinklo pažeidžiamumų plitimą bei interneto saugumo tyrimus Rusijoje – mūsų ir „Positive Technologies“.
Norėdami užduoti savo klausimą skaitytojams ar ekspertams, užpildykite
Per pasaulinį tinklą vedame derybas, perkame didelius pirkinius ir tiesiog pramogaujame bendraudami socialiniuose tinkluose. Atitiktis 10 paprastos taisyklės Saugus naudojimasis internetu padės apsaugoti asmeninius duomenis, patį kompiuterį ir net piniginę.
1. Visapusiška apsaugos sistema
Nesąmoningai klaidžiojant po žiniatinklio platybes paprastas biuro darbuotojas dažnai užima laisvalaikį. Tačiau naršydami internete galite gauti ne tik daug nauja informacija, bet ir netyčia pasiima porą paprastų virusų ir Trojos arklių, kurie gali sukelti daug nepatogumų.
Jūsų kompiuteryje turi būti įdiegta antivirusinė programa. Tuo pačiu metu yra tendencija neapsiriboti apsaugos sistema viena antivirusine programa, o įdiegti „ sudėtingos sistemos apsauga“. Paprastai juose yra antivirusinė programa, antispam filtras ir dar pora ar trys moduliai pilna apsauga tavo kompiuteris.
2. Reguliarūs programinės įrangos atnaujinimai
Kibernetiniai nusikaltėliai nuolat tobulina savo įsilaužimo metodus, o nauji virusai internete pasirodo tiesiog kasdien. Tačiau apsaugos metodai taip pat reguliariai plečiami. Todėl nepamirškite reguliariai atnaujinti antivirusinės sistemos, naudojamų naršyklių ir operacinės sistemos.
3. Sudėtingas slaptažodis
Siekdami, kad būtų lengviau įsiminti, vartotojai dažnai pasirenka vieną paprastą slaptažodį ir pritaiko jį el. paštu, socialinių tinklų paskyrose ir elektroninėse piniginėse. Tai yra būtent tai, ko neturėtumėte daryti iš pradžių. Slaptažodžių turėtų būti daug, sudėtingų ir skirtingų, jie neturėtų būti vienodi, be to, patartina slaptažodžius periodiškai keisti.
Beje, sugalvoti kokybišką ir saugų slaptažodį nėra taip paprasta. Pamirškite tuos slaptažodžius, kurie iš karto ateina į galvą ir yra lengvai įsimenami. Gimimo datos, telefonų numeriai ir kiti skaitmeniniai slaptažodžiai nulaužiami vienu metu naudojant brutalios jėgos metodus. Saugus slaptažodis yra sudarytas iš mažiausiai aštuonių simbolių (kuo daugiau simbolių, tuo saugesnis slaptažodis) ir jį sudaro didžiosios ir mažosios raidės bei skaičiai. Tokį slaptažodį atsiminti sunkiau, tačiau įsilaužėlių tikimybė bus minimali.
4. Saugus naršymas
Atliekant bemiegės naktys pasauliniame tinkle nesek abejonių keliančių nuorodų. Spalvingos antraštės su šokiruojančiomis naujienomis dažniausiai nedomina, tačiau paspaudę nuorodą tikrai užkabinsite dar porą nesaugaus turinio puslapių.
5. Pašto šiukšlių filtrai
Kasdien paštu eilinis vartotojas Gali būti išmestos dešimtys įvairaus turinio laiškų. Vienose žinutėse jie kreipiasi į jus vardu ir siūlo greitai kreiptis dėl kreditinės kortelės iš kurio nors banko, kitose prašo sekti įvairias nuorodas arba atsiųsti el. pašto slaptažodį, nes buvote „pagautas“ siunčiant šlamštą. Geriausia tokius laiškus ištrinti net neatidarius. Taip pat el. pašte nustatykite anti-spam filtrą.
6. Trumpumas – raktas į saugumą
7. Būkite informuoti apie klastotes
Beveik visi populiarūs socialiniai tinklai, ar tai būtų „VKontakte“, ar „Odnoklassniki“, turi daug netikrų (padirbtų) „kopijų“. Sukčiai visiškai kopijuoja tokių svetainių dizainą, tačiau turi šiek tiek kitokį adresą. Taigi adresas gali skirtis vos viena raide, į kurią nekreipsite dėmesio ir galiausiai prarasite einamąją sąskaitą.
8. Ne visi failai yra sukurti vienodai
Nesisiųskite failų iš nežinomų svetainių. Dažnai archyve su niekam neįdomia santrauka gali būti virusas, kurio atsikratyti bus nelengva. Ir net jei atsisiunčiate failus iš failų prieglobos paslaugų, kurios buvo išbandytos daugelį metų, atminkite, kad ten taip pat galima rasti kenkėjiškų programų. Todėl visus failus, gautus iš interneto (ir iš keičiamųjų laikmenų), reikia patikrinti antivirusine programa.
9. Protingas apsipirkimas
Kasmet auga internetinės prekybos apyvarta, daugėja ir pačių virtualių parduotuvių. Šiandien tapti internetinės parduotuvės savininku nėra sunku ir nereikalauja didelių finansinių investicijų. Tačiau dauguma savininkų mažų prekybos platformos negalvoti, kaip apsaugoti klientų asmeninius duomenis. Norėdami išvengti problemų, turėtumėte pirkti gana didelėse ir patikimose internetinėse parduotuvėse, kurioms reikia privaloma registracija Prisijungęs.
Taip pat prieš mokėdami už pirkinius atkreipkite dėmesį į tinklalapio adresą, prasidedantį priešdėliu https, ir į uždarytos spynos piktogramą šalia adreso juostos, kuri rodo saugų ryšį.
10. Pagalba manekenams
Padėkite savo artimiesiems įvaldyti internetą. Valanda, kurią senelis ar mama praleidžia prie kompiuterio, norintys susirasti bendraklasius ar pabendrauti per „Skype“, kompiuteryje gali pasirodyti keli Trojos arklys. Skirkite laiko ir atidžiai paaiškinkite, kokius išteklius jie turėtų aplankyti ir kokių pranešimų jie turėtų ignoruoti.
Informacijos saugumas kvaileliams
Net prieš 10 metų daugelis įmonių, praradusių prieigą prie savo duomenų bazių, tiesiog užsidarė, kaip teigiama Minesotos universiteto, atlikusio šios srities tyrimus, ataskaitoje. Dabar, žinoma, yra daug būdų, kaip atkurti informaciją, kad būtų galima tęsti darbą, tačiau konfidencialios informacijos nutekėjimas gali sukelti rimtų nuostolių. Tuo pačiu kalbame ne tik apie įmones, bet ir apie eilinius interneto vartotojus.
Plėtra informacines technologijas pasodinti visuomenę naujas lygis plėtra, kai daugelį problemų galima išspręsti naudojantis asmeniniu kompiuteriu ir internetu: pirkti, užsisakyti viešbučius ir tiesiog bendrauti, jau nekalbant apie naujas galimybes profesinę veiklą. Tačiau informacijos tvarkymo paprastumas, patogumas ir greitis yra kupinas pavojaus - jos prieinamumas trečiosioms šalims.
Visai neseniai pradėtas vartoti terminas kibernetiniai nusikaltimai. Anksčiau toks žodis buvo aptinkamas tik tarp mokslinės fantastikos rašytojų, o dabar jis tapo šiuolaikinės realybės dalimi. Kalbame apie įsilaužėlius arba kibernetinį chuliganą, kurie vagia duomenis, kad galėtų pasiekti banko korteles, sąskaitas specialiuose šaltiniuose ir pan., įsilaužia į asmeninius kompiuterius naudodami įvairių virusų ir Trojos arklys.
Kaip apsisaugoti nuo nusikaltėlių? Paprasčiausias sprendimas yra įdiegti antivirusinę programą. Bet, deja, net ir tai ne visada gali apsaugoti nuo įsilaužimo. Kitas variantas – pabandyti ką nors studijuoti puiki suma literatūrą apie informacijos saugumą, kuri buvo parašyta iki šiol. Tiesa, juose pateikti standartai ir programos didžiąja dalimi yra prieinami ir suprantami šios srities specialistams, o grėsmė netekti pinigų su banko kortelė kabo virš beveik kiekvieno interneto vartotojo.
Tačiau ne viskas taip blogai, kaip atrodo iš pirmo žvilgsnio. Naudojant Sveikas protas ir vadovaudamiesi paprastomis darbo internete taisyklėmis galite žymiai padidinti savo duomenų apsaugos nuo išorinių grėsmių lygį. Tai tarsi pagrindinis rūpestis dėl turto saugumo saugant butą. Galite tiesiog sumontuoti duris ir kinišką spyną, bet taip pat galite įsiklausyti į apsaugos veiklą vykdančių specialistų rekomendacijas. Ir jie tikrai patars įdiegti patikimą durų spynos su nestandartiniais raktais ir modernizuoti langus taip, kad juos būtų sunku atidaryti iš išorės; įrengti vaizdo stebėjimo ir signalizacijos sistemas; taip pat sudaryti sutartį su organizacija, kuri teikia greito reagavimo paslaugas į neteisėtą patekimą į namus. Ir, ko gero, ne mažiau svarbi taisyklė, apie kurį tikrai priminsite, nes dažnai apie tai pamirštame – neatidarykite durų nepažįstami žmonės ir ypač niekam nesakyk, kur yra tavo vertybės.
Visa ši veikla, žinoma, reikalauja investicijų. Tačiau jie turėtų būti taikomi visapusiškai. Nepasitikėkite savimi, kad geros spynos apsaugos jūsų namus nuo vagių. Bet koks mechanizmas anksčiau ar vėliau bus atidarytas. Ir, pavyzdžiui, nėra aliarmo, kuris siunčia pavojaus signalas prie apsaugos pulto, tada visa vaizdo stebėjimo sistema bus visiškai nenaudinga.
Nuo teorijos iki praktikos
Bet kokia apsaugos sistema yra sistema, susidedanti iš daugybės gynybos linijų, kurios nuolat vyksta ir veikia. Negalite nusiraminti iš karto po įdiegimo techninėmis priemonėmis apsauga – turi būti reguliariai laikomasi saugaus elgesio tinkle ir įrangos eksploatavimo taisyklių. Priešingu atveju apsaugos sistema taps netinkama naudoti, palikdama tik žalingą saugumo iliuziją.
Kaip praktiškai pasirūpinti informacijos saugumu? Pažvelkime į pagrindines taisykles.
Nulinė taisyklė:Niekuo nepasitikėk.
Kaip sakė „Intel“ pirmininkas Andrew Grove'as: „Išgyvena tik paranoikai“. Įvesdami bet kokią konfidencialią informaciją, turite būti 200% tikri, kad asmuo, kuriuo pasitikite, iš tikrųjų turi teisę disponuoti šiais duomenimis. Pavyzdžiui, banko svetainėje jūsų gali būti paprašyta įvesti paso informaciją, kad atidarytumėte sąskaitą – tai standartinė procedūra, tačiau internetinėje parduotuvėje ši informacija visiškai nenaudinga. Pardavėjui, iš kurio perkate bulves turguje, paso neparodytumėte! Šį kartą. Antra, niekada, niekam ir jokiomis aplinkybėmis nesiųskite slaptažodžio. Visos apsaugos sistemos sukurtos taip, kad slaptažodį turėtų žinoti tik vienas asmuo. Jei jūsų reikalaujama išsiųsti slaptažodį el. paštu arba pasakyti telefonu bet kokiu, net ir labiausiai tikėtinu pretekstu, turėtumėte žinoti, kad tai yra 100% apgaulė.
Pirmoji taisyklė: Būtinai nustatykite savo kompiuterį taip, kad prieš pradėdami darbą visada nurodytumėte vartotojo vardą ir slaptažodį.
Dauguma pagrindinė programa bet kuriam kompiuterio vartotojui yra operacinė sistema. Ką jis saugos, turėtų žinoti tik jūs, todėl nustatykite slaptažodį, kurį reikia įvesti įjungus kompiuterį. Procedūra paprasta, tačiau yra daug privalumų. Kiekvieną kartą į eilutę įvesdami simbolių derinį, patvirtinsite savo teisę disponuoti visa kompiuteryje saugoma informacija. Venkite situacijų, į kurias gali patekti nepažįstamasis Nemokama prieigaį darbalaukį ir visus failus. „Užrakinkite“ informaciją, kad ji neatrodytų kaip butas be durų su užrašu „Ateik, jei nori“.
Antroji taisyklė: Niekada nedirbkite pagal sąskaitą su administratoriaus teisėmis.
Kompiuterio atveju visi vartotojai skirstomi į du tipus: administratorius ir įprastus vartotojus. Administratoriai- tai tie vartotojai, kurie gali konfigūruoti visų kompiuterių paslaugų veikimą, įdiegti ir pašalinti programas bei keisti sistemos veikimą. Nuolatiniai vartotojai neturi teisės nieko keisti ar diegti, tačiau gali laisvai paleisti programas, naudotis internetu ir dirbti. Dabar įsivaizduokime situaciją, kai vartotojas, naudodamas administratoriaus paskyrą, pasiekia užpuoliko svetainę. Kenkėjiškos programos gali lengvai ištrinti duomenis arba juos užšifruoti, kad nusikaltėliai galėtų išvilioti pinigus duomenims atkurti. Tuo pačiu metu nei operacinė sistema, nei antivirusai neišgelbės vartotojo nuo tokios nelaimės, nes viskas, ką „administratorius“ daro kompiuteriui - ir jis manys, kad tai jūsų komandos - yra įstatymas. Kai kurie mano, kad tai nepatogu dirbti naudojant paprasto vartotojo paskyrą, nes laikas nuo laiko reikia įdiegti naujas programas. Bet jei gerai pagalvoji, ne kasdien tenka diegti programinę įrangą. Privalumai akivaizdūs. Kai pasiekiate užpuolikų svetainę su paprasto vartotojo teisėmis, kenkėjiška programa susiduria su apsaugine kliūtimi, kurią jai sunkiau įveikti. Jis nebegali greitai užsimaskuoti ir tampa pažeidžiamas antivirusinių programų. Todėl prasminga bet kuriuo atveju atimti administratoriaus teises. Jei iškyla poreikis pasinaudoti jos funkcijomis, visada galite laikinai pakeisti paskyrą.
Trečioji taisyklė:Jūsų slaptažodžiai turėtų būti ilgi, sudėtingi ir, pageidautina, įvairūs. Visi slaptažodžiai turi būti reguliariai keičiami.
Slaptažodžiai- jis milžiniškas galvos skausmas visi informacijos saugumo specialistai. Taip yra todėl, kad vartotojai nemėgsta ilgų slaptažodžių, nes jie juos pamiršta arba tiesiog tingi juos įvesti. Ir gerai, kai jie egzistuoja. Viskas čia kaip su butu: lengviausia į jį patekti pasiimti spynos raktą. Panašus metodas veikia ir kompiuterių srityje. Lengviausias būdas pasiekti duomenis yra pasirinkti slaptažodį. Tik pirmaisiais kompiuterių kūrimo dešimtmečiais pakako 8 simbolių slaptažodžio. Tačiau tobulėjant technologijoms, visų kombinacijų surašymo metodu tapo lengva tokius kodus apskaičiuoti. Yra toks dalykas kaip slaptažodžio stiprumas- laiko rodiklis, per kurį užpuolikas pasirenka slaptažodį naudodamas brutalios jėgos metodus. Pasirodo, derinius, susidedančius tik iš aštuonių skaičių ar raidžių, galima atspėti greičiau nei per sekundę. Štai kodėl, naudodami iki 8 simbolių ilgio slaptažodžius, rizikuojate suteikti prieigą užpuolikui trumpam laikui. Nors jei trumpame slaptažodyje ir net skirtinguose registruose naudosite skaičius ir raides, turėsite praleisti kelias dienas bandydami jį rasti naudodami brutalią jėgą. Tai jau nėra blogai, bet, žinoma, to nepakanka. Patenkinamo slaptažodžio stiprumo galite pasiekti tiesiog padidindami jo ilgį, naudodami ne tik raidžių ir skaičių, bet ir ženklų derinį ('$','%',&'', '#'). Bet kaip sukurti ilgą ir sudėtingą slaptažodį, jo iškart nepamirštant? Labai paprasta. Naudokite slaptafrazes. Pavyzdžiui: „$Green_Cactus01“. Tokio slaptažodžio žodyne nėra (nors yra atskiri žodžiai „žalias“ ir „kaktusas“), todėl jo negalima nulaužti ieškant žodyne. Paaiškėjo, kad slaptažodis buvo ilgesnis nei 12 simbolių ir jį atspėti prireiks daugiau nei 10-20 bandymų. Net jei per vieną sekundę būtų atlikta milijardas paieškų, tokiam slaptažodžiui nulaužti prireiks ~10 11 sekundžių, tai yra daugiau nei tūkstantis metų.
Ketvirta taisyklė:Bent du kartus per dieną naudokite modernias mokamas antivirusines programas su įjungtu atnaujinimo režimu.
Įdiegta antivirusinė programa pati savaime yra nenaudinga be galimybės atnaujinti antivirusinių duomenų bazių. Jis atrodys kaip miega sarginis šuo. Atrodo, kad tai yra, bet tai neturi prasmės. Taigi įsitikinkite, kad jūsų antivirusinių programų duomenų bazės yra reguliariai atnaujinamos.
Penktoji taisyklė:Įjunkite automatinius programinės įrangos atnaujinimus.
Visada atnaujinkite savo programinė įranga. Ypač tai susiję Operacinė sistema ir interneto naršyklę. Pavyzdžiui, „Microsoft“ pagal numatytuosius nustatymus savo sistemose įgalina automatinio atnaujinimo režimą. Poilsis programinės įrangos produktai reikia sukonfigūruoti. Kam visa tai? Labai paprasta. Šiuolaikinės programos labai sudėtingas ir turi daug klaidų, kurios gali turėti įtakos jūsų duomenų saugumui. Gamintojai, išleisdami naujinimus, palaipsniui pašalina klaidas, per kurias užpuolikai gali patekti į jūsų sistemą.
Šeštoji taisyklė:Nesaugokite slaptažodžių savo kompiuteryje ir neprisiminkite slaptažodžių savo interneto naršyklėje.
Kai įsilaužėlis gaus prieigą prie bet kurios jūsų kompiuterio dalies, radęs slaptažodžio failą, jam net nereikės bandyti nulaužti apsaugos sistemos. Kodėl vagis turėtų išlaužti duris, jei po kilimėliu yra raktai? Todėl slaptažodžius laikykite kišenėje esančiame „flash drive“ ir visada šifruotus.
Septintoji taisyklė:Svarbiems duomenims naudokite šifravimo sistemas.
Visada turėtumėte būti pasirengę tam, kad užpuolikas gali gauti fizinę prieigą prie jūsų kompiuterio (pavyzdžiui, banali nešiojamojo kompiuterio vagystė). Kad jis nepasinaudotų joje saugoma informacija, pirma, nustatykite vartotojo slaptažodį įvedimui (žr. pirmą taisyklę), antra, naudokite duomenų šifravimo sistemą. Tokiu atveju įsilaužėlis turės dirbti su jūsų mašina daugelį metų.
Aštunta taisyklė:Niekada nesinaudokite internetu ir paštu perduoti konfidencialią informaciją.
Visa informacija internetu perduodama į atvira forma. Bendraujant su telekomunikacijų operatoriaus techniniu personalu, nėra sunku gauti prieigą prie jūsų pranešimų. Todėl apsisaugokite naudodami saugius ryšius (https) arba duomenų šifravimo sistemas ir elektroninio skaitmeninio parašo sistemas.
Devintoji taisyklė:Įdiekite programas, kurių paskirtį ar kilmės šaltinį tikrai žinote.
Visi žino istoriją apie Trojos žlugimą. Pats klastingiausias to karo išradimas – Trojos arklys. Ir nors šiam išradimui jau keli tūkstančiai metų, šis užkariavimo būdas neprarado savo aktualumo. Tačiau apsauga nuo jos jau seniai prieinama: neinstaliuokite nepažįstamų programų nei patys, nei pasiūlius trečiosioms šalims. Pagrindinės rizikos sritys: svetainės, kurios sukelia nepasitikėjimą ir nėra absoliutaus pasitikėjimo šaltinio teisėtumu, ICQ sukčiai, šiukšlių siuntėjai. Kiekvienas iš šių veikėjų stengiasi įslysti į „unikalią“ peržiūros programą, darbalaukio foną ir kitas programas bei kartu su jais kodą, kuris pavers jūsų kompiuterį paklusniu zombiu.
Dešimtoji taisyklė:Būtinai sekite Specialios instrukcijos apie saugumą. Visada naudokitės sveiku protu.
Įkeliama...