Комп'ютерна безпека для чайників. Основи комп'ютерної безпеки (загальні поняття). Підвищіть безпеку облікового запису на вашому тарифному плані

Інтернет – багатоликий та небезпечний. Чим більше можливостей він нам дає, тим більше таїть небезпеки та ризики. Крадіжки за допомогою Інтернету вже давно стали реальністю.

Крадіжки бувають із картки чи електронного гаманця. І якщо це ще не трапилося з вами, значить, ви або ас у захисті своєї інформації, або щасливчик, або недостатньо довго користуєтесь глобальним павутинням.


Перші і самі впораються, а ось другим і третім корисно дізнатися про нашу вичавку корисних порад. Адже в Інтернеті не рятують металеві двері. Тут ваша безпека залежить від інших факторів і найголовніше – від ваших дій у певних ситуаціях.

У вас повинен стояти не тільки антивірус з базою, що щодня оновлюється, але і захист від шпигунських програм. Багато хто думає, що, встановивши один антивірус, можна захистити інформацію, і це в результаті стає фатальною помилкою.

Не варто натискати на всі посилання поспіль. Особливо якщо вам їх скинули поштою або в асці. Навіть якщо скинув надійний адресат. Інтернет-серфінг є найпопулярнішим способом упіймати вірус, а отже, дати шанс зловмиснику отримати цінну інформацію. Не завантажуйте дивні, невідомі програми і тим більше не встановлюйте.

При виникненні дивної ситуації, коли ви все ж таки пройшли за незнайомим посиланням, відключіться від Інтернету. Програми, які відповідають за безпеку, можуть видати попередження, або комп'ютер перестане відповідати на запити. Викличте фахівця, який відповідає за безпеку даних - він розбереться, в чому проблема.

Якщо у вас встановлений електронний гаманець або будь-які інші програми, за допомогою яких ви робите інтернет платежі, тим більше необхідно забезпечити безпеку комп'ютера. У разі некомпетентності, запросіть спеціаліста, який здійснить встановлення та налаштування всіх необхідних програм та їх параметрів. Адже ми все частіше не залишаємо свого крісла, щоб оплатити послуги та зробити покупки.

Проходячи процедуру реєстрації, ніколи не зберігайте пароль. Використовуйте різні паролі щоразу, коли десь реєструєтеся. Використовувані паролі мають бути довгими, бажано з цифрами. Міняти паролі краще якнайчастіше, хоча б раз на місяць. Навіть якщо ви виберете якесь одне слово і наберете його за допомогою великих та малих літер - це вже буде чудовим варіантом пароля.

Будьте уважні з тим, де вводите пароль та логін для входу. Нерідко шахраї роблять дублюючі сайти, які точно збігаються з оригіналом - відмінність може бути лише в домені. Але при побіжному погляді це важко помітити, тим більше новачкові. Шахраї використовують дублі для того, щоб красти логіни та паролі користувачів. Після того, як ви введете свої дані, шахраї автоматично впізнають їх і зможуть використовувати у своїх цілях, але вже на цьому сайті.

Ці прості істини, напевно, допоможуть комусь захистити себе в Інтернеті. Окрім хіба що досвідчених користувачів та знавців комп'ютерної безпеки, адже вони й так усе чудово знають.


Коментарі та відгуки

Якщо ви стежите за ринком ігрової периферії, знаєте, що компанія HyperX досить давно і дуже міцно...

Нові моноблоки компанії Dell отримають спеціальну веб-камеру, яка заїжджає всередину корпусу і стає важливим.

Багато сучасних користувачів скаржаться на те, що ноутбуки стали занадто вже компактні і що іноді хо...

Великі виробники вже досить давно випускають на ринок готові персональні комп'ютери, тому що ця продукція використовується в сучасному стилі.

З 16 по 18 серпня під Нижнім Новгородом пройшов головний фестиваль електронної музики Alfa Future People...

Через Глобальну мережу ми ведемо переговори, робимо великі покупки та просто розважаємо себе спілкуванням у соціальних мережах. Дотримання 10 простих правил безпечного користування Інтернетом допоможе захистити свої персональні дані, сам комп'ютер і навіть гаманець.

1. Комплексна система захисту

Бездумне хитання просторами Всесвітньої павутини нерідко займає дозвілля середньостатистичного офісного працівника. Однак, гуляючи по Мережі, можна не тільки отримати багато нової інформації, але й ненароком підчепити кілька нехитрих вірусів і троянів, які можуть завдати чимало незручностей.

На вашому ПК обов'язково має бути встановлений антивірус. При цьому має місце тенденція не обмежувати систему захисту однією антивірусною програмою, а встановлювати «комплексні системи захисту». Зазвичай вони включають антивірус, антиспам-фільтр та ще пару - трійку модулів для повного захисту комп'ютера.

2. Регулярне оновлення програм

Кібер-злочинці постійно вдосконалюють методи злому і буквально щодня у Мережі з'являються нові віруси. Але й методи захисту також регулярно розширюються. Тому не забувайте регулярно оновлювати антивірусну систему, браузери, якими ви користуєтесь, та операційну систему.

3. Складний пароль

Бажаючи полегшити процес запам'ятовування, користувачі часто вибирають один нескладний пароль і застосовують його і до електронної пошти, і до облікових записів в соцмережах, і до електронних гаманців. Це саме те, чого в першу чергу не варто робити. Паролей має бути багато, складних та різних, вони не повинні збігатися, крім того, бажано періодично змінювати паролі.

До речі, придумати якісний та безпечний пароль не так просто. Забудьте про паролі, які відразу приходять в голову і які легко запам'ятати. Дати народження, номери телефонів та інші цифрові паролі на один раз зламуються шляхом підбору. Безпечний пароль складається мінімум із восьми символів (що більше символів, тим безпечніший пароль) і включає літери верхнього та нижнього регістру та цифри. Запам'ятовувати такий пароль складніше, проте шанси хакерів будуть мінімальні.

4. Безпечний серфінг

Проводячи безсонні ночі у Всесвітньому павутинні, не ходіть за посиланнями, які викликають сумніви. Барвисті заголовки з шокуючими новинами зазвичай не становлять жодного інтересу, але, перейшовши за посиланням, ви обов'язково зачепите ще пару сторінок з небезпечним змістом.

5. Спам-фільтри у пошті

Щодня до пошти звичайного користувача можуть звалюватися десятки листів різноманітного змісту. В одних посланнях до вас звертаються на ім'я і пропонують швиденько оформити кредитку якого-небудь банку, в інших пропонують перейти за різними посиланнями або переслати свій пароль від пошти, тому що ви «викриті» у розсилці спаму. Подібні листи краще видаляти, навіть не відкриваючи. Також настройте фільтр захисту від спаму в пошті.

6. Короткість – запорука безпеки

7. Пам'ятайте про фейки

Майже всі популярні соцмережі, чи то «ВКонтакте» чи «Однокласники», мають чимало фейкових (підроблених) «копій». Шахраї повністю копіюють дизайн таких сайтів, але мають дещо відмінну адресу. Так, адреса може відрізнятися всього на одну літеру, на яку ви і не звернете увагу, а в результаті втратите діючий обліковий запис.

8. Не всі файли однаково корисні

Не завантажуйте файли із невідомих сайтів. Найчастіше архів із нікому не цікавим рефератом може містити вірус, позбутися якого буде непросто. І навіть якщо ви завантажуєте файли на перевірених роками користування файлообмінниках, пам'ятайте, що і там може потрапити шкідлива програма. Тому всі отримані з Інтернету (і знімних носіїв) файли варто перевірити антивірусом.

9. Продуманий шопінг

З кожним роком оборот інтернет-торгівлі зростає, а самих віртуальних магазинів стає дедалі більше. Сьогодні стати власником інтернет-магазину нескладно та не потребує величезних матеріальних вкладень. Однак більшість власників невеликих торгових майданчиків не замислюються, як убезпечити персональні дані покупців. Щоб уникнути проблем, варто робити покупки у досить великих та перевірених інтернет-магазинах, які вимагають обов'язкової реєстрації на сайті.

Також, перш ніж оплачувати покупки, зверніть увагу на адресу веб-сторінки, що починається з префікса https, і на піктограму у вигляді закритого замка поряд з адресним рядком, який означає безпечне з'єднання.

10. Допомагайте «чайникам»

Допомагайте вашим близьким освоювати Інтернет. Час, проведений вашим дідусем або мамою за комп'ютером, які бажають просто знайти своїх однокласників або побалакати в скайпі, може обернутися кількома троянами на вашому ПК. Виділіть час і поясніть їм, які ресурси бажано відвідувати і які повідомлення варто ігнорувати.

Ніколи і нікому не повідомляйте свій пароль. Всі системи побудовані таким чином, щоб допомогти в будь-якій ситуації без користувача пароля. Не використовуйте той самий пароль для всіх облікових записів. Використовуйте лише складний пароль, що включає великі та малі літери, цифри та спецсимволи. Hp 7%9 b#jm 0*h) Встановіть пароль на комп'ютер і не зберігайте його на папірці поруч із комп'ютером.

Безпека комп'ютера Використовуйте звичайного користувача для повсякденних потреб, не працюйте з правами адміністратора. Вимкніть автозапуск. Увімкніть блокування комп'ютера та пароль на заставку. Блокуйте комп'ютер, коли відходите від нього. Увімкніть запит пароля під час пробудження. Не залишайте пристрої (ноутбуки, телефони, смартфони) без нагляду в громадських місцях. Зберігайте важливі файли в безпечних та захищених місцях.

Мобільні пристрої (смартфони планшети, ноутбуки) Намагайтеся не користуватися незахищеними бездротовими мережами в готелях, аеропортах, ресторанах та кав'ярнях. По можливості використовуйте VPN послуги, яким довіряєте. Імовірність крадіжки ваших даних збільшується у сотні разів. Не залишайте пристрої без нагляду. Мобільні пристрої мають ті ж проблеми безпеки, що і звичайні комп'ютери.

Крадіжка цифрової особистості Крадіжка особистості - це крадіжка ваших персональних даних (ім'я, номери страховок, ІПН, СНІЛС, права водія і т. д. і т. п.). Дані використовують у різних кримінальних схемах. Може відбуватися шляхом злому вашого комп'ютера або в процесі передачі цієї інформації через інші форми зв'язку (наприклад, анкета на сайті).

Крадіжка цифрової особи Що ви можете зробити? У громадських місцях: не повідомляйте ваші дані вголос. Поставте запитання "Навіщо?" і Чому? Комп'ютер: Обмежте доступ до вашого комп'ютера. Встановлюйте легальне та перевірене ПЗ. Увімкніть антивірус. Використовуйте хороший складний пароль. Смартфон/телефон: Переконайтеся, хто? чекайте дзвінка, зателефонуйте на безкоштовний номер Не повідомляйте відомості про своїх рідних та близьких (у тому числі ім'я, вік, стать, дні народження та інші відомості) Пошта: Будьте обережні, клацнувши за посиланнями у листі. лист Інтернет: Переконайтеся, що сайт відноситься до бізнесу та компанії, про яку йдеться.Перш ніж надавати особисті дані, переконайтеся, що включено захищене з'єднання (наприклад адреса починається з https://).

Фінансова безпека Переконайтеся, що це веб-сайт Вашого банку. Нікому не передавайте конфіденційні дані для входу в систему (логін, пароль, одноразові паролі SMS), у тому числі родичам, колегам або співробітникам банку. Використовуйте складні паролі, що складаються з літер, цифр і спеціальних символів, які ви можете запам'ятати, не записуючи. При використанні одноразових паролів SMS, будь ласка, з особливою увагою поставтеся до того, щоб телефон використовувався тільки вами і доступ третіх осіб до нього був неможливий. Завжди перевіряйте параметри операції (тип, сума, одержувач), що містяться в повідомленні перед введенням коду підтвердження операції SMS або картридера. В особистому кабінеті введіть вашу актуальну адресу електронної пошти. У жодному разі не вказуйте робочу скриньку. Якщо у вас немає підписки на послугу SMS-інформування, додайте її в меню «СМС повідомлення» . Якщо ви підписані на послугу SMS-інформування та у вас змінився контактний номер телефону, зверніться до його зміни до банку. Використовуйте для роботи в Інтернет-банку захищений паролем персональний комп'ютер із встановленим антивірусним програмним забезпеченням та оновленнями безпеки операційної системи. Вхід у систему з чужого комп'ютера, а також з комп'ютерів в інтернет-кафе не є безпечним. Завжди коректно завершуйте роботу в Інтернет-банку, виходьте із системи за посиланням "Завершення сеансу" або "Вихід".


Переклад: Ольга Аліфанова

Як все починалося

Ще нещодавно тестування безпеки (і його не менш лякаючий брат, тестування проникнення) було величезною страшною букою, яку приборкували ті, хто в ній розбирався. Їм за це дуже та дуже добре платили. Потім життя змінилося, і я раптово виявила себе натикається на штуки, які дорого коштували б моєму роботодавцю, якби я їх не спіймала.

Раптом я почала більше дізнаватися про початки тестування безпеки – ніколи не думала, що мені знадобляться такі знання – і це було виснажливо, приголомшливо та жахливо (приблизно порівну).

Ось як я почувала себе:

Коли я почала дізнаватися більше про тестування безпеки, я дізналася, що воно не настільки лякає і безмежне, як мені здавалося. Я почала розуміти, про що говорять люди, які згадують ескалацію привілеїв, сервери під загрозою, або…

Вчитися доведеться багато чому. Але почати не так вже й складно, і, почитавши і подумавши, ви, можливо, зловите вразливість (шматок коду, який хтось із Поганими Намірами може використати, щоб змусити ПЗ працювати так, як воно працювати не повинно) до того, як ПЗ розвинеться до такої міри, щоб потрапити до рук дорогих професіоналів безпеки (що означає, що її дешевше виправити – приємний бонус, Правда?) і задовго до того, як вона просочиться на безкраї простори Дикого, Дикого Захід… кхм, Всесвітньої Павутини.

Мені треба це знати серйозно?

Багато хто скаже, що всім тестувальникам необхідно знати про тестування web-безпеки. Знати про це більше – хороша ідея для всіх, хто проводить час у мережі, але, здається мені, є ситуації, в яких вам не знадобиться інформація про тестування web-безпеки.

Можливо, Вам не потрібно знати про тестуванняWeb-Безпеки, якщо ...

  • Ви є частиною великої команди, в якій є експерти з безпеки. Це їхня сфера компетенції, і якщо вони добре виконують свою роботу, вони працюють разом з вами та вашими розробниками, щоб переконатися, що все знаходиться на правильному рівні безпеки у своїй сфері. А ще вони допомагають вам тестувати програмне забезпечення на предмет проблем безпеки.
  • Ви тестуєте ПЗ, яке викочується користувачам, а потім на нього всім начхати: воно не звертається до ваших серверів і не має справи з конфіденційною інформацією. Офлайн-судоку-додаток буде непоганим прикладом – і якщо компанії все одно, чесним чином досягається велика кількість очок та/або добре захищає свої сервери – онлайн-казуальна гра теж може бути таким прикладом.
  • Це веб-сайт дисплей, і ви не керуєте хостингом.
  • Ви не працюєте в Інтернеті взагалі.

Вам потрібно знати про тестування Web-Безпеки, якщо ...

  • ПЗ вашої компанії зберігає будь-який вид персонально ідентифікованої інформації (вона визначена законом, але вона може бути використана, щоб знайти вас або вашу сім'ю)

Приклади: адреси, пошти (зазвичай у комбінації з іншою інформацією), ідентифікації, випущені державою (номер соціальної безпеки, номер посвідчення водія, паспорт)

  • ПЗ вашої компанії використовує або зберігає будь-який тип платіжної інформації. Якщо ви зберігаєте інформацію про кредитні картки, то в більшості країн існують дуже жорсткі правила зберігання та доступу до таких даних – і дуже високі штрафи за нездатність захистити ці дані. Якщо ви зберігаєте інформацію про банківський рахунок, стандарти не такі суворі, але вам все одно потрібно дивитися в обидва.
  • Ваша компанія повинна дотримуватись закону або процедур, що стосуються безпеки даних. Деякі відомі мені приклади:

Медичні компанії в США повинні дотримуватися низки федеральних законів.

Будь-яка публічно торгується компанія США повинна дотримуватися федеральним законам, що стосуються стандартів. Якщо компанія їм не відповідає, вона не може приймати платежі за кредитними картками та підлягає штрафам та іншим покаранням.

  • Ваша компанія має вимоги щодо конфіденційності даних, які вона зберігає.

Якщо ви вважаєте, що вам потрібно більше дізнатися про тестування web-безпеки, можливо, вам це дійсно необхідно.

З чого почати

Почати вивчати тестування веб-безпеки досить просто – є чудові посилання та інструменти, і ви витратите на них лише свій час. Ви можете багато зробити, використовуючи лише браузер!

Обережно! Попереду небезпека!

Перш ніж ви почнете робити хоч щось руйнівне, переконайтеся, що абсолютно впевнені, що у вас є на це дозвіл. Так, навіть на тест-сервері – його можуть використовувати інші люди для інших цілей, ваша компанія може відстежувати мережу на предмет підозрілої поведінки – та й взагалі, купа факторів відіграє тут роль, про яку ви можете не мати жодного поняття. Завжди, завждиПереконайтеся, що Ви маєте дозвіл пограти в хакера.

Безкоштовні інструменти

Всі інструменти, які я використовую, зроблені під Windows, тому що я працюю у Windows-оточенні. Деякі з них крос-платформні, деякі – ні. Всі вони досить прості у використанні для новачка, що пробує воду безпеки у пошуках багів.

  • Інструменти розробника у браузері. Якщо вони не блоковані вашою компанією, більшість сучасних браузерів дозволяє досліджувати код сторінки, вивчити JavaScript і переглянути мережевий трафік між браузером і сервером. Ви також можете редагувати та запускати рандомні JavaScript у них, пробувати змінювати код, та повторювати мережеві запити.
  • Postman. Незважаючи на те, що це розширення для Chrome, Postman запускається і як окрема програма. Ви можете використовувати його для відправки різних запитів та вивчення відповідей (тут є фішка: майже все в тестуванні безпеки можна зробити масою різних способів. Експериментуйте, щоб знайти свої кохані).
  • Fiddler. Telerik Fiddler – на даний момент мій улюблений інструмент дослідження веб-запитів та маніпулювання ними. Він крос-браузерний, працює на кількох ОС і з нього легко почати тестувати безпеку.
  • IronWASP. Один з менших безкоштовних сканерів безпеки, зроблений під Windows. З ним досить просто працювати, і він зазвичай дає непогані результати.
  • І ще…Доступних інструментів дуже багато. Я тільки почала вивчати безпеку, і лише почала принюхуватися.

Я збираюся сконцентруватися на Fiddler надалі, тому що вважаю його найпростішим з безкоштовних інструментів і найшвидшим для того, щоб перейти від тикання інтерфейсу до дійсно корисних результатів.

Використання Fiddler

Коли я натрапила на цю величезну, і потенційно дуже дорогу вразливість, про яку я розповідала вище, я грала з Fiddler. Добре, що я знайшла її саме тоді: якби вона потрапила на прод, могли б статися великі неприємності.

Налаштування

Я встановила Fiddler із налаштуваннями за замовчуванням. Під Windows ви ще отримуєте плагін для Internet Explorer, що дозволяє запускатись безпосередньо через IE (і налаштувати його для моніторингу тільки IE-трафіку набагато легше, ніж для інших браузерів). Залежно від того, що ви робите, деякі з цих плагінів можуть бути дуже корисними: мої улюблені

  • SyntaxView/Highlight.Надає підсвічування синтаксису для підготовки кастомізованих сценаріїв та перегляду HTML, Javascript, CSS та XML. Робить колупання у веб-коді куди менш болючим, підсвічуючи усі теги та ключові слова. Я великий фанат штук, які роблять концентрацію на важливому простіше, і це одна з них.
  • PDF – перегляд.Дуже важливий, якщо ваш додаток будує PDF-файли "на льоту". Можна клацнути по вкладці та побачити рендер PDF. Наприклад, якщо ви тестуєте банківську виписку у форматі PDF, щоб переконатися, що відкрити виписку іншого користувача неможливо, цей інструмент – ваш друг.

Добридень.

Останнім часом ІТ-безпека стала якимсь трендом, усі про це пишуть, усі про це говорять. Наскільки це взагалі перспективний напрямок? І головне, як до цього приєднатися? Які навчальні матеріали (книги, курси) допоможуть "впровадитися" новачкові в це все?

Відповідає Максим Лагутін, засновник сервісу захисту сайтів SiteSecure

В основному компаніям (середнього та великого бізнесу) зараз цікава практична інформаційна безпека (далі ІБ)та фахівці-практики. Менш цікаві, але все ж таки цікаві менеджери з інформаційної безпеки, які займаються побудовою внутрішніх процесів ІБ та контролем їх дотримання.

З російських курсів можу порекомендувати курси етичного хакінгу від компанії Pentestit, які спрямовані саме на новачків у цій сфері. Також нещодавно Олексій Лукацький, експерт з інформаційної безпеки та відомий блогер у цій сфері, виклав перелік доступних курсів на тему ІБ.

З книг можу порадити «Тестування чорної скриньки» Бориса Бейзера, «Дослідження вразливостей методом грубої сили» Майкла Саттона, Адама Гріна та Педрама Аміні. Також рекомендую підписатися на статті SecurityLab, журнал «Хакер» та переглядати цікаві теми та ставити запитання на форумі «Античат».

Періодично дивитися оновлення варто на Owasp, де розкривається багато моментів по поширенню вразливостей у програмному забезпеченні і в мережі, і дослідження з безпеки інтернету в Росії - наше

Щоб поставити запитання читачам чи експертам, заповніть

Прикладка © 2023 Мобільні та комп'ютерні гаджети