Основы цифровой безопасности

Артем ГоряйновОФ “Гражданская инициативаИнтернет политики”artem@gipi.kg

Проблемы

● Отсутствие компьютерной грамотности● Лень● Быстрое развитие технологий● Отсутствие модели угроз● Отсутствие ментора

Кибер гигиенаКибер гигиена

Кибер гигиена

Угрозы x Уязвимости Риск=--------------------------------- Ресурсы

Кибер гигиена

● Ресурс для изучения - securityinabox.org● Использовать только лицензионное программное

обеспечение● Обновлять все программное обеспечение

своевременно, использовать программные средства для автоматического обновления (Secunia PSI, Ninite)

● Скачивайте программы только с официальных сайтов● Смартфон и планшет – это тоже компьютеры

Кибер гигиена

● Вирус на компьютере - 0% безопасности

● Антивирус – обязательная вещь, есть бесплатные антивирусы (Avast, Avira …) и онлайн сервисы virustotal.com

● Антивирус должен постоянно обновляться

● Антивирусы, как правило, не совместимы между собой.

● Существуют программы дополняющие функционал антивирусов (Spybot, MBAM ...)

Кибер гигиена

● Контролируйте доступ к своей информации

● Многие приложения (текстовые редакторы, браузеры) сохраняют данные во временных файлах (CCleaner)

● Используйте сложные уникальные пароли для своих ресурсов

● Используйте обычную учетную запись (не администратора) для работы

Кибер гигиена

● Контролируйте физический доступ к своему устройству

● Шифруйте устройство хранения данных (жесткий диск, SD карты) целиком и нужные данные отдельно

● Обеспечьте резервирование важных данных

● Обычное удаление данных не удаляет информацию с диска (Ccleaner, Eraser)

Кибер гигиена

● После работы на общем компьютере выйдите их всех эккаунтов и поменяйте все пароли

● Не доверяйте общественным WiFi точкам, особенно, если они открытые

● Не открывайте почтовые вложения без проверки антивирусом

● Внимательно смотрите на адресную строку при переходе по ссылкам, чтобы избежать фишинга

Пароли

Пароли

● Дешифрование паролей

● Подбор пароля (прямой перебор, атака по словарю)

● Перехват (клавиатурный шпион, прослушка, прямое наблюдение)

● Обман пользователя

Методы кражи паролей

Пароли

● Достаточно длинным (более 10 символов)

● Неочевидным

● Уникальным

● Обновляемым

● Надежно хранимым

Каким должен быть хороший пароль

Пароли

● Случайные изменения какой-либо фразы

● Мнемонические техники

● Программные средства для создания и хранения паролей - KeePass

Как создать хороший пароль

Вирусы

Вирусы

● “Доисторический” (вирусы для мэйнфрэймов)

● “Доинтернетовский” (вирусы для MS-DOS)

● “Разрушительный” (I Love You, Win95.CIH-Чернобыль)

● Современный (коммерциализация, легализация, Zeus, Stuxnet, Finfisher...)

Этапы развития вирусной индустрии

Вирусы

● Съемные носители информации

● Электронная почта

● Электронные мессенджеры (ICQ, Skype)

● Веб-страницы

● Интернет и локальные сети (через уязвимости ПО)

Как они распространяются?

Вирусы

● Некорректная работа системы, программ

● Замедление работы системы и сети

● Сообщения от вас, которые вы не посылали (по почте,через мессенджеры, соц. сети)

● Информация с вашего компьютера оказывается в Интернет, ...

Косвенные признаки заражения

Вирусы

● Соблюдение кибер гигиены

● Обновляемый антивирус на всех устройствах

● Осторожность при открытии присланных вложений или ссылок.

● Использование virustotal.com

Способы защиты от вирусных угроз

Защита электронной почты

Защита электронной почты

● Обмен почтой – двусторонний процесс

● Почта уязвима на стороне клиентов и сервера

● Вложения в письмах – основная угроза безопасности

Угрозы при использованииэлектронной почты

Защита электронной почты

● Наличие https соединения

● Возможность двухфакторной аутентификации

● Контроль подключений

● Просмотр вложений

Критерии выбора почтового сервиса

Защита электронной почты

● Проверяйте подозрительную активность

● Проверяйте перенаправления вашей почты

● Если возможно, включите двухфакторную аутентификацию

● Не поддавайтесь на попытки фишинга

● Выходите из почты по окончании работы

● Используйте PGP (Pretty good privacy)

Безопасность почтовых сервисов

Безопасная передача данных в Интернет

Безопасная передача данных в Интернет

● Информация может быть перехвачена на любом из узлов прохождения

● Используйте протокол https там, где возможно (плагин HTTPS Everywhere для браузеров)

● Используйте надежные VPN сервисы (SmartVPN, StrongVPN,TunnelBear,WiTopia)

Перехват и шифрование

Безопасная передача данных в Интернет

● Используйте ПО для анонимности и обхода цензуры (Tor, Psiphon, VPN)

● Tor не является средством обеспечения безопасности данных, только анонимности

Анонимность и обход цензуры

Безопасная передача данных в Интернет

● Skype шифрует все соединения

● Skype может быть прослушан только, если на компьютере вирус или есть доступ к серверам Skype

● Чаты Skype могут быть прослушаны, если кто-то похитил ваш пароль (команды /showplaces, /remotelogout)

● Skype сохраняет историю чатов на серверах и компьютере

Безопасность Skype

Безопасность мобильных сетей

Безопасность мобильных сетей

● Мобильные сети и телефоны изначально незащищены

● Мобильные возможности телефона практически полностью подконтрольны оператору

Мобильные сети

Безопасность мобильных сетей

● Прослушивание разговоров

● Перехват интернет-сессий

● Перехват СМС

● Отслеживание местонахождения

● Сохранение всей информации в сети оператора

● Отключение сети

● Утеря и изъятие телефона

Основные угрозы

Безопасность мобильных сетей

● Сохраняйте физический контроль над устройством

● Используйте средства контроля доступа (PIN, пароль, шифрование карты памяти)

● Используйте антивирус

● Не храните и не передавайте конфиденциальную информацию по мобильному телефону

Способы обеспечения безопасности

Безопасность мобильных сетей

● Используйте шифрование для звонков по Интернет (Signal, SilentPhone)

● Используйте шифрование для обмена смс или сообщений (Signal, Telegram, Skype)

● Шифрование – двусторонний процесс.

● Полезный ресурс https://www.eff.org/secure-messaging-scorecard

Способы обеспечения безопасности

Безопасность социальных сетей

Безопасность социальных сетей

● Отделите личную жизнь от общественной

● Контролируйте количество выкладываемой персональной информации

● Будьте осторожными с метаданными в фотографиях (геотаггинг)

Контроль размещаемой информации

Безопасность социальных сетей

● Знайте, кто имеет доступ к размещенной информации

● Контролируйте приложения, которые вы устанавливаете в соц. сетях

● Не интегрируйте разные соц. сети без необходимости

● Всегда используйте https для доступа к своему эккаунту

Контроль доступа к информации

Безопасность социальных сетей

● Рассылка вредоносных ссылок, особенно коротких (http://longurl.org/)

● Фишинг

● Clickjacking, likejacking

● Навязывание приложений или новых функций

Мошенничество в соц. сетях