Как известно, наверное, читателям, с легкой руки Еврокомиссии у нас появился еще один праздник – День безопасного Интернета (Safer Internet Day) - праздник, отмечаемый в первый вторник февраля. Главный координатор Дня — некоммерческая организация Insafe (European Safer Internet Network).
Откровенно говоря, я не понимаю, как можно отмечать день того, чего нет, но оставим это на совести Еврокомиссии. Ведь будем откровенны хотя бы перед собой – безопасный интернет более всего похож на светлое коммунистическое будущее. Он, увы, существует только в мечтах идеалистов.
Об опасностях интернет-серфинга написаны десятки тысяч статей и, наверное, тысячи книг. И все равно пользователи совершали и совершают массу ошибок. Наверное, надеются на то, что им повезет. Спешу уведомить, что может в этот конкретный раз и повезет, а в общем, не думаю.
Что такое интернет сегодня? Это с одной стороны бесконечное количество знаний, а с другой – огромное количество угроз. Лезть туда, не вооружившись знаниями в области информационной безопасности – это все равно что невооруженным пытаться пройти в джунглях. Попробуйте мне возразить, порадуйте меня.
В чем основная проблема безопасности интернета?
На самом деле проблем много. Основная – анонимность. С одной стороны, анонимность гарантирует вам свободу, с другой – позволяет совершать неблаговидные поступки и, более того, преступления.
Вторая проблема – пользователей интернет становится все больше и больше. В данном случае речь идет как о пользователях-людях, так и устройствах. Еще недавно чайник с доступом в интернет казался фантастикой, а уже сегодня мы получили целый новый класс – Internet of Things (IoT), интернет вещей, о безопасности которого мы только начинаем задумываться.
Десять лет назад мобильный интернет был экзотикой, а уже сегодня автобусные остановки в Кишиневе оборудованы бесплатным Wi-Fi, впрочем, как и метро в Москве и Киеве.
Соответственно, раз растет число посетителей Интернет, причем посетителей безграмотных, то растет и количество успешных атак на них. Причем растет из года в год. Рассмотрим статистику.
В России интернетом пользуются 82 миллиона человек. Из них 50 миллионов — используют мобильные гаджеты. 67% от всех пользователей в сеть хотя бы раз в месяц заходят с персонального компьютера. Доля мобильных пользователей выросла на 90% за 2014 год.
В I квартале 2015 года число уникальных посетителей интернета в России выросло на 30% до 796 миллионов, а количество пользователей увеличилось на 5% — это говорит о росте числа гаджетов.
Основные цифры:
- Общее количество пользователей рунета: 82 миллиона человек.
- Используют ПК ежемесячно: 67%.
- Используют только мобильные устройства: 14% (11,8 миллионов)
- Смартфоны: 41%.
- Планшеты: 26%.
- Smart-TV: 11%
Таким образом, число платформ, подключенных к Интернет и нуждающихся в защите, постоянно растет. Соответственно растет и количество угроз.
Что можно посоветовать?
Используйте лицензионное программное обеспечение
Как ни странно, но этот совет повторяется год от года и все так же игнорируется пользователями. Казалось бы, уже давно пора понять, что пираты – не альтруисты и если ПО ломают и выставляют в интернет, то значит кто-то с этого что-то получает. А за счет кого получает? Правильно, за ваш счет. Способы оплаты при этом могут быть весьма и весьма разными. Реклама, внедрение вредоносного ПО и т.д. Проще заплатить один раз чем расплачиваться ежедневно.
Регулярно обновляйте программное обеспечение
Увы, но программное обеспечение пишут люди и им свойственно делать ошибки. Именно с целью закрыть подобные ошибки (уязвимости ПО) и необходимо его регулярное обновление. Если с продуктами от Microsoft проблема обновления более-менее решена, компания выпускает обновления регулярно, то вот с обновлениями ПО от сторонних разработчиков на ПК все выглядит куда более грустно. Чем и как обновлять сторонние приложения? Если для корпоративных пользователей можно предложить Kaspersky Endpoint Security, то как быть персональным?
Здесь на помощь могут прийти следующие продукты:
- Kaspersky Internet Security
- Personal Software Inspector
Рассмотрим их чуть подробнее.
Kaspersky Internet Security 2016
Поиск уязвимостей с помощью KIS 2016 осуществляется следующим образом.
Рисунок 1 Главное окно KIS 2016
В главном окне KIS 2016 (рис.1) выберите «Дополнительные инструменты».
Рисунок 2 Инструменты
В окне Инструменты выберите Поиск уязвимостей.
Рисунок 3 Поиск уязвимостей
Рисунок 4 Перечень уязвимостей
Как видно из перечня уязвимостей (рис.4), это не совсем те уязвимости, которые устраняются установками обновлений, но устранять их необходимо, тем более что это очень легко делается.
Personal Software Inspector
Personal Software Inspector (PSI) – бесплатное программное обеспечение от компании Secunia. Его можно бесплатно использовать частным лицам. Загрузить его можно по следующей ссылке https://secunia.com/vulnerability_scanning/personal/ .
Данное программное обеспечение проводит сканирование установленных приложений, обнаруживает возможные уязвимости в установленном ПО и может автоматически загружать обновления или просто предупреждать пользователя о необходимости установки тех или иных обновлений ПО.
На мой взгляд, весьма удобно. Правда следует учесть, что после обновлений ваше нелицензионное ПО может просто не работать.
Рисунок 5 Главное окно PSI
Обновление мобильных устройств
Увы, ваши мобильные гаджеты также нуждаются в обновлении. И если с мобильными устройствами на базе Windows все более-менее понятно, то обновление устройств под управлением Android сегодня представляет собой чаще всего головную боль.
Проблемы обновления Android как следствие свободного ПО
Да-да, я не ошибся. Сегодня на рынке Android присутствует более тысячи производителей различных смартфонов и планшетов. Вместе с тем, исследование показало, что 87% устройств под управлением Android небезопасны! Производители просто не в состоянии обеспечить обновления системы защиты.
Как показало новое исследование, проведенное специалистами Кембриджского университета, 87% устройств имеют различные уязвимости, что позволяет их атаковать с помощью различных вредоносных приложений. Виноваты производители, ведь они не обеспечивают регулярные обновления защиты.
Несмотря на то, что Google выпускает обновления, все же большинство устройств остаются не обновлёнными. Почему?
А вот тут я предлагаю вам немного подумать. Android изначально позиционируется как свободное ПО. Что это означает? А означает это то, что версия 4.2 от Samsung будет отличаться от версии 4.2 от компании LG и уж тем более обе версии будут в корне отличаться от версии какого-то китайского производителя. Следовательно, каждый производитель может и должен разрабатывать свою версию обновлений. Более того, обновления для одного смартфона могут в корне отличаться от обновлений другого смартфона одного и того же производителя.
Итого, что мы имеем? Мы имеем огромное количество смартфонов, которые не просто сложно обновлять! Их просто невозможно обновить. Мало того, Google заявил, что не будет обновлять смартфоны и планшеты, выпущенные более 2-х лет назад. Таким образом вам, уважаемые пользователи, предлагают покупать модели, которые устареют за 2 года настолько, что вы должны купить себе другие.
Почему я говорю, что все это следствие того, что Android – свободное ПО? Да потому что у Android нет понятия стандарта операционной системы. Как следствие – нет возможности изготовления и распространения единообразных обновлений независимо от конкретного производителя «железа».
Что делать? Не знаю. Одним из вариантов решения является смена устройства как минимум раз в два года. Устроит ли это вас? Не уверен!
Какие Android-смартфоны являются самыми безопасными?
Как показала группа исследователей из Кембриджского университета, 87% устройств под управлением Android уязвимы к атакам вредоносного программного обеспечения. На протяжении многих лет они убеждали пользователей Android установить приложение Device Analyzer, чтобы собрать статистику использования, которая поможет понять, как люди используют свои смартфоны, и разработать рекомендации для улучшения будущих моделей.
Согласно результатам исследования, в уязвимостях устройств чаще всего виноваты производители, потому что большинство из них не обеспечивает регулярные обновления системы защиты. Узкое место в экосистеме Android — это именно производители устройств, а не разработчик ОС, операторы или пользователи. К сожалению, усилий Google сегодня явно недостаточно. Телефонам требуются обновления от производителей, а большинство устройств их просто не получает.
Однако у производителей нет стимула выпускать обновления. Можно вспомнить заявления Google и Samsung о том, что устройства, произведенные более двух лет назад, обеспечиваться обновлениями не будут, так как это потребует значительных усилий.
Исследование показало, что устройства, созданные LG и Motorola, а также модели Google Nexus, намного безопаснее других.
Целью исследования было продемонстрировать, что не все устройства под управлением Android равнозначны в плане безопасности. Идеально, чтобы подобные исследования побудили производителей своевременно поставлять обновления. Произойдет ли это, покажет время.
Не стоит думать, что устройства iPhone намного безопаснее. Почти 20 млн устройств не могут быть обновлены, хотя остаются в рабочем состоянии. Да и все, наверное, помнят историю с обновлением до версии 9.0. После установки соответствующей версии iPhone 4 стали вести себя нестабильно, зависали и работали со значительным замедлением.
А как быть с обновлением приложений под Android? И снова вам на помощь сможет прийти PSI под Android https://play.google.com/store/apps/details?id=com.secunia.msi
Personal Software Inspector (PSI) Secunia для Android - бесплатный сканер безопасности, который позволяет пользователю просматривать свое мобильное устройство и обнаруживать уязвимости установленных программ.
Secunia PSI работает при помощи API Android, собирая информацию об установленных приложениях. Эти файлы содержат meta информацию, предоставленную продавцом программного обеспечения.
После исследования всех программ на вашем мобильном устройстве собранные данные посылаются на сервера Secunia чтобы точно определить приложения, установленные на устройстве.
В дальнейшем, проводя сканирование, вы сможете регулярно (по умолчанию ежедневно) искать и исправлять соответствующие уязвимости.
Резервное копирование
Если раньше о необходимости резервного копирования говорили в основном для корпоративного сектора, то сегодня, увы, все стало куда как хуже.
И, снова-таки, еще пару лет тому назад такое злонамеренное ПО, как вредонос-шифровальщик, был в первую очередь характерно для Windows, то уже начало этого года порадовало нас появлением кроссплатформенного зловреда Ransomware32, который может быть запущен как под управлением Windows, так и OS X и Linux.
Мало того, так как за написание подобных зловредов взялись как достаточно квалифицированные злоумышленники, так и злоумышленники рангом пониже, то сегодня даже уплата и получение ключа шифрования не гарантирует вам расшифровку вашего ПК. Ведь участились случаи, когда даже с помощью полученного ключа информация не может быть расшифрована, так как процесс шифрования/расшифровывания написан с ошибками.
Потому рекомендация может быть только одна – создание резервной копии. Регулярное создание на внешний носитель, подключаемый только на время создания резервной копии. Каким ПО вы при этом будете пользоваться – встроенным в Windows, Acronis или каким-то еще, значения не имеет. Главное, делайте это постоянно!
Естественно, это же касается не только ПК, но и ваших смартфонов и планшетов. Более того, даже в большей мере. Почему? Да потому что ваши мобильные устройства можно потерять или просто украсть.
Отдельным пунктом стоит аутентификация на сервере электронной почты и в социальных сетях.
С развитием технологий уровень вашей информационной безопасности становится все ниже. Давайте порассуждаем.
Сегодня говорить об уровне защиты персональных данных просто смешно. Люди сами выставляют личную информацию в интернет. Более того, идет активная торговля личными данными. Личная информация становится товаром. Чем на это отвечают пользователи? Всеобщей истерией выставляя в социальных сетях все больше и больше своих данных. Имя, фамилия, фотографии детей, домов, машин. Фотографии из мест проведения отдыха и т.д. Вплоть до того, что их бестолковые величества собираются сейчас съесть и где именно они находятся. Все это и составляет так называемый психологический портрет. Большинство пользователей предпочтет удобства безопасности.
Рассмотрим настройку 2FA на примере электронной почты от Microsoft и Google, а также социальной сети Facebook. На самом деле вовсе не принципиально, какие именно службы вы используете.
Что такое 2FA?
2FA – двухэтапная аутентификация. Суть ее заключается в том, что вы вводите пароль, в ответ на заранее определенный вами телефон приходит SMS-код, содержащий 6-7 значную цифровую последовательность, которую вас просят ввести снова в качестве кода подтверждения. Таким образом, даже если злоумышленник перехватит ваш пароль, ему потребуется еще и узнать ваш код подтверждения.
Некоторые компании (Google, Facebook) могут предоставить вам по вашему требованию список кодов, которые можно использовать при отсутствии SMS. Как правило это порядка 10 кодов. Недостаток этого способа состоит в том, что вы можете просто потерять этот список.
Настройка 2FA в сервисах Microsoft (Outlook, One Drive)
Для настройки вам необходимо сделать следующее:
- Войдите в вашу почту на Outlook.com.
- Выберите:
2.1. Параметры учетной записи.
2.2. Безопасность и конфиденциальность.
2.3. Параметры безопасности.
2.4. Включить двухэтапную аутентификацию.
Далее вы можете либо использовать SMS для получения кода идентификации, либо настроить приложение Authenticator («Приложение проверки личности». Данное приложение позволит вам генерировать код доступа непосредственно на вашем смартфоне, не используя SMS для его получения. На мой взгляд, это намного удобнее. Особенно если вы, как и я, приезжая за границу, сразу же покупаете местную сим-карту, поскольку это значительно дешевле роуминга.
Для этого выбираем «Настройка приложения проверки личности».
В появившемся окне выбираем тип операционной системы вашего смартфона:
- Windows Phone
- Android
- iPhone, iPad или iPod touch
- Другое
В моем случае это Windows Phone. На самом деле это не важно, так как весь процесс дальнейшей настройки в различных ОС похож и описывается на русском языке.
Установите приложение из соответствующего хранилища приложений (Windows Store, Google Play). Далее пройдите с его помощью аутентификацию.
Теперь вам не нужно в дальнейшем получать SMS, ведь вы сможете получать соответствующий код с помощью приложения, и ваша аутентификация будет осуществляться с помощью кода приложения, генерируемого на вашем устройстве, а не получаемого с помощью SMS. Таким образом, фактически все равно какая сим-карта находится в вашем смартфоне.
Вместе с тем хочу сказать, что в случае использования недоверенных общедоступных Wi-Fi сетей (аэропорт, кафе и т.д.) гораздо более эффективным будет другой способ аутентификации, доступный, увы, только для пользователей почты от Microsoft.
На стартовой странице www.outlook.com вы можете войти, не набирая свой пароль, а используя ссылку Войти с помощью разового кода. В этом случае на заранее указанный телефонный номер вам придет СМС с одноразовым кодом. Или, если вы используете приложение Проверка подлинности (Authenticator), то прямо на экране своего смартфона увидите одноразовый код, который и введете в строку пароля. Этот код изменяется каждые 30 секунд.
Учтите, что такой одноразовый пароль вы фактически сможете использовать только в случае использования сервисов от Microsoft.
В случае, если вы используете аналогичный способ от Google, вам необходимо выбрать Профиль – Двухэтапная аутентификация.
Если вы хотите создать код доступа с помощью приложения, учтите, что (в отличие от Microsoft) вы сможете установить приложение только для Android, iPhone и BlackBerry. Видимо о существовании смартфонов под управлением других ОС специалисты Google просто не подозревают. Приложение устанавливается из Google Play.
Для тех, кто будет вынужден использовать SMS, есть другой выход. Однократно войти используя код, полученный в SMS, а затем указать ваш новый номер телефона (сим-карты страны, в которой вы находитесь), в качестве резервного. И использовать его. При возвращении вы сможете использовать ваш основной номер, а резервный просто удалить.
Безусловно, можно заранее запросить список будущих кодов доступа, но ведь всегда его можно потерять, следовательно, такой вариант получения кодов стоит признать наименее надежным.
Внешне может показаться что подходы Google и Microsoft одинаковы. Но это в корне неверно:
- У Google есть приложение Authenticator для iPhone, Google и BlackBerry. В сущности, это одно и то же ПО. То есть приложения для генерации кодов в операционной системе Windows Phone и других ОС -НЕТ
- У Google способ аутентификации One Time Password (ОТР) в чистом виде не реализован. Нужно вначале ввести пароль, потом код. ВСЕГДА! Только код, без пароля ввести нельзя.
- У Мicrosoft можно ввести ТОЛЬКО код, без ввода пароля, что позволяет говорить о реализации ОТР
- У Мicrosoft есть Authenticator для WP, Android, iPhone и ДРУГИХ ОС.
2FA в социальных сетях
Настройка 2FA в Facebook описана достаточно полно. Если вы хотите использовать этот способ аутентификации за границей, у вас есть выход. Работайте со смартфона как обычно, залогинившись в своей стране с помощью своей сим-карты. В дальнейшем ваш смартфон просто запомнит токен безопасности и вам не потребуется снова логиниться. Но на всякий случай распечатайте список кодов и храните его подальше. В случае необходимости вам потребуется ввести ваш пароль и код безопасности из списка.
Каким способом вы будете пользоваться, я не знаю. Но отключать 2FA не стоит!
Недостатки 2FA
Первый же комментарий пользователя – мне это не надо, я и паролем обойдусь. Вот и ответ на вопрос, почему с безопасностью все хуже и хуже. Пользователь просто не желает сменить привычное удобство на повышенные меры безопасности. Имею ли я право ругать его за это? Нет. Это его выбор. Но только когда дело доходит до взлома учетной записи и хищения информации, тут же раздается громкое «Вот, операционные системы (сервисы) ненадежны, и они ничего не делают для усиления безопасности!» А может просто нужно внимательнее почитать документацию? Я понимаю, что рядовым пользователям читать документацию, да и просто читать что-либо сегодня некогда, да и неохота. Но тогда может слушать тех консультантов, для кого это просто профессия?
Но ведь читать – это признаваться в собственной некомпетентности и лени, а главное, переступить через свое удобство? Вот и получается, что в выборе между удобством и безопасностью побеждает удобство. Очень хочется потом спросить, ну что, помогло тебе твое удобство? Пользователям пора уже научиться оценивать свои риски того или иного действия. Но, боюсь, до этого еще очень и очень далеко. Но в таком случае вам не поможет ни один профессионал. Добро пожаловать в информационный мир.
Антивирусное ПО
О необходимости наличия антивирусного ПО написано много литературы. Но пользователи никак не научатся не просто поставить какое-то антивирусное ПО, а, во-первых, понять какое именно ПО они устанавливают, во-вторых, антивирусное ПО должно быть с актуальными модулями и базами, ну и последнее, как бы вам ни хотелось использовать бесплатное ПО, стоит понимать, что бесплатный сыр только в мышеловке, да и то, как правило, для второй мышки.
Производители бесплатных антивирусов вынуждены как-то зарабатывать. Это может быть показ рекламы вам, уважаемые пользователи, либо бесплатное тестирование на вас своих новых технологий (естественно, вы, уважаемые читатели, знать об этом не будете), а любой тест означает наличие каких-то ошибок, либо просто, по примеру AVG Antivirus Free, вам будет заявлено, что антивирус собирает о вас информацию для продажи третьим лицам, чтобы вы могли использовать бесплатную версию. Не правда ли, сразу вспоминается «кто где охраняет, тот там и ворует». Но правда на этот раз все официально, с вашего согласия.
И последняя проблема нашего интернет сегодня.
О проблеме Интернета вещей, Internet of Things (IoT) сейчас говорят все чаще. Но следует признать, что пока только говорят.
Сегодня все чаще и чаще в наших домах появляются «умные» устройства, связывающиеся с интернетом. В связи с этим существенно вырос риск использования технологии Интернета вещей (IoT, Internet of Things). Подключаемые устройства совсем несовершенны и небезопасны. Их программное обеспечение может быть взломано.
На сегодняшний день уже выпущено множество IoT-продуктов, включая умные телевизоры, кофеварки, термостаты, веб-камеры, принтеры, маршрутизаторы и даже чайники, соединяемые с интернетом с помощью Wi-Fi. Если подобные вещи есть в вашем доме, вам стоит понимать возможные угрозы безопасности. Тем более, что злоумышленники могут целенаправленно отыскивать такие устройства и бреши в них.
Так, на хакерской конференции Defcon независимый специалист по тестовым проникновениям Дэн Тентлер продемонстрировал, как с помощью системы SHODAN можно отыскать:
- тепловые системы испарения;
- бесчисленные светофоры;
- бойлеры для нагревания воды под давлением;
- системы управления дверями гаражей;
- системы управления автотрафиком целого города, переключаемую в «тестовый режим» с помощью ввода единственной команды;
- системы управления гидроэлектростанцией, две турбины которой вырабатывают энергию по 3 МВт каждая;
- системы управления аквапарком, газовой станцией, охладителем вина в отеле и крематорием;
- командно-контрольные системы ядерных электростанций и ускорителя атомных частиц.
Самое неприятное, что очень немногие из упомянутых систем имеют хоть какую-то систему безопасности. SHODAN опрашивает порты подсоединенных к Сети машин и собирает выдаваемые в ответ баннеры, после чего индексирует их для последующего быстрого поиска соответствующих устройств. В результате такой обработки система помогает отыскивать специфические узлы сети: настольные системы, серверы, роутеры, свитчи, веб-камеры, принтеры и т. д.
Под угрозой оказывается и любое домашнее IoT-устройство. Поэтому, прежде чем использовать его:
- Заранее посмотрите в интернете любые отзывы и новости об устройстве, которое вы собираетесь приобрести.
- Удостоверьтесь, что устройство использует устойчивую идентификацию (имя пользователя и пароль).
- Не забудьте о регулярной смене учетных данных доступа данного устройства.
- Прочтите и проанализируйте политику конфиденциальности, чтобы понимать, какие ваши данные и как будут собираться, храниться и использоваться.
- Постарайтесь уклониться от использования служб, которые будут вторгаться в вашу конфиденциальность.
- Не забудьте о необходимости регулярно устанавливать обновления.
- Контролируйте получение уведомлений от производителя устройств.
И последнее. Думаю, что в ближайшее время появится масса аппаратных средств безопасности для контроля вашего Wi-Fi. Это поможет выстроить барьер безопасности между вашими IoT-устройствами и Интернетом. Но пока я не видел ни одного подобного устройства, а лишь читал.
Советы по защите личных данных в интернет
Сегодня защита личных данных, на мой взгляд, основная проблема. Давайте рассмотрим несколько советов, которые, надеюсь, помогут вам в этом нелегком деле.
- Не забудьте внимательно прочесть советы по настройке конфиденциальности вашего профиля в соответствующей социальной сети. Учтите, что правила могут меняться, вас при этом никто в известность ставить не собирается. Потому пересматривайте настройки конфиденциальности регулярно. По возможности, используйте двухэтапную аутентификацию.
- Любая процедура восстановления пароля сегодня в той или иной мере использует ваш email-адрес. Потому жизненно важно обезопасить свой основной почтовый адрес. Если вам необходимо зарегистрироваться на каком-то сомнительном сайте, используйте для этого второй (третий, четвертый) почтовый ящик.
- Если вы используете сервисы от Google, то проверьте, какие личные данные вы опубликовали с помощью Google-сервисов. Вы увидите массу интересного здесь: https://aboutme.google.com (выберите “Проверить настройки конфиденциальности”).
- Никогда не публикуйте онлайн фотографии ваших документов, билетов и платежных чеков. Также не стоит рассказывать о том, когда вы собираетесь уехать в отпуск или полдня и полночи отрываться в местном ночном клубе. Эти данные очень интересуют как кибермошенников, охотящихся за чужими финансами, так и обычных домушников, ждущих, когда люди уйдут куда-нибудь надолго.
- Не используйте открытые Wi-Fi-сети. Они могут выглядеть как вполне надежный источник интернета, предоставленный местным кафе или даже библиотекой, но вам будет сложно отличить “добропорядочный” Wi-Fi от “зловредного”. Чтобы создать такую сеть, преступнику понадобятся всего лишь ноутбук и Wi-Fi-адаптер. И мошенники действительно используют этот метод, чтобы перехватить логины и пароли пользователей, пытающихся подключиться к Интернету с помощью их Wi-Fi-сетей.
- Никогда не используйте слабые пароли. Везде, где это можно используйте 2FA.
- Помните о безопасности ваших детей.
- Вам надоела реклама в Интернет? Знаете ли вы что такая реклама умеет шпионить за вашими действиями онлайн?
- Будьте внимательны, устанавливая бесплатное ПО. Очень часто вы устанавливаете при этом программы сбора данных.
Надеюсь эти материалы помогут понять вам, почему слова «безопасный интернет» пока вызывают у специалистов лишь горькую усмешку.
Владимир Безмалый
Microsoft MVP, Microsoft Security Trusted Advisor
Горячие темы