Куда идем?

В данной статье я хочу затронуть тему так называемой, социальной инженерии. Данный вид атак является наиболее простым и в то же время опасным. Речь пойдет не только о сайтах на Joomla, но и любых других. Главной уязвимостью в социальной инженерии является пользователь информационной системы. В нашем случае это владелец сайта. О том, как обезопасить себя, свои проекты и данные, я расскажу в этой статье.

Общие принципы

Рассмотрим следующую ситуацию: Вы – владелец сайта. Вы самостоятельно за ним следите и наполняете. У вас есть все необходимые доступы: к администраторской панели, к хостингу, к домену, по FTP. В основном вы пользуетесь админкой, но иногда приходится и всем остальным. Я думаю, данная ситуация знакома многим читателям. Многие узнают здесь себя.

Сейчас, благодаря широкому развитию CMS, таких как Joomla, владеть сайтом может человек, не имеющий образования в области IT. Чаще всего так и происходит. К сожалению, такие люди имеют лишь поверхностное представление о компьютерной безопасности, а иногда и вовсе о ней не слышали. Здесь я не говорю про алгоритмы шифрования и прочие сугубо технические вопросы. Я имею ввиду простейшие принципы компьютерной безопасности, позволяющие защитить свой компьютер, сайт и личные данные. Социальная инженерия направлена в первую очередь на людей, не имеющих отношения к IT. Они смутно представляют, как все устроено и не всегда осознают последствий своих действий, но при этом зачастую имеют существенные доступы к системам.

Хорошим примером описанного выше может являться игра в карты. Скажем, покер. Представьте: вы только вчера узнали правила этой игры и сегодня садитесь за стол с профессионалами. Вам пока не знакомы все хитрости и уловки игры и, с высокой долей вероятности, вы проиграете все, что имеете.

Мир IT и Интернета в некотором смысле похож на этот пример. Это большой океан, в котором начинающий владелец сайта маленькая рыбка. Чтобы не нажить себе проблем, нужно действовать аккуратно и грамотно. Незнание правил этого океана не избавляет вас от опасностей, которые в нем подстерегают. Соблюдая базовые принципы безопасности, описанные ниже, с вероятностью 90-95% вы избежите проблем с взломами.

Принцип №1. Обновления

Это, наверное, один из самых важных принципов, которые нужно соблюдать при работе с компьютером, сайтом, да и любой информационной системой в целом. Всегда обновляйте программы. Мир так устроен, что написать идеальную программу невозможно. Всегда будут находиться какие-то бреши в безопасности. Разработчики, обнаружив уязвимость, оперативно устраняют ее и выпускают обновление. Сами собой обновления обычно не устанавливаются. Максимум, что вы можете увидеть, это информацию о том, что обновление доступно. Нужно стараться обновлять все программы, которые, так или иначе, взаимодействуют с сетью и Интернетом. Дело в том, что после выпуска обновления, информация об уязвимости, которое оно закрывает, становится доступной. Поскольку далеко не все пользователи обновляют программы, хакеры создают вирусы, направленные именно на использование обнаруженных уязвимостей.

Обновление №1 – это обновление Windows. Думаю, что около 95% пользователей, читающих статью, используют именно эту операционную систему на своих домашних и рабочих компьютерах. Да, у нас принято использовать «крякнутую»  Windows. Да, такую нельзя обновлять. И да, в такой зачастую скрыты вредоносные программы уже на этапе установочной версии.

Если вы имеете собственный заработок, не пожалейте нескольких тысяч рублей и купите лицензионную Windows. Про офис и иже с ним я не говорю, тут каждый решит сам, но операционная система – это штука, которая имеет все ключи от вашего компьютера, хранит и обрабатывает всю информацию. Если эта информация стоит для вас дороже, чем 100$, не скупитесь. Купив лицензионный продукт, вы получаете доступ ко всем обновлениям, которые, кстати, устанавливаются автоматически. Тем самым вы значительно повышаете устойчивость вашего компьютера к вирусам и другим вредоносным программам. Чтобы не быть голословным, дам ссылку, которая очень ярко демонстрирует, что может произойти, если не обновлять Windows. Невероятно мотивирует ;-).   

Если вы студент, то узнайте в своем ВУЗ’е, не имеется ли у него подписка на программы Microsoft. Сейчас многие ВУЗ’ы имеют подписку, по которой студенты и преподаватели могут бесплатно получить лицензионную Windows для домашнего использования. Возможно, это есть и у вас.

Обновление №2 – это браузер. Он – ваше окно в Интернет – невероятную помойку всего и вся. Там подстерегает опасность на каждом углу. Вы же не хотите появляться в таком месте, когда под вами старый дряхлый конь? :-). Правильно, не стоит.

Принцип №2. Антивирус

Купите хороший лицензионный антивирус. В своей жизни я успел некоторое время поработать системным администратором и просто эникейщиком. Был и в фирмах и дома у простых людей. Чинил компьютеры, исправлял ошибки, переустанавливал системы. Опираясь на весь свой опыт, могу сказать, что для простого человека (не IT’шника) лучший антивирус – это коммерческий антивирус, к которому куплена лицензия. Это грустно признавать, но это факт. Я перевидал очень много бесплатных антивирусов, платных ломаных и прочей халявы. Это поможет вашему компьютеру так же, как плацебо. Успокоит вас, вроде: «антивирус есть, мой компьютер защищен», но на деле все будет печально.

Лично я использую KasperskyInternet Security. Стоимость лицензии 1600р. за первый год и 1000-1200р. за последующие. Лицензия на 2 компьютера.  Не сочтите за рекламу, но в связке с лицензионной Windows, он обеспечивает прекрасный результат. Я забыл, что такое переустановка системы. Всё просто работает, без ошибок, без моего вмешательства. Лишь забредая на какой-то опасный сайт, я слышу визг антивируса, который заботливо блокирует опасности. Деньги, казалось бы, не маленькие, но посчитайте потерянное на переустановку системы время, потерянные данные, или, хуже того, украденные пароли, деньги. Спокойствие стоит дороже.

Принцип №3. Пиратское ПО

Третье место по важности я отдам установке на домашний компьютер пиратских программ. Если вы скачиваете программу не с официального сайта, а еще хуже того, взламываете ее, то не надейтесь, что ваш компьютер чист. Не всегда распространители таких программ имеют искренние побуждения вроде: «бесплатно для всех». Обычно бывает и какая-то дополнительная заинтересованность. К примеру, вы скачали на торренте какую-нибудь игру. Затем устанавливаете ее и взламываете, слепо следуя инструкциям в файле. Но кто писал этот файл, кто писал взломщик? Особенно умиляет, когда в инструкции написано первым пунктом: «Отключите ваш антивирус». Да, в игру вы поиграете, но что будет потом с вашими данными – большой вопрос.

Это же относится и к Joomla. Не скачивайте дополнительные расширения с посторонних сайтов. Есть каталог официальных расширений Joomla, в котором есть ссылки на загрузку оных из проверенных источников.

Если в вашей семье есть дети, которые ну никак не могут без игрушек, то установите для них отдельную операционную систему, в которой не будет ничего ценного, только игры. С точки зрения безопасности очень важно разделять работу за компьютером и развлечения.

Принцип №4. Обман

«Включите голову» –так звучит четвертый принцип. Запомните, никогда ничего в Интернете вы не получите просто так. Бесплатный сыр бывает только в мышеловке. Если вы зашли на какой-то сайт и вам сообщают, что вы что-то выиграли/заработали/можете получить бесплатно и т.п., просто игнорируйте такие сообщения. Это же относится и к сообщениям, получаемым по электронной почте. Ну не получите вы наследство богатого дяди из Швейцарии :-).

Всегда обращайте внимание на URL страницы, на которой вводите логин и пароль. Распространенное явление – заманить вас на сайт, очень похожий на другой известный, где вы сами введете логин и пароль, которые отправятся прямо в лапы злоумышленника. Обычно адреса таких сайтов схожи по написанию с адресами оригинальных. К примеру: mail.ru и mai1.ru.

Везде, где просят ввести данные, не спешите, думайте и всё проверяйте. Не введитесь на слишком заманчивые предложения. Это поможет сохранить ваши данные в безопасности.  

Принцип №5. Храните пароли в безопасном месте

В идеале пароли нужно хранить у себя в памяти, но в реальности зачастую их так много, что в голове все не удержать. В этом случае лучшим решением будет хранение на старом добром бумажном носителе, например, в записной книжке, которая спрятана дома. Если боитесь, что ее украдут, то можно сохранить пароли в зашифрованном архиве на ПК, а пароль от архива, в свою очередь, записать в книжку. Хотя это уже паранойя :-).

Вместо заключения

Сказал ли я что-то новое? Открыл ли для вас Америку? Большинство читателей скажет, что нет. Я соглашусь. Я озвучил вроде бы очевидные вещи, которыми многие почему-то пренебрегают. Половина безопасности вашего сайта – это безопасность вашего компьютера и если вы за ней не следите, то нечего и удивляться, если на сайте появятся вирусы. Рыбак не пойдет в море без хорошей лодки и снастей, охотник не пойдет в лес без надежного ружья, так и владелец сайта не должен идти в Интернет без защищенного компьютера и подлинного программного обеспечения. Помните об этом и сбережете время, нервы и деньги.

Об авторе
Wedal
(Виталий). Веб-разработчик полного цикла (Full Stack). Создатель и автор сайта Wedal.ru.
Основной профиль – создание сайтов и расширений на CMS Joomla.
Добавить комментарий

Комментарии  
0
Все правильно написали. Особенно умиляет про "Отключите ваш антивирус". )) Хотя отказаться полностью от пиратского по пока не могу, но как минимум всегда смотрю на цену программы и на то есть ли демо версия или бесплатные аналоги.
0
Спасибо за статью. Хочутся все же высказать свое мнение. Жаль что не было упоминания об альтернативе - ОС на базе Linux. Многие дистрибутивы бесплатные, с открытым исходным кодом и распространяются по той же лицензии что и горяче любимая Joomla. К тому же безопасность всегда была приорететом разработчиков, поэтому Linux даже надежнее, чем Виндовз.
0
panteRra, на Linux после Windows очень сложно перейти, особенно простым людям(не IT'шникам). Через это тоже проходил. Пока не было ни одного успешного опыта. Ну и будем все-таки честны - Windows гораздо более ориентирована на простого пользователя.
Касательно безопасности Linux - да, всегда говорили, что она гораздо выше, но это открытое ПО и для него свойственны такие же проблемы, как и для, скажем Joomla. Всё нужно обновлять, иначе можно схватить зловреда. Все-таки считаю, что Linux считается безопаснее только потому, что пользуется им гораздо меньше людей и делать вирусы под нет не так рационально. Размеры аудитории не те. Но стоит этой операционной системе стать популярной среди пользователей, как начнутся точно такие же проблемы с вирусами - мое ИМХО. В этом плане Windows уже переболела вирусной болезнью и сейчас имеет иммунитет в виде хороших антивирусов.
1
Виталий, спасибо за статью. Думаю многим она будет полезной. Вот только под определение "социальная инженерия" подпадает только 4 принцип. Всё остальное скорее общие принципы. По поводу хранения паролей. Прошёл этап хранения паролей в зашифрованном архиве, но это стало очень не удобно с ростом числа паролей, поэтому перешёл на KeePass и, в целом, доволен им. У блокнота есть недостатки: он может сгореть, текст может выцвести, его могут подсмотреть и т.д.