Як не стати кібержертвою

Правила персональної кібербезпеки, які врятують вам гроші, нерви, а може й життя.

Ця пам’ятка – результат роботи спеціалістів з кібербезпеки, які мають багаторічний досвід побудови, перевірки та етичного зламу комп’ютерних систем, додатків та мереж. Ці настанови надаються “як є”, тому автори не несуть відповідальності за ваші дії або бездіяльність. Ви можете поширювати цю пам’ятку, використовувати її у бізнесі, та змінювати на власний розсуд. Це безплатно. Посилання на джерело вітаються та не є обов’язковими.

Дякую, що приділяєте увагу власній кібербезпеці. Поділіться цими правилами з близькими, друзями та колегами, щоб зробити світ трохи безпечнішим. Якщо у вас є що додати або ви знайшли в тексті помилку, напишіть на ✉️ [email protected] або створіть issue у Github.

Table Of Contents

1. Не натискайте каку

Що мається на увазі?

Не відкривайте, не натискайте, та не запускайте підозрілі файли, посилання та програми. 💡 Головне правило: якщо ви на це (лист, файл, посилання тощо) не чекали, – це підозріло.

Підозрілі файли

Не відкривайте підозрілі файли, вкладення електронної пошти, або архіви, якщо ви не довіряєте відправнику. Файли або посилання від людей, яких ви не знаєте, повинні розцінюватися як шкідливі за замовчуванням. Відправляйте небажані повідомлення в спам перед прочитанням.

Якщо ви знаєте відправника, але не очікуєте від нього повідомлень та файлів, перевірте, чи це він. Можливо, його месенджер або email було викрадено. Перевіряйте безпечність повідомлення іншим шляхом, ніж той, який використовувався для передачі. Наприклад, якщо ви отримали документ MS Word електронною поштою, зв’яжіться з відправником за допомогою месенджера або телефоном та спитайте в нього про мету відправки файлу та взагалі, чи він вам його відправив.

❗ Найбільш ризиковані типи файлів:

  • Будь-які файли програм: EXECOMCMDBATPS1SWFJARJSVBS тощо.
  • Документи MS Office, особливо з макросами: DOC/DOCX/DOCMXLS/XSLX/XLSM тощо.
  • PDF документи: PDF.
  • Файли векторної графіки з вбудованим кодом: SVG.
  • Архіви файлів, особливо захищені паролем.

Іноді, особливо під тиском часу, буває важко розпізнати шкідливі файли. Для швидкої перевірки, користуйтесь сервісом VirusTotal. Це сервіс, який перевіряє файли одночасного в більш ніж 50 антивірусах. Але ❗враховуйте той факт, що завантажуючи файли на VirusTotal ви надаєте доступ до нього третім особам.

🔧 VirusTotal: https://virustotal.com

human security
John Klossner on data security and humans

Підозрілі посилання

Не відкривайте підозрілі покликання (URL), особливо ті, що вказують на вебсайти, які ви не відвідуєте. Завжди перевіряйте доменні імена вебсайтів, перш ніж натиснути на посилання. Зловмисники можуть замаскувати назву сайту під щось знайоме (facelook.comgooogle.com тощо) Використовуйте HTTPS та перевіряйте SSL-сертифікат вебсайту, щоб переконатися в його справжності.

Шкідливі URL-адреси можуть ховатися за довільним текстом в HTML-файлах, документах та електронних листах. У веббраузері або поштовій програмі наведіть курсор миші на покликання (але не натискайте) і почекайте 1-2 сек, поки не “спливе” справжній URL за покликанням. Можна клацнути правою кнопкою миші на покликанні та скопіювати його в текстовий редактор, щоб побачити його справжню адресу. Використовуйте VirusTotal для перевірки підозрілих покликань так само як для сканування файлів.

Шкідливі вебадреси можуть бути закодовані в вигляді QR-кодів та навіть видруковані на папері, в тому числі в формі скорочених URL, згенерованих спеціальними сервісами на кшталт tinyurl.combit.lycutt.ly тощо. Не вводьте ці посилання в браузер та не скануйте QR-коди вашим смартфоном якщо ви не довіряєте їхньому вмісту та походженню.

🔧 Розгорнути скорочені URL перед відкриттям можна за допомогою цих вебсайтів:

Спливаючі (pop-up) вікна

Будьте обережні зі спливаючими вікнами та повідомленнями у браузері, програмах, операційній системі та смартфоні. Завжди читайте вміст спливаючих вікон та не “схвалюйте” або “приймайте” нічого похапцем.

Нападники використовують спливаючі вікна у різний спосіб: встановлюють у вашій системі підробні SSL-сертифікати, щоб перехоплювати ваш мережевий трафік; встановлюють зловмисні програми на ваш комп’ютер або смартфон, перенаправляти ваш веббраузер на шкідливі або зламані вебсайти, які заражають комп’ютери вірусами.

Підозрілі пристрої

Не підключайте флешки та зовнішні диски, не вставляйте CD та DVD у ваш комп’ютер, якщо ви не довіряєте їхньому джерелу. Існують техніки зламу комп’ютера ще до того, як ви відкриєте файл на флешці, та задовго до того, як ваш антивірус його просканує. Якщо ви знайшли пристрій в офісі або на вулиці, якщо ви отримали його поштою або кур’єром, якщо незнайомець дав вам його з проханням роздрукувати документ на принтері або просто відкрити та перевірити його вміст – є шанси, що такий пристрій є шкідливим. Довіряйте лише власним носіям та будьте обережні з пристроями, які отримуєте від інших людей.

2. Використовуйте парольні менеджери

Використовуйте парольні менеджери для створення, збереження та захисту паролів та виконуйте такі правила:

  1. Генеруйте довгі, випадкові паролі довжиною від 20 символів.
  2. Створіть складний та довгий майстер-пароль для входу в парольний менеджер.
  3. Оберіть парольний менеджер, який шифрує базу даних перед зберіганням її в хмарі або синхронізацією між пристроями мережею.
  4. Частіше, бажано автоматично, робіть резервні копії бази даних паролів.

🔧 Приклади надійних парольних менеджерів:

Тримайте паролі в секреті

Ніхто крім вас не повинен знати ваші паролі. Не розказуйте їх нікому, включаючи вашого боса, вашого сисадміна або службу підтримки, вашу дружину, ваших батьків, ваших дітей тощо. В них немає жодних логічних або законних підстав для отримання ваших паролів. З технічної точки зору, навіть система, в якій ви використовуєте пароль, не має доступу до нього в первісному вигляді. Замість цього система зберігає “хеш” – криптографічно захищену копію пароля.

Як вигадати майстер-пароль?

Пароль до сховища паролів – це ваш майстер-пароль. Зручний та надійний майстер-пароль складається з чотирьох та більше не пов’язаних між собою слів. Для підсилення паролю, одне з цих слів можна написати у верхньому регістрі.

💡 Приклади сильних паролів, згенерованих програмою 1Password:

hyping-BASKET-bouquet-outs
tinsel-dolt-INDIGENT-echo

XKCD Password Strength
XKCD on password strength

Оновлення паролів

💡 “Правило буравчика”: чим частіше ви використовуєте пароль, тим частіше він повинен змінюватись.

Перевірити чи пароль не скомпрометовано

Витоки баз даних логінів та паролів відбуваються щодня. Перевірте, чи не скомпрометовано ваш пароль за допомогою вебсайту Троя Ханта ‘;–have i been pwned?. Зареєструйтесь на вебсайті, щоб отримувати повідомлення про майбутні компрометації ваших облікових записів.

3. Використовуйте двофакторну автентифікацію

Увімкніть двофакторну автентифікацію

Всі сучасні онлайн-сервіси підтримують двофакторну автентифікацію. Увімкніть її за допомогою програмного токена Microsoft, Facebook, Twitter, Google, Authy тощо. Деякі парольні менеджери також мають цю функцію.

🔧 Налаштування двофакторної автентифікації популярних сервісів:

🔧 Решту сервісів ви знайдете на цьому вебсайті: https://twofactorauth.org

Найкращий другий фактор автентифікації – це ключ безпеки або токен. Найпопулярніші ключі безпеки:

🔧 Зручні додатки для збереження другого фактору:

Уникайте SMS

Для двофакторної автентифікації, використовуйте Google Authenticator, інший додаток, або ключ безпеки. Уникайте використання одноразових паролів через SMS – це вкрай небезпечно.

Via   the Erudite Security Mindset of   Robert M. Lee   & the Superb Illustration Talents of   Jeff Hass   at   Little Bobby Comics.
Little Bobby on 2FA

4. Використовуйте безпечні месенджери

Використовуйте надійне наскрізне шифрування (End-to-End Encryption, E2E) для передачі приватних та конфіденційних повідомлень. Наскрізне шифрування гарантує, що ніхто окрім вас і вашого співрозмовника не може отримати доступ до даних.

🔧 Безпечні месенджери:

💡 Порівняння безпеки месенджерів: https://www.securemessagingapps.com

SMS is just the worst, but I'm having trouble convincing people to adopt my preferred system, TLS IRC with a local server and a patched DOSBox gateway running in my mobile browser.
XKCD on secure messaging

5. Використовуйте віртуальні приватні мережі (VPN)

Щоб захистити ваш мережевий трафік від прослуховування, використовуйте віртуальні приватні мережі (Virtual Private Networks, VPN). Найкращий спосіб зробити це – встановити свій власний VPN-сервер.

🔧 Algo – розгорнути власний сервер VPN в будь-якому популярному хмарному сервісі: https://github.com/trailofbits/algo

🔧 Outline – ще простіший спосіб налаштувати власний сервер VPN: https://getoutline.org/

Використання VPN-сервісів не рекомендується, але може бути допустимим, коли немає змоги скористатися власним VPN.

💡 Порівняльна таблиця VPN-сервісів: https://www.safetydetectives.com/best-vpns/

VPN services in a nutshell

6. Шифруйте дані

Перевіряйте шифрування вебсайтів

Завжди переконуйтесь, що вебсайт, якому ви передаєте свої чутливі дані, використовує HTTPS. Це означає, що його адреса в адресному рядку браузера починається з https:// та його сертифікат перевірений вашим браузером, отже він не робить вам попереджень безпеки.

Однак, наявності HTTPS не достатньо для повної довіри до вебсайту: будь-хто може згенерувати дійсний сертифікат для свого вебсервера. Потрібно звернути увагу та перевірити правильність доменного імені вебсайту, тому що його можна підробити.

❗ Ніколи, навіть для тимчасового використання, не приймайте недійсні сертифікати SSL.

Шифруйте хмарні дані

Шифруйте дані перед завантаженням в хмару. Пам’ятайте: немає ніякої “хмари”, це просто чийсь чужий комп’ютер. Keybase та Boxcryptor – це інструменти, які дозволяють шифрувати дані в автономному режимі, перш ніж завантажити їх у хмарне сховище. Cryptomator створює універсальний зашифрований логічний диск, який можна синхронізувати між вашими пристроями через хмарне сховище.

🔧 Keybase: https://keybase.oi

🔧 Cryptomator: https://cryptomator.org

🔧 Boxcryptor: https://www.boxcryptor.com

Шифруйте дані на диску

Використовуйте функцію Full Disk Encryption вашої операційної системи для захисту даних на ноутбуці або ПК від крадіжки або втрати. FDE це безплатна функція у Linux, MacOS та Windows Pro.

macOS

Увімкніть File Vault (інструкція від Apple). Ось і все, ви це зробили.

Linux

Використовуйте LUKS або інші засоби повного шифрування диску. Як альтернативу, під час встановлення ОС зазвичай можна вибрати параметри шифрування диску або шифрування тільки вашого домашнього розділу. Ось це достатньо детальна інструкція для Arch, але кожен популярний дистрибутив має аналогічний документ.

Windows

Ввімкніть BitLocker. Це швидко зробити та легко налаштувати та використовувати, тому що це “рідний” механізм ОС Windows. Інструкція від Microsoft.

У разі, якщо ваша версія ОС Windows поставляється без BitLocker, використовуйте “сторонні” рішення. Наприклад VeraCrypt, який є відгалуженням від TrueCrypt, ❗ який наразі припинив існування та не рекомендується для використання.

🔧 VeraCrypt: https://veracrypt.codeplex.com

💡 Ви також можете шифрувати зовнішні диски або окремі файли.

 - Dilbert by Scott Adams
Dilbert on cloud encryption

7. Операційна система та програми

Не запускайте програми з правами адміністратора. Завжди входьте в ОС з правами “звичайного” користувача та за потреби підвищуйте привілеї в меню програми Run As... коли це потрібно.

❗ Запускаючи програми з правами локального адміністратора, ви надаєте їм можливість перехоплювати доступ та дані інших користувачів, які зараз працюють на вашому комп’ютері або нещодавно заходили в нього. Таким чином зловмисник може перехопити реквізити доступу доменного адміністратора корпорації та повністю скомпрометувати домен Active Directory.

Не використовуйте піратські програми. Не запускайте та не встановлюйте програми, завантажені з ненадійних джерел, включаючи торенти та інші мережі обміну файлами. Це особливо стосується “кейгенів” та “крякалок”, які зазвичай вимагають прав адміністратора для запуску.

Windows

Увімкніть автооновлення (Auto-Update) у ОС Windows. Для більш детального опису дій зверніться до офіційної інструкції.

Переконайтеся в тому, що автооновлення Windows налаштоване для перевірки оновлень для всіх продуктів Microsoft, включаючи MS Office.

Оновлюйте програмне забезпечення від “сторонніх” постачальників регулярно та автоматично.

macOS

Увімкніть автооновлення в AppStore як рекомендує Apple. Увімкніть автооновлення MS Office в macOS як рекомендує Microsoft. Увімкніть автооновлення всіх інших програм у системі.

Linux

Сучасні дистрибутиви Linux дають змогу налаштувати автооновлення за допомогою засобів ОС, або ж регулярно оновлювати ПЗ вручну. Наприклад, в Ubuntu Linux оновлення ПЗ здійснюється за допомогою команди

apt update && apt -y upgrade

За подробицями щодо вашого дистрибутиву Linux зверніться до документації.

Update
XKCD on software update

8. Антивірус

macOS та Linux

В Linux або macOS не користуйтеся антивірусом. Використання антивірусу в не-Windows системі становить більший ризик, ніж загроза інфікування вірусом. Якщо використання антивірусу не уникнути, встановіть Malwarebytes або BitDefender.

🔧 Malwarebytes https://www.malwarebytes.com

🔧 BitDefender https://www.bitdefender.de

Windows

У Windows користуйтеся антивірусом. Увімкніть та не вимикайте вбудований Microsoft Defender.

Virus vs. Antivirus via System32Comics

9. Фаєрвол

macOS

Увімкніть та налаштуйте вбудований фаєрвол macOS у розділі System Preferences -> Security & Privacy -> Firewall. Розширені параметри Firewall Options... дозволяють більш детально його налаштовувати, наприклад, блокувати всі вхідні з’єднання, налаштовувати вхідні та вихідні фільтри для конкретних програм, а також дозволяти вхідні підключення до системних і підписаних програм. Увімкніть Stealth Mode, якщо ви хочете зробити ваш Mac недоступним для будь-якого іншого пристрою.

Встановіть та навчіться користуватися одним зі спеціалізованих клієнтських фаєрволів, таких як

🔧 Little Snitch (комерційний) або

🔧 LuLu (безкоштовний з відкритим кодом).

Windows

TODO

Linux

TODO

10. Робіть резервні копії

macOS

Використовуйте окремий зашифрований зовнішній жорсткий диск для резервного копіювання з допомогою Time Machine. Підключайте його кожного разу, коли працюєте над чимось важливим, резервні копії будуть створюватися автоматично. Рекомендований об’єм диску: щонайменше вдвічі більший за об’єм вашого внутрішнього носія. Інструкція від Apple.

Windows

У Windows 10 налаштування функції створення та відтворення з резервних копій дуже просте і може бути здійснене в меню Settings -> Update & Security -> BackupІнструкція Microsoft.

Для Windows 8.1 та 7 виконайте ці рекомендації Microsoft щодо роботи з резервними копіями даних та системи.

В якості альтернативи, оберіть та використовуйте програмне забезпечення від стороннього постачальника.

Linux

Користувачі Linux мають доступ до різноманіття засобів створення резервних копій: від tar до rsync на мережеву файлову шару. Менш досвідчені користувачі можуть обрати більш комфортний інструмент.

Ви можете створювати резервні копії ваших даних автоматично, зберігаючи їх у хмарних носіях, таких як DropboxiCloud DriveOneDriveGoogle Drive тощо. Але не забувайте шифрувати ваші дані перед завантаженням їх у хмару.

Backups
XKCD on backups

11. Мобільна безпека

Мобільна (стільникова) мережа є так само небезпечною, як публічні точки доступу Wi-Fi. Використовуйте ті ж криптографічні засоби у вашій мобільній мережі передачі даних. Не вважайте SMS або ваші голосові розмови приватними: замість цього використовуйте голосові виклики та повідомлення, які шифруються наскрізь.

Використовуйте iOS. Судячи з усього, мобільна безпека Apple та безпека їхньої екосистеми застосунків є набагато безпечнішою за рішення на базі ОС Android, які контролюються вашим оператором зв’язку або OEM-виробником (Samsung, LG, Sony тощо.)

Якщо Android, то Google. Тільки пряма підтримка операційної системи з боку виробника може гарантувати своєчасні оновлення безпеки. Будь-які додаткові кроки в ланцюзі постачання (OEM постачальники, стільникові оператори, корпоративні ІТ тощо) знижують рівень безпеки. У деяких випадках оновлення просто припиняють надходити до вашого пристрою через рік або два після початку його використання.

Не “рутайте” (root) свій смартфон. Використовуйте тільки дозволені репозиторії додатків, наприклад, Google Play та AppStore. Не завантажуйте та не встановлюйте “оновлення безпеки”, які надходять з неавторизованих джерел програмного забезпечення.

Cyber Security Cartoon 96 -  "How To Remove Mobile Device Bloatware"

Charlie Ciso on mobile security

12. Фізична безпека

Тримайте ваші речі, де ви можете їх бачити або контролювати. Ваш комп’ютер і гаджети вимагають такого ж рівня фізичної безпеки, який ви забезпечуєте вашим кредитним карткам та ключам від квартири та автомобіля. Пам’ятайте: якщо зловмисник проведе навіть недовгий час наодинці з вашим комп’ютером, це вже буде не ваш комп’ютер, а його. Швидше за все, він зможе повністю скомпрометувати вашу систему. Блокування екрану допомагає, але існують сучасні атаки, від яких воно не захищає.

Отже, не залишайте ваш пристрій без нагляду, особливо коли він працює. Вимикайте його або відправляйте у режим гібернації кожного разу, коли ви залишаєте його без нагляду навіть на декілька хвилин. Налаштуйте повне шифрування диску та запит паролю кожного разу, коли він вмикається.

Здійснюйте чутливі та нечутливі операції з різних комп’ютерів. Якщо ви дозволяєте дітям грати в онлайн-ігри на комп’ютері, який ви використовуєте для онлайн-банкінгу – вас зламають. Якщо ви відвідуєте інтернет-крамниці з ПК в комп’ютерному клубі або інтернет-кафе – вас зламають. Якщо ви відправляєте ділові листи з ПК у відкритій зоні вашого готелю – вас зламають.

Використовуйте окремий комп’ютер для бізнесу та фінансових операцій та усіх дій, які вимагають приватності або конфіденційності. Використовуйте спеціальну віртуальну або фізичну машину для найбільш критичних операцій.

❗ В деяких авторитарних країнах вас можуть попросити надати пароль до вашого зашифрованого носія інформації на кордоні та в аеропорті. Перетинаючи кордони таких держав, скористайтеся порадою: попросіть людину, якій ви довіряєте (бажано юриста) змінити ваш пароль перед від’їздом та надати його вам лише коли ви завершите подорож. Повторіть процедуру на зворотному шляху.

Security
XKCD on physical security

Подяка

Цей посібник був би неможливий без допомоги багатьох фахівців галузі кібербезпеки в Україні та за кордоном. Я щиро вдячний всім, хто зробив внесок у зміст цього документу та пропонував правки та оновлення під час та після його створення. Скомпільовано та підготовлено Vlad Styranhttps://styran.com

Special thanks go to Boris “@jadedsecurity” Sverdlik for a great deal of inspiration and coining the “Don’t click shit” slogan.

Взяти участь в розробці: https://github.com/sapran/dontclickshit/.