This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Не відкривайте підозрілі файли, вкладення електронної пошти, або архівні документи, якщо ви не довіряєте джерелу, з якого вони надійшли. Відправляйте небажані листи в папку для спаму перед прочитанням – файли або посилання від людей, яких ви не знаєте, повинні розцінюватися як шкідливі за замовчуванням.
Перевіряйте отримані файли іншим шляхом, ніж той, який використовувався для їх передачі. Наприклад, якщо ви отримали документ MS Word по електронній пошті, зв'яжіться з відправником за допомогою програми обміну миттєвими повідомленнями (месенджеру) або по телефону та спитайте в нього мету відправки файлу та взагалі, чи він вам його відправив.
Перевіряйте отримані файли іншим шляхом, ніж той, який використовувався для їх передачі. Наприклад, якщо ви отримали документ MS Word по електронній пошті, зв'яжіться з відправником за допомогою програми обміну миттєвими повідомленнями (месенджера) або по телефону та спитайте в нього мету відправки файлу та взагалі, чи він вам його відправив.
- Документи MS Office, особливо з макросами: `DOC/DOCX/DOCM`, `XLS/XSLX/XLSM`тощо.
- PDF документи: `PDF`.
- Файли векторної графіки з вбудованим кодом: `SVG`.
- Архіви файлів, особливо захищені паролем.
Іноді, особливо під тиском часу, буває важко відрізнити шкідливі файли від легітимних. Користуйтеся сервісом VirusTotal для перевірки підозрілих файлів шляхом їх одночасного сканування більш ніж 50 антивірусами. Це набагато ефективніше, ніж сканування файлів антивірусом в автономному режимі, але враховуйте той факт, що завантажуючи файли на VirusTotal ви надаєте доступ до нього третій стороні.
- VirusTotal: https://virustotal.com
:wrench: VirusTotal: https://virustotal.com
###Підозрілі посилання
Не відкривайте підозрілі посилання (URL), особливо ті, що вказують на веб-сайти, які ви зазвичай не відвідуєте. Завжди перевіряйте доменні імена веб-сайтів, перш ніж натиснути на посилання: зловмисники можуть замаскувати доменне ім'я, щоб воно виглядало знайомим (facelook.com, gooogle.com і т.д.) Використовуйте HTTPS та перевіряйте SSL-сертифікат веб-сайту, щоб переконатися, що він не склонований або підроблений.
Не відкривайте підозрілі посилання (URL), особливо ті, що вказують на веб-сайти, які ви зазвичай не відвідуєте. Завжди перевіряйте доменні імена веб-сайтів, перш ніж натиснути на посилання: зловмисники можуть замаскувати доменне ім'я, щоб воно виглядало знайомим ('facelook.com', 'gooogle.com' тощо) Використовуйте HTTPS та перевіряйте SSL-сертифікат веб-сайту, щоб переконатися, що він не клонований або підроблений.
Шкідливі URL-адреси можуть "маскуватися" за довільним текстом в HTML-файлах, документах та електронних листах. У веб-браузері або поштовій програмі наведіть курсор миші на посилання (але не натискайте) і почекайте деякий час (1-2 сек), поки не "спливе" реальний URL. Можна також клацнути правою кнопкою миші на посиланні та скопіювати його в текстовий редактор, щоб побачити його фактичну адресу. Використовуйте VirusTotal для перевірки підозрілих посилань так само, як для сканування файлів.
- VirusTotal: https://virustotal.com
Шкідливі URL-адреси можуть бути закодовані в вигляді QR-кодів та/або роздруковані на папері, в тому числі в формі скорочених URL, згенерованих спеціальними сервісами накшталт tinyurl.com, bit.ly, ow.ly тощо. Не вводіть ці посилання в браузер та не скануйте QR-коди вашим смартфоном якщо ви не впевнені у їхньому вмісті або їхньому походженні. Ви можете розгорнути скорочені URL перед відкриттям за допомогою цих веб-сайтів:
:wrench: VirusTotal: https://virustotal.com
Шкідливі URL-адреси можуть бути закодовані в вигляді QR-кодів та/або роздруковані на папері, в тому числі в формі скорочених URL, згенерованих спеціальними сервісами накшталт tinyurl.com, bit.ly, ow.ly тощо. Не вводіть ці посилання в браузер та не скануйте QR-коди вашим смартфоном якщо ви не впевнені у їхньому вмісті або їхньому походженні.
:wrench: Ви можете розгорнути скорочені URL перед відкриттям за допомогою цих веб-сайтів:
- http://checkshorturl.com/
- http://www.expandurl.net/
@@ -43,11 +47,11 @@
Будьте обережні щодо спливаючих вікон та повідомлень у вашому браузері, програмах, операційній системі та мобільному пристрої. Завжди читайте вміст спливаючих вікон та не "схвалюйте" або "приймайте" нічого похапцем.
Спливаючі вікна можуть становити небезпеку у різні способи: деякі дозволяють зловмисникам встановити у вашій системі підробні SSL-сертифікати, які допоможуть їм перехоплювати ваш мережевий трафік; деякі можуть встановлювати зловмисні програми на ваш комп'ютер та смартфон або перенаправляти ваш браузер на зловмисні веб-сайти, які заражають комп'ютери вірусами та іншими зловмисними прогамами.
Спливаючі вікна можуть становити небезпеку у різні способи: деякі дозволяють зловмисникам встановити у вашій системі підробні SSL-сертифікати, які допоможуть їм перехоплювати ваш мережевий трафік; деякі можуть встановлювати зловмисні програми на ваш комп'ютер та смартфон або перенаправляти ваш браузер на зловмисні веб-сайти, які заражають комп'ютери вірусами та іншими зловмисними програмами.
###Підозрілі пристрої
Не підключайте флешки та звонішні диски, не вставляйте CD та DVD тощо у ваш комп'ютер якщо ви не довіряєте повністю їхньому джерелу. Існують техніки зламу комп'ютера ще до того, як ви відкриєте файл на флешці і задовго до того, як ваш антивірус його просканує. Якщо ви знайшли пристрій всередині офісу або на вулиці, якщо ви отримали його по пошті або з доставкою, якщо незнайомець дав вам його з проханням роздрукувати документ або просто відкрити та перевірити його вміст – є великі шанси, що пристрій є зловмисним. Довіряйте лише власним пристроям та будьте обережні з пристроями, які отримуєте від нших людей по роботі або в інших цілях.
Не підключайте флешки та зовнішні диски, не вставляйте CD та DVD тощо у ваш комп'ютер якщо ви не довіряєте повністю їхньому джерелу. Існують техніки зламу комп'ютера ще до того, як ви відкриєте файл на флешці і задовго до того, як ваш антивірус його просканує. Якщо ви знайшли пристрій всередині офісу або на вулиці, якщо ви отримали його по пошті або з доставкою, якщо незнайомець дав вам його з проханням роздрукувати документ або просто відкрити та перевірити його вміст – є великі шанси, що пристрій є зловмисним. Довіряйте лише власним пристроям та будьте обережні з пристроями, які отримуєте від інших людей по роботі або в інших цілях.
##Використовуйте пасфрази замість паролів
@@ -59,7 +63,7 @@
###Як створити сильну пасфразу?
Використовуйте рецепти створення сильних, унікальних пасфраз. Рецепт – це алгоритм, який використовується для фрмування різних пасфраз для різних систем на спільній основі. Наприклад:
Використовуйте рецепти створення сильних, унікальних пасфраз. Рецепт – це алгоритм, який використовується для формування різних пасфраз для різних систем на спільній основі. Наприклад:
Ніхто крім вас не повинен знати ваші пасфрази. Не розказуйте їх нікому, включаючи вашого боса, вашого сисадміна або службу підтримки, вашу дружину, ваших батьків, ваших дітей і т.д. В них немає ніяких логічниї або законних підстав для отримання ваших пасфраз. З технічної точки зору, навіть система, в якій ви використовуєте пасфразу, не має доступу до неї в її первісному вигляді. Замість цього система зберігає "хеш" – її криптографічно захищену копію.
Ніхто крім вас не повинен знати ваші пасфрази. Не розказуйте їх нікому, включаючи вашого боса, вашого сисадміна або службу підтримки, вашу дружину, ваших батьків, ваших дітей тощо. В них немає ніяких логічних або законних підстав для отримання ваших пасфраз. З технічної точки зору, навіть система, в якій ви використовуєте пасфразу, не має доступу до неї в її первісному вигляді. Замість цього система зберігає "хеш" – її криптографічно захищену копію.
Ніколи не записуйте ваші ключові фрази (TODO) на папері або в (незашифрованому) файлі. Захищений паролем файл Excel – це не шифрування. Архів, захищений паролем – не є належним шифруванням. Використовуйте тільки надійні менеджери паролів для зберігання пасфраз, якщо це необхідно.
@@ -105,11 +109,11 @@
Надійні паролі довгі, складні та унікальні. Це означає, що вони повинні бути довше 12 символів, містити різні типи символів (літери, цифри, спеціальні символи), та бути різними для кожної служби, веб-сайту або системи. Паролі не повинні бути засновані на простих словах, які можна знайти в словниках. Паролі не повинні бути когнітивними, це означає, що вони не повинні бути засновані на даних про користувача або систему. В противному випадку, інформація, що стосується користувача або системи, допоможе зловмисникові вгадати пароль.
##Використовуйте двухфакторну автентифікацію
##Використовуйте двохфакторну автентифікацію
###Використовуйте двухфакторну автентифікацію
###Увімкніть двохфакторну автентифікацію
Більшість поважних онлайн-сервісів підтримують двохфакторну автентифікацію. Увімкніть її за допомогою програмного токена (доступний у Facebook, Twitter, Google і т.д.) або за допомогою одноразового пароля з доставкою по SMS.
Більшість поважних онлайн-сервісів підтримують двохфакторну автентифікацію. Увімкніть її за допомогою програмного токена (доступний у Facebook, Twitter, Google тощо) або за допомогою одноразового пароля з доставкою по SMS.
:wrench: URL-адреси для налаштування багатофакторної автентифікації популярних веб-сайтів:
- Apple https://support.apple.com/en-us/HT204915
@@ -128,7 +132,7 @@
Не використовуйте піратське програмне забезпечення. Не запускайте та не встановлюйте програмне забезпечення, завантажене з ненадійних джерел, включаючи торенти та інші peer-to-peer мережі обміну файлами. Це особливо стосується "кейгенів" та "крякалок", які зазвичай вимагають права адміністратора для запуску.
Мораль або етика не мають з цим нічого спільного: це просто абсолютно небезпечно. По-перше, зараження дистрибутиву програми Троянцем та "безкоштовна" пубікація його в Інтернеті – це відомий спосіб зараження систем, і це відбувається набагато частіше, ніж хотілося б. По-друге, на піратське програмне забезпечення рідко можна своєчасно встановлювати оновлення безпеки, які просто не надходять до вашої системи. "Активації" та повторні активації згаять ваш час, а ризики не оновлення програмного забезпечення є неприйнятними.
Мораль або етика не мають з цим нічого спільного: це просто абсолютно небезпечно. По-перше, зараження дистрибутиву програми Троянцем та "безкоштовна" публікація його в Інтернеті – це відомий спосіб зараження систем, і це відбувається набагато частіше, ніж хотілося б. По-друге, на піратське програмне забезпечення рідко можна своєчасно встановлювати оновлення безпеки, які просто не надходять до вашої системи. "Активації" та повторні активації згають ваш час, а ризики не оновлення програмного забезпечення є неприйнятними.
Використовуйте Homebrew для оновлення вашого стороннього ПЗ. Ви можете легко знайти багато програм, які вже використовуєте, у Homebrew:
```bash
$ brew search vlc
$ brew search wireshark
$ brew search gpgtools
brew search vlc
brew search wireshark
brew search gpgtools
```
і т.д.
Щоб встановити Homebrew, ознайомтеся з офіційною інструкцією: http://brew.sh
В якості альтернативи, щоб тримати сторонні програми в актуальному стані, використовуйте MacInformer або еквівалентний інструмент. :exclamation:ПОПЕРЕДЖЕННЯ: хоча це й безпечніше, ніж не використовувати жоден механізм оновлення, такого роду програмне забезпечення може бути "рекламно-агресивним" та звісно ж не таким безпечним, як Homebrew. Отже, URL на продукт тут немає.
@@ -190,7 +192,7 @@ apt update && apt -y upgrade
###macOS
Використовуйте окремий зашифрований зовнішній жорсткий диск для резервного копіювання з допомогою `Time Machine`. Підключайте його кожного разу, коли працюєте над чимось важливим, резервні копії будуть створюватися автоматично. Рекомендований об'єм диску: щонайменше вдвічи більший за об'єм вашого внутрішнього носія. Інструкція від Apple: https://support.apple.com/en-us/HT201250
Використовуйте окремий зашифрований зовнішній жорсткий диск для резервного копіювання з допомогою `Time Machine`. Підключайте його кожного разу, коли працюєте над чимось важливим, резервні копії будуть створюватися автоматично. Рекомендований об'єм диску: щонайменше вдвічі більший за об'єм вашого внутрішнього носія. Інструкція від Apple: https://support.apple.com/en-us/HT201250
Користувачі Linux мають доступ до різноманіття засобів створення резервних копій: від `tar` до `rsync` на мережеву файлову шару. Менш досвідчені користувачі можуть обрати більш комфіртний інструмент: http://www.nuxified.org/blog/easy-linux-backup-software-time-machine-functionality/
Користувачі Linux мають доступ до різноманіття засобів створення резервних копій: від `tar` до `rsync` на мережеву файлову шару. Менш досвідчені користувачі можуть обрати більш комфортний інструмент: http://www.nuxified.org/blog/easy-linux-backup-software-time-machine-functionality/
Ви можете створювати резервні копії ваших даних автоматично, зберігаючи їх у хмарних носіях, таких як `Dropbox`, `iCloud Drive`, `OneDrive`, `Google Drive`та ін. Але не забувайте шифрувати ваші дані перед завантаженням їх у хмару.
Ви можете створювати резервні копії ваших даних автоматично, зберігаючи їх у хмарних носіях, таких як `Dropbox`, `iCloud Drive`, `OneDrive`, `Google Drive`тощо. Але не забувайте шифрувати ваші дані перед завантаженням їх у хмару.
##Використовуйте криптографію
###Перевіряйте шифрування веб-сайтів
Завжди переконуйтесь, що веб-сайт, якому ви передаєте свої чутливі дані, використовує HTTPS. Це означає, що його адреса в адресному рядку браузера починається з "https:// " та його сертифікат перевірений вашим браузером, отже він не робить вам попреджень безпеки.
Завжди переконуйтесь, що веб-сайт, якому ви передаєте свої чутливі дані, використовує HTTPS. Це означає, що його адреса в адресному рядку браузера починається з `https://`та його сертифікат перевірений вашим браузером, отже він не робить вам попереджень безпеки.
Зверніть увагу, що наявності HTTPS не достатньо для виникнення довіри до веб-сайту: будь-хто може згенерувати дійсний сертифікат для свого веб-сервера. Потрібно звернути увагу та перевірити правильність доменного імені веб-сайту, тому що воно може бути легко підроблене, а веб-сайт – "склонований".
Зверніть увагу, що наявності HTTPS не достатньо для виникнення довіри до веб-сайту: будь-хто може згенерувати дійсний сертифікат для свого веб-сервера. Потрібно звернути увагу та перевірити правильність доменного імені веб-сайту, тому що воно може бути легко підроблене, а веб-сайт – клонований.
:exclamation:Ніколи, навіть для тимчасового використання, не приймайте недійсні сертифікати.
:exclamation:Ніколи, навіть для тимчасового використання, не приймайте недійсні сертифікати.
###Шифруйте дані
@@ -240,7 +242,7 @@ apt update && apt -y upgrade
###Шифруйте канали зв'язку
Використовуйте надійне шиврування "з кінця в кінець" для передачі приватних та конфіденційних даних. Шифрування "з кінця в кінець" гарантує, що ніхто, крім вас і вашого одержувача не може отримати доступ до розмови. Засобами шифрування електронної пошти "з кінця в кінець" є `PGP/GPG`, та `S/MIME`. Програми обміну миттєвими повідомленнями, які здійснюють шифрування "з кінця в кінець": `Signal`, `WhatsApp`, `iMessage`, `Viber`, `Threema`. В `Facebook Messenger`, `Google Allo`, і `Telegram` є "секретні чати", які можна розглядати як більш безпечний режим, ніж чати за замовчуванням.
Використовуйте надійне шифрування "з кінця в кінець" для передачі приватних та конфіденційних даних. Шифрування "з кінця в кінець" гарантує, що ніхто, крім вас і вашого одержувача не може отримати доступ до розмови. Засобами шифрування електронної пошти "з кінця в кінець" є `PGP/GPG`, та `S/MIME`. Програми обміну миттєвими повідомленнями, які здійснюють шифрування "з кінця в кінець": `Signal`, `WhatsApp`, `iMessage`, `Viber`, `Threema`. В `Facebook Messenger`, `Google Allo`, і `Telegram` є "секретні чати", які можна розглядати як більш безпечний режим, ніж чати за замовчуванням.
:wrench:Інструкція з безпечного обміну миттєвими повідомленнями та порівняння рівня безпеки сучасних месенджерів від EFF: https://www.eff.org/secure-messaging-scorecard
Інструкція з безпечного обміну миттєвими повідомленнями та порівняння рівня безпеки сучасних месенджерів від EFF: https://www.eff.org/secure-messaging-scorecard
###Шифруйте хмарні дані
Шифруйте дані перед завантаженням в хмару. Пам'ятайте: немає ніякої "хмари", це просто чужий комп'ютер. Boxcryptor є інструментом, який дозволяє шифрувати дані в автономному режимі, перш ніж покласти їх у хмарний диск. Використовуйте його безкоштовно для одного хмарного диску.
Шифруйте дані перед завантаженням в хмару. Пам'ятайте: немає ніякої "хмари", це просто чужий комп'ютер. `Boxcryptor` є інструментом, який дозволяє шифрувати дані в автономному режимі, перш ніж покласти їх у хмарний диск. Використовуйте його безкоштовно для одного хмарного диску.
:wrench: Boxcryptor https://www.boxcryptor.com
:wrench: Boxcryptor: https://www.boxcryptor.com
###Користуйтеся VPN
Для того, щоб захистити ваші мережеві дані та метадані від прослуховування, використовувйте VPN (віртуальная приватна мережа). Ви можете вибрати один з багатьох провайдерів послуг VPN, таких як proXPN або PrivateTunnel. Ви можете встановити і підтримувати свій власний VPN-сервер. Під час віддаленої роботи з бізнес-даними, завжди використовуйте корпоративну VPN.
Для того, щоб захистити ваші мережеві дані та метадані від прослуховування, використовуйте VPN (віртуальна приватна мережа). Ви можете вибрати один з багатьох провайдерів послуг VPN, таких як proXPN або PrivateTunnel. Ви можете встановити і підтримувати свій власний VPN-сервер. Під час віддаленої роботи з бізнес-даними, завжди використовуйте корпоративну VPN.
:wrench: Персональні VPN:
- PrivateTunnel https://www.privatetunnel.com
- proXPN https://secure.proxpn.com
:wrench:Як налаштувати свій власний VPN-сервер: https://www.digitalocean.com/community/tutorials/openvpn-access-server-centos
Як налаштувати свій власний VPN-сервер: https://www.digitalocean.com/community/tutorials/openvpn-access-server-centos
##Мобільна безпека
Мобільна (стільникова) мережа є так само небезпечною, як публічні точки доступу Wi-Fi. Використовуйте ті ж криптографічні засоби у вашій мобільній мережі передачі даних. Не вважайте SMS або ваші голосові розмови приватними: замість цього використовуйте голосові виклики та повідомлення, які шифруються "з кінця в кінець".
Використовуйте `iOS`. Судячи з усього, мобільна безпека `Apple` та безпека їхньої екосистеми застосунків є набагато безпечнішою за рішення на базі ОС Android, які контролюються вашим оператором зв'язку або OEM-виробником (Samsung, LG, Sony і т.д.)
Якщо `Android`, то `Google`. Тільки пряма підтримка операційної системи з боку виробника може гарантувати своєчасні оновлення безпеки. Будь-які додаткові кроки в ланцюжку поставок (OEM постачальники, стільникові оператори, корпоративні ІТ і т.д.) знижають рівень безпеки. У деяких випадках оновлення просто припиняють надходити до вашого пристрою через рік або два після початку його використання.
Якщо `Android`, то `Google`. Тільки пряма підтримка операційної системи з боку виробника може гарантувати своєчасні оновлення безпеки. Будь-які додаткові кроки в ланцюжку поставок (OEM постачальники, стільникові оператори, корпоративні ІТ тощо) знижують рівень безпеки. У деяких випадках оновлення просто припиняють надходити до вашого пристрою через рік або два після початку його використання.
Не "рутайте" (`root`) свій смартфон. Використовуйте тільки дозволені репозиторії додатків, наприклад, `Google Play` та `AppStore`. Не завантажуйте та не встановлюйте "оновлення безпеки", які надходять з неавторизованих джерел програмного забезпечення.
##Фізична безпека
Тримайте ваші речі, де ви можете їх бачити або контролювати. Ваш комп'ютер і гаджети вимагають такого ж рівня фізичної безпеки, який ви забезпечуєте вашим кредитним карткам та ключам від квартири або автомобіля. Пам'ятайте: якщо зловмисник проведе навить недовгий час наодинці з вашим комп'ютером, це вже буде не ваш комп'ютер, а його. Швидше за все, він зможе повністю скомпрометувати вашу систему не доклавши суттєвих зусиль. Блокування сесії користувача може допомогти, але існують сучасні атаки, від яких воно не захищає.
Тримайте ваші речі, де ви можете їх бачити або контролювати. Ваш комп'ютер і гаджети вимагають такого ж рівня фізичної безпеки, який ви забезпечуєте вашим кредитним карткам та ключам від квартири або автомобіля. Пам'ятайте: якщо зловмисник проведе навіть недовгий час наодинці з вашим комп'ютером, це вже буде не ваш комп'ютер, а його. Швидше за все, він зможе повністю скомпрометувати вашу систему не доклавши суттєвих зусиль. Блокування сесії користувача може допомогти, але існують сучасні атаки, від яких воно не захищає.
Отже, не залишайте ваш пристрій без нагляду, особливо коли він працює. Вимикайте його або відправляйте у режим гібернації кожного разу, коли ви залишаєте його без нагляду навіть на декілька хвилин. Налаштуйте запит паролю кожного разу, коли він вмикається.
@@ -305,8 +307,8 @@ apt update && apt -y upgrade
Ця пам'ятка – результат роботи спеціалістів з кібер-безпеки, які мають багаторічний досвід побудови, перевірки та етичного зламу комп'ютерних систем, додатків та мереж.
Ви можете поширювати цю пам'ятку, використовувати її у бізнесі, та змінювати на власний розсуд. Це безкоштовно. Поислання на оригінал та автора вітаються.
Ви можете поширювати цю пам'ятку, використовувати її у бізнесі, та змінювати на власний розсуд. Це безкоштовно. Посилання на оригінал та автора вітаються.
Якщо у вас є що додати або ви знайшли в тексті помилку, напишіть на :email: sapran@protonmail.com
Скомпильовано та підговлено by Vlad Styran, [Berezha Security](https://berezhasecurity.com), https://styran.com
Скомпільовано та підготовлено by Vlad Styran, [Berezha Security](https://berezhasecurity.com), https://styran.com