Децентрализованная, нерегулируемая и анонимная природа крипты означает, что ее невозможно отследить в случае исчезновения или кражи.

Нет центральной компании, которая вышлет вам пароль, если вы его забудете.

Нет никакого центра обслуживания клиентов, куда можно пожаловаться, если что-то пойдет не так.

И, конечно, нет никаких регулирующих органов, чтобы выследить хакеров, которые получили доступ к вашей учетной записи и украли все ваши средства.

Сохранение вашей криптовалюты в безопасности может показаться сложной задачей, особенно для новичков. Однако есть ряд простых шагов, которые вы можете предпринять, чтобы гарантировать, что вы будете контролировать все свои волшебные интернет-деньги.

Приведенный ниже список не является исчерпывающим и не имеет конкретного порядка (и как вы можете догадаться, он ни в коем случае не является юридической или инвестиционной консультацией), поэтому, пожалуйста, продолжайте свои собственные исследования на эту тему и никогда не останавливайтесь на том, чтобы повысить безопасность своей криптовалюты.

Удалите свои персональные данные из открытых Интернет-источников

В сегодняшнее время это само собой разумеющееся, но многие люди, с которыми я разговариваю, все еще не относятся с серьезностью к .

Мы становимся свидетелями все более и более частых вторжений в нашу частную онлайн-жизнь как со стороны хакеров, так и крупных (якобы законопослушных) компаний, так что лучшая стратегия, чтобы держаться подальше от них, - просто не выкладывать какую-либо информации личного характера в открытый доступ в интернете.

Хакеры могут использовать ваш номер телефона, адрес электронной почты и другую личную информацию, такую как дата вашего рождения, место проживания и работы, и информацию о том, с кем у вас близкие отношения, чтобы с помощью соцсетей получить доступ к вашим учетным записям.

Если вы не можете скрыть или удалить свою личную электронную почту с публичных сайтов, создайте новую и используйте ее для открытия своих крипто-счетов, так, по крайней мере, злоумышленникам будет сложнее обнаружить их.

Если ваш номер телефона находится в открытом доступе и нет никакого способа, чтобы убрать его оттуда (даже не хочу представлять себе то количество спама, которое вы получаете, если это так), тогда позвоните своему оператору мобильной связи и попросите их усилить безопасность вашего аккаунта. Подробнее об этом ниже.
Таким образом, чем меньше подобной информации вы публикуете в интернете, тем меньше у вас шансов, что она будет украдена и использована против вас.

Повысьте безопасность учетной записи на вашем тарифном плане

Документально зафиксировано много случаев, когда злоумышленники, используя социальную инженерию, а затем взламывали пароль электронной почты этих людей.

Стоит этому произойти, и злоумышленник получает доступ к электронной почте пользователя, он может взломать пароль любой привязанной к ящику учетной записи, а это прямой путь к криптоактивовам этого человека.

Не позвольте этому произойти с вами. Позвоните своему телефонному провайдеру и попросите его повысить безопасность вашей учетной записи через телефонную службу обслуживания клиентов. Если кто-то позвонит, притворяясь вами, им, чтобы разрушить вашу жизнь, придется представить гораздо больше информации, чем просто ваше имя и дата рождения.

Используйте безопасный оффлайн-кошелек

Первое, что слышат люди, когда речь заходит о биткоине и криптовалюте в целом, - это массовые хакеркие атаки и нарушения безопасности, которые неизбежно снижают доверие людей к этим технологиям.

Несмотря на эти хакерские атаки, на самом деле практически невозможно взломать биткоин и некоторые другие хорошо зарекомендовавшие себя криптовалюты.

Почти каждая хакерская атака, которая происходит в крипто-пространстве, включает в себя взлом биржи или кошельков пользователей с целью кражи денежных средств.

Эти централизованные системы по своей сути менее безопасны, чем сам крипто-протокол, и поэтому они являются главной приманкой для злоумышленников, которые пойдут на что-угодно, лишь бы взломать эти системы и украсть любую доступную криптовалюту.

О кошельках в целом:

Если вы хотите быстро разобраться, что такое крипто-кошельки и как они работают, читайте дальше. Если вы хорошо разбираетесь в крипто-кошельках, пропустите этот раздел. Больше .

Если вы храните свою крипту на онлайн-бирже, вы чисто технически владеете ею, но на самом деле не имеете полного контроля над ней .

Вы получаете полный контроль только в том случае, если вы держите свою криптовалюту в своем личном кошельке, поэтому, если биржа будет скомпрометирована, можете попрощаться со своими кровно заработанными крипто-денежками.

Гораздо безопаснее держать свои средства в кошельке, который вы контролируете, но это также имеет под собой риски.

Не все кошельки одинаковы, и по разным причинам некоторые из них гораздо более безопасны, чем другие. Крипто-кошельки обычно классифицируются на онлайн (программное обеспечение) кошельки, такие как телефон и приложения на рабочем столе, и на автономные (аппаратные) кошельки, такие как USB-средства для хранения и их бумажные аналоги.

Эмпирическое правило, действующее в отношении кошельков, заключается в том, что чем менее подключен к интернету кошелек, тем сложнее злоумышленнику получить доступ к вашей криптовалюте.

Поэтому оффлайновый кошелек типа Ledger Nano S или Trezor, на котором ключи от вашего кошелька хранятся за несколькими слоями безопасности, является лучшим способом, чтобы сохранить ваши криптосбережения в безопасности.

Можно хранить небольшое количество криптовалюты на биржах и в онлайн-кошельках, чтобы совершать небольшие транзакции или торговые сделки. Однако гораздо более безопасным местом для хранения большей части вашей криптовалюты является оффлайновый кошелек типа Ledger Nano S, Trezor или (если вы играете) бумажный кошелек.

Эти системы не являются полным гарантом безопасности; вы все еще можете физически потерять свои средства: вы можете потерять доступ к своим криптовалютам, если у вас нет резервных копий, или стать жертвой фишинговых сайтов.

Однако, поскольку холодные кошельки не подключены к интернету, вероятность того, что они будут взломаны, астрономически ниже, чем их онлайн-аналоги.

Используйте двухфакторную аутентификацию (2FA) для всех ваших учетных записей

Двухфакторная проверка подлинности – это, по сути, процесс проверки вашей личности двумя способами при попытке входа в учетную запись в интернете. Чаще всего, 6-значный код будет сгенерирован и отправлен вам через SMS или сгенерирован приложением authenticator, который вам затем нужно будет ввести в учетную запись, в которую вы пытаетесь войти.

Использование 2FA гарантирует, что даже если пароль от вашей учетной записи будет взломан, злоумышленнику все равно потребуется доступ к устройству, которое получает вторичный код, а без него его попытки взлома будут неудачными.

Использование 2FA через SMS лучше, чем ничего, но это не настоятельно рекомендуется, так как злоумышленники могут получить доступ к вашему номеру мобильного телефона, позвонив вашему провайдеру мобильной связи и переключив SIM-карты. Использование 2FA через приложение, как Google Authenticator (iOS) (Android) или LastPass Authenticator, является "золотым стандартом" для 2-факторной авторизации.

Большинство (надеюсь, что все) нормальных бирж и кошельков предоставят вам возможность использовать 2FA, но это, как правило, делается на ваше усмотрение. Перейдите на страницу настроек используемой Вами биржи(или бирж), подключите 2FA и повысьте свою крипто-безопасность.

Не хвастайтесь своими онлайн-сбережениями (и вообще о них не говорите)

Это должно быть как само собой разумеющееся, но я решил оставить этот пунктик. Никогда никогда никогда НИКОГДА не рассказывайте на открытых онлайн-форумах (Facebook, Twitter, Slack и т.д.) о том, сколько у вас криптовалюты.

Конец истории.

Лучше даже не упоминать о том, что у вас вообще есть какая-то криптовалюта для начала.

Верьте или нет, но в интернете трутся нехорошие дяди, и если один из них увидит, что вы хвастаетесь ламборгини, который собираетесь купить за ваши безумные крипто-барыши, скорее всего, эти сладенькие монетки исчезнут до того момента, как вы доедете до дилерского центра.

Я не говорю, что это обязательно произойдет, но самая простая стратегия крипто-безопасности – оставаться в тени.

Если никто не знает, что у вас есть крипта, никто не сможет украсть то, что у вас есть. Кричать в интернете о том, сколько у вас крипты, вероятно, не лучший способ остаться незамеченным. Просто держите свои крипто-сбережения при себе.

Используйте менеджер паролей и надежные пароли

Менеджеры паролей – фантастическая придумка. Больше не надо повторять один и тот же 8-значный пароль с одной заглавной буквой и одной цифрой для каждого сайта, на который вы подписываетесь.

Сервисы типа LastPass или 1Password будут запоминать пароли для каждого сайта, на который вы осуществляете вход, и даже помогут вам генерировать надежные, безопасные пароли для всех этих учетных записей.

Благодаря современным методам безопасности и шифрования, а также надежному мастер-паролю, защищающему вашу учетную запись с помощью двухфакторной аутентификации, использование менеджера паролей является невероятно простым и безопасным способом управления паролями через браузеры и даже устройства.

Установите пароли на телефон и компьютер

Это звучит глупо и само собой разумеющимся, но об этом легко забываешь. Если вы вошли на сайт биржи и ушли, оставив свой компьютер с невыключенной вкладкой, или потеряли свой телефон с установленными приложениями для мобильных кошельков и без защиты паролем, вы даже не представляете, насколько легко будет злоумышленнику украсть все, что у вас есть.

Плохо, конечно, потерять телефон или компьютер, но было бы хуже, если бы эта потеря впоследствии усугубилась исчезновением всей вашей криптовалюты.
Защитите свои устройства паролями; и если случится что-то невообразимое, по крайней мере, ваша криптовалюта и все ваши личные данные останутся в безопасности.

Добрый день.

Последнее время ИТ-безопасность стала неким трендом, все об этом пишут, все об этом говорят. Насколько это вообще перспективное направление? И главное, как к этому присоединиться? Какие учебные материалы (книги, курсы) помогут «внедриться» новичку в это всё?

Отвечает Максим Лагутин, основатель сервиса для защиты сайтов SiteSecure

В основном компаниям (среднего и крупного бизнеса) сейчас интересна практическая информационная безопасность (далее ИБ) и специалисты-практики. Менее интересны, но все же интересны, менеджеры по информационной безопасности, которые занимаются построением внутренних процессов ИБ и контролем их соблюдения.

Из российских курсов могу порекомендовать курсы этичного хакинга от компании Pentestit , которые направлены как раз на новичков в данной сфере. Также недавно Алексей Лукацкий, эксперт по информационной безопасности и известный блогер в этой сфере, выложил перечень доступных курсов по теме ИБ.

Из книг могу посоветовать «Тестирование черного ящика» Бориса Бейзера, «Исследование уязвимостей методом грубой силы» Майкла Саттона, Адама Грина и Педрама Амини. Также рекомендую подписаться на статьи SecurityLab , журнал «Хакер » и просматривать интересные темы и задавать вопросы на форуме «Античат ».

Периодически смотреть обновления стоит на Owasp , где раскрывается много моментов по распространению уязвимостей в программном обеспечении и в сети, и исследования по безопасности интернета в России - наше и Positive Technologies

Чтобы задать свой вопрос читателям или экспертам, заполните

Добрый день.

Последнее время ИТ-безопасность стала неким трендом, все об этом пишут, все об этом говорят. Насколько это вообще перспективное направление? И главное, как к этому присоединиться? Какие учебные материалы (книги, курсы) помогут «внедриться» новичку в это всё?

Отвечает Максим Лагутин, основатель сервиса для защиты сайтов SiteSecure

В основном компаниям (среднего и крупного бизнеса) сейчас интересна практическая информационная безопасность (далее ИБ) и специалисты-практики. Менее интересны, но все же интересны, менеджеры по информационной безопасности, которые занимаются построением внутренних процессов ИБ и контролем их соблюдения.

Из российских курсов могу порекомендовать курсы этичного хакинга от компании Pentestit , которые направлены как раз на новичков в данной сфере. Также недавно Алексей Лукацкий, эксперт по информационной безопасности и известный блогер в этой сфере, выложил перечень доступных курсов по теме ИБ.

Из книг могу посоветовать «Тестирование черного ящика» Бориса Бейзера, «Исследование уязвимостей методом грубой силы» Майкла Саттона, Адама Грина и Педрама Амини. Также рекомендую подписаться на статьи SecurityLab , журнал «Хакер » и просматривать интересные темы и задавать вопросы на форуме «Античат ».

Периодически смотреть обновления стоит на Owasp , где раскрывается много моментов по распространению уязвимостей в программном обеспечении и в сети, и исследования по безопасности интернета в России - наше и Positive Technologies

Чтобы задать свой вопрос читателям или экспертам, заполните

Перевод : Ольга Алифанова

Как все начиналось

Еще не так давно тестирование безопасности (и его не менее пугающий брат, тестирование проникновения) было огромной страшной букой, которую укрощали те, кто в ней разбирался. Им за это очень и очень хорошо платили. Затем жизнь изменилась, и я внезапно обнаружила себя натыкающейся на штуки, которые дорого бы стоили моему работодателю, если бы я их не поймала.

Внезапно я стала больше узнавать о началах тестирования безопасности – никогда не думала, что мне понадобятся такие знания – и это было изматывающе, потрясающе и ужасающе (примерно поровну).

Вот как я себя чувствовала:

Когда я начала узнавать больше о тестировании безопасности, я узнала, что оно не настолько пугающее и бескрайнее, как мне казалось. Я начала понимать, о чем говорят люди, упоминающие эскалацию привилегий, серверы под угрозой, или…

Учиться придется многому. Но начать не так уж сложно, и, почитав и подумав, вы, возможно, поймаете уязвимость (кусок кода, который некто с Нехорошими Намерениями может использовать, чтобы заставить ПО работать так, как оно работать не должно) до того, как ПО разовьется до такой степени, чтобы попасть в руки дорогостоящих профессионалов безопасности (что означает, что ее дешевле исправить – приятный бонус, Правда?) и задолго до того, как она просочится на бескрайние просторы Дикого, Дикого Запад… кхм, Всемирной Паутины.

Мне нужно это знать, серьезно?

Многие скажут, что всем тестировщикам необходимо знать о тестировании web-безопасности. Знать об этом больше – хорошая идея для всех, проводящих время в сети, но, думается мне, есть ситуации, в которых вам не пригодится информация о тестировании web-безопасности.

Возможно, Вам не нужно знать о тестировании Web -безопасности, если…

• Вы часть большой команды, в которой есть эксперты по безопасности. Это их сфера компетенции, и если они хорошо выполняют свою работу, то они работают вместе с вами и вашими разработчиками, дабы убедиться, что все находится на правильном уровне безопасности в своей сфере. А еще они помогают вам тестировать ПО на предмет проблем безопасности.
• Вы тестируете ПО, которое выкатывается пользователям, а потом на него всем наплевать: оно не обращается к вашим серверам и не имеет дела с конфиденциальной информацией. Оффлайн-судоку-приложение будет неплохим примером – и если компании все равно, честным ли образом достигается большое количество очков и/или хорошо защищает свои серверы – онлайн-казуальная игра тоже может быть таким примером.
• Это вебсайт-дисплей, и вы не управляете хостингом.
• Вы не работаете в вебе вообще.

Вам нужно знать о тестировании Web -Безопасности, если…

• ПО вашей компании хранит любой вид персонально идентифицируемой информации (она определена законом, но обычно она может быть использована, чтобы найти вас или вашу семью)

Примеры: адреса, почты (обычно в комбинации с другой информацией), идентификации, выпущенные государством (номер социальной безопасности, номер водительского удостоверения, паспорт)

• ПО вашей компании использует или хранит любой тип платежной инфорации. Если вы храните информацию о кредитных картах, то в большинстве стран существуют очень жесткие правила про хранение и доступ к таким данным – и очень высокие штрафы за неспособность защитить эти данные. Если вы храните информацию о банковском счете, стандарты не столь строги, но вам все равно нужно глядеть в оба.
• Ваша компания должна придерживаться закона или процедур, касающихся безопасности данных. Некоторые известные мне примеры:

Медицинские компании в США должны следовать ряду федеральных законов.

Любая публично торгуемая компания в США должна следовать федеральным законам, касающимся стандартов. Если компания им не соответствует, она не может принимать платежи по кредитным картам и подлежит штрафам и другим наказаниям.

• У вашей компании есть требования по конфиденциальности данных, которые она хранит.

Если вы полагаете, что вам нужно больше узнать о тестировании web-безопасности, то, возможно, вам это действительно необходимо.

С чего начать

Начать изучать тестирование веб-безопасности довольно просто – есть отличные ссылки и инструменты, и вы потратите на них только свое время. Вы можете многое сделать, используя только браузер!

Осторожно! Впереди опасность!

Прежде чем вы начнете делать хоть что-то разрушительное, убедитесь, что вы абсолютно уверены, что у вас есть на это разрешение. Да, даже на тест-сервере – его могут использовать другие люди для других целей, ваша компания может отслеживать сеть на предмет подозрительного поведения – да и вообще, куча факторов играет тут роль, о которой вы можете не иметь ни малейшего понятия. Всегда, всегда убеждайтесь, что у вас есть разрешение поиграть в хакера.

Бесплатные инструменты

Все инструменты, которые я использую, сделаны под Windows, потому что я работаю в Windows-окружении. Некоторые из них кросс-платформенные, некоторые – нет. Все они довольно просты в использовании для новичка, пробующего воду безопасности в поисках багов.

• Инструменты разработчика в браузере . Если они не блокированы вашей компанией, то большинство современных браузеров позволяет исследовать код страницы, изучить JavaScript и просмотреть сетевой трафик между браузером и сервером. Вы также можете редактировать и запускать рандомные JavaScript в них, пробовать менять код, и повторять сетевые запросы.
• Postman . Несмотря на то, что это расширение для Chrome, Postman запускается и как отдельное приложение. Вы можете использовать его для отправки различных запросов и изучения ответов (тут есть фишка: почти все в тестировании безопасности можно сделать массой различных способов. Экспериментируйте, чтобы найти свои любимые).
• Fiddler . Telerik Fiddler – на данный момент мой любимый инструмент исследования веб-запросов и манипулирования ими. Он кросс-браузерный, работает на нескольких ОС, и с него легко начать тестировать безопасность.
• IronWASP . Один из меньшинства бесплатных сканеров безопасности, сделанный под Windows. С ним довольно просто работать, и он обычно дает неплохие результаты.
• И еще … Доступных инструментов очень много. Я только начала изучать безопасность, и всего лишь начала принюхиваться.

Я собираюсь сконцентрироваться на Fiddler в дальнейшем, потому что считаю его самым простым из бесплатных инструментов, и самым быстрым для того, чтобы перейти от тыкания интерфейса к действительно полезным результатам.

Использование Fiddler

Когда я наткнулась на эту огромную, и потенциально очень дорогую уязвимость, о которой я рассказывала выше, я как раз играла с Fiddler. Хорошо, что я нашла ее именно тогда: если бы она попала на прод, могли бы случиться большие неприятности.

Настройка

Я установила Fiddler с настройками по умолчанию. Под Windows вы еще получаете плагин для Internet Explorer, позволяющий запускаться напрямую через IE (и настроить его для мониторинга только IE-трафика намного легче, чем для других браузеров). В зависимости от того, что вы делаете, некоторые из этих плагинов могут быть очень полезными: вот мои любимые

• Syntax View/ Highlight. Предоставляет подсвечивание синтаксиса для подготовки кастомизированных сценариев и просмотра HTML, Javascript, CSS и XML. Делает ковыряние в веб-коде куда менее болезненным, подсвечивая все тэги и ключевые слова. Я большой фанат штук, которые делают концентрацию на важном проще, и это – одна из них.
• PDF – просмотр. Очень важен, если ваше приложение строит PDF-файлы «на лету». Можно кликнуть по вкладке и увидеть рендер PDF. К примеру, если вы тестируете банковскую выписку в PDF-формате, чтобы убедиться, что открыть выписку другого пользователя невозможно, этот инструмент – ваш друг.

Информационная безопасность для чайников

Ещё 10 лет назад многие компании, потерявшие доступ к своим базам данным, просто закрывались, о чем сообщалось в отчете Миннесотского университета, проводившего исследования в этой области. Сейчас, конечно, существует множество способов восстановить информацию для продолжения работы, тем не менее, утечка конфиденциальных сведений способна стать причиной серьезных убытков. Речь, при этом, идет не только о компаниях, но и простых пользователях Интернет.

Развитие информационных технологий поставило общество на новый уровень развития, когда многие вопросы можно решить посредством персонального компьютера и Интернета: совершать покупки, бронировать гостиницы, да и просто общаться, не говоря уже об открывшихся возможностях для профессиональной деятельности. Но простота, удобство и скорость обращения с информацией таят в себе опасность - её доступность для третьих лиц.

Совсем недавно в обиход вошел термин - киберпреступление. Раньше такое слово встречалось только у фантастов, но теперь оно стало частью современной действительности. Речь идет о хакерах, или киберхулиганах, которые крадут данные для доступа к банковским картам, аккаунтам на специальных ресурсах и т.д., взламывая персональные компьютеры с помощью разных вирусов и троянских программ.

Как же защититься от преступников? Самое простое решение - поставить антивирусную программу. Но, к сожалению, даже она не всегда способна уберечь от взлома. Другой вариант - попробовать изучить то огромное количество литературы об информационной безопасности, что написано на сегодняшний день. Правда, те стандарты и программы, что представлены в них, доступны и понятны по большей мере специалистам в этой области, тогда как угроза потерять деньги с банковской карты висит практически над каждым пользователем сети Интернет.

Тем не менее, не всё так плохо, как кажется на первый взгляд. С помощью здравого смысла и соблюдения несложных правил работы в Интернет можно существенно повысить уровень защиты своих данных от внешних угроз. Это, как элементарная забота о сохранности имущества путем защиты квартиры. Можно просто поставить дверь и китайский замок, но можно ещё прислушаться к рекомендациям специалистов, занимающихся охранной деятельностью. А они обязательно посоветуют установить надежные дверные замки с нестандартными ключами и модернизировать окна, чтобы их трудно было открыть снаружи; установить системы видеонаблюдения и сигнализации; а также заключить договор с организацией, предоставляющей услуги оперативного реагирования на несанкционированное проникновение в дом. И, пожалуй, не менее важное правило, о котором вам обязательно напомнят, потому что часто мы о нем забываем - не открывать двери незнакомым людям и, тем более, не рассказывать кому бы то ни было, где лежат ваши ценности.

Все эти мероприятия, конечно, требуют вложений. Тем не менее, их следует применять комплексно. Не стоит обнадеживать себя, что хорошие замки защитят жилище от воров. Любой механизм рано или поздно будет вскрыт. А, если, например, нет сигнализации, которая посылает тревожный сигнал на пульт охраны, то абсолютно бесполезной окажется и вся система видеонаблюдения.

От теории к практике

Любая система безопасности - это система, состоящая из множества линий обороны, постоянно находящихся в процессе, в действии. Нельзя успокоиться сразу после установки технических средств защиты - правила безопасного поведения в сети и эксплуатации техники нужно соблюдать регулярно. В противном случае, система безопасности придет в негодность, оставив лишь вредную иллюзию защищенности.

Как же на практике позаботиться об информационной безопасности? Рассмотрим основные правила.

Нулевое правило: Никому не доверяйте.

Как сказал Эндрю Гроув, председатель совета директоров Intel, «выживают только параноики». Вводя какую бы то ни было конфиденциальную информацию, вы должны быть на 200% уверенным, что тот, кому вы её доверяете, на самом деле имеет право распоряжаться этими данными. Например, на сайте банка у вас могут запросить паспортные данные для открытия счета - это стандартная процедура, а вот Интернет-магазину эта информация абсолютно ни к чему. Вы же не станете показывать паспорт продавцу, у которого покупаете на рынке картошку! Это раз. Во-вторых, никогда, никому и ни при каких обстоятельствах не высылайте пароль. Все системы защиты построены таким образом, что пароль должен знать только один человек. Если от вас требуют выслать пароль по электронной почте или сказать его по телефону под любым даже самым, казалось бы, правдоподобным предлогом, то знайте - это обман на все 100 %.

Первое правило: Обязательно настройте работу вашего компьютера таким образом, чтобы перед началом работы всегда указывать имя пользователя и пароль.

Самой главной программой для любого пользователя компьютера является операционная система. Что она будет хранить, должно быть известно только вам, поэтому установите пароль, который надо вводить при включении компьютера. Процедура несложная, а пользы много. Каждый раз, вбивая в строку комбинацию символов, вы будете подтверждать ваше право распоряжаться всей информацией, хранящейся на компьютере. Исключите ситуацию, когда посторонний человек может получить свободный доступ к вашему рабочему столу и всем файлам. «Заприте» информацию, чтобы не вышло подобия квартиры без дверей с плакатом «Заходи, кто хочет».

Второе правило: Никогда не работайте под учетной записью с правами администратора.

Для компьютера все пользователи делятся на два типа: администраторы и обычные пользователи. Администраторы - это те пользователи, которые могут настраивать работу всех служб компьютера, осуществлять установку и удаление программ, изменять работу системы. Обычные пользователи не в праве что-либо менять и ставить, но они могут свободно запускать программы, пользоваться Интернетом, заниматься работой. Теперь представим себе ситуацию, когда пользователь под учетной записью администратора попадает на сайт злоумышленников. Вредоносные программы легко смогут стереть данные или зашифровать их, чтобы преступники могли потом выманить деньги за восстановление данных. При этом ни операционная система, ни антивирусы не спасут пользователя от такой напасти, так как для компьютера всё, что делает «администратор» - а он будет думать, что это ваши команды, - закон.Некоторые считают, что неудобно работать под записью обычного пользователя, так как время от времени нужно ставить новые программы. Но, если вдуматься, то не каждый день вам приходиться заниматься установкой ПО. Преимущества же очевидны. Попав на сайт злоумышленников с правами простого пользователя, вы тем самым выставляете вредоносной программе защитный барьер, который ей сложнее преодолеть. Она уже не может быстро замаскироваться и становится уязвима для антивирусов. Поэтому имеет смысл отобрать у себя права администратора на всякий случай. Если же возникнет необходимость прибегнуть к его функциональным возможностям, вы всегда можете временно сменить учетную запись.

Третье правило: Ваши пароли должны быть длинными, сложными и, желательно, разными. Все пароли необходимо регулярно менять.

Пароли - это огромная головная боль всех специалистов по информационной безопасности. Всё потому, что пользователи не любят длинные пароли, так как или забывают их, или им просто лень его набирать. И хорошо, когда они есть. Тут всё, как с квартирой: самый простой способ пробраться в неё - подобрать ключ к замку. Аналогичный способ работает в компьютерной области. Легче всего получить доступ к данным - подобрать пароль. Это только в первые десятилетия развития компьютеров длина пароля в 8 символов была достаточной. Однако с развитием технологий метод перебора всех комбинаций стал легко вычислять подобные коды. Есть такое понятие, как стойкость пароля - показатель времени, в течение которого злоумышленник подбирает пароль методом перебора. Оказывается, комбинации, состоящие только из восьми цифр или букв, угадываются менее чем за секунду. Вот почему, используя пароли длиной до 8 знаков, вы рискуете открыть доступ злоумышленнику за короткое время. Хотя, если использовать в коротком пароле и цифры, и буквы, да еще в разных регистрах, то потребуется потратить уже пару-тройку дней на его подбор методом перебора. Это уже не плохо, но, конечно, недостаточно. Добиться удовлетворительной стойкости пароля можно простым увеличения его длины, используя в комбинации не только буквы и цифры, но и знаки (‘$’,’%’,&’’,’#’). Но как создать длинный и сложный пароль, сразу не забыв его? Очень просто. Используйте парольные фразы. Например: «$Зеленый_Кактус01». Такой пароль не содержится в словаре (хотя есть отдельные слова «зеленый» и «кактус»), так что перебором по словарю его не взломать. Пароль получился длиной более 12 символов и для его подбора понадобится более 10 20 попыток. Если даже за одну секунду проводить один миллиард переборов, то понадобится ~10 11 секунд, что получается больше тысячи лет, на взлом такого пароля.

Четвертое правило: Используйте современные платные антивирусы с включенным режимом обновления не реже двух раз в день.

Сам по себе установленный антивирус без возможности обновления антивирусных баз бесполезен. Он будет похож на спящего цепного пса. Вроде бы есть, а толку - ноль. Так что обязательно следите за тем, чтобы базы антивирусной программы регулярно обновлялись.

Пятое правило: Включите режим автоматического обновления программ.

Всегда обновляйте ваше программное обеспечение. Особенно это касается операционной системы и Интернет-браузера. Например, компания Microsoft в своих системах включает режим автообновления по умолчанию. Остальные программные продукты надо настраивать. Для чего все это? Очень просто. Современные программы очень сложные и имеют огромное число ошибок, способных влиять на защищенность ваших данных. Производители, выпуская обновления, постепенно устраняют ошибки, через которые злоумышленники могли бы пробраться внутрь вашей системы.

Шестое правило: Не храните пароли на компьютере и не запоминайте пароли в Интернет-браузере.

Стоит хакеру получить доступ к какой-либо части вашего компьютера, как, обнаружив файл с паролями, ему даже не надо будет пытаться взламывать систему безопасности. Зачем вору ломать дверь, если под половичком лежат ключи? Поэтому держите ваши пароли на флэшке в кармане и обязательно в зашифрованном виде.

Седьмое правило: Используйте системы шифрования для критических данных.

Всегда надо быть готовым к тому, что злоумышленник может получить физический доступ к вашему компьютеру (например, банальная кража ноутбука). Чтобы он не смог воспользоваться информацией, хранящейся в нем, поставьте, во-первых, пользовательский пароль на вход (см. первое правило), а во-вторых, используйте систему шифрования данных. В этом случае хакеру придется возиться с вашей машиной долгие-предолгие годы.

Восьмое правило: Никогда не используйте Интернет и электронную почту для передачи конфиденциальной информации.

По каналам Интернета вся информация передается в открытом виде. Войдя в сговор с техническим персоналом оператора связи, получить доступ к вашим сообщениям не составляет особого труда. Поэтому обезопасьте себя, используя либо защищенные соединения (https), либо системы шифрования данных и системы электронной цифровой подписи.

Девятое правило: Устанавливайте программы, назначение или источник происхождения которых вам достоверно известны.

Историю падения Трои знают все. Самое коварное изобретение той войны - Троянский конь. И хотя этому изобретению несколько тысяч лет, такой способ завоевания не потерял свою актуальность. Но и защита от него уже давно имеется: не устанавливайте незнакомые программы ни самостоятельно, ни по предложению третьих лиц. Главные зоны риска: сайты, которые вызывают недоверие, и нет абсолютной уверенности в легальности ресурса, мошенники в ICQ, спамеры. Каждый из этих субъектов норовит подсунуть «уникальный» просмотрщик, обои для рабочего стола и другие приложения, а вместе с ними код, который сделает из вашего компьютера послушного зомби.

Десятое правило: Обязательно следуйте специальным инструкциям по безопасности. Всегда руководствуйтесь здравым смыслом.