Post on 11-Jan-2017
Основы цифровой безопасности
Артем ГоряйновОФ “Гражданская инициативаИнтернет политики”artem@gipi.kg
Проблемы
● Отсутствие компьютерной грамотности● Лень● Быстрое развитие технологий● Отсутствие модели угроз● Отсутствие ментора
Кибер гигиенаКибер гигиена
Кибер гигиена
Угрозы x Уязвимости Риск=--------------------------------- Ресурсы
Кибер гигиена
● Ресурс для изучения - securityinabox.org● Использовать только лицензионное программное
обеспечение● Обновлять все программное обеспечение
своевременно, использовать программные средства для автоматического обновления (Secunia PSI, Ninite)
● Скачивайте программы только с официальных сайтов● Смартфон и планшет – это тоже компьютеры
Кибер гигиена
● Вирус на компьютере - 0% безопасности
● Антивирус – обязательная вещь, есть бесплатные антивирусы (Avast, Avira …) и онлайн сервисы virustotal.com
● Антивирус должен постоянно обновляться
● Антивирусы, как правило, не совместимы между собой.
● Существуют программы дополняющие функционал антивирусов (Spybot, MBAM ...)
Кибер гигиена
● Контролируйте доступ к своей информации
● Многие приложения (текстовые редакторы, браузеры) сохраняют данные во временных файлах (CCleaner)
● Используйте сложные уникальные пароли для своих ресурсов
● Используйте обычную учетную запись (не администратора) для работы
Кибер гигиена
● Контролируйте физический доступ к своему устройству
● Шифруйте устройство хранения данных (жесткий диск, SD карты) целиком и нужные данные отдельно
● Обеспечьте резервирование важных данных
● Обычное удаление данных не удаляет информацию с диска (Ccleaner, Eraser)
Кибер гигиена
● После работы на общем компьютере выйдите их всех эккаунтов и поменяйте все пароли
● Не доверяйте общественным WiFi точкам, особенно, если они открытые
● Не открывайте почтовые вложения без проверки антивирусом
● Внимательно смотрите на адресную строку при переходе по ссылкам, чтобы избежать фишинга
Пароли
Пароли
● Дешифрование паролей
● Подбор пароля (прямой перебор, атака по словарю)
● Перехват (клавиатурный шпион, прослушка, прямое наблюдение)
● Обман пользователя
Методы кражи паролей
Пароли
● Достаточно длинным (более 10 символов)
● Неочевидным
● Уникальным
● Обновляемым
● Надежно хранимым
Каким должен быть хороший пароль
Пароли
● Случайные изменения какой-либо фразы
● Мнемонические техники
● Программные средства для создания и хранения паролей - KeePass
Как создать хороший пароль
Вирусы
Вирусы
● “Доисторический” (вирусы для мэйнфрэймов)
● “Доинтернетовский” (вирусы для MS-DOS)
● “Разрушительный” (I Love You, Win95.CIH-Чернобыль)
● Современный (коммерциализация, легализация, Zeus, Stuxnet, Finfisher...)
Этапы развития вирусной индустрии
Вирусы
● Съемные носители информации
● Электронная почта
● Электронные мессенджеры (ICQ, Skype)
● Веб-страницы
● Интернет и локальные сети (через уязвимости ПО)
Как они распространяются?
Вирусы
● Некорректная работа системы, программ
● Замедление работы системы и сети
● Сообщения от вас, которые вы не посылали (по почте,через мессенджеры, соц. сети)
● Информация с вашего компьютера оказывается в Интернет, ...
Косвенные признаки заражения
Вирусы
● Соблюдение кибер гигиены
● Обновляемый антивирус на всех устройствах
● Осторожность при открытии присланных вложений или ссылок.
● Использование virustotal.com
Способы защиты от вирусных угроз
Защита электронной почты
Защита электронной почты
● Обмен почтой – двусторонний процесс
● Почта уязвима на стороне клиентов и сервера
● Вложения в письмах – основная угроза безопасности
Угрозы при использованииэлектронной почты
Защита электронной почты
● Наличие https соединения
● Возможность двухфакторной аутентификации
● Контроль подключений
● Просмотр вложений
Критерии выбора почтового сервиса
Защита электронной почты
● Проверяйте подозрительную активность
● Проверяйте перенаправления вашей почты
● Если возможно, включите двухфакторную аутентификацию
● Не поддавайтесь на попытки фишинга
● Выходите из почты по окончании работы
● Используйте PGP (Pretty good privacy)
Безопасность почтовых сервисов
Безопасная передача данных в Интернет
Безопасная передача данных в Интернет
● Информация может быть перехвачена на любом из узлов прохождения
● Используйте протокол https там, где возможно (плагин HTTPS Everywhere для браузеров)
● Используйте надежные VPN сервисы (SmartVPN, StrongVPN,TunnelBear,WiTopia)
Перехват и шифрование
Безопасная передача данных в Интернет
● Используйте ПО для анонимности и обхода цензуры (Tor, Psiphon, VPN)
● Tor не является средством обеспечения безопасности данных, только анонимности
Анонимность и обход цензуры
Безопасная передача данных в Интернет
● Skype шифрует все соединения
● Skype может быть прослушан только, если на компьютере вирус или есть доступ к серверам Skype
● Чаты Skype могут быть прослушаны, если кто-то похитил ваш пароль (команды /showplaces, /remotelogout)
● Skype сохраняет историю чатов на серверах и компьютере
Безопасность Skype
Безопасность мобильных сетей
Безопасность мобильных сетей
● Мобильные сети и телефоны изначально незащищены
● Мобильные возможности телефона практически полностью подконтрольны оператору
Мобильные сети
Безопасность мобильных сетей
● Прослушивание разговоров
● Перехват интернет-сессий
● Перехват СМС
● Отслеживание местонахождения
● Сохранение всей информации в сети оператора
● Отключение сети
● Утеря и изъятие телефона
Основные угрозы
Безопасность мобильных сетей
● Сохраняйте физический контроль над устройством
● Используйте средства контроля доступа (PIN, пароль, шифрование карты памяти)
● Используйте антивирус
● Не храните и не передавайте конфиденциальную информацию по мобильному телефону
Способы обеспечения безопасности
Безопасность мобильных сетей
● Используйте шифрование для звонков по Интернет (Signal, SilentPhone)
● Используйте шифрование для обмена смс или сообщений (Signal, Telegram, Skype)
● Шифрование – двусторонний процесс.
● Полезный ресурс https://www.eff.org/secure-messaging-scorecard
Способы обеспечения безопасности
Безопасность социальных сетей
Безопасность социальных сетей
● Отделите личную жизнь от общественной
● Контролируйте количество выкладываемой персональной информации
● Будьте осторожными с метаданными в фотографиях (геотаггинг)
Контроль размещаемой информации
Безопасность социальных сетей
● Знайте, кто имеет доступ к размещенной информации
● Контролируйте приложения, которые вы устанавливаете в соц. сетях
● Не интегрируйте разные соц. сети без необходимости
● Всегда используйте https для доступа к своему эккаунту
Контроль доступа к информации
Безопасность социальных сетей
● Рассылка вредоносных ссылок, особенно коротких (http://longurl.org/)
● Фишинг
● Clickjacking, likejacking
● Навязывание приложений или новых функций
Мошенничество в соц. сетях