Пролог
«За безопасность необходимо платить, а за ее отсутствие — расплачиваться»
Уинстон Черчилль
Привет, друзья! Кто еще не знает, мы с вами уже давно живем в новой реальности, под названием «информационная сфера». Данный термин введен в обиход создателем «Философии информации» Лучано Флориди.
Этот дядька — профессор Оксфордского университета, на постоянной основе сотрудничает с такими известными мировыми компаниями как IBM, Apple, Microsoft, Google.
В своих трудах он описывает, как поменялись люди с приходом технологий. Теперь мы живем в режиме on-life, так как все время кроме сна, так или иначе, проводим в сети интернет.
Все, кто читает эту книгу, ежедневно проводят от 3 до 12 часов «онлайн» пользуясь множеством гаджетов, таких как смартфон, ноутбук, планшетный компьютер, смартчасы и. т. д.
Почему мы так много времени проводим за небольшим экраном электронных устройств?! Потому что это очень удобно, скажете вы. В свободное время, всегда приятно поговорить с близкими по видео связи. Затем посмотреть что нового в социальных сетях. В работе тоже сильно помогают современные информационные технологии.
Безусловно, это так, но…. Всегда есть обратная сторона медали. Чем больше у нас различных устройств подключенных к глобальной паутине, тем больше «поверхность атаки» на вашу частную жизнь со стороны разного рода мошенников.
Мы живем в эпоху бурного роста и развития так называемого (IoT) «Internet of Things», интернета вещей. В ближайшее время вся наша техника будет «smart», с персональным голосовым помощником, например от компании Яндекс. Уверен, что вы уже не раз общались с «Алисой».
Так вот представьте, вся ваша жизнь будет контролироваться виртуальным ассистентом, который будет «жить» в каждой вещи. Часы, телефон, автомобиль, чайник, телевизор, персональный компьютер, кофеварка, стиральная машина, охранно — пожарная сигнализация, система умного дома, холодильник и даже двери и шлагбаум на въезде во двор будут с хозяином «на связи».
Мы забудем что такое поисковые запросы. Зачем набирать что — то на клавиатуре, если можно просто спросить у «Алисы» которая все время рядом. Супер удобно и экономит нам массу драгоценного времени. Практически «технологический рай» на земле.
Есть нюанс… Для злоумышленников это почти халявные персональные данные, пароли, сессии браузеров, удаленное управление вашей жизнью и наконец, трампампам…. цифровые финансовые активы. Вот представьте, что уже сейчас, вы можете потерять свои деньги из — за уязвимости программного обеспечения какого нибудь фитнес браслета.
Да, безусловно, производители аппаратуры будут обновлять свое ПО и совершенствовать методы защиты от злоумышленников. На все это требуется много времени, в течение которого, у вас могут украсть ценности, да так, что потом найти их будет практически невозможно.
Что бы этого не произошло, нужно выполнять ряд несложных правил цифровой гигиены, о которых мы поговорим далее.
Для чего все это…
Меня зовут Дмитрий. Я — автор двух успешных книг на тему экономики и личных финансов. Одна из них, под названием «Криптовалюта. Учебное пособие по работе с цифровыми активами», стала бестселлером 2021 года в своем сегменте по версии портала Ridero.
Еще во время обучения в университете меня «зацепила» тема финансов. С тех пор, уже более 12 лет, занимаюсь исследованиями в этой сфере. Как показывает практика, сегодня для успеха в инвестициях недостаточно уметь читать финансовую отчетность компании. Нужно иметь навыки работы с цифровыми платформами, и конечно же уделять время вопросам информационной безопасности.
Я, во время практической инвестиционной деятельности, сталкивался со многими вопросами из сферы кибербезопасности. Пользовался консультациями передовых специалистов в этой области. Тратил время и деньги. Естественно, накопил опыт, которым активно делюсь со своими родственниками и знакомыми.
Мысль «упаковать» эти знания в практическое пособие пришла недавно, когда людей, которым нужна та или иная консультация, стало ну очень много. Вы можете спросить меня, а зачем это все тебе нужно?! Для заработка? Так на книгах уже никто не зарабатывает со времен Саши Пушкина.
Мой ответ будет таким: «Потому что мне, как и моим единомышленникам, не все равно, какая информационная среда ежедневно нас окружает». Если она будет дружелюбной к пользователям, то работать и жить станет гораздо комфортнее.
Для больших технологических компаний нет смысла заниматься вопросами цифрового благополучия конечного пользователя. У них и своих задач более чем достаточно. Для юзера же, если у него еще ни разу ничего не украли, перспектива тратить свое время на вопросы «кибербеза» представляется малопривлекательной.
При создании этой книги мне помогали лучшие отечественные специалисты из компании Positive Technologies. Естественно, у них как у профессионалов в сфере кибербезопасности, накопилось много опыта, которым они любезно с нами поделились. Так же хочу отметить заслуги необыкновенно талантливой девушки — Полины Голубевой. Такого потрясающего графического архитектора обложки книги нет ни у кого!
Из вышесказанного вытекает нижеследующее… Для всех тех, кто держит эту книгу в руках, или читает с монитора, будет полезной та информация, которую мы для вас подготовили. Как минимум, при выполнении всех предписаний, вы сможете усложнить жизнь кибермошеннику.
А как максимум, можете вообще оставить его без сладкого на много десятков лет. Материалы, представленные далее, будут полезны для среднестатистического пользователя, который не имеет никакого отношения к сфере IT. Для продвинутых айтишников или специалистов по информационной безопасности в этой книге нет ничего нового. Итак, думаю, мы готовы к защите своих активов и персональных данных от незваных гостей. Ну что же, поехали…
Глава 1. Логины и пароли доступа
Театр начинается с вешалки, а работа каждого пользователя информационных сервисов начинается с регистрации аккаунта. Именно здесь 99,9% людей делают роковые ошибки. Почему? А вот скажите мне сколько у вас личных кабинетов на интернет порталах? Уверен, количество будет более 10. У всех них пара логин и пароль уникальна или нет?
Статистика показывает, что у 17% пользователей мировой паутины пароль состоит из цифр «12345». Если допустим ваша электронная почта была бы защищена подобным образом, то для мошенников имеющих в арсенале много современных вычислительных мощностей и решивших получить доступ к вашей личной переписке понадобилось бы затратить времени на взлом меньше 1 секунды.
Дальнейшая история которая будет происходить с вашим аккаунтом ограничена только фантазией злоумышленников. Начиная от шантажа вас и ваших знакомых той информацией, которая хранилась на почтовом ящике, до перехвата управления учетными записями через восстановление пароля по почте.
По этой же схеме можно взломать любой пароль и нанести как минимум репутационный ущерб, а как максимум материальный. Процесс этот носит название брутфорс атака (от англ. brute force — грубая сила). Она предполагает перебор компьютером хакера всех возможных символов до тех пор, пока не будет подобрана подходящая их комбинация.
То есть, если знать ваш логин, который как правило находится в публичном доступе, пароль можно просто подобрать. Для этого нужны мощные компьютеры и время. И чем длиннее и сложнее пароль тем дольше его ломать. Сейчас мы не рассматриваем случай когда ваш пароль скомпрометирован и отправлен злоумышленникам с зараженного вирусом конечного устройства жертвы. А такое бывает очень часто! Но об этом позже.
Лет 6 назад для взлома пароля вроде «10sony567» требовалось потратить год, то сегодня для этого потребуется всего пара дней. Именно поэтому пароли требуется время от времени менять, делая их более сложными и устойчивыми к взлому. Тем самым мы выигрываем время.
Ставим сложный пароль. После этого хакеры начинают нас взламывать. Но за время которое нужно для проникновения, а для 8—10 значных сложных паролей это более года, мы уже поменяем пароль через 6 месяцев. Таким образом, ребятам на «темной стороне» придется начинать работу заново.
Для защиты от подобной угрозы необходимо соблюдать несколько простых правил при выборе пароля.
1) Количество символов должно быть не менее 10. Чем длиннее — тем лучше.
2) Включайте в него цифры и буквы в верхнем и нижнем регистре (строчные и заглавные). Так же необходимо дополнить спецсимволами (#?%$@ () &*^%|+_).
3) Не используйте в парольных фразах имена, клички животных, географических названий — в общем, любых слов, о существовании которых известно более 2 — м лицам!
4) У каждого сервиса должен быть уникальный пароль.
5) Пароли должны быть изменены по истечении 6 месяцев от их создания.
6) Пароли должны хранится на бумаге. В ежедневнике или блокноте к которому нет доступа у третьих лиц.
7) Не храните данные в заметках телефона или на компьютере!
8) Немедленно меняйте пароли стоящие по умолчанию на устройствах, которые имеют доступ в интернет. Это смартфоны, роутеры и другое сетевое оборудование.
Тема весьма серьезная, мнение профессионала по этому поводу нам не повредит.
Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center): «Главное правило — создавайте разные пароли для разных аккаунтов. Их можно создавать как специальными генераторами паролей, так и с пользованием мнемотехники. Например, в качестве пароля можно использовать каждую вторую/третью букву каждого слова из любимого стихотворения. Чтобы пароль стал еще надежнее, можно использовать стандартные замены символов (о=0, s=$) и т. д. Все это упростит процедуру генерации паролей и позволит их помнить. Помимо этого, можно и нужно использовать менеджеры паролей. Как правило, они уже имеют функционал генерации паролей. В таком случае, придется запомнить только один мастер пароль от этого менеджера».
Глава 2. Двухфакторная аутентификация
Вы наверняка уже не раз слышали эти слова, скорее всего при создании аккаунта на том или ином сервисе. Где после генерации логина и пароля вам предлагали настроить двухфакторную аутентификацию.
Большинство пользователей не знает что это такое, просто пропускают этот шаг и забывают о ней вообще впоследствии. Зря, очень зря. Эта функция придумана вовсе не для того что бы пользователям было сложнее работать, это дополнительный фактор безопасности.
К примеру, если кто — либо завладеет вашим логином и паролем от онлайн банка, то именно наличие двухфакторной аутентификации в виде SMS кода спасет от кражи средств. Из этого можно сделать вывод, что если пришла та самая SMS, а вы до этого не предпринимали никаких действий, то, как понимаете, пароль был скомпрометирован, его нужно срочно сменить.
Мой вам совет, прямо сегодня, на всех ваших аккаунтах, где поддерживается двухфакторная аутентификация, активируйте ее. Виды аутентификации бывают разные. Большое распространение получили одноразовые коды, приходящие по SMS или электронной почте. Есть еще специальное приложение — google authenticator. Оно через короткие отрезки времени генерирует рандомные одноразовые коды доступа, что очень удобно.
Самый надежный способ для подтверждения вашей личности в целях авторизации это Yubikey. Он представляет собой специальный USB-ключ, без которого доступ к аккаунту будет невозможен. Так же, в последнее время стали популярны способы защиты, использующие биометрические данные пользователя.
В аккаунте Google сервисов в качестве двухфакторной аутентификации можно использовать обычный смартфон. То есть, после ввода логина и пароля вам нужно будет на своем устройстве нажать определенные кнопки, именно физические кнопки. Без этого никак не получится авторизоваться.
«Двухфакторная аутентификация практически сводит на нет атаки, связанные с подбором аутентификационных данных. Но лучше, конечно, использовать отдельное устройство, не подключенное к интернету. Смартфон тут удобен, но в приложении для генерации одноразовых паролей могут встретиться уязвимости, позволяющие похитить одноразовый пароль или вообще сбросить 2FA», — говорит Николай Анисеня, руководитель группы исследований безопасности мобильных приложений Positive Technologies.
Как видите, разновидностей применения двухфакторной аутентификации в жизни хватает с избытком. Остается только выбрать. Ведь если вы прислушаетесь к рекомендациям из первой главы, плюс активируйте везде где можно второй фактор защиты, будет очень хорошо для вас и грустно для хакеров.
Я задал вопрос Алексею Новикову, директору экспертного центра безопасности Positive Technologies (PT Expert Security Center), двухфакторная аутентификация при помощи смс, google authenticator. Что надежнее?
«Ответ, скорее, что удобнее. Сегодня проблема в том, что большинство не использует 2FA. Одновременно, были атаки в рамках которых злоумышленники обходили 2FA, построенные на базе СМС, так как существуют известные недостатки в данной технологии», — ответил он.
Как видите, большинство проблем в сфере информационной безопасности пользователи делают собственными руками. Если нужна дополнительная защита, теперь вы знаете что делать.
Глава 3. Алгоритм действий при потере/краже вашего смартфона
В эпоху цифровых технологий гаджет в нашем кармане превращается в дополнительный инструмент для общения с окружающим миром. SIM-карта является нашим аккаунтом во многих сервисах. Камера, встроенная в мобильные устройства относительно недавно, делает наш пользовательский опыт еще интереснее.
Но представьте, что к вашему смартфону получили доступ мошенники. Если ничего не предпринять заранее, они с такой же легкостью смогут посмотреть ваши фотки и видосы. Потом заказать себе много разных штук, оплатив их при помощи банковской карты, привязанной к номеру телефона.
Что бы подобного безобразия ни произошло, нужно оставлять активной функцию запроса PIN-кода SIM-карты при включении устройства. Конечно, неудобно его вводить каждый раз при активации гаджета, но это критически важная вещь для вашей безопасности.
Как правило, у того или иного мобильного оператора PIN коды состоят из 4 символов и установлены по умолчанию. Так вот, этот, предустановленный PIN код нужно обязательно сменить! Инструкции лежат в открытом доступе на официальном сайте вашего провайдера мобильной связи.
Второе что необходимо сделать сразу после покупки нового телефона, — установить пароль, графический ключ или отпечаток пальца для разблокировки экрана. Если эти 2 пункта будут выполнены, вы уже в относительной безопасности.
«В случае кражи телефона лучше перевыпустить сим-карту, заблокировав старую», — рекомендует Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center).
Данную процедуру можно осуществить через официальный салон связи вашего оператора, или дистанционно, через службу поддержки.
Бесплатный фрагмент закончился.
Купите книгу, чтобы продолжить чтение.