Через Глобальную сеть мы ведём переговоры, делаем крупные покупки и просто развлекаем себя общением в социальных сетях. Соблюдение 10 простых правил безопасного пользования Интернетом поможет защитить свои персональные данные, сам компьютер - и даже кошелёк.

1. Комплексная система защиты

Бездумное шатание по просторам Всемирной паутины нередко занимает досуг среднестатистического офисного работника. Однако, гуляя по Сети, можно не только получить много новой информации, но и ненароком подцепить парочку незатейливых вирусов и троянов, которые могут доставить немало неудобств.

На вашем ПК обязательно должен быть установлен антивирус. При этом имеет место тенденция не ограничивать систему защиты одной антивирусной программой, а устанавливать «комплексные системы защиты». Обычно они включают антивирус, антиспам-фильтр и ещё пару - тройку модулей для полной защиты вашего компьютера.

2. Регулярное обновление программ

Кибер-преступники постоянно совершенствуют методы взлома и буквально ежедневно в Сети появляются новые вирусы. Но и методы защиты тоже регулярно расширяются. Поэтому не забывайте регулярно обновлять антивирусную систему, браузеры, которыми вы пользуетесь, и операционную систему.

3. Сложный пароль

Желая облегчить процесс запоминания, пользователи зачастую выбирают один несложный пароль и применяют его и к электронной почте, и к аккаунтам в соцсетях, и к электронным кошелькам. Это именно то, чего в первую очередь и не стоит делать. Паролей должно быть много, сложных и разных, они не должны совпадать, кроме того, желательно периодически менять пароли.

Кстати, придумать качественный и безопасный пароль не так просто. Забудьте о тех паролях, которые сразу приходят в голову и которые легко запомнить. Даты рождения, номера телефонов и прочие цифровые пароли на раз взламываются методом подбора. Безопасный пароль состоит минимум из восьми символов (чем больше символов, тем безопасней пароль) и включает буквы верхнего и нижнего регистра и цифры. Запоминать такой пароль сложнее, однако шансы взломщиков будут минимальны.

4. Безопасный сёрфинг

Проводя бессонные ночи во Всемирной паутине, не ходите по ссылкам, которые вызывают сомнения. Красочные заголовки с шокирующими новостями обычно не представляют никакого интереса, но перейдя по ссылке, вы обязательно зацепите ещё пару страниц с небезопасным содержанием.

5. Спам-фильтры в почте

Ежедневно в почту обычного пользователя могут сваливаться десятки писем разнообразного содержания. В одних посланиях к вам обращаются по имени и предлагают быстренько оформить кредитку какого-нибудь банка, в других предлагают перейти по различным ссылкам или переслать свой пароль от почты, так как вы «уличены» в рассылке спама. Подобные письма лучше всего удалять, даже не открывая. Также настройте в почте фильтр защиты от спама.

6. Краткость - залог безопасности

7. Помните о фейках

Почти все популярные соцсети, будь то «ВКонтакте» или «Одноклассники», имеют немало фейковых (поддельных) «копий». Мошенники полностью копируют дизайн таких сайтов, но имеют несколько отличный адрес. Так, адрес может отличаться всего на одну букву, на которую вы и не обратите внимание, а в итоге лишитесь своего действующего аккаунта.

8. Не все файлы одинаково полезны

Не загружайте файлы с неизвестных сайтов. Зачастую архив с никому не интересным рефератом может содержать вирус, избавиться от которого будет непросто. И даже если вы качаете файлы на проверенных годами пользования файлообменниках, помните, что и там может попасться вредоносная программа. Поэтому все полученные из Интернета (и со съёмных носителей) файлы стоит проверить антивирусом.

9. Обдуманный шопинг

С каждым годом оборот интернет-торговли растёт, а самих виртуальных магазинов становится всё больше. Сегодня стать владельцем интернет-магазина несложно и не требует огромных материальных вложений. Однако большинство владельцев небольших торговых площадок не задумываются, как обезопасить персональные данные покупателей. Чтобы избежать проблем, стоит совершать покупки в достаточно крупных и проверенных интернет-магазинах, которые требуют обязательной регистрации на сайте.

Также, прежде чем оплачивать покупки, обратите внимание на адрес веб-страницы, начинающийся с префикса https, и на значок в виде закрытого замка рядом с адресной строкой, который обозначает безопасное соединение.

10. Помогайте «чайникам»

Помогайте вашим близким осваивать Интернет. Час, проведённый вашим дедушкой или мамой за компьютером, которые желают просто найти своих одноклассников или поболтать в скайпе, может обернуться несколькими троянами на вашем ПК. Выделите время и тщательно объясните им, какие ресурсы желательно посещать и какие сообщения стоит игнорировать.

Глава 2. Программы-шпионы

Глава 3. Парольная защита операционных систем

Глава 4. Безопасность компьютерной сети

Глава 5. Основы криптографии

Глава 6. Криптографические ключи

Глава 7. Криптографические протоколы

Глава 8. Надежность криптосистем

Приложение. Англо-русский криптологический словарь с толкованиями

Предисловие

Люди, уходя из дома, обычно закрывают входную дверь на замок. Они также запирают свои автомобили, оставляя их припаркованными на улице иди на стоянке. И, как правило, не сообщают номер своей кредитной карты первому встречному коробейнику, который пристает к прохожим па удине. настырно предлагая купить у него товары сомнительного качества. Однако подавляющее большинство людей до конца не осознает, насколько сильно они рискуют, если не заботятся о защите информации, находящейся в их компьютерах.

Достоверно известно, что лишь отдельные пользователи предпринимают хоть какие-то меры, призванные сберечь их данные. Остальные всерьез задумываются об этом только тогда, когда теряют информацию, хранимую в компьютере. Более того, их компьютерные системы зачастую совершенно не защищены от краж и вандализма.

Каждый раз, используя свой компьютер, его владелец добавляет туда определенную порцию информации. Именно эта совокупная информация и является наиболее ценным компонентом всей компьютерной системы. А это значит, что если не предпринять специальных мер для ее зашиты, издержки, которые понесет пользователь, попытавшись восстановить утраченные данные, значительно превысят стоимость аппаратных средств, используемых для хранения этих данных. Еще более чреватой опасными последствиями является ситуация, при которой налоговая и банковская информация пользователя или его деловая переписка попадает в чужие руки. Трудно себе вообразить, что кто-то, находясь в здравом уме и твердой памяти, по доброй воле предоставляет свою личную информацию людям, с которыми не имеет или не желает иметь никаких дел.

Но даже если вам нечего скрывать от посторонних (в это трудно поверни,. но предположим, что это действительно так), непременно отыщется кто-нибудь, кто не прочь превратить ваш компьютер в груду бесполезною хлама, как только представится такая возможность. Расплодившиеся киберпанки, крэкеры, фрикеры и брейкеры с большим энтузиазмом занимаются электронным воровством, что можно сравнить с осквернением могил и разрисовыванием стен зданий неприличными надписями.

Не следует пренебрегать и защитой данных от стихийных бедствии. Ведь совершенно не важно, испортится ваш жесткий диск от компьютерною вируса, от рук злобного хакера, или ту же самую медвежью услугу вам окажет ураган, наводнение либо шаровая молния.

Не менее важно отметить, что вне зависимости от того, насколько ценна ваша информация, российским законодательством она безусловно признается объектом вашей собственности. И вы, как владелец своей информации. имеете право определять правила ее обработки и зашиты. Базовым в этом отношении является Закон Российской Федерации "Об информации, информатизации и защите информации", принятый 25 января 1995 г. В соответствии с ним любой российский гражданин может предпринимать необходимые меры для предотвращения утечки, хищения, утраты, искажения и подделки информации. Вопрос состоит в том, какие действия являются на самом деле необходимыми для адекватной защиты вашей информации.

Рискну предположить, что вы вряд ли покидаете свой дом даже на короткое время без того, чтобы не запереть дверь, хотя это довольно.хлопотное занятие. Во-первых, необходимо обладать минимумом технических знаний, чтобы подобрать и установить надежный замок. Во-вторых, требуется постоянный контроль за состоянием замка, чтобы содержать его в исправности. В-третьих, чтобы замок предотвращал проникновение в дом посторонних людей, вы должны соблюдать определенные правила (хранить ключи в надежном месте, а также не оставлять дверь незапертой). Подобные же правила применимы и в случае защиты информации в компьютерных системах. Именно поэтому так важно отыскать разумный компромисс между ценностью ваших данных и неудобствами, связанными с использованием необходимых мер безопасности.

Как и дверной замок, любая система компьютерной защиты информации не является полностью безопасной. Всегда найдется кто-нибудь, способный взломать защитные механизмы компьютера. К счастью, такие люди встречаются очень редко, иначе единственный способ защитить наши данные состоял бы в их уничтожении.

Таким образом, задача обеспечения информационной безопасности противоречива по самой своей сути. С одной стороны, средств обеспечения безопасности никогда не бывает слишком много в том смысле, что защиту всегда можно тем или иным способом преодолеть (просто каждый раз, когда повышается уровень защиты, приходится придумывать более изощренный способ ее обхода). С другой стороны, чем сильнее кого-то или что-то защищают, тем больше возникает неудобств и ограничений, и в результате вместо чувства спокойствия информационная защита вызывает лишь раздражение и стремление от нее отмахнуться, как от надоедливой мухи. Например, за счет жесткого контроля за доступом к компьютерной системе с помощью паролей несомненно снижается вероятность их подбора взломщиком, однако одновременно это заставляет рядовых пользователей прилагать значительно больше усилий для придумывания и запоминания паролей. А установка строгих ограничений на доступ к информации создает дополнительные трудности при совместной работе с этой информацией. Поэтому идеальной и универсальной системы защиты информации не существует: здесь все слишком индивидуально, и вариант защиты, наиболее близкий к Оптимальному, все время приходится подбирать заново.

Внимательно изучив предлагаемую вашему вниманию книгу, вы сможете подобрать оптимальные методы для защиты компьютерной информации. При этом очень существенную роль будет играть степень изолированности вашего компьютера от внешнего мира.

Если компьютер находится у вас дома или в офисе и физически не связан с другими компьютерами (с помощью модема или аппаратной сети), то, по всей вероятности, самая большая опасность состоит в том, что кто-то занесет в него вирус или троянскую программу. Вторая, крайне неблагоприятная перспектива, заключается в том, что ваш компьютер может быть похищен. Остальных неприятностей можно избежать, применяя парольную защиту компьютера и шифруя файлы, содержащие конфиденциальную информацию. В этом случае снабдить свой компьютер довольно надежной защитой сможет любой человек, даже не очень сведущий в вопросах информационной безопасности.

Если компьютерная система подключена к сети, то потребуется принять дополнительные меры безопасности, квалифицированно установить и правильно использовать которые под силу только подготовленному специалисту, имеющему опыт работы в области зашиты информации. Зашитые механизмы, встроенные в сетевые операционные системы, всевозможные брандмауэры и анализаторы безопасности сетей требуют очень гонкой па-стройки. Поэтому даже незначительная ошибка при их установке и настройке чревата серьезными последствиями, поскольку злоумышленнику достаточно обнаружить всего лишь одно слабое место в системе защиты, чтобы осуществить ее взлом. Однако и в случае, если компьютер работает и составе сети, изучение предлагаемой книги будет полезно всем - от технаря до менеджера, не имеющего глубоких познаний в этих вопросах. Ведь правильное использование средств зашиты информации возможно лишь в том случае, когда все люди, так или иначе причастные к работе со среда вами обработки и хранения данных, осознают (пусть даже в самых общих чертах) принципы обеспечения надежного функционирования этих средств и скрупулезно следуют данным принципам на практике.

Пароли Никогда и никому не сообщайте свой пароль. Все системы построены таким образом, чтобы помочь в любой ситуации без пользовательского пароля. Не используйте один и тот же пароль для всех своих учетных записей. Используйте только сложный пароль, включающий заглавные и строчные буквы, цифры и спецсимволы. Hp 7%9 b#jm 0*h) Установите пароль на компьютер, и не храните его на бумажке рядом с компьютером.

Безопасность компьютера Используйте обычного пользователя для повседневных нужд, не работайте с правами администратора. Отключите автозапуск. Включите блокировку компьютера и пароль на заставку. Блокируйте компьютер, когда отходите от него. Включите запрос пароля при пробуждении. Не оставляйте ваши устройства (ноутбуки, телефоны, смартфоны) без присмотра в общественных местах. Храните важные файлы в безопасных и защищенных местах.

Мобильные устройства (смартфоны планшеты, ноутбуки) Старайтесь не пользоваться незащищенными беспроводными сетями в отелях, аэропортах, ресторанах и кофейнях. По возможности используйте VPN сервисы, которым доверяете. Вероятность кражи ваших данных увеличивается в сотни раз. Не оставляйте ваши устройства без присмотра. Мобильные устройства имеют те же проблемы безопасности что и обычные компьютеры.

Кража цифровой личности Кража личности - это воровство ваших персональных данных (имя, номера страховок, ИНН, СНИЛС, водительские права и т. д. и т. п.). Данные используются в различных криминальных схемах. Может происходить путем взлома вашего компьютера или в процессе передачи этой информации через другие формы связи (например анкета на сайте).

Кража цифровой личности Что вы можете сделать? В общественных местах: не сообщайте ваши данные вслух. Задайтесь вопросами "Зачем? " и Почему? ". Компьютер: Ограничьте доступ к вашему компьютеру. Устанавливайте легальное и проверенное ПО. Включите антивирус. Используйте хороший сложный пароль. Смартфон/телефон: Убедитесь КТО? вам звонить, чтобы предоставлять персональные данные. Спросите ПОЧЕМУ? ваши данные вдруг понадобились. Если вы не ждали звонка, позвоните на бесплатный номер. Не сообщайте сведения о своих родных и близких (в том числе имя, возраст, пол, дни рождения и прочие сведения). Почта: Будьте осторожны кликая по ссылкам в письме. Позвоните чтобы уточнить действительно ли вам отправили письмо. Интернет: Убедитесь, что сайт относится к бизнесу и компании, о которой идет речь. Прежде чем предоставлять личные данные, убедитесь, что включено защищенное соединение (например адрес начинается с https: //).

Финансовая безопасность Убедитесь, что это сайт Вашего банка. Никому не передавайте конфиденциальные данные для входа в систему (логин, пароль, одноразовые пароли по SMS), в том числе родственникам, коллегам или сотрудникам банка. Используйте сложные пароли, состоящие из букв, цифр и специальных символов, которые вы сможете запомнить, не записывая. При использовании одноразовых паролей по SMS, пожалуйста, с особым вниманием отнеситесь к тому, чтобы телефон использовался только вами и доступ третьих лиц к нему был невозможен. Всегда проверяйте параметры операции (тип, сумма, получатель), содержащиеся в сообщении перед вводом кода подтверждения операции из SMS или картридера. В личном кабинете введите ваш актуальный адрес электронной почты. Ни в коем случае не указывайте рабочий ящик. Если у вас нет подписки на услугу SMS-информирования, добавьте её в меню «SMSуведомления» . Если вы подписаны на услугу SMS-информирования и у вас изменился контактный номер телефона, обратитесь для его изменения в банк. Используйте для работы в Интернет-банке защищенный паролем персональный компьютер с установленным антивирусным программным обеспечением и обновлениями безопасности операционной системы. Вход в систему с чужого компьютера, а также с компьютеров в интернет-кафе не является безопасным. Всегда корректно завершайте работу в Интернет-банке, выходите из системы по ссылке «Завершение сеанса» или "Выход".

Перевод : Ольга Алифанова

Как все начиналось

Еще не так давно тестирование безопасности (и его не менее пугающий брат, тестирование проникновения) было огромной страшной букой, которую укрощали те, кто в ней разбирался. Им за это очень и очень хорошо платили. Затем жизнь изменилась, и я внезапно обнаружила себя натыкающейся на штуки, которые дорого бы стоили моему работодателю, если бы я их не поймала.

Внезапно я стала больше узнавать о началах тестирования безопасности – никогда не думала, что мне понадобятся такие знания – и это было изматывающе, потрясающе и ужасающе (примерно поровну).

Вот как я себя чувствовала:

Когда я начала узнавать больше о тестировании безопасности, я узнала, что оно не настолько пугающее и бескрайнее, как мне казалось. Я начала понимать, о чем говорят люди, упоминающие эскалацию привилегий, серверы под угрозой, или…

Учиться придется многому. Но начать не так уж сложно, и, почитав и подумав, вы, возможно, поймаете уязвимость (кусок кода, который некто с Нехорошими Намерениями может использовать, чтобы заставить ПО работать так, как оно работать не должно) до того, как ПО разовьется до такой степени, чтобы попасть в руки дорогостоящих профессионалов безопасности (что означает, что ее дешевле исправить – приятный бонус, Правда?) и задолго до того, как она просочится на бескрайние просторы Дикого, Дикого Запад… кхм, Всемирной Паутины.

Мне нужно это знать, серьезно?

Многие скажут, что всем тестировщикам необходимо знать о тестировании web-безопасности. Знать об этом больше – хорошая идея для всех, проводящих время в сети, но, думается мне, есть ситуации, в которых вам не пригодится информация о тестировании web-безопасности.

Возможно, Вам не нужно знать о тестировании Web -безопасности, если…

• Вы часть большой команды, в которой есть эксперты по безопасности. Это их сфера компетенции, и если они хорошо выполняют свою работу, то они работают вместе с вами и вашими разработчиками, дабы убедиться, что все находится на правильном уровне безопасности в своей сфере. А еще они помогают вам тестировать ПО на предмет проблем безопасности.
• Вы тестируете ПО, которое выкатывается пользователям, а потом на него всем наплевать: оно не обращается к вашим серверам и не имеет дела с конфиденциальной информацией. Оффлайн-судоку-приложение будет неплохим примером – и если компании все равно, честным ли образом достигается большое количество очков и/или хорошо защищает свои серверы – онлайн-казуальная игра тоже может быть таким примером.
• Это вебсайт-дисплей, и вы не управляете хостингом.
• Вы не работаете в вебе вообще.

Вам нужно знать о тестировании Web -Безопасности, если…

• ПО вашей компании хранит любой вид персонально идентифицируемой информации (она определена законом, но обычно она может быть использована, чтобы найти вас или вашу семью)

Примеры: адреса, почты (обычно в комбинации с другой информацией), идентификации, выпущенные государством (номер социальной безопасности, номер водительского удостоверения, паспорт)

• ПО вашей компании использует или хранит любой тип платежной инфорации. Если вы храните информацию о кредитных картах, то в большинстве стран существуют очень жесткие правила про хранение и доступ к таким данным – и очень высокие штрафы за неспособность защитить эти данные. Если вы храните информацию о банковском счете, стандарты не столь строги, но вам все равно нужно глядеть в оба.
• Ваша компания должна придерживаться закона или процедур, касающихся безопасности данных. Некоторые известные мне примеры:

Медицинские компании в США должны следовать ряду федеральных законов.

Любая публично торгуемая компания в США должна следовать федеральным законам, касающимся стандартов. Если компания им не соответствует, она не может принимать платежи по кредитным картам и подлежит штрафам и другим наказаниям.

• У вашей компании есть требования по конфиденциальности данных, которые она хранит.

Если вы полагаете, что вам нужно больше узнать о тестировании web-безопасности, то, возможно, вам это действительно необходимо.

С чего начать

Начать изучать тестирование веб-безопасности довольно просто – есть отличные ссылки и инструменты, и вы потратите на них только свое время. Вы можете многое сделать, используя только браузер!

Осторожно! Впереди опасность!

Прежде чем вы начнете делать хоть что-то разрушительное, убедитесь, что вы абсолютно уверены, что у вас есть на это разрешение. Да, даже на тест-сервере – его могут использовать другие люди для других целей, ваша компания может отслеживать сеть на предмет подозрительного поведения – да и вообще, куча факторов играет тут роль, о которой вы можете не иметь ни малейшего понятия. Всегда, всегда убеждайтесь, что у вас есть разрешение поиграть в хакера.

Бесплатные инструменты

Все инструменты, которые я использую, сделаны под Windows, потому что я работаю в Windows-окружении. Некоторые из них кросс-платформенные, некоторые – нет. Все они довольно просты в использовании для новичка, пробующего воду безопасности в поисках багов.

• Инструменты разработчика в браузере . Если они не блокированы вашей компанией, то большинство современных браузеров позволяет исследовать код страницы, изучить JavaScript и просмотреть сетевой трафик между браузером и сервером. Вы также можете редактировать и запускать рандомные JavaScript в них, пробовать менять код, и повторять сетевые запросы.
• Postman . Несмотря на то, что это расширение для Chrome, Postman запускается и как отдельное приложение. Вы можете использовать его для отправки различных запросов и изучения ответов (тут есть фишка: почти все в тестировании безопасности можно сделать массой различных способов. Экспериментируйте, чтобы найти свои любимые).
• Fiddler . Telerik Fiddler – на данный момент мой любимый инструмент исследования веб-запросов и манипулирования ими. Он кросс-браузерный, работает на нескольких ОС, и с него легко начать тестировать безопасность.
• IronWASP . Один из меньшинства бесплатных сканеров безопасности, сделанный под Windows. С ним довольно просто работать, и он обычно дает неплохие результаты.
• И еще … Доступных инструментов очень много. Я только начала изучать безопасность, и всего лишь начала принюхиваться.

Я собираюсь сконцентрироваться на Fiddler в дальнейшем, потому что считаю его самым простым из бесплатных инструментов, и самым быстрым для того, чтобы перейти от тыкания интерфейса к действительно полезным результатам.

Использование Fiddler

Когда я наткнулась на эту огромную, и потенциально очень дорогую уязвимость, о которой я рассказывала выше, я как раз играла с Fiddler. Хорошо, что я нашла ее именно тогда: если бы она попала на прод, могли бы случиться большие неприятности.

Настройка

Я установила Fiddler с настройками по умолчанию. Под Windows вы еще получаете плагин для Internet Explorer, позволяющий запускаться напрямую через IE (и настроить его для мониторинга только IE-трафика намного легче, чем для других браузеров). В зависимости от того, что вы делаете, некоторые из этих плагинов могут быть очень полезными: вот мои любимые

• Syntax View/ Highlight. Предоставляет подсвечивание синтаксиса для подготовки кастомизированных сценариев и просмотра HTML, Javascript, CSS и XML. Делает ковыряние в веб-коде куда менее болезненным, подсвечивая все тэги и ключевые слова. Я большой фанат штук, которые делают концентрацию на важном проще, и это – одна из них.
• PDF – просмотр. Очень важен, если ваше приложение строит PDF-файлы «на лету». Можно кликнуть по вкладке и увидеть рендер PDF. К примеру, если вы тестируете банковскую выписку в PDF-формате, чтобы убедиться, что открыть выписку другого пользователя невозможно, этот инструмент – ваш друг.

Добрый день.

Последнее время ИТ-безопасность стала неким трендом, все об этом пишут, все об этом говорят. Насколько это вообще перспективное направление? И главное, как к этому присоединиться? Какие учебные материалы (книги, курсы) помогут «внедриться» новичку в это всё?

Отвечает Максим Лагутин, основатель сервиса для защиты сайтов SiteSecure

В основном компаниям (среднего и крупного бизнеса) сейчас интересна практическая информационная безопасность (далее ИБ) и специалисты-практики. Менее интересны, но все же интересны, менеджеры по информационной безопасности, которые занимаются построением внутренних процессов ИБ и контролем их соблюдения.

Из российских курсов могу порекомендовать курсы этичного хакинга от компании Pentestit , которые направлены как раз на новичков в данной сфере. Также недавно Алексей Лукацкий, эксперт по информационной безопасности и известный блогер в этой сфере, выложил перечень доступных курсов по теме ИБ.

Из книг могу посоветовать «Тестирование черного ящика» Бориса Бейзера, «Исследование уязвимостей методом грубой силы» Майкла Саттона, Адама Грина и Педрама Амини. Также рекомендую подписаться на статьи SecurityLab , журнал «Хакер » и просматривать интересные темы и задавать вопросы на форуме «Античат ».

Периодически смотреть обновления стоит на Owasp , где раскрывается много моментов по распространению уязвимостей в программном обеспечении и в сети, и исследования по безопасности интернета в России - наше и Positive Technologies

Чтобы задать свой вопрос читателям или экспертам, заполните