Group-IB
1379

Моя крепость: 9 шагов к кибербезопасности своего рабочего места, которые вы всегда откладывали

Home Alone. ​Battle Plan by Kevin McCallister
В закладки

Пустые улицы, маски, антисептики и тревожная новостная повестка. Коронавирус заставляет все больше людей оставаться дома и переводить свою работу на удаленный режим. У многих из нас карантин освобождает несколько часов свободного времени в день, которые в обычной жизни мы потратили бы на дорогу, развлечения и другие занятия, значительная часть которых стала недоступна из-за ограничений пребывания в различных публичных местах и передвижения по улицам городов во всех странах мира. Мы предлагаем с пользой потратить время на то, что может быть критично именно сейчас и на что обычно, будем честными, у нас не хватает времени. Речь о кибербезопасности своего домашнего рабочего места.

Шаг 1. Одинаковые пароли без двухфакторной аутентификации – хватит это терпеть

Утечки, и это всё о них. Портал https://haveibeenpwned.com, где каждый может проверить не «утекла» ли куда-нибудь его учетка, говорит нам о том, что сейчас в сети содержатся данные 433 взломанных сайтов, что дает ~9.5 млрд украденных учетных записей. Почему это плохо и при чем здесь одинаковые пароли?

Дело в том, что, если кто-то похищает базу данных сайта, определенному количеству злоумышленников (а точнее = любому человеку в Интернете) становятся доступны все эти данные. Если же ваш email есть в утечке и там же доступен ваш пароль – злоумышленник может попытаться использовать его для получения доступа к вашим аккаунтам на других площадках. Допустим, у вас одинаковый пароль от старого почтового ящика, про который вы забыли, и от личного кабинета Интернет-банка, которым вы тоже пользуетесь редко, потому что в основном заходите проверить свои счета через мобильное приложение. В таком случае злоумышленника ждет успех: ему не будет важна древняя переписка, но что-то плохое может определенно случиться с вашим банковским счетом. Аналогия тут простая: если вы используете один и тот же ключ от всех помещений, при использовании такого же ключа все они откроются. Единственная разница – в киберпространстве очень легко получить его дубликат. Как этого избежать?

Есть два простых способа:

  • Использование сложных и неповторяющихся паролей для каждого сервиса.
  • Использование двухфакторной аутентификации для каждого сервиса.

Первая задача решается использованием программного обеспечения типа 1Password, KeePass, MacPass и им подобным. Вы создаете базу данных с паролями, хранящуюся в зашифрованном формате. Для этой базы вы придумываете мастер-пароль уникальный и сложный пароль, который никогда и никому не рассказываете и не забываете. Далее, в программе вы вручную вбиваете сайт и логин, после чего создаете автоматически все свои новые пароли. Создав зашифрованную базу паролей, главное ее не потерять, например, если из строя выйдет жёсткий диск. В качестве одного из вариантов надежного хранилища можно воспользоваться облаком, в котором настроить синхронизацию с созданным ранее файлом. Каждый раз при изменении базы данных паролей, обновленный файл автоматически будет загружаться в ваше облако.

Если вы не доверяете безопасности первого метода, копию зашифрованного файла можно всегда держать на флешке в сейфе. Если вдруг сейф - это не про вас, дополнительный полезный и весьма эффективный способ защиты можно реализовать при помощи KeyFile. Так вы защитите как сам файл с аутентификационными данными, так и криптоконтейнер, куда всё это возможно поместить.

Если же использование программы по каким-либо причинам остается недоступной опцией – придется придумывать принцип генерации сложного пароля, который будет очень тяжело восстановить по нескольким доступным паролям и запоминать все остальное наизусть. Существует множество механизмов генерации таких паролей - например, использование слов какой-то категории: любимые блюда, слова песен, животные, цветы, нумизматика. Одной из техник является умышленное допущение в написании этих слов и словосочетаний орфографических ошибок, дополнение числами (не стоит использовать любые даты) и спецсимволами. Самый распространенный вариант: слова любимой песни в раскладке, не совпадающей с языком песни. Например, пароль: ШеЭыпщттфефлуьщкуерфтщтуьфкпфкшеф выглядит мощно, но по сути это ведь первая строчка из песни Little Big UNO “It’s gonna take more than one margarita” без пробелов (привет, Ильич!).

Вторая задача решается активацией соответствующей функции в настройках безопасности аккаунта конкретного сервиса. Здесь мы собрали небольшую подборку инструкций для настройки этого функционала:

По аналогии с приведенными нами примерами, остальные вариации по установлению “двухфакторки” вы можете нагуглить сами. В любом случае, первый уровень в большинстве сервисов с 2FA – это использование СМС, для более продвинутых пользователей доступна опция использования приложения типа Google Authenticator или Яндекс.Ключ.

Кстати, про СМС - неплохо было бы подумать о защите своей сим-карты. Для этого нужно сделать два несложных шага:

  • на симку надо поставить PIN-код.
  • оформить у вашего оператора сотовой связи запрет на перевыпуск сим-карты без вашего личного участия (о том, почему не нужно считать это паранойей, можно почитать здесь).

Итак, подытожим этот блок рекомендаций. Что мы сделали первым делом, оказавшись на рабочем месте дома?

  • Поменяли все пароли на всех сервисах на сложные и уникальные, записывая их в зашифрованную базу данных, которая, в свою очередь, защищена стойким паролем.
  • Включили двухфакторную аутентификацию на всех своих устройствах и аккаунтах в интернет-сервисах.
  • Налили чашечку кофе, мы стали более безопасными!

Шаг 2. Разобраться с понятием «cоциальная инженерия» и научиться отличать фишинговые сайты от оригинальных

Всем известно, что самый незащищенный компонент системы, это человек. Большинство кибератак - от взлома банков до простого мошенничества в сети - осуществляется с помощью использования фишинговых писем и поддельных сайтов. Чтобы оставить злоумышленникам меньше шансов, достаточно быть осторожным при открытии ссылок и файлов, научиться отличать google.com от qoogle.com и обращать внимание на интерфейс, который может отличаться от оригинала цветом, логотипом или лишним полем в форме авторизации.

Если с этими мы справились, давайте разберем признаки фишингового письма:

-”Якобы доверенный отправитель”: злоумышленник может представиться вашим знакомым, использовать его аватарку и даже подпись, однако, в большинстве случаев злодея можно вычислить, если внимательно посмотреть на адрес, с которого пришло письмо (см. выше пример про google и qoogle).

- Эмоциональный оттенок: письмо вызывает страх, особое любопытство или обещает бонус/подарок/компенсацию. Скорее всего, вам пишет злоумышленник.

- Призыв поторопиться: если отправитель побуждает к спешке (торопитесь, скорее откройте, у вас 24 часа, иначе ваш бонус сгорит, срочно перешлите…) - проходим мимо такого письма.

И из актуального:

- Паразитирование на злободневной повестке (пандемия коронавируса, отмена рейсов, теракты или ЧС).

- Имитация рабочих ситуаций: письмо от начальника, от регулятора, налоговой и так далее.

В любом случае, если вас удивила непривычная манера общения собеседника, призыв куда-то перейти по ссылке, скачать файл или отправить денег — позвоните или хотя бы напишите в мессенджере тому, от кого якобы пришло сообщение. Скорее всего, вы не получите ответа.

И не забываем о часто игнорируемом правиле: каждый раз, листая сайты, нужно внимательно изучать адресную строку. Все популярные легитимные сервисы давно за https-ом, а замочек рядом со строкой браузера - уже определенный маркер защищенности. Конечно, от продвинутых схем мошенничества таким простым способом не защититься, но от тех, что рассчитаны на вашу невнимательность, точно можно. Более серьёзный уровень безопасности обеспечит использование полезных плагинов (например, HTTS Everywhere, WOT и др.) для веб-браузеров, которыми вы пользуетесь.

Увлекаясь онлайн-шоппингом, внимательно совершайте платежи через сервисы 3DS. Прежде всего, обязательно смотрите, что это платеж по реквизитам, а не перевод на личную карту третьего лица. Такое "топорное" мошенничество, как не странно, бывает очень эффективным.

Также перед оплатой не поленитесь проверить дату регистрации домена. Это можно сделать с помощью публичных сервисов, например, whois7.ru. Если сайт создан менее года назад - вероятность мошенничества велика.

Итак, в финале этого блока, мы:

  • Научились обращать внимание на адресную строку и изучать любые даже слабо заметные нюансы в написании (например, нолик вместо “o”, приставка слов promo, нетипичная доменная зона и др.).
  • Поняли, что излишне эмоциональное и призывное письмо - признак мошенничества.
  • Следим за реквизитами, по которым производим оплату покупок в Интернете.
  • Если сайт вызывает подозрение - проверяем его “возраст”.

Шаг 3. Прибраться в своих облаках

Проверить облачный сервис, которым вы пользуетесь, самому – отличная идея, поскольку, если ваше облако решат «пошерстить» хакеры, проверка может вам обойтись значительно дороже.

Проверьте файлы в своих облачных хранилищах, удалите все ненужное. Как правило, огромное количество информации находится именно здесь, она лежит там годами и мы о ней очень часто забываем. Проверьте доступ к давно забытым документам для совместного редактирования в облаке. Возможно среди них есть конфиденциальные. Вообще все расшаренные документы нужно проверить на то, какой к ним предоставлен доступ и кому.

Необходимо также проверить настройки бэкапов на своих мобильных телефонах. Например, “яблочные” устройства выгружают по умолчанию все загруженные файлы и фотографии в iСloud. Возможно, вам давно стоило ограничить эти “вольности”. Обратная сторона заключается в том, что при потере устройства, синхрон iCloud с новым айфоном восстановит только то, что вы ему разрешили.

Ваша голова уже не “в облаках”, если вы:

  • Почистили все облачные хранилища от ненужных и забытых файлов.
  • Проверили кому предоставлен доступ к важным документам, лежащем в облаке.
  • Ограничили свободу своих мобильных гаджетов в части автоматического бэкапирования файлов.

Шаг 4. Обновить свои гаджеты и “умные” устройства

Для всего вашего ИТ-арсенала, в том числе, и для умных устройств дома необходимо сменить стандартные пароли. Иначе обычное обновление ПО не сильно поможет. А вот когда поменяли пароли - поставьте, наконец, самые новые версии всего софта.

Чек-лист такой:

  • Персональный компьютер.
  • Мобильные устройства (смартфоны, планшеты).
  • Смарт-ТВ, умная колонка, умный холодильник, видеоняня и проч.

Самая свежая версия ПО не гарантирует отсутствия уязвимостей, но, как правило, существенно снижает вероятность успешного взлома.

Здесь резюме излишне, просто знайте, что за “умные” устройства тоже приходится думать.

Шаг 5. WiFi - отдельная тема для разговора

Начнем с простого: если ваш Wi-Fi-роутер близок к винтажному, самое время его сменить. Незащищенный роутер и беспроводная сеть могут стать точкой входа для соседа, который практикует свои знания в области компьютерной безопасности, или для настоящего злоумышленника.

Основные рекомендации по защите Wi-Fi таковы:

  • Откажитесь от паролей по умолчанию. В первую очередь необходимо сменить пароль для входа в настройках роутера. Для этого вам потребуется IP-адрес устройства, который можно узнать, посмотрев на обратной стороне устройство специальную наклейку. Далее необходимо по данному IP-адресу перейти в браузере и ввести логин/пароль.
  • Установите сложные пароли к сети Wi-Fi и к административной панели роутера (см. выше).
  • Измените стандартное имя административной учетной записи.
  • Измените стандартный IP-адрес устройства.
  • Обновите прошивку и установите новые версии ПО.
  • Отключите WPS.
  • Отключите удаленный доступ к роутеру.
  • В качестве технологии, по которой работает Wi-Fi сеть, установите как минимум WPA2, а лучше WPA3. Можно также включить комбинированный режим WPA2+WPA3 (если в вашем роутере нет WPA3 - это тот самый знак, пора заменить его на новый). Ни в коем случае не используйте WEP или WPA.

Нелишне будет повторить про скачивание обновлений. Новое ПО, которое вы “накатываете” на свои устройства, должно быть от доверенного разработчика. Софт не должен требовать супер-полномочий и подозрительных доступов к ресурсам устройства, и качать его нужно исключительно с официального ресурса.

И последнее в этом блоке. Скорее всего, ваша компания позаботилась о нормальном VPN для своих сотрудников и все сделала за вас. Но если по каким-то причинам это не так (допустим, вы фрилансер и сам себе сисадмин), то мы рекомендуем купить доступ к крупному известному VPN-сервису и все критичные операции выполняйте только через подключение к VPN - проверка личного почтового ящика, работа с конфиденциальной информацией, доступ к интернет-банку и тд. Наши рекомендации: NordVPN, ExpressVPN, Surfshark. Вот здесь есть рейтинг VPN на любой вкус.

Итак, ваша беспроводная сеть только ваша, если:

  • Ваши пароли стали, наконец, устойчивыми к методам брутфорса (автоматического перебора паролей).
  • Роутер, равно как и софт на нем, новые. ПО скачено из официальных источников.
  • Не используются дефолтные имя учетной записи и IP-адрес устройства
  • Отключены WPS и удаленный доступ.
  • Включена WPA3.
  • VPN надежен, потому что у вас хороший работодатель или вы сделали все по нашей инструкции и купили VPN-доступ от крупного провайдера.

Шаг 6. Сделать зашифрованную резервную копию компьютера

Зашифруйте свой компьютер и создайте его зашифрованную резервную копию на внешнем носителе информации. Старайтесь придерживаться плана своевременной актуализации резервной копии — неделя-месяц-квартал. Храните носитель информации с резервной копией в не очень-то доступном для кого бы то ни было месте. Данная мера позволит обеспечить защиту ваших данных: служебных и личных файлов, переписок и различных банковских данных.

Для шифрования достаточно активировать FileVault 2 в вашей MacOS или BitLocker в вашей Windows. Это штатные встроенные средства шифрования, которых вполне достаточно при использовании стойкого пароля. Учтите, что если вы забыли пароль для расшифровки, все ваши данные будут безвозвратно потеряны.

...Итак, мы купили сейф. Ну или хотя бы убрали бэкапный хард подальше от чужих глаз.

Шаг 7. Разделить и почистить электронную почту

Заведите отдельные почтовые ящики для разных целей – так вы не пропустите важное письмо и обеспечите безопасность своих данных. Имеет смысл разделить ящики для начала на следующие простые категории:

  • Спам-ящик: почтовые рассылки и интернет-магазины, случайные регистрации.
  • Личный ящик: текущая переписка, регистрация в сервисах, уведомления от которых важны.
  • Облачный ящик: привязки сервисов типа iCloud, Google Drive, мессенджеры.
  • Секретный ящик: для финансовых документов и любой иной чувствительной информации рекомендуем использовать почтовый сервис с End-to-end шифрованием (например, Voltage SecureMail).

Какие важные знание мы вынесли из, казалось бы, простого раздела, посвященного цифровой гигиене электронной почты:

  • Мы навсегда разделили личное и рабочее, не путаем эти почтовые ящики и больше не отправляем рабочие документы из “лички” и наоборот.
  • Очистили почту от спама.
  • Удалили файлы с конфиденциальной информацией и письма с восстановлением парольных данных, которые годами лежали в наших ящиках.

Шаг 8. А поговорить?

Мессенджеры на удаленке, конечно, станут вашими лучшими друзьями. WhatsApp, Telegram, WeChat или более популярные в кибербезопасной индустрии - Signal, Wickr Me, Threema. Неважно. Давайте поймем, что нужно сделать прямо сейчас:

  • Установить последнее обновление для каждого из используемых вами мессенджеров. Большинство апдейтов касаются безопасности, попросту говоря, закрытия тех нехороших дыр, которые могли быть проэксплуатированы злодеями, потому что были не закрыты в предыдущей версии ПО. Не игнорируйте это. Обновляйтесь.
  • Если у мессенджера есть защищенная версия - ставьте ее.
  • Включите двухфакторную аутентификацию и не выключайте никогда.
  • Используйте только «разрешенные» мессенджеры: если использование определенных каких-либо из них ранее не было разрешено корпоративным регламентом, не стоит их использовать на “удаленке”.

Еще раз пройдемся по этому важному пункту. “Как включать эту вашу двухфакторку в мессенджерах”. Рассмотрим на примере двух основных “говорилок”:

  • WhatsApp: Настройки - Учётная запись - Двухшаговая проверка - Включить (для версии WhatsApp под iOS) или Настройки - Аккаунт - Двухшаговая проверка - Включить (для версии под Android). После этого введите шестизначный PIN-код, который будет запрашиваться при доступе к WhatsApp и подтвердите его повторным вводом. Для дополнительной защиты вашего аккаунта, можно добавить адрес электронной почты.
  • Telegram: Настройки - Конфиденциальность - Облачный пароль (Two - Step Verification) - Включить (Turn Passcode On). После этого введите сложный пароль из букв и цифр (к счастью в “тележке” есть такая возможность), который будет запрашиваться при доступе к Telegram и подтвердите его повторным вводом. Детальное описание по включению этой опции дано в инструкции на официальном сайте мессенджера: https://telegram.org/blog/sessions-and-2-step-verification

Подводим черту под этим блоком и запоминаем: неважно какой мессенджер вы выбрали, главное, чтоб в нем была двухфакторная аутентификация.

Шаг 9. Начать интересоваться информационной безопасностью

Ничто на свете так сильно не спасает от злоумышленников, как осознанное использование современных технологий. Без знания о том, как действует киберпреступность, не получится защитить себя, свою семью и компанию даже на 50%. Поэтому пойдем по классическому пути - будем читать хорошие книги из нашей, так сказать, личной библиотеки.

Начнем с азов. Ниже перечислены нестареющие бестселлеры, прочтение которых необходимо для каждого человека, в жизни которого присутствует компьютер:

  • Искусство обмана. К.Д Митник.
  • Искусство вторжения. К.Д. Митник.
  • Социальная инженерия и социальные хакеры. М. Кузнецов, И. Симдянов.

Если это вы уже читали – отлично. Ниже мы дадим список литературы для чуть более углубленного изучения мира киберкриминала. Информация из этих книг позволит узнать намного больше о методах работы и жизни киберпреступников.

  • Киберпреступник №1, Ник Билтон.
  • Вторжение. Краткая история русских хакеров, Д. Туровский.
  • Расследования компьютерных преступлений, Кевин Мандиа.
  • Extreme Privacy Guide, Michael Bazzel.
  • Countdown to zero day, Kim Zetter.

Берегите себя, свои секреты и конфиденциальные данные вашей компании.

Один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Знаем о киберпреступности всё. Рассказываем самое интересное.
{ "author_name": "Group-IB", "author_type": "editor", "tags": [], "comments": 2, "likes": 0, "favorites": 4, "is_advertisement": false, "subsite_label": "group-ib", "id": 121907, "is_wide": false, "is_ugc": false, "date": "Tue, 21 Apr 2020 15:14:19 +0300", "is_special": false }
Лаборатория качества
Уходим в online: как в «коронавирусной» спешке защитить себя от возможных потерь
Команда разработчиков Microsoft каждый месяц допускает 30 тысяч ошибок в коде, а ведь ее системами пользуются…
Объявление на vc.ru
0
2 комментария
Популярные
По порядку
0

Книги про хакеров- старые. Не плохие, а именно старые.
Про фишинг написали, а про вишинг? 
Много хлама в облаках? Да вы, батенька, мажор (сарказм).
Мессенджеры вообще небезопасны.

Ответить
0

Книги Митника и Мандиа - изданы давно, но не теряют своей актуальности. А вот "Киберпреступник №1" и "Вторжение. Краткая история русских хакеров" - вполне себе свежие издания. 
Про вишинг — большой и отдельный разговор. Если интересна тема, рекомендуем: https://www.group-ib.ru/blog/vishing

Ответить

Комментарий удален

Прямой эфир