Моя крепость: 9 шагов к кибербезопасности своего рабочего места, которые вы всегда откладывали

Пустые улицы, маски, антисептики и тревожная новостная повестка. Коронавирус заставляет все больше людей оставаться дома и переводить свою работу на удаленный режим. У многих из нас карантин освобождает несколько часов свободного времени в день, которые в обычной жизни мы потратили бы на дорогу, развлечения и другие занятия, значительная часть которых стала недоступна из-за ограничений пребывания в различных публичных местах и передвижения по улицам городов во всех странах мира. Мы предлагаем с пользой потратить время на то, что может быть критично именно сейчас и на что обычно, будем честными, у нас не хватает времени. Речь о кибербезопасности своего домашнего рабочего места.

Утечки, и это всё о них. Портал https://haveibeenpwned.com, где каждый может проверить не «утекла» ли куда-нибудь его учетка, говорит нам о том, что сейчас в сети содержатся данные 433 взломанных сайтов, что дает ~9.5 млрд украденных учетных записей. Почему это плохо и при чем здесь одинаковые пароли?

Дело в том, что, если кто-то похищает базу данных сайта, определенному количеству злоумышленников (а точнее = любому человеку в Интернете) становятся доступны все эти данные. Если же ваш email есть в утечке и там же доступен ваш пароль – злоумышленник может попытаться использовать его для получения доступа к вашим аккаунтам на других площадках. Допустим, у вас одинаковый пароль от старого почтового ящика, про который вы забыли, и от личного кабинета Интернет-банка, которым вы тоже пользуетесь редко, потому что в основном заходите проверить свои счета через мобильное приложение. В таком случае злоумышленника ждет успех: ему не будет важна древняя переписка, но что-то плохое может определенно случиться с вашим банковским счетом. Аналогия тут простая: если вы используете один и тот же ключ от всех помещений, при использовании такого же ключа все они откроются. Единственная разница – в киберпространстве очень легко получить его дубликат. Как этого избежать?

Есть два простых способа:

Первая задача решается использованием программного обеспечения типа 1Password, KeePass, MacPass и им подобным. Вы создаете базу данных с паролями, хранящуюся в зашифрованном формате. Для этой базы вы придумываете мастер-пароль уникальный и сложный пароль, который никогда и никому не рассказываете и не забываете. Далее, в программе вы вручную вбиваете сайт и логин, после чего создаете автоматически все свои новые пароли. Создав зашифрованную базу паролей, главное ее не потерять, например, если из строя выйдет жёсткий диск. В качестве одного из вариантов надежного хранилища можно воспользоваться облаком, в котором настроить синхронизацию с созданным ранее файлом. Каждый раз при изменении базы данных паролей, обновленный файл автоматически будет загружаться в ваше облако.

Если вы не доверяете безопасности первого метода, копию зашифрованного файла можно всегда держать на флешке в сейфе. Если вдруг сейф - это не про вас, дополнительный полезный и весьма эффективный способ защиты можно реализовать при помощи KeyFile. Так вы защитите как сам файл с аутентификационными данными, так и криптоконтейнер, куда всё это возможно поместить.

Если же использование программы по каким-либо причинам остается недоступной опцией – придется придумывать принцип генерации сложного пароля, который будет очень тяжело восстановить по нескольким доступным паролям и запоминать все остальное наизусть. Существует множество механизмов генерации таких паролей - например, использование слов какой-то категории: любимые блюда, слова песен, животные, цветы, нумизматика. Одной из техник является умышленное допущение в написании этих слов и словосочетаний орфографических ошибок, дополнение числами (не стоит использовать любые даты) и спецсимволами. Самый распространенный вариант: слова любимой песни в раскладке, не совпадающей с языком песни. Например, пароль: ШеЭыпщттфефлуьщкуерфтщтуьфкпфкшеф выглядит мощно, но по сути это ведь первая строчка из песни Little Big UNO “It’s gonna take more than one margarita” без пробелов (привет, Ильич!).

Вторая задача решается активацией соответствующей функции в настройках безопасности аккаунта конкретного сервиса. Здесь мы собрали небольшую подборку инструкций для настройки этого функционала:

По аналогии с приведенными нами примерами, остальные вариации по установлению “двухфакторки” вы можете нагуглить сами. В любом случае, первый уровень в большинстве сервисов с 2FA – это использование СМС, для более продвинутых пользователей доступна опция использования приложения типа Google Authenticator или Яндекс.Ключ.

Кстати, про СМС - неплохо было бы подумать о защите своей сим-карты. Для этого нужно сделать два несложных шага:

Итак, подытожим этот блок рекомендаций. Что мы сделали первым делом, оказавшись на рабочем месте дома?

Всем известно, что самый незащищенный компонент системы, это человек. Большинство кибератак - от взлома банков до простого мошенничества в сети - осуществляется с помощью использования фишинговых писем и поддельных сайтов. Чтобы оставить злоумышленникам меньше шансов, достаточно быть осторожным при открытии ссылок и файлов, научиться отличать google.com от qoogle.com и обращать внимание на интерфейс, который может отличаться от оригинала цветом, логотипом или лишним полем в форме авторизации.

Если с этими мы справились, давайте разберем признаки фишингового письма:

-”Якобы доверенный отправитель”: злоумышленник может представиться вашим знакомым, использовать его аватарку и даже подпись, однако, в большинстве случаев злодея можно вычислить, если внимательно посмотреть на адрес, с которого пришло письмо (см. выше пример про google и qoogle).

- Эмоциональный оттенок: письмо вызывает страх, особое любопытство или обещает бонус/подарок/компенсацию. Скорее всего, вам пишет злоумышленник.

- Призыв поторопиться: если отправитель побуждает к спешке (торопитесь, скорее откройте, у вас 24 часа, иначе ваш бонус сгорит, срочно перешлите…) - проходим мимо такого письма.

И из актуального:

- Паразитирование на злободневной повестке (пандемия коронавируса, отмена рейсов, теракты или ЧС).

- Имитация рабочих ситуаций: письмо от начальника, от регулятора, налоговой и так далее.

В любом случае, если вас удивила непривычная манера общения собеседника, призыв куда-то перейти по ссылке, скачать файл или отправить денег — позвоните или хотя бы напишите в мессенджере тому, от кого якобы пришло сообщение. Скорее всего, вы не получите ответа.

И не забываем о часто игнорируемом правиле: каждый раз, листая сайты, нужно внимательно изучать адресную строку. Все популярные легитимные сервисы давно за https-ом, а замочек рядом со строкой браузера - уже определенный маркер защищенности. Конечно, от продвинутых схем мошенничества таким простым способом не защититься, но от тех, что рассчитаны на вашу невнимательность, точно можно. Более серьёзный уровень безопасности обеспечит использование полезных плагинов (например, HTTS Everywhere, WOT и др.) для веб-браузеров, которыми вы пользуетесь.

Увлекаясь онлайн-шоппингом, внимательно совершайте платежи через сервисы 3DS. Прежде всего, обязательно смотрите, что это платеж по реквизитам, а не перевод на личную карту третьего лица. Такое "топорное" мошенничество, как не странно, бывает очень эффективным.

Также перед оплатой не поленитесь проверить дату регистрации домена. Это можно сделать с помощью публичных сервисов, например, whois7.ru. Если сайт создан менее года назад - вероятность мошенничества велика.

Итак, в финале этого блока, мы:

Проверить облачный сервис, которым вы пользуетесь, самому – отличная идея, поскольку, если ваше облако решат «пошерстить» хакеры, проверка может вам обойтись значительно дороже.

Проверьте файлы в своих облачных хранилищах, удалите все ненужное. Как правило, огромное количество информации находится именно здесь, она лежит там годами и мы о ней очень часто забываем. Проверьте доступ к давно забытым документам для совместного редактирования в облаке. Возможно среди них есть конфиденциальные. Вообще все расшаренные документы нужно проверить на то, какой к ним предоставлен доступ и кому.

Необходимо также проверить настройки бэкапов на своих мобильных телефонах. Например, “яблочные” устройства выгружают по умолчанию все загруженные файлы и фотографии в iСloud. Возможно, вам давно стоило ограничить эти “вольности”. Обратная сторона заключается в том, что при потере устройства, синхрон iCloud с новым айфоном восстановит только то, что вы ему разрешили.

Ваша голова уже не “в облаках”, если вы:

Для всего вашего ИТ-арсенала, в том числе, и для умных устройств дома необходимо сменить стандартные пароли. Иначе обычное обновление ПО не сильно поможет. А вот когда поменяли пароли - поставьте, наконец, самые новые версии всего софта.

Чек-лист такой:

Самая свежая версия ПО не гарантирует отсутствия уязвимостей, но, как правило, существенно снижает вероятность успешного взлома.

Здесь резюме излишне, просто знайте, что за “умные” устройства тоже приходится думать.

Начнем с простого: если ваш Wi-Fi-роутер близок к винтажному, самое время его сменить. Незащищенный роутер и беспроводная сеть могут стать точкой входа для соседа, который практикует свои знания в области компьютерной безопасности, или для настоящего злоумышленника.

Основные рекомендации по защите Wi-Fi таковы:

Нелишне будет повторить про скачивание обновлений. Новое ПО, которое вы “накатываете” на свои устройства, должно быть от доверенного разработчика. Софт не должен требовать супер-полномочий и подозрительных доступов к ресурсам устройства, и качать его нужно исключительно с официального ресурса.

И последнее в этом блоке. Скорее всего, ваша компания позаботилась о нормальном VPN для своих сотрудников и все сделала за вас. Но если по каким-то причинам это не так (допустим, вы фрилансер и сам себе сисадмин), то мы рекомендуем купить доступ к крупному известному VPN-сервису и все критичные операции выполняйте только через подключение к VPN - проверка личного почтового ящика, работа с конфиденциальной информацией, доступ к интернет-банку и тд. Наши рекомендации: NordVPN, ExpressVPN, Surfshark. Вот здесь есть рейтинг VPN на любой вкус.

Итак, ваша беспроводная сеть только ваша, если:

Зашифруйте свой компьютер и создайте его зашифрованную резервную копию на внешнем носителе информации. Старайтесь придерживаться плана своевременной актуализации резервной копии — неделя-месяц-квартал. Храните носитель информации с резервной копией в не очень-то доступном для кого бы то ни было месте. Данная мера позволит обеспечить защиту ваших данных: служебных и личных файлов, переписок и различных банковских данных.

Для шифрования достаточно активировать FileVault 2 в вашей MacOS или BitLocker в вашей Windows. Это штатные встроенные средства шифрования, которых вполне достаточно при использовании стойкого пароля. Учтите, что если вы забыли пароль для расшифровки, все ваши данные будут безвозвратно потеряны.

...Итак, мы купили сейф. Ну или хотя бы убрали бэкапный хард подальше от чужих глаз.

Заведите отдельные почтовые ящики для разных целей – так вы не пропустите важное письмо и обеспечите безопасность своих данных. Имеет смысл разделить ящики для начала на следующие простые категории:

Какие важные знание мы вынесли из, казалось бы, простого раздела, посвященного цифровой гигиене электронной почты:

Мессенджеры на удаленке, конечно, станут вашими лучшими друзьями. WhatsApp, Telegram, WeChat или более популярные в кибербезопасной индустрии - Signal, Wickr Me, Threema. Неважно. Давайте поймем, что нужно сделать прямо сейчас:

Еще раз пройдемся по этому важному пункту. “Как включать эту вашу двухфакторку в мессенджерах”. Рассмотрим на примере двух основных “говорилок”:

Подводим черту под этим блоком и запоминаем: неважно какой мессенджер вы выбрали, главное, чтоб в нем была двухфакторная аутентификация.

Ничто на свете так сильно не спасает от злоумышленников, как осознанное использование современных технологий. Без знания о том, как действует киберпреступность, не получится защитить себя, свою семью и компанию даже на 50%. Поэтому пойдем по классическому пути - будем читать хорошие книги из нашей, так сказать, личной библиотеки.

Начнем с азов. Ниже перечислены нестареющие бестселлеры, прочтение которых необходимо для каждого человека, в жизни которого присутствует компьютер:

Если это вы уже читали – отлично. Ниже мы дадим список литературы для чуть более углубленного изучения мира киберкриминала. Информация из этих книг позволит узнать намного больше о методах работы и жизни киберпреступников.

Берегите себя, свои секреты и конфиденциальные данные вашей компании.