Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
3 najważniejsze porady bezpieczeństwa – pomożecie?
Chcemy przygotować mini ulotki z najważniejszymi zasadami / radami bezpieczeństwa: dla osób nietechnicznych i technicznych.
Najlepiej spełniające warunki – relatywnie mały koszt wprowadzenia w życie / a wysoki efekt.
Napiszecie w komentarzach 3 (nie więcej) najlepsze waszych zdaniem rady na zwiększenie bezpieczeństwa?
Jak ten mini projekt wypali to może być prawdziwie sterowania przez społeczność akcja dająca wymierne efekty (Wasze sugestie skompilujemy i opracujemy ładnie ulotki + udostępnimy za free).
Wrzucimy też do ulotki Wasze nicki (te, z których porad skorzystamy).
–Michał Sajdak
1) TLS by Let’s Encrypt na całą web-aplikacje
2) Zielona Kłódka
3) Nielogowanie się na portalach w obrębie otwartej sieci wifi
A co zrobisz jak ktoś przygotuje stronę złośliwą stronę z faviconem z kłódką?
nie pracujmy jako admin
nie otwierajmy załączników od nieznajomych
wyłączmy flasha we wszystkich przeglądarkach
Kilka obsługiwanych przeze mnie osób nietechnicznych powiedziało mi niedawno, że drażni ich używanie przez admina pierwszej osoby liczby mnogiej, tzn. „używajmy” bądź „robimy”. Stwierdzili, że z ich punktu widzenia brzmi to wywyższająco, bo czują się wtedy jeszcze głupsi, że tego nie wiedzieli. I nudziarsko, bo „jak pani w szkole”.
Zasugerowali komunikaty w stylu „należy robić” lub „róbcie”.
Mimo początkowych oporów zmieniłem formę komunikacji i skutek jest lepszy :o , tzn. w końcu stosują się do niektórych zaleceń.
1. Pray for peace, train for war
2. Always be prepared for the unexpected
3. Use the Force
May the –force be with You.
1. NIGDY nie zdradzaj swojego hasła.
2. Każda usługa MUSI mieć swoje osobne hasło.
3. Aktualizuj LEGALNY system operacyjny i oprogramowanie.
4. Nie śpiesz się. :)
5. Czytaj Sekuraka. ;)
Po głębszym zastanowieniu …
1. Stosuj trudne, unikalne dla każdej usługi hasła.
2. Bądź bardzo nieufny wobec załączników i linków w emailach.
3. Instaluj tylko legalne oprogramowanie i stale je aktualizuj.
4. Ograniczaj ilość oprogramowania i inteligentnego sprzętu do minimum.
Niestety poniżej 4 punktów nie potrafię…
„4. Nie śpiesz się” – to jest naprawdę dobra rada :) Taka metarada. Większość typowych problemów bierze się z pośpiechu i wynikającej z niego nieuwagi – zarówno powtarzające się hasła (bo nie ma czasu wymyślać), jak brak kopii zapasowych (później, teraz nie ma na to czasu), brak czytania linków / adresów, brak sprawdzania kontrahentów i czytania regulaminów, brak skanowania pobieranych plików czy sprawdzania sum kontrolnych, wyłączanie antywira bo spowalnia… itd., itp.
1. aktualizacje oprogramowania
2. hasła, hasła, hasła – silne rozne + 2FA
3. nie otwieranie nieznanych zalacznikow
jeszcze odnośnie załączników, nie włączaj makr w office
Myśl
Czytaj
Nie ufaj
;-)
O to to!
Dla osób nietechnicznych bo techniczni to wiedzą na pewno:
1.Zapisywanie haseł w przeglądarce to bardzo zły pomysł.
2.Używanie tego samego hasła wszędzie to bardzo zły pomysł.
Możesz rozwinąć, dlaczego uważasz używanie managera haseł wbudowanego w przeglądarkę za zły pomysł?
jak masz włączone synchro to hasła gdzieś lecą i są podatne na wykradanie ich, hasła trzymać lokalnie np przez keepass
Zdarzały się błędy w przeglądarkach pozwalające na wykradanie tych haseł
Bo każdy może je przeczytać?
Jak ktoś przejmie twój komputer to przeczyta i to hasło, które kopiujesz/wklepujesz ręcznie
Jak tego nie zrobi to nie odczyta tych zapisanych
elbarto: Możesz nie włączać synchronizacja, nawet jak masz włączoną, to hasła (i cała reszta) są szyfrowane. Ja używam Keepass, ale nie odradzam używania zapisywania haseł w przeglądarce (przynajmniej w Firefox, bo w Chrome rzeczywiście może być gorzej).
Big Dog: To jest nawet jakiś argument. Pierwsze słyszę o czymś takim. Używanie hasła do szyfrowania bazy haseł przeglądarki zabezpieczało przed tym, nie?
wk: Należy używać hasła na bazę haseł, tak samo, jak nie używa się hasła 1234 w Keepass.
dla każdej strony z kontem używaj innego silnego hasła
zaprzyjaźnij się z linuksem
używaj wtyczki do przeglądarki HTTPS Everywhere
1. Nie otwieraj podejrzanych załączników
2. Unikaj metody przywracania hasła typu pytanie/odpowiedź a jeżeli już jej uzywasz, niech będzie to bardzo osobiste pytanie.
3. Rób kopie najważniejszych dla Ciebie plików na nośnikach, które nie są w codziennej eksploatacji, gdyz mogą również paść ofiarą ransomware, oraz rób kopię kopii w chmurze.
odnośnie 2 – pytanie nie ma znaczenia. ważne jest, żeby znać odpowiedź. Kto komu broni na pytanie „gdzie się urodziłeś” zapisać odpowiedź „zupa pomidorowa”? :D
tyle ze tej zupy zapomnisz tak jak haslo
cha cha
:-P
Jeśli używasz wszędzie tego samego hasła to conajmniej do maila miej inne
– szyfrowanie dysku
– manager haseł
– aktualizacje automatyczne
1. nie bój się niewiedzy – jeśli masz wątpliwości znajdź kogoś kto się na tym zna i zapytaj
2. nie ujawniaj oraz nie zapisuj haseł i pinów – niech inni nie mają szansy ich poznać
3. jeśli byłeś szczęśliwy zanim ktoś obcy zwrócił się do Ciebie w sprawie, której do końca nie rozumiesz to będziesz dalej szczęśliwy jeśli tę osobę zignorujesz
1. Używaj różnych haseł.
2. Nie klikaj na wszystko co widzisz.
3. Nie używaj nieznanych sieci.
Te mi się najlepiej podobają – krótkie a treściwe
– wyłączony flash
– wyłączona java (+whitelista dla znanych i używanych stron)
– manager haseł (nawet jeśli trzeba poprosić kogoś żeby nam to skonfigurował, zaimportował hasła np z przeglądarki, nauczył używać itp. to jak raz przez to przebrniemy potem już z górki)
Z tych, których nie widziałem wyżej, i dla nietechnicznych raczej:
1. Korzystanie z 2FA gdzie się da
2. Logowanie tylko na znanych (najlepiej swoich) urządzeniach, w znanych sieciach
3. Bardzo1Lubie3Salatke#Gyros7:) jest lepszym hasłem niż $H:r_\D7
Hasło jak majtki – każde konto powinno mieć swoje, które jest często zmieniane.
1. Edukacja użytkowników
2. Dobra polityka haseł (wykluczająca te najbardziej popularne)
3. Rada dla użytkowników – pytaj gdy czegoś nie wiesz
1. backup
2. backup
3. backup
1) Nie udaj nikomu
2) Hasła traktuj jak bieliznę – zmieniaj często i nikomu nie pożyczaj.
1.Hasło jak majtki – każde konto powinno mieć swoje, które jest często zmieniane.
2.Hasła powinny być trzymane w menedżerze haseł tak jak majtki w szufladzie
3.nie dziel się swoimi majtkami z innymi
To nie tak. Hasło jak majtki: regularnie zmieniaj, nie pożyczaj.
Najlepsza jest zasada ograniczonego zaufania. I w wirtualnym świecie i w prawdziwym.
– Dla wszystkich istotnych systemów, aplikacji, serwisów internetowych używaj osobnego, mocnego, znanego tylko Tobie hasła.
– Wykonuj kopię zapasową najważniejszych dla Ciebie danych na zewnętrzny nośnik.
– Nie instaluj oprogramowania z nieznanych/niezaufanych źródeł.
ew ciut bardziej techniczne
– Ustaw w swoim komputerze adres serwerów DNS.
Najważniejsze jest:
1) nie pracować na koncie administracyjnym, tylko na koncie z ograniczonymi uprawnieniami;
2) zawsze włączona aktualizacja Windows i pakietu zabezpieczającego (firewall/AV/HIPS);
3) zachowane bezpieczeństwo fizyczne komputera – brak dostępu lub nadzorowany dostęp dla osób postronnych lub innych domowników i gości domowników;
4) świadomość zagrożeń w załącznikach poczty i komunikatorów oraz ograniczone zaufanie do załączników w poczcie od nieznanych osób;
5) świadomość niedoskonałości zabezpieczeń w postaci firewall/AV/HIPS;
6) nieinstalowanie oprogramowania z nieznanych źródeł lub serwisów warezowych i torrentowych;
To tylko parę porad.
Myślę że liczba 3 nie będzie wystarczająca żeby uczulić lamy i amatorów na współczesne niebezpieczeństwa. Takich super-ważnych „podstawowych” zasad jest co najmniej 10.
1. Nie ufaj zabezpieczeniom
2. Nie jesteś anonimowy i nigdy nie będziesz (w internecie), zachowaj ostrożność i zwróć uwagę na to co czytasz, gdzie i po co klikasz, dlaczego odpowiadasz
3. Ustal granice – dbaj o poszerzanie i aktualną wiedzę w zakresie bezpiecznych ustawień sprzętu/oprogramowania z którego korzystasz, ogranicz dostępność/widoczność Twojej obecności w sieci/anonimizuj to, czym zechcesz się podzielić
1. Nigdy nie zapamiętuj haseł w przeglądarce.
2. Nim pobierzesz załącznik/wyswietlisz obrazy/klikniesz w link w wiadomości e-mail, sprawdź adres nadawcy.
3. Raz w miesiącu skanuj swój komputer oprogramowaniem antywirusowym i usuń zbędne programy.
Aby nie zostać zhakowanym/podsłuchanym/nie złapać wirusa
1. odłącz sieć
2. odłącz zasilanie
3. wyjmij baterię z komórki.
Aby zminimalizować ryzyko po awarii/ataku:
1. rób kopie bezpieczeństwa na zewnętrznych nośnikach
2. używaj szyfrowanych dysków
3. duplikuj: serwery, dyski, zasoby ludzkie (a nuż ktoś zginie)
Lepsze haslo przesadnie długie a proste, niz skomplikowane a krotkie.
1. Update/Upgrade
2. Backup
3. Encryption
W domu:
– aktualizuj system, przeglądarkę i wszystkie narzędzia
– używaj menedżera haseł, włącz 2FA
– zainstaluj dobry system AV/AntyMalware i rób backup
W pracy:
– aktualizuj systemy, przeglądarki, narzędzia i infrastrukturę
– dbaj o dane, dostęp do nich i ich backup
– zatrudnij fachowca od IT Security :)
Dla zaawansowanych: QubesOS
Nie wierz internetom.
1. Sprawdzaj w co klikasz – czytaj linki ukryte pod skrótami
2. Do przelewów używaj osobnej przeglądarki – i dobrze ją wybierz
3. Rób kopie zapasowe ważnych danych – najlepiej na nośnik niedostępny przez sieć
– – – – – – – – – – – – – – – – –
4. Używaj różnych haseł w różnych serwisach – im dłuższe tym lepiej
5. Dbaj o prywatność – nie podawaj byle gdzie swoich danych
1. Hasla.
Problem dosc zlozony. Uswiadomienie nietechnicznych uzytkownikow jest dosc trudne, ale mozliwe. Problem polega na tym, ze wymaga sie hasel o okreslonej zloznosci o zmianie po okreslonej liczbie dni a nie pokazuje sie ludziom mechanizmow jak to robic (prosty algorytm na tworzenie hasel, lub menadzer hasel)
2. Kopie zapasowe
Jak w sucharkowym powiedzeniu sa Ci co robia i Ci co beda robic.
3. Ostroznosc i rozwaga podczas korzystania z komputera i internetu.
(w szczegolnosci ostroznosc przy pobieraniu plikow, otwieraniu zalacznikow, sprawdzaniu na pasku adresu www, nie logowaniu sie na publicznych komputerach na swoje konta)
1. Bądź świadomy w co klikasz i na co się zgadzasz. Nie ufaj temu co widzisz.
2. Nie pracuj na koncie z uprawnieniami administratora.
3. Korzystaj tylko z płatnego oprogramowania zwiększającego bezpieczeństwo (antywirus).
1. Uważaj, co robisz
2. Jak nie myślałeś co robisz, to rób jak uważasz
te dwa wystarczą ;)
tl;dr: Należy zwiększyć świadomość ludzi, że nie wszystko się robi samo…
1. Znajdź osobę, która jednocześnie zna się na IT i ma cierpliwość odpowiadać nawet na proste pytania. W razie wątpliwości zadaj jej pytanie…
2. Zapytaj w/w osobę jak zrobić kopie zapasowych swoich danych, zastanów się co masz gdzie zapisane.
3. Zapytaj siebie co się stanie kiedy stracisz dostęp do swojego urządzenia/konta, jakie dokumenty stracisz kiedy sprzęt się zepsuje/zgubi/zostanie zniszczony, co stanie się z twoimi danymi kiedy stracisz dostęp do swojej skrzynki e-mail / konta na serwisie społecznościowym.
Dobre sposoby na zwiększenie refleksji użytkownika, bo podstawą motywacji jest uświadomienie sobie, jakie obszary życia stały się zależne od komputera. Ale ze względu na różne zbyt dobre duszyczki dodałbym ad 1 „Pamiętaj że ta osoba musi jeść” ;)
1. usuń system
2. odłącz zasilanie
3. wyjedź w Bieszczady
Dobre!
Tylko ten śnieg w Bieszczadach :(
Pół żartem pół serio. Z posiadanego doświadczenia 99% problemów generują świadomie bądź nieświadomie użytkownicy następujących produktów firmy Microsoft.
1. Nie instaluj Windowsa.
2. Nie instaluj Office.
3. Nie uruchamiaj Internet Explorer.
Żaden program, żaden system operacyjny, żaden firewall, żaden antywirus, czy filtr spamowy na poczcie nie zastąpi zdrowego rozsądku. Użytkowniku-jesteś pierwszą i najważniejszą linią obrony!
Myśl, przewiduj, zapobiegaj
Łatwiej zapamiętać zwięzłe hasła i ewentualnie rozwinąć je drobnym drukiem.
1. hasła są jak majtki
Wiem, że trochę suchar, ale chyba nigdy nie przestanie być aktualne.
2. zły klik boli całe życie
Lepiej dwa razy zastanowić się w co się klika.
3. nie używasz – odłącz, wyłącz
Dotyczy oprogramowania, jak i np. nośników.
4. zostań wyznawcą backupu
Nigdy nie jest za późno zacząć trzymać ważne dane na osobnym nośniku pod poduszką.
Michale jeśli mówią ci coś liczby 207 i 213 to pozdrawiam po około 15 latach.
A może się zasugerować rebsem – łatwe do zapamiętania, spójne i nietechniczne, a nawet sensowne:
If you didn’t go looking for it, don’t install it!
If you installed it, update it.
If you no longer need it, remove it.
1. dla nietechnicznych – zakładam, że ktoś im ustawił konto bez praw administratora, wyłączył makra w office itp.
a) w mailach od nieznanych osób nie klikaj na załączniki i linki (szczególnie uważaj na kurierów, banki, pseudo faktury)
b) używaj różnych dla każdego konta i długich haseł (zmusi cię do użycia menedżera haseł np. KeePassa, ale warto – sam ci hasło wygeneruje)
c) w otwartych sieciach Wi-Fi nie loguj się na żadnych swoich kontach (nie zdradzaj swoich loginów i haseł)
2. dla technicznych:
a) stosuj te samy rady, których udzielasz nietechnicznym (np. nie pracuj na koncie admina),
b) rób kopie na dyski zewnętrzne (na co dzień nie podłączone do sieci)
c) instaluj tylko legalne oprogramowanie i stale je aktualizuj, sprawdź konfigurację uruchom skanowanie itp. (dotyczy również smarfonów)
1. Zmieniaj domyślne hasła!
2. Aktualizuj oprogramowanie
3. Nie klikaj bezmyślnie „OK” albo „Next” (czytaj co jest na ekranie!)
1. zaklej kod cvv na swojej karcie płatniczej
2. przed każdą autoryzacją do serwisu www sprawdzaj adres url
3. ufaj aktualizacjom
1. Nie stosujemy metody kopiego-pasta do wklejania kodów skopiowanych z niezaufanych domen bezpośrednio w linię poleceń czy kod aplikacji, bez weryfikacji
2. Nie piszemy czegoś (kodu) na szybko z pominięciem zabezpieczeń, bo to pewnie tak już zostanie
3. Jak czegoś nie wiesz, nie jesteś pewien – zapytaj osobę bardziej doświadczoną
1. Signal
2. VeraCrypt
3. GPG
#2 Logowanie się
Krok 1. Wyrób w sobie odruch sprawdzania czy twoje połączenie jest bezpieczne zanim klikniesz Enter przy logowaniu się gdzieś, a najlepiej zanim zaczniesz wpisywać login i hasło.
//Połączenie bezpieczne jest tylko wtedy kiedy adres strony zaczyna się od https a NIE http lub www
Różne przeglądarki różnie to wskazują (np. zielona kłódka, litery https na zielono), dowiedz sie jak pokazuje to twoja przeglądarka i nigdy nie loguj się nigdzie jeśli nie masz bezpiecznego połączenia.
Jeśli nie używasz Internet Explorer 11 lub Edge to zainstaluj HTTPS Everywhere -dodatek do przeglądarki który będzie automatycznie dbał o to aby twoje połączenie zawsze było bezpieczne. Możesz też dopisać literkę 's’ do http jeśli jej brakuje lub https:// zamiast www. :)//
Krok 2. Nigdy, nigdzie nie loguj się kiedy używasz publiczego Wi-Fi
//Kiedy korzystasz z publicznego/darmowego Wi-Fi (np. w MacDonaldzie) twoje połączenie z internetem nie jest bezpieczne i wszystko co robisz [w internecie] -równierz loginy i hasła- są 'publicznie’ widoczne dla każdego chcącego (czyt. hakera), tak samo jak twoje zamówienie na tablicy MacDonalda.
Dowiedz sie czym jest VPN i jak go używać na twoim urządzeniu aby bezpiecznie łączyć się z internetem przez publiczne Wi-Fi//
Krok 3. Zabezpiecz urządzenia których używasz do łączenia się z internetem
//PAMIĘTAJ że uzyskanie dostępu do urządzeń przez hakera oznacza uzyskanie dostępu do zapisanych na nim haseł i loginów, dlatego zapewnij im przynajmniej minimum ochrony taki jak: zainstalowany aktualny antywirus/firewall i aktualizowanie na bieżąco wszystkich programów zainstalowanych na urządzeniu, w szczególności przeglądarkę do internetu. Nie zapominaj o zabezpieczeniu przed fizycznym dostępem do urządzenia, np. trudne hasło, odcisk palca zamiast hasła, szyfrowanie danych na dysku lub całego dysku (na wypadek jego zgubienia, kradzieży lub pozostawienia gdzieś 'na chwilkę’).
ZWRÓĆ SZCZEGÓLNĄ UWAGĘ na smartfony i tablety, korzystasz z nich tak samo jak z komputera i prawdopodobnie tak samo często używasz ich 'do internetu’ a mogą nie byc tak samo dobrze zabezpieczone jak twój laptop, CO WIĘCEJ te urządzenia nie pytają cię czy zapisać hasła i loginy gdy się gdzieś logujesz jak robią to niektóre przeglądarki, one zapisują te dane ZAWSZE. Przypomnij sobie kiedy ostatnio wpisywałeś/aś jakiś login i hasło przy logowaniu sie do banku, imejla, fb na smartfonie? Nie muszisz tego robić, bo one już tam są wpisane prawda? Wystarczy tylko 'tapnąć’ w ekran i jesteś już zalogowany/a – to bardzo wygodne dla ciebie… ale i dla każdego kto uzyska 'dotęp’ do twojego urządzenia.//
#3 Ciekawość to pierwszy stopień do bycia zhakowanym, więc poskrom swoją ciekawość i nie klikaj we wszystko co widzisz :)
Lekcja 1. 99% hakerów tak naprawdę nie hakuje -oni zwyczajnie uzyskują dostęp do urządzeń na które ktoś ściągnął nieświadomie jakiegoś „Szkodnika” – który daje im dostęp do takiego urządzenia.
99% „sensacji” w internecie (niesłychane okazje, sensacyjne niusy, itp.) … to własnie takie „Szkodniki” (virusy, trojany, lockery, robaki, spyware, itd.)
Lekcja 2. Kliknięcie to tak naprawdę ciąg komend: ściągnij i/albo zainstaluj i/albo uruchom, które może doprowadzić do zainfekowania twojego urzadzenia jeśli nie wiesz co klikasz … a zawsze nie wiesz, bo najpierw musisz kliknąć zeby to zobaczyć ;)
Lekcja 3. Nie otwieraj/czytaj imejli których nie oczekujesz, skasuj je bez ich otwierania – NATYCHMIAST!
NIDGY nie klikaj na załączniki do imejli ! (patrz punkt 2) bo 99% wszystkich załączników to „Szkodniki” (patrz punkt 1)
/rofl, pojechałem po bandzie :)
ale Spammer Badge jest moja!
Po przeżyciach dzisiejszego dnia doszedłem do wniosku, że takie 3 najważniejsze porady bezpieczeństwa są też potrzebne w wersji dla szefów firm…
Jasne, najważniejszą poradą jest wynajęcie fachowców, ale przy mentalności „szef ma zawsze rację” i braku podstawowej wiedzy, to wynajęty fachowiec traci mnóstwo czasu na edukację od podstaw ;)