Электронная библиотека » Алексей Новиков » » онлайн чтение - страница 1


  • Текст добавлен: 1 февраля 2024, 10:22


Автор книги: Алексей Новиков


Жанр: Компьютеры: прочее, Компьютеры


Возрастные ограничения: +12

сообщить о неприемлемом содержимом

Текущая страница: 1 (всего у книги 3 страниц) [доступный отрывок для чтения: 1 страниц]

Шрифт:
- 100% +

Цифровая безопасность. Жизнь в мире технологий

Авторы: Приходько Дмитрий, Голубева Полина, Новиков Алексей, Юракова Яна, Килюшева Екатерина, Анисеня Николай


© Дмитрий Приходько, 2024

© Полина Голубева, 2024

© Алексей Новиков, 2024

© Яна Юракова, 2024

© Екатерина Килюшева, 2024

© Николай Анисеня, 2024


ISBN 978-5-0056-6525-6

Создано в интеллектуальной издательской системе Ridero

Пролог

«За безопасность необходимо платить, а за ее отсутствие – расплачиваться»

Уинстон Черчилль

Привет, друзья! Кто еще не знает, мы с вами уже давно живем в новой реальности, под названием «информационная сфера». Данный термин введен в обиход создателем «Философии информации» Лучано Флориди.

Этот дядька – профессор Оксфордского университета, на постоянной основе сотрудничает с такими известными мировыми компаниями как IBM, Apple, Microsoft, Google.

В своих трудах он описывает, как поменялись люди с приходом технологий. Теперь мы живем в режиме on-life, так как все время кроме сна, так или иначе, проводим в сети интернет.

Все, кто читает эту книгу, ежедневно проводят от 3 до 12 часов «онлайн» пользуясь множеством гаджетов, таких как смартфон, ноутбук, планшетный компьютер, смартчасы и. т. д.

Почему мы так много времени проводим за небольшим экраном электронных устройств?! Потому что это очень удобно, скажете вы. В свободное время, всегда приятно поговорить с близкими по видео связи. Затем посмотреть что нового в социальных сетях. В работе тоже сильно помогают современные информационные технологии.

Безусловно, это так, но…. Всегда есть обратная сторона медали. Чем больше у нас различных устройств подключенных к глобальной паутине, тем больше «поверхность атаки» на вашу частную жизнь со стороны разного рода мошенников.

Мы живем в эпоху бурного роста и развития так называемого (IoT) «Internet of Things», интернета вещей. В ближайшее время вся наша техника будет «smart», с персональным голосовым помощником, например от компании Яндекс. Уверен, что вы уже не раз общались с «Алисой».

Так вот представьте, вся ваша жизнь будет контролироваться виртуальным ассистентом, который будет «жить» в каждой вещи. Часы, телефон, автомобиль, чайник, телевизор, персональный компьютер, кофеварка, стиральная машина, охранно – пожарная сигнализация, система умного дома, холодильник и даже двери и шлагбаум на въезде во двор будут с хозяином «на связи».

Мы забудем что такое поисковые запросы. Зачем набирать что – то на клавиатуре, если можно просто спросить у «Алисы» которая все время рядом. Супер удобно и экономит нам массу драгоценного времени. Практически «технологический рай» на земле.



Есть нюанс… Для злоумышленников это почти халявные персональные данные, пароли, сессии браузеров, удаленное управление вашей жизнью и наконец, трампампам…. цифровые финансовые активы. Вот представьте, что уже сейчас, вы можете потерять свои деньги из – за уязвимости программного обеспечения какого нибудь фитнес браслета.

Да, безусловно, производители аппаратуры будут обновлять свое ПО и совершенствовать методы защиты от злоумышленников. На все это требуется много времени, в течение которого, у вас могут украсть ценности, да так, что потом найти их будет практически невозможно.

Что бы этого не произошло, нужно выполнять ряд несложных правил цифровой гигиены, о которых мы поговорим далее.


Для чего все это…

Меня зовут Дмитрий. Я – автор двух успешных книг на тему экономики и личных финансов. Одна из них, под названием «Криптовалюта. Учебное пособие по работе с цифровыми активами», стала бестселлером 2021 года в своем сегменте по версии портала Ridero.

Еще во время обучения в университете меня «зацепила» тема финансов. С тех пор, уже более 12 лет, занимаюсь исследованиями в этой сфере. Как показывает практика, сегодня для успеха в инвестициях недостаточно уметь читать финансовую отчетность компании. Нужно иметь навыки работы с цифровыми платформами, и конечно же уделять время вопросам информационной безопасности.

Я, во время практической инвестиционной деятельности, сталкивался со многими вопросами из сферы кибербезопасности. Пользовался консультациями передовых специалистов в этой области. Тратил время и деньги. Естественно, накопил опыт, которым активно делюсь со своими родственниками и знакомыми.

Мысль «упаковать» эти знания в практическое пособие пришла недавно, когда людей, которым нужна та или иная консультация, стало ну очень много. Вы можете спросить меня, а зачем это все тебе нужно?! Для заработка? Так на книгах уже никто не зарабатывает со времен Саши Пушкина.

Мой ответ будет таким: «Потому что мне, как и моим единомышленникам, не все равно, какая информационная среда ежедневно нас окружает». Если она будет дружелюбной к пользователям, то работать и жить станет гораздо комфортнее.

Для больших технологических компаний нет смысла заниматься вопросами цифрового благополучия конечного пользователя. У них и своих задач более чем достаточно. Для юзера же, если у него еще ни разу ничего не украли, перспектива тратить свое время на вопросы «кибербеза» представляется малопривлекательной.

При создании этой книги мне помогали лучшие отечественные специалисты из компании Positive Technologies. Естественно, у них как у профессионалов в сфере кибербезопасности, накопилось много опыта, которым они любезно с нами поделились. Так же хочу отметить заслуги необыкновенно талантливой девушки – Полины Голубевой. Такого потрясающего графического архитектора обложки книги нет ни у кого!

Из вышесказанного вытекает нижеследующее… Для всех тех, кто держит эту книгу в руках, или читает с монитора, будет полезной та информация, которую мы для вас подготовили. Как минимум, при выполнении всех предписаний, вы сможете усложнить жизнь кибермошеннику.

А как максимум, можете вообще оставить его без сладкого на много десятков лет. Материалы, представленные далее, будут полезны для среднестатистического пользователя, который не имеет никакого отношения к сфере IT. Для продвинутых айтишников или специалистов по информационной безопасности в этой книге нет ничего нового. Итак, думаю, мы готовы к защите своих активов и персональных данных от незваных гостей. Ну что же, поехали…


Глава 1. Логины и пароли доступа

Театр начинается с вешалки, а работа каждого пользователя информационных сервисов начинается с регистрации аккаунта. Именно здесь 99,9% людей делают роковые ошибки. Почему? А вот скажите мне сколько у вас личных кабинетов на интернет порталах? Уверен, количество будет более 10. У всех них пара логин и пароль уникальна или нет?

Статистика показывает, что у 17% пользователей мировой паутины пароль состоит из цифр «12345». Если допустим ваша электронная почта была бы защищена подобным образом, то для мошенников имеющих в арсенале много современных вычислительных мощностей и решивших получить доступ к вашей личной переписке понадобилось бы затратить времени на взлом меньше 1 секунды.

Дальнейшая история которая будет происходить с вашим аккаунтом ограничена только фантазией злоумышленников. Начиная от шантажа вас и ваших знакомых той информацией, которая хранилась на почтовом ящике, до перехвата управления учетными записями через восстановление пароля по почте.

По этой же схеме можно взломать любой пароль и нанести как минимум репутационный ущерб, а как максимум материальный. Процесс этот носит название брутфорс атака (от англ. brute force – грубая сила). Она предполагает перебор компьютером хакера всех возможных символов до тех пор, пока не будет подобрана подходящая их комбинация.

То есть, если знать ваш логин, который как правило находится в публичном доступе, пароль можно просто подобрать. Для этого нужны мощные компьютеры и время. И чем длиннее и сложнее пароль тем дольше его ломать. Сейчас мы не рассматриваем случай когда ваш пароль скомпрометирован и отправлен злоумышленникам с зараженного вирусом конечного устройства жертвы. А такое бывает очень часто! Но об этом позже.

Лет 6 назад для взлома пароля вроде «10sony567» требовалось потратить год, то сегодня для этого потребуется всего пара дней. Именно поэтому пароли требуется время от времени менять, делая их более сложными и устойчивыми к взлому. Тем самым мы выигрываем время.

Ставим сложный пароль. После этого хакеры начинают нас взламывать. Но за время которое нужно для проникновения, а для 8—10 значных сложных паролей это более года, мы уже поменяем пароль через 6 месяцев. Таким образом, ребятам на «темной стороне» придется начинать работу заново.

Для защиты от подобной угрозы необходимо соблюдать несколько простых правил при выборе пароля.

1) Количество символов должно быть не менее 10. Чем длиннее – тем лучше.

2) Включайте в него цифры и буквы в верхнем и нижнем регистре (строчные и заглавные). Так же необходимо дополнить спецсимволами (#?%$@ () &*^%|+_).

3) Не используйте в парольных фразах имена, клички животных, географических названий – в общем, любых слов, о существовании которых известно более 2 – м лицам!

4) У каждого сервиса должен быть уникальный пароль.

5) Пароли должны быть изменены по истечении 6 месяцев от их создания.

6) Пароли должны хранится на бумаге. В ежедневнике или блокноте к которому нет доступа у третьих лиц.

7) Не храните данные в заметках телефона или на компьютере!

8) Немедленно меняйте пароли стоящие по умолчанию на устройствах, которые имеют доступ в интернет. Это смартфоны, роутеры и другое сетевое оборудование.


Тема весьма серьезная, мнение профессионала по этому поводу нам не повредит.


Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center): «Главное правило – создавайте разные пароли для разных аккаунтов. Их можно создавать как специальными генераторами паролей, так и с пользованием мнемотехники. Например, в качестве пароля можно использовать каждую вторую/третью букву каждого слова из любимого стихотворения. Чтобы пароль стал еще надежнее, можно использовать стандартные замены символов (о=0, s=$) и т. д. Все это упростит процедуру генерации паролей и позволит их помнить. Помимо этого, можно и нужно использовать менеджеры паролей. Как правило, они уже имеют функционал генерации паролей. В таком случае, придется запомнить только один мастер пароль от этого менеджера».


Глава 2. Двухфакторная аутентификация

Вы наверняка уже не раз слышали эти слова, скорее всего при создании аккаунта на том или ином сервисе. Где после генерации логина и пароля вам предлагали настроить двухфакторную аутентификацию.

Большинство пользователей не знает что это такое, просто пропускают этот шаг и забывают о ней вообще впоследствии. Зря, очень зря. Эта функция придумана вовсе не для того что бы пользователям было сложнее работать, это дополнительный фактор безопасности.

К примеру, если кто – либо завладеет вашим логином и паролем от онлайн банка, то именно наличие двухфакторной аутентификации в виде SMS кода спасет от кражи средств. Из этого можно сделать вывод, что если пришла та самая SMS, а вы до этого не предпринимали никаких действий, то, как понимаете, пароль был скомпрометирован, его нужно срочно сменить.

Мой вам совет, прямо сегодня, на всех ваших аккаунтах, где поддерживается двухфакторная аутентификация, активируйте ее. Виды аутентификации бывают разные. Большое распространение получили одноразовые коды, приходящие по SMS или электронной почте. Есть еще специальное приложение – google authenticator. Оно через короткие отрезки времени генерирует рандомные одноразовые коды доступа, что очень удобно.

Самый надежный способ для подтверждения вашей личности в целях авторизации это Yubikey. Он представляет собой специальный USB-ключ, без которого доступ к аккаунту будет невозможен. Так же, в последнее время стали популярны способы защиты, использующие биометрические данные пользователя.

В аккаунте Google сервисов в качестве двухфакторной аутентификации можно использовать обычный смартфон. То есть, после ввода логина и пароля вам нужно будет на своем устройстве нажать определенные кнопки, именно физические кнопки. Без этого никак не получится авторизоваться.

«Двухфакторная аутентификация практически сводит на нет атаки, связанные с подбором аутентификационных данных. Но лучше, конечно, использовать отдельное устройство, не подключенное к интернету. Смартфон тут удобен, но в приложении для генерации одноразовых паролей могут встретиться уязвимости, позволяющие похитить одноразовый пароль или вообще сбросить 2FA», – говорит Николай Анисеня, руководитель группы исследований безопасности мобильных приложений Positive Technologies.

Как видите, разновидностей применения двухфакторной аутентификации в жизни хватает с избытком. Остается только выбрать. Ведь если вы прислушаетесь к рекомендациям из первой главы, плюс активируйте везде где можно второй фактор защиты, будет очень хорошо для вас и грустно для хакеров.

Я задал вопрос Алексею Новикову, директору экспертного центра безопасности Positive Technologies (PT Expert Security Center), двухфакторная аутентификация при помощи смс, google authenticator. Что надежнее?

«Ответ, скорее, что удобнее. Сегодня проблема в том, что большинство не использует 2FA. Одновременно, были атаки в рамках которых злоумышленники обходили 2FA, построенные на базе СМС, так как существуют известные недостатки в данной технологии», – ответил он.

Как видите, большинство проблем в сфере информационной безопасности пользователи делают собственными руками. Если нужна дополнительная защита, теперь вы знаете что делать.

Глава 3. Алгоритм действий при потере/краже вашего смартфона

В эпоху цифровых технологий гаджет в нашем кармане превращается в дополнительный инструмент для общения с окружающим миром. SIM-карта является нашим аккаунтом во многих сервисах. Камера, встроенная в мобильные устройства относительно недавно, делает наш пользовательский опыт еще интереснее.

Но представьте, что к вашему смартфону получили доступ мошенники. Если ничего не предпринять заранее, они с такой же легкостью смогут посмотреть ваши фотки и видосы. Потом заказать себе много разных штук, оплатив их при помощи банковской карты, привязанной к номеру телефона.

Что бы подобного безобразия ни произошло, нужно оставлять активной функцию запроса PIN-кода SIM-карты при включении устройства. Конечно, неудобно его вводить каждый раз при активации гаджета, но это критически важная вещь для вашей безопасности.

Как правило, у того или иного мобильного оператора PIN коды состоят из 4 символов и установлены по умолчанию. Так вот, этот, предустановленный PIN код нужно обязательно сменить! Инструкции лежат в открытом доступе на официальном сайте вашего провайдера мобильной связи.

Второе что необходимо сделать сразу после покупки нового телефона, – установить пароль, графический ключ или отпечаток пальца для разблокировки экрана. Если эти 2 пункта будут выполнены, вы уже в относительной безопасности.

«В случае кражи телефона лучше перевыпустить сим-карту, заблокировав старую», – рекомендует Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center).

Данную процедуру можно осуществить через официальный салон связи вашего оператора, или дистанционно, через службу поддержки.


Глава 4. Публичный Wi – Fi. Способы безопасной эксплуатации

Каждый из нас пользовался услугами интернета при помощи беспроводного доступа, не так ли? Это удобно, никаких проводов. Но мало кто знает, что ваша домашняя wifi сеть может кардинально отличатся от публичных.

Если получаете доступ в сеть через устройство, которое принадлежит не вам, велика вероятность что как минимум собственник оного роутера собирает о вас данные, а как максимум перенаправляет трафик на фишинговые страницы. Они выглядят как настоящие, отличаются только тем, что крадут ваши учетные записи при попытке авторизоваться на любимом сервисе.

Вы скажете, что уже много раз пользовались wifi вне дома и никаких последствий не последовало. Это могло произойти в двух случаях: провайдер был честный, или просто еще не нашли покупателя на собранные персональные данные. Жутковато, не правда ли…

Еще одной из любимых уловок злоумышленников является создание точки доступа идентичной настоящей, допустим установленной в торговом центре. «VASYASHOP» – название оригинальной сети, мошенники создают такую же сеть при помощи своего сетевого оборудования. Для вашего устройства между этими точками доступа нет разницы, оно подключается к той, у которой сильнее сигнал в данный момент.

Мошенники же спокойно и без суеты собирают данные о ничего неподозревающих пользователях. Затем либо сами монетизируют собранные персональные данные, либо продают эту базу.

«При использовании публичного wifi лучше сразу включать vpn и весь трафик пускать уже через него. Это нужно для того, чтобы владельцы wifi или злоумышленники в этой же сети не могли получить доступ к передаваемым данным (логины и пароли от почты и тд)», – рекомендует Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center).


Vpn мы рассмотрим в следующей главе. Еще при использовании гаджетов нужно включать беспроводные сети передачи данных только в момент начала работы с интернетом. После работы обязательно выключать. Это как минимум сэкономит вам ресурс и уровень заряда аккумуляторной батареи, а как максимум репутацию и деньги на вашей банковской карте.

Николай Анисеня, руководитель группы исследований безопасности мобильных приложений Positive Technologies: «Подключенное к сети устройство более уязвимо, так как это расширяет его поверхность атаки. Атакующему становится доступен сетевой интерфейс для атаки. Причем, не обязательно это только wifi, хотя требования к техническому уровню атакующего в этом случае ниже.

Удаленный нарушитель или нарушитель в канале связи может: перехватывать трафик, передавать ссылки через мессенджеры (для атаки приложений или веб-страниц), эксплуатировать различные уязвимости устройства, которые возможно проэксплуатировать удаленно.

Также установленные приложения могут шпионить за пользователем, запоминая, к каким сетям он подключается, сопоставлять их с геолокацией и передавать эти данные «для аналитики»».

Глава 5. Что такое VPN?

Аббревиатура VPN расшифровывается как Virtual Private Network – виртуальная частная сеть, которая формирует безопасное зашифрованное соединение между узлами в любой уже существующей физической инфраструктуре.

Это сеть в сети. Представьте, что у вас есть доступ в интернет от вашего провайдера, но для пользования VPN сервисом нужно иметь доступ к еще одной сети, которая работает на том же оборудовании, но взаимодействовать с ней могут ограниченное количество устройств.

Если вы не в курсе, то интернет это вообще сервис для шпионажа всех за всеми… Об этом есть очень много информации в открытых источниках. Давайте рассмотрим подробнее наш случай с VPN. При подключении к интернету любого вашего гаджета ему присваивается IP-адрес. По нему любое заинтересованное лицо имеющее доступ к этой информации сможет легко отследить ваши действия в интернете, например посещаемые сайты, совершенные покупки и так далее.

VPN же создает защищенный «туннель», который гонит трафик до ближайшего подходящего сервера в дата центре расположенного в другой стране. Оттуда и происходит соединение с вашими любимыми сервисами, а значит и ваш IP-адрес в сети теперь совпадает с адресом того самого дата центра.

Да, провайдер видит ваш трафик от устройства до VPN-сервера, но его содержание он посмотреть не сможет, поскольку оно зашифровано. На мой взгляд, данный подход к использованию интернета имеет гораздо больше плюсов, чем минусов. Из минусов основные то, что сервисы VPN, как правило, платные и имеют не такую большую скорость соединения.

Зачем же нужен VPN для обычных пользователей? Первое, что приходит на ум это «удаленщики». То есть люди, которые работают, при этом, не находясь в офисе. Их безопасно интегрировать в корпоративную IT инфраструктуру без VPN просто невозможно.

Второе…. при подключении к интернету через Wi-Fi везде кроме дома нужно пользоваться VPN. Так как в одной сети с вами могут быть одна, а может и не одна банда киберпреступников, которые легко крадут данные из незашифрованного трафика, потом гуляют за ваши деньги на лучших мировых курортах. Если вы применяете сервис VPN в работе, мошенники останутся без прибыли.

Третье… Что бы оставаться на связи с людьми из других стран. Это самое важное. Бывает, что какие – то интернет ресурсы становятся недоступны из вашей страны, а вы там общаетесь со своими родителями или друзьями. Выход один – VPN.

Где взять VPN? Можно собрать его своими руками. Для этого нужны технические навыки в этой сфере и доступ к виртуальной машине (VPS) в каком-нибудь дата центре в стране из которой вы планируете осуществлять работу. Арендовать «железо» можно очень просто. По цене выходит 10—20$ в месяц.

Это решение явно не подойдет большинству пользователей. Именно для них существуют специальные сервисы, они уже провели всю техническую работу за вас.

Услуги, в зависимости от поставщика, могут быть платными, так и бесплатными. Отличаются максимальной скоростью соединения, используемым протоколам шифрования, ограничениями по объему трафика.

Бесплатные скажу сразу лучше не использовать. Они собирают информацию о пользователях, затем продают ее. Так же отличаются низкой скоростью. У платных VPN-сервисов все проще – платите деньги, вам предоставляют качественную услугу.

Предложений на рынке огромное количество. Выбирайте на ваш вкус. Предпочтение лучше отдавать продуктам от известных разработчиков, так как у них, скорее всего, пройден какой никакой аудит и прочие атрибуты большого бизнеса.

Внимание! Это не конец книги.

Если начало книги вам понравилось, то полную версию можно приобрести у нашего партнёра - распространителя легального контента. Поддержите автора!

Страницы книги >> 1
  • 4.5 Оценок: 2

Правообладателям!

Данное произведение размещено по согласованию с ООО "ЛитРес" (20% исходного текста). Если размещение книги нарушает чьи-либо права, то сообщите об этом.

Читателям!

Оплатили, но не знаете что делать дальше?


Популярные книги за неделю


Рекомендации