Всем здравия доброго!
Основные правила (советы/рекомендации) безопасной работы в сети Интернет
Уважаемы коллеги, очень часто всплывают вопросы о том что чейто аккаунт взломал пусть то наш горячо любимый ресур, пусть какой другой. Это не Вас взломали, это либо очень простой пароль (либо дежурный какой, но отнесем его к этому же принципу), либо Вы сами его сообщили, 90% случаев (это всё как сказать социальная инженерия) , и это далеко не вирусы не трояны, а именно причина в Вас! По этому решил поделиться несколькими основными правилами, основаннами как на теоретических знаниях так и на солидной практике, как сказать из личного опыта. Может кому то будет полезным.

И так приступим:

1) Пароль. Пароль должен быть достаточно сложным, не иметь какого либо логического отношения к Вам, Вашему логину и другой персональной информации. Сложность пароля можно охарактеризовать следующими факторами: длинна, наличие букв, наличие строчного и заглавного шрифтов, наличие спецсимволов. Нивоем случае нельзя использовать как сазать дежурные пароли например qwerty и т.д. Иногда сталкивался с такой проблемой как отсутсвие фантазии как у меня так и у моих сотрудников, говорю коллеги придума пароль, тот в ответ какой? Вот для этого ещё очень очень давно была написана простая прога для генерации паролей, кому актуально можно скачать Скачать

Интерфейс интуитивно понятен, ставим чекбокс и выбираем сложность, также можно задать длинну, скопировать в буфер обмена результат и распечатать. Работает как сказать portable, т.е. не нужна усановка, нужен только исполняемый файлик.
Я не призываю использовать именно эту прогу для генерации паролей, я использую именно её и только её, так как она написана мной и вней 100% нет никаких недекларированных функций, нет никакой сетевой активности и т.д.

2) Логин. Тоже очень важный фактор в том плане что на разных ресурсах для одного лица лучше иметь разные логины. К примеру есть некий Василий Петров, любитель приборного поиска сидит на ревью (логин vaspaspetr007), а также любитель охоты и большой любитель собак пароды кокер спаниэль, также имеет данную собаку и очень её любит, а кличка у неё пусть будет "Дружок", соотсвественно он зарегестрированн ещё и на форуме любителей этой породы (имеет для простоты тотже логин vaspaspetr007) Василий Петров имеет ещё и почту vaspaspetr007@yandex.ru, эту почту он указал при регистрации на ревью и форуме любителей собак. А когда регил почту его попросили указать секретный вопрос для востановления аккаунта, вопрос он выбрал "Кличка вашего домашнего животного" и указал "Дружок" так как он его сильно любит. Но на первый взгляд ничего страшного. Но потом общаясь со свими собратьями по кокер спаниэлям, решил похвастаться своим "Дружком", сфоткал выложил фотки, и подписал, мой красавец Дружок, лет 10 например назад.
Тут неожиданно например на ревью какойто негодяй заинтересовался нашим Васей, нашел Васю на собачном форуме изучл посты нашел его Дружка, и всё увел почту, ответ на секретный вопрос есть, а вместе и сней многие ресурсы на которых он зарегин, поменял пароли и всё делает свои пакости от лица нашего горечё любимого и уважаемого Васи.

3) Электронная почта. Ну во первых при регистрации электроной почты необходимо соблюсти пункт №1 настоящих правил (сложность пароля), во вторых, придумать такой контрольный вопрос и соответсвенно ответ который известен только Вам и который даже случайно Вы нигде засветить не сможете, в третьих если у почтового сервера есть возможность привязать аккаунт к номеру сотового телефона, обязательно этим воспользуйтесь, в четвертых для разных особо важных аккаунтов интернет ресурсов нужно использовать разные адреса эл. почты, чтобы даже если и уведут один аккаунт на другом это не сказалось, а не все разом как в случае использования одного аккаунта.

4) Фишинг/подложные страницы
Фи́шинг (англ. phishing, от fishing — рыбная ловля, выуживание[1]) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности

Сейчас тупо скорее всего напрямую логины пароли уже просить никто не будет, хотя хз. Вот один из вариантов на прмере.
К Вам на почту приходит сообщение якобы от администрации например ревью, негодяй создал похожий ящик, указал похожие данные, в сообщении следующее типа админитсраци просит пользователей обязательно скажем так в 3х дневный срок поменять пароли (кстати было не давно аналогично но от администрации ревью), в этом письме ссылка на якобы форму смены. Перед этим негодяй создал не большой сайт имеющим всего одну страницу и один исполняемый на ней скрипт, название сайта он делает аналогичное например revievvdetector или что то очень похожее, страница этого сайта оформлена один в один в стиле настоящего ревью, на страничке имеется 3 поля ввода 1-логин 2-старый парол 3-новй пароль и кнопка "Сменить". Пользователь переходит по ссылке якобы от администрации ревью, видит все один в один как на ревью, за исключением адреса (но он этому значения не придает так как адрес вижуально, на первый взгляд одинаков), далее забивает свой логин парол, новый пароль, нажимает "Сменить" после чего естественно смены никакой не происходит, а негодяй получает Ваши учетные данный например на свое мыло, далее ему(негодяю) остается только зайти под этими учетными данными на ревью и сменить пароль, после чего аккаунт будет успешно уведен и отлица Вашего будут совершаться какие либо действия. А рассылка таких писем может быть массовой, соответсвенно, есть возможность пострадать большому числу не вниматеьных пользователей
Выход, надо быть внимательней, внимательно сомтреть чьи письма читаем, по чьим ссылка переходим и лишний раз свои учетные данные никуда не вводим и никому не сообщаем

5)Программно-аппаратная часть. теперь перейдем к железкам и софту.
а - Обязательное использование антивируса, антивирус должен регулярно обновляться иначе толк от него минимален (платный/бесплатный в нашем случае особого значения не имеет)
б - Обязательно должно быть включено обновление операционной системы и её компонентов если ОС семейства MS Windows
в - Использование фаервола (грамотно настроенного) не стандартного от MS. Мне очень нравится Керио (но он платный на 10 пользовательских лицензий и нужна отдельная машина(сервер) для него (зато получим программно аппаратный фаервол, плюс его ещё какимито задачами можно нагрузить, файловый сервер, веб сервер и т.д.)) берем машину с двумя сетевыми интерфейсами, на один инет со внешки, второй внутрь в свою сеть, настраиваем, очень гибко настраивает, можно закрыть все что угодно, хоть выполнение явы, хоть сайты какие, все что угодно, также управлять трафиком для каждого из клиента, можно создать и правила персональные, огромное колво всевозможных логов красота. Для дома можно собрать вобще тихую и компактную машинку под керио (но это отдельный разговор)
г - отказаться от установки каких либо Вам мало известных приложений от неизвестных производителей, не верить во всякие автоматические оптимизаторы клинеры и т.д. Самый лучший оптимизатор и клинер это руки.
д - всё скачиваемое Вами ПО, в том числе драйвера должны скачиваться исключительно с официальных сайтов разработчиков/производителей
е - свою учетну запись в Win защитить паролем, отключить всевозможных гостей и прочих, все учетки должны быть с паролями (с разграничением прав)
ё - ОС не ставить на диск С
ж - При вводе особо важных учетных данных, можно пользоваться экранной клавиатурой, есть в составе ОС
з - Не хранить учетные данные в блокнотике с название password или аналогичноым на ПК
и - Не сохранять пароли в браузерах
к - Использовать последние версии браузеров (периодически обновлять браузеры)


Ну вроде бы всё, весь минимум! Соблюдая его Вы уменьшите шанс увода ваших учетных данных! Если что то упустил вспомнив допишу, хотя наверное минимум весь, дальше углубляться нет необходимости, да и тут есть несколько наверное лишнего.

Надеюсь пригодится. Если есть вопросы пишите!

Сообщение отредактировано rzawm: Dec 18 2014, 15:00