Насущная пользовательская информационная безопасность

 Публичный пост

Всем привет!
Изучая дайджест вдохновился постом про знания в IT и в голове актуализировался вопрос про современную информационную безопасность. Читаю в магистратуре предмет "информационно-психологическая безопасность" и рассказываю там азы аппаратных средств защиты (флешки с паролем, электронные ключи, дроны), программных средств защиты (фаейрволлы, контентная фильтрация, парольные политики, ущерб и меры организации безопасности), и всякие нужные штуки (социальная инженерия, виртуализация, блокчейн (по посту Вастрика конечно) ))), защитить листы в экселе, как поставить пароль на архив и как добавить анонимный ящик на mail.ru ).

Вопрос к сообществу - какие на ваш взгляд знания в области информационной безопасности сейчас можно и нужно передавать молодому поколению (школьники), среднему поколению (студенты) и старшему поколению (магистранты), чтобы они не были сильно уязвимы, не велись на разводы и могли максимально обезопасить себя на просторах сети Интернет?

Связанные посты
42 комментария 👇
Мишаня у мамы киберсек инженер и местами SOC аналитик 25 мая 2020

азы аппаратных средств защиты
дроны

Эм...

анонимный ящик на mail.ru

Это вообще пушка. Не надо людей таким вещам учить.

Ну а так по теме если именно про персональную безопасность нужно прям молотком в голову вбивать:

  • Все, что попало в интернет - достояние общественности и почти всегда тут остается навсегда, поэтому 100 раз подумай перед тем как по пьяной лавке написать что-то там в твитторе или отправлять дикпики рыча тазом.
  • Знают двое - знают все.
  • Всегда! Делай Бэкап, сука!111 Без исключений и лени. Это решит 95% проблем твоей безопасности. Особенно во времена ransomware.
  • К компьютеру, информационным системам, да и людям в целом стоит подходить с позиции zero trust.
  • Смартфон, греющий твой таз в кармане - твой главный шпион, и вторая дыра в твоей личной инфобезопасности после твоего рта, просто помни об этом.
  • Не храни все яйца в одной корзине. Что в денежном плане, что в плане паролей, что в плане критической инфы. (и про бекапы не забывай).
  • Менеджер паролей лучше, чем стикер с паролем на мониторе, но в случае удаленной атаки стикер внезапно куда защищеннее. 🙃
  • Криптография - не панацея. Волшебной таблетки в безопасности вообще нет.
  • Бесплатного в интернете тоже толком ничего не бывает, и если не платишь явно, с тебя берут метаданными с лихвой (привет mail.ru, и прочий там facebook)
  • Соцсети - априори зло, а если тебе еще и есть что скрывать, правильные OSINT поцоны наскребут о тебе столько, что сам офигеешь.
  • Если ты думаешь "да кому я вообще нужен?", ты ошибаешься.
  • Безопасность - это процесс. И 100% защищенности не бывает.

Список далеко не полный, просто пока лень расписывать дальше.

Что же до про как учить людей, чтобы "не велись на разводы" тут с высоты широкого опыта наблюдения за любителями потыкать в фишинговые ссылки, "скачать бесплатно без смс" и "получите мгновенный выигрыш в 10К бачей" могу печально констатировать, что некоторых хоть по 100 раз прогоняй по курсам антифишинга и на пальцах показывай, что такое социнженерия, штрафуй их там или вообще увольняй, учить бесполезно. "Лох не мамонт", как говорится.

  Развернуть 1 комментарий

Список далеко не полный, просто пока лень расписывать дальше.

Главное не перегнуть=) речь про насущную безопасность, тут ещё надо не отпугнуть людей.

  Развернуть 1 комментарий

очень приятный список. про бекапы прям на больной мозоль наступил - об этого говорю постоянно.
позиция zero trust тоже требует изучения.

  Развернуть 1 комментарий

@Spirtel, но мне все еще интересно, как именно дроны используются в качестве аппаратных средств защиты информации? 😉

  Развернуть 1 комментарий

@gelatin, людям по**й на безопасность - известная аксиома практического киберсека.

  Развернуть 1 комментарий

@hokken, на том и живём. Но между "не делать ничего" и "делать хоть что-то" всё равно есть разница. И тут важно не отпугнуть простых смертных тем, что всё тщетно если ты не бородатый потный линуксоид (сорь, не оскорбление, мем). Тем более человек с бывшими военными работает, их всю жизнь в интернет не пускали на работе, а тут вдруг такой раздолье.

  Развернуть 1 комментарий

@hokken, в данном случае речь идет о просветительской беседе в направлении обеспечения безопасности беспилотниками на массовых мероприятиях. что у них можно быстро менять точку обзора, записывать и патрулировать по алгоритму.

  Развернуть 1 комментарий
Vladimir Zimin Разработчик 25 мая 2020
  • Выставлять свою жизнь в интернет, если ты на этом не зарабатываешь - фу. Взять пару хороших статей по OSINT и продемонстрировать почему это не секьюрно.
  • VPN, блокировщики рекламы, антитрекеры - хорошо
  • Виртуальные карты для интернета (в первую очередь малоизвестных сайтов) - хорошо
  • За менеджеры паролей не все готовы платить (я в их числе), поэтому альтернатива для бедных - хороший длинный мнемонический мастер пароль + уникальная информация о сайте + детерминированное правило генерации (например, мастер пароль MyOldC@tArch! + домен сайта vas3k приписанный в начале).
  • SSL + PKI. Люди должны уметь проверять сертификат сайта, особенно если платят через этот сайт бабки\вводят пароли.
  • Что-нибудь про то, как нас палит современный интернет (DNS leals всякий) и таргетят рекламные площадки (отпечатки браузеров, отпечатки железа, отпечаток ОС и т.д.) - просто чтоб не удивлялись потом=)
  • Не рутовать андроид и не ставить приложения мимо маркета (вообще лишние не ставить), даже если они "инстаграмм с новым фильтром".
  • Своевременно накатывать обновления безопасности (да, даже на винде).
  • Не зарядажать телефоны в общественных USB, не подключаться к общесветнным wifi (без vpn)

Всё это конечно желательно с объяснениями и примерами. Офигенно прям сразу атаки показывать (как hashcat пароли брутит, как антифрод впн палит, как рутованный андроид твои денежки уводит, и т.д.) Иначе получится очередной тудулист, никак не знания. Забудут и забьют.

  Развернуть 1 комментарий

Дополняя тему с приложухами, я бы еще советовал трижды проверять экстеншены браузерные.

  Развернуть 1 комментарий

@nerorenaissance, ну да. Надо как-то проверять всё что ставишь сторонее. Если бинарник на комп хз откуда скаченный, то лучше на виртуалочке. Или хотя бы вирустоталом прогнать. А перед этим три раза подумать реально ли этот "кряк для фотошопа" и "оригинальный будильник" тебе нужны.

  Развернуть 1 комментарий

Хотел добавить про менеджеры паролей.
Вот бесплатный вариант - https://bitwarden.com/

Есть даже on-premise решение.

  Развернуть 1 комментарий

Для бедных есть KeePass. И для не-бедных тоже

  Развернуть 1 комментарий

@PmJGRNOozIJestBI, там под мобилки вместо оф.релиза какой-то зоопарк. Как этому можно доверять? Вот про битварден пойду почитаю.

  Развернуть 1 комментарий

кипассу десять лет в обед и он оффлайновый опенсорс, а битварден - "опен сорс" где-то в облаке, вот ему доверять сложно

зоопарк опять же потому что оффлайновый опенсорс, кто хочет - пишет свою имплементацию. я keepass2android пользуюсь

  Развернуть 1 комментарий

@PmJGRNOozIJestBI, про доверять - речь именно про сторонние реализации под мобилки. А без мобилки я хз зачем менеджер паролей нужен.

  Развернуть 1 комментарий

в случае с андроидом можно посмотреть код, убедиться, что он никуда не ходит в онлайн и собрать билд самому (и вообще он из разрешений просит только storage, но вроде бы на самом деле это доступ к интернету не ограничивает, не помню насколько строгие в андроиде ограничения). ввод там сделан через кастомную клавиатуру, в буфер обмена в принципе ничего не копируется емнип. залоченный файл идентичен тому, что использует официальный кипасс и если верить аудиту, то с ним сложно что-то сделать, там нормальное шифрование

с айосью сложнее, да

  Развернуть 1 комментарий

интересное видение, спасибо.
буду пробовать внедрять.
зачастую имею отношение с преподавателями школ и вчерашними бакалаврами - к сожалению их айтишный бекграунд оставляет желать лучшего.
а вот примеры с наглядным "взломом" могут быть интересны.

  Развернуть 1 комментарий

@Spirtel, я не методист, но мне кажется воочию увидеть, что для того чтобы сделать чужим приватным данным бобо не надо быть кулхацкером или анбшником, а достаточно гугла\скрипта PoC с гитхаба\безделушки с алиэкспресса и справится любой школьник - это отрезвляет. Ну, на нас действовало когда мы учились=)

  Развернуть 1 комментарий

Мне тоже нравилось, когда показывали картинки с рабочих серверов и что-то на них объясняли (заканчивал колледж по специальности "вычислительные машины, комплексы, системы и сети"), но сейчас все чаще встречаю непонимающие глаза и фразу: А чем мне это в жизни пригодится?
и в общем фраза правильная, и подход современный, но никогда не знаешь что будет нужно - особенно в области техники и безопасности. Так что приходится изгаляться всякой геймификацией, прикольными сервисами и прозрачными баллами.

  Развернуть 1 комментарий

использую бесплатный менеджер паролей lesspass (не lastpass, не losspass, не что-то еще)
пароли не хранит вообще
хранит тапл: (сайт, логин, настройки пароля (длина, наличие спец символов, етц))
генерирует по этому таплу и мастер паролю новый пароль

если их вскроют, то утекут твои логины, но хоть не пароли
мой идеальный баланс удобства и секьюрности

  Развернуть 1 комментарий

Интересная софтина, не слушал о такой. Спасибо.

  Развернуть 1 комментарий
Алексей Заславский преподаватель автор 25 мая 2020

Соклубники и соклубинки, хотел бы уточнить, что работая в педагогическом вузе очень сложно встретить человека, которые разбирается в компьютерах дальше ПоверПоинт и Тимс. Есть отдельные персонажи, которые не боятся хотя бы тестировать новый функционал каких-то сервисов, не говоря уже о хотя бы минимальной алгоритмизации собственных действий.
Что уж говорить про тех, кто работает в школах.
Пока из своих наблюдений сделал такой вывод:

  1. либо это слишком сложно для их понимнаия и приходится прям с натугой рассказывать, как пользоваться совместным календарем и коприовать ссылку на шареную папку.
  2. либо это совсем базовые вещи из использования стандратного офисного программного обеспечения.

я искрене благодарен комментаторам за идеи, буду пробовать их всталять их в свою работу.

может быть есть еще какие-то навыки, подходы или программное обесечение (типа плагинов WoT и AdBlock для Хрома), которое прям сильно упростит жизнь пользователям?

как говориться, представьте, что объясняете или советуете своей маме - что бы вы порекомендовали ей?

  Развернуть 1 комментарий

Я ж об этом и имел в виду: изначально просто была непонятна сфера приложения усилий. :)

Поэтому о почте на условных mail.ru/yandex.ru говорить - НАДО!

Но при этом объяснить базовые принципы выбора никнейма ("для дела"/"для онлайн-развлечений"), пароля, не соответствующего нику, отображения подписей и пр.

И это - только о мыле. :)

  Развернуть 1 комментарий

Privacy Badger - очень неплохо показывает и отсекает все шпионские куки, которые тебе хотят подпихнуть при загрузке сайта.
Но вообще если уж за киберсек, то от хрома лучше вообще отказываться.

  Развернуть 1 комментарий

@Maximus, про подписи прям тоже по больному - всегда говорю: на рабочей почте или учетной записи на аватарку фотку и подпись запилить.
но тоже не всегда слышат.

@hokken, от хрома отказаться не получится - его рекомендуют все как самый универсальный браузер.

  Развернуть 1 комментарий

@hokken, ребят, вынырните, плз, из вашего программёрского пузырька со смузями!

Ну какие там, %$#&$%, расширения для браузера и учёт куки, вы чего, серьёзно?! :///

  Развернуть 1 комментарий

))))) этим действительно мало кто занимается, но мне, например, для перспективных программ, это вполне может пригодится.
вообще часто ставлю перед собой просветительские задачи. считаю так - если я хотя бы расскажу что-то на занятиях, то есть вероятность, что это заинтересует и потом человек сам захочет это изучить.
не всегда срабатывает, но есть и положительные примеры.
но айтишникам всегда сложно "приспуститься" до уровня "бухгалтерии" ))))

  Развернуть 1 комментарий

Есть ещё приложеньки на комп, которые запрещают при установке программ подсовывать тебе автоматом всякие амиго и яндексбары. В ночи не вспомню, завтра поищу, если никто не подскажет.

  Развернуть 1 комментарий

@Spirtel,

как самый универсальный браузер

вот ты такие вещи студентам рассказываешь, а потом они попадают в суровый тырпрайз на венде, а там чтобы сертификат получить нужно православный IE6 запускать.

@Maximus,

вашего программёрского пузырька со смузями!

Мне, как ИБшнику ,на смузи не очень хватает, приходится пить водовку.

  Развернуть 1 комментарий
  Развернуть 1 комментарий

Про браузер я не рассказывал, а цитировал.
И да, ИБшникам сейчас не сладко.

  Развернуть 1 комментарий

Круто! Спасибо, взял на вооружение

  Развернуть 1 комментарий
  Развернуть 1 комментарий

https://security-list.js.org/#/README – шикарный список, по которому можно пройти и прикрыть множество дыр, подходит для обычного человека.

https://github.com/forter/security-101-for-saas-startups/blob/english/security.md – дополнение для владельца малого бизнеса или стартапа.

https://holisticinfosecforwebdevelopers.com/ – для тех особо любопытных студентов, которые хотели бы погрузиться в кроличью нору глубже, с упором на практические инструменты.

  Развернуть 1 комментарий

Спасибо, записал ))

  Развернуть 1 комментарий
  • учить уважать ценность своей личной информации и данные других людей
  • учить пользоваться менеджерами паролей, рассказать про смысл и суть 2FA
  • учить читать пользовательские соглашения, чтобы потом не удивляться контекстной рекламе и прочим веселым вещам от сервисов, которые любят
  • учить правильно искать информацию в интернете и различать источники, смотреть в URL и не ходить по мутным адресам
  Развернуть 1 комментарий

тут тоже точное попадаение в поиск информации и чтение пользовательских соглашений. Про происк прям целая лекция есть - заходит на ура. Ну а читать их склонить тоже сложновато.
а вот 2ФА да, верная штука, спасибо

  Развернуть 1 комментарий
Maximus Электрический инженер 25 мая 2020

Хм, из личного опыта обучения студентов и новых сотрудников разных языков, разных гражданств и разного опыта в достаточно сложных техно-электронных проектах - обучение имеет смысл соотносить с имеющейся базой знаний студентов.

Поэтому встречный вопрос: кому примерно вы читаете курс/какова база у девчат и ребят? :)

  Развернуть 1 комментарий

сразу видно - коллега )))
читаю бывшим сотрудникам силовых ведомств, которые пререпрофилируются на работу о образовательных организациях, завучи школ, преподаватели и т.д.

  Развернуть 1 комментарий

Важно объяснить принцип "работает — не трогай". А то как научат на свою голову в универах молодых бойцов обновлять все зависимости в коде проекта в начале каждого спринта, так ещё и неизвестно чего больше приплывёт с обновлением: багфиксов и патчей или же новых уязвимостей и багов.

Применительно не к разработчикам это имеет такое же отношение: большинство учат тупо "Нужно ставить все обновления, это хорошо", а потом имеем простейший фишинговый тест внутри организации "Deploy this critical system update", который люди радостно скачивают и запускают, подтверждая права администратора (если они у них есть) — ибо как же так, это ведь АПДЕЙТ!

Ещё я бы научил пользователей использовать емейлы с "плюсиком". Например, я при регистрации на новом сайте стараюсь использовать zahhar+sitename@gmail.com — так на всякий случай. Хорошо для фильтрации емейлов, для отслеживания слива/взлома базы (приходит спам — сразу понятно кто продал меня), плюс дополнительная защита (уникальный логины) к уникальному паролю.

Про хардварные секурные ключи неплохо было бы рассказать и показать: юбикей и вот это всё, как пользоваться, для чего.

Шифрация диска тоже может быть полезной темой — все ж с ноутбуками-планшетами сейчас и наверняка кто-нибудь да и хранит там что-то компрометирующее.

А ещё мне кажется полезным было бы рассматривать как можно больше примеров мошеннических схем: какие вообще бывают. Ну типа все эти "ваш родственник попал в аварию, срочно перевиде деньги". Некоторые схемы бывают особенно изощрённые, хрен разгадаешь так.

  Развернуть 1 комментарий

спасибо! про мошенников рассказываем, предлагаем самим разработать похожую схему и прописать шаги для защиты.
остальное скорее относится к "программистам и админам", у меня аудитория все-таки более "лайтова" в плане знаний и в код никто не полезет. а вот фотку паспорта по вотсапу отправить - это они запросто ))))

утоничте про "емейлы с плюсиком" - что за тема? разве "+" в имени не запрешен? или у вас столько разных почт?

  Развернуть 1 комментарий

@Spirtel, почта у меня только одна — zahhar@gmail.com

Но сегодня все современные почтовые провайдеры умеют subaddressing (или plus-addressing): https://en.wikipedia.org/wiki/Email_address#Subaddressing

То есть если вы напишите мне на zahhar+vas3k@gmail.com — я получу это в свою почту zahhar@gmail.com.

Это позволяет создавать несколько аккаунтов на любом сервисе, которые для сервиса будут выглядеть как разные, но для меня все учётки привязаны к одной моей почте. У этого есть ряд плюсов, которые я описал.

  Развернуть 1 комментарий

@Spirtel, ни для чего из того что я назвал не нужно лезть в код.

Если ваша аудитория — школьные учителя, то ситуация, когда в школе украдут личный планшет преподавателя, на котором вполне могут оказаться домашнее порно (преподаватели тоже люди со своими пороками), которое из-за незашифрованного диска затем всплывёт в интернетах и будет стоить карьеры этому преподавателю.... "Вот тогда и поговорим" что называется :)

  Развернуть 1 комментарий

😎

Автор поста открыл его для большого интернета, но комментирование и движухи доступны только участникам Клуба

Что вообще здесь происходит?


Войти  или  Вступить в Клуб