Начну с перечисления и описания в этом посте, собственно, действий - кратко, не больше пары абзацев. Со временем планирую развить каждую тему подробнее и дополнить каждый пункт ссылкой на соответствующий пост. После сведения и редактирования должно получится нечто вроде руководства.
Хотя мне лично знакомы единицы, практикующие все нижеизложенные вещи, некоторые из них (вещей) вполне могут оказаться знакомы многим. Самостоятельные исследования на обсуждаемую тему приветствуются, ровно как исправления и дополнения.
Итак, приступим.
1. Не впускайте посторонних. Используйте антивирус и antispyware.
Начнем с банального. Сколько бы не клеймили позором антивирусных вендоров, запугивание ими мирного населения не безосновательно. Я не утверждаю, что антивирус это панацея. Я настаиваю, что антивирус лучше, чем его отсутствие. С другой стороны, антивирус антивирусу
В качестве antispyware рекомендую использовать поставляемый в комплекте ОС Windows Defender , а также не пропускать ежемесячные Malware Removal Tools , присылаемые мелкомягкими в виде автоматических обновлений .
2. Идите в ногу со временем. Обновляйте используемое ПО.
Неуязвимых программ не существует, так как пишут их программисты, которые вопреки досужим мнениям тоже люди. Но есть разница между ошибкой, известной ограниченному кругу крутых ниндзя-хакеров (такие ошибки называются zer0-day ), и ошибкой, которую опубликовали год назад, вендор ее исправил и выпустил патч, на milw0rm -e вывесили посвященный ей эксплойт, который в тот же день добавили во все автоматические средства эксплуатации уязвимостей. Теперь только ленивый или идиот не сможет ею воспользоваться. А так как 99% населения Земли лентяи, 80% - идиоты...
В общем, следите за актуальностью версий используемых программ. Делать это можно и вручную, но удобнее воспользоваться автоматическими средствами. Например, Secunia Personal Software Inspector , о которой я уже неоднократно упоминал . Особенно в слежении за обновлениями следует сосредоточиться на Sun Java , Adobe Flash и Adobe Reader (подробнее о котором далее). Это признанные лидеры в количестве ошибок безопасности.
С обновлением форточек дела обстоят еще проще - хвала Microsoft Update . Правда, иногда его глючит, а то и вовсе не работает. По разным причинам, не обязательно от того, что у вас "пиратка" (хотя в основном из-за этого :). В таком случае удобно изредка пользоваться Microsoft Baseline Security Analyzer , который помимо прочих вкусностей в отчете указывает ссылки на патчи.
3. Откройте Интернет заново. Не пользуйтесь Internet Explorer.
Я серьезно. Полностью удалить его из системы не удастся, да и в целях сохранения совместимости с сайтами, написанными и сверстанными особенно выдающимися идиотам, оставить его придется. Но для повседневного использования и тем более для посещения варез/крак/порно-сайтов он не подходит.
Установите Firefox и два его волшебных дополнения: AdBlock Plus и NoScript . К последнему придется немного привыкнуть, но оно того стоит. Также советую отключить сохранение паролей и прием куки с левых сайтов.
4. Пора принять красную пилюлю.Начните использовать сложные пароли.
Практика с использованием одного сложного пароля для рабочей почты и одного простого для всего остального безнадежно устарела. Пора начать пользоваться сложными и разными паролями для разных ресурсов. Универсальных идентификаторов не будет никогда, прекратите на это надеяться. Как говаривал старик Шнайер , загляните в свой бумажник. У вас там права, три пластиковые карты и стопка дисконтов - все это различные идентификаторы. Мир смирился с этим, пора и вам.
Но в мозгах людей все иначе. Никто не слушает, пока худшее не случиться именно с ним. Так что я даже не надеюсь, что прочитав эти строки кто-то тут же станет на путь истинный. Но когда "худшее" случится (а оно случится, я вам обещаю) - знайте, что есть такая замечательная программка KeePass , которая позволяет генерировать и централизованно хранить пароли, а также автоматически вбивать их в нужные формы по нажатию комбинации клавиш. У меня лично там... щаз гляну... 514 учетных записей. Я не шучу.
Кому охота экзотики, есть шанс приобщиться к искусству. Personal Identity Portal от VeriSign Labs хранит все учетные записи на своем сервере и позволяет использовать их прямо из браузера.
5. Пусть это будет не только сложно украсть, но и невозможно использовать. Шифруйте данные.
Шифровать данные в быту можно тремя способами:
- шифровать весь диск, так чтобы ОС "жила" на уже зашифрованном жестком диске,
- шифровать каждый файл или архив файлов по отдельности,
- создать виртуальный зашифрованные диск-контейнер и хранить все чувствительные данные в нем.
Выберите приемлемый для вас метод шифрования. Для полного шифрования диска можно воспользоваться как коммерческими ( Checkpoint , PGP etc) так и открытыми/бесплатными средствами ( TrueCrypt ). Коммерческие решения отличаются вкусностями типа интегрированной Windows-аутентификации и стоят в районе $100. У Microsoft есть такая волшебная штука, как Bitlocker , но она стоит денег. Хотя в 7RC включена бесплатно - можете оценить.
Для создания "контейнеров" весь мир радостно использует TrueCrypt (опять же, никто не запрещает пробовать PGP Zip). А шифрование отдельных файлов я лично нормальным поведением не считаю.
6.
Не выполнение резервного копирования несколько сродни слабым паролям - пока гром не грянет, мужик не перекрестится. Я рекомендую делать бекапы при помощи стандартной виндовой синхронизации оффлайн-папок и программки SyncToy . Для этих целей создайте специальную папку на сервере/домашнем ПК/сетевом хранилище или что там у вас есть в распоряжении. Папку пометьте как "всегда доступную автономно", настройте ее синхронизацию по расписанию или по наступлению события - например, когда компьютер бездействует более 5 минут. В эту папку при помощи SyncToy синхронизируйте хотя бы раз в неделю все ваши критичные данные: профиль Firefox, папки Documents и Desktop и т.д. - все расположения файлов, потерять которые вам было бы грустно.
7. Владейте своими инструментами.Используйте сравнительно безопасные программы и настраивайте их после установки.
Эта тема, как и остальные семь, достойна отдельного поста. Подробнее о важности изменения настроек ПО, установленных вендором по умолчанию, позже. Пока приведу несколько примеров.
Непонятно, почему даже в 7RC микрософт не включил по умолчанию Data Execution Prevention . Эта фича защищает дотсупна, кажется, со времен XP SP2 и защищает ОС от целой категории векторов атаки. Также неплохо бы отключить JavaScript в PDF-продуктах Adobe. Кто мне скажет, зачем мне JS в программе просмотра PDF? Если позволяет религия - удалите Reader совсем. FoxIt делает все то же самое не хуже, но в нем тоже JavaScript включен по умолчанию. Загляните в настойки Skype и выберите только те программы, доступ которых к Skype API вам действительно нужен. Skype шустр и вездесущ, не нужно разрешать кому опало пользоваться этим его свойством. Удалите, наконец, WinRAR !
Не работайте в системе с правами локального администратора! Каждая запущенная вами программа будет обладать неограниченными правами доступа ко всем ресурсам ОС. Основной задачей вредоносных программ является эскалация собственных прав доступа после проникновения на компьютер жертвы. Не помогайте им в этом, пусть делают свою работу сами. Создайте штатного пользователя и запускайте действительно нужные программы от имени администратора в контекстном меню исполняемого файла. Особенно параноидальные элементы могут попробовать Sandboxie . Он крут, но не работает на 64-битных системах.
Пока все, об остальном - позже.
