Защита личных данных в Windows-операционных системах

Discussion in 'Безопасность и Анонимность' started by Yason, 13 May 2015.

  1. Yason

    Yason Member

    Joined:
    8 May 2015
    Messages:
    4
    Likes Received:
    8
    Reputations:
    31
    Добрый день форумчане и гости Античата. В представленной статье хочу поделиться общими и базовыми мерами безопасности при работе в Windows–операционных системах. Материал написан специально для antichat.ru.

    1. Проверяем достоверность используемого ПО.

    В условии необходимости новой установки операционной системы первым правилом является использование оригинальных дистрибутивов Windows-ОС. Как же можно определить, что имеющийся диск или скаченный образ системы соответствует оригиналу? Всё достаточно просто. Существуют математические алгоритмы, позволявшие однозначно (с пренебрежением коллизий) идентифицировать какой-либо массив данных в виде символьной (буквенно-цифирной) последовательности, т.е. хеш-фунции. Если в программу будет добавлен или изъят, или изменён частично код, даже 1 бит, то хеш-значение уже буде другим. Сейчас для идентификации дистрибутивов достаточно распространены алгоритмы MD5 и SHA-1.

    Для Windowsесть хорошая, встраиваемая в систему программа – HashTab. Она располагает в своём арсенале множество алгоритмов.

    [​IMG] [​IMG]

    Сверять полученные хеш-значения значения стоит на сайтах разработчика программ (ОС) или других ресурсах, которым вы доверяете.

    Так же проверять хеш-значение (при их публикации разработчиком) не только ОС, но любых программ считается хорошей привычкой.

    И так при установке Windows-операционной системы используем оригинальные дистрибутивы.

    Устанавливая неофициальные сборки Windows-операционных систем или урезанные варианты вы берёте на себя риск получить не только не полностью функционирующую систему, но и имеющую недекларируемые возможности от «сборщиков» - бэкдоры (в строну Microsoftне смотрим) и\или иные зловредные включения. Системы от сборщиков использовать как основную (не специализированную) для работы недопустимо.

    2. Ограничиваем себя в правах.

    Для чего? В случае если, по той или иной причине, мы активируем вредоносную программу, то при урезанных правах она либо не запустится, либо не пропишет себя в систему на постоянной основе.

    При этом проверяем, отключены ли стандартные учёные записи: Администратор и Гость. Если нет – то отключаем, а также для этих деактивированных УЗ меняем пароли, чтобы они не были «пустыми». Также проверяем наличие неиспользуемых УЗ и в других привилегированных группах.

    Например, создаем в системе 2 учетные записи – одна с правами администратора; вторая – обычного пользователя.
    [​IMG]
    При обычной офисно-серфинговой работе в системе права администратора не нужны. При необходимости установки какого-либо программного продукта\конфигурировании системы всегда можно воспользоваться пунктом «запуск от имени другого пользователя\запуск от имени администратора»
    [​IMG]
    или «runas» в командной строке – «runas /user:mymachine\park cmd».

    3. Обновляемся.

    Скажу кратко. Регулярно мы слышим, что в ОС Windows или других программах выявляются уязвимости, а разработчики их стараются залатать, выпуская к ним обновления\патчи. По этому их ставим всегда и сразу, как выходят, тем более к ОС и сетевым программам.


    4. «Запоминаем пароли».

    Основа – они должны быть сложными и они не должны повторяться. А если он не один и не два, а их 20 и более, как их всех запомнить и где хранить?

    Для хранения конечно подходит старый метод – запись на бумагу – «спец. блокнот» (наклейки на монитор и т.п. необходимо забыть как страшный сон). Но он хорош тем, если мы редко используем пароли и в углу стоит засыпной сейф, где и хранится этот блокнот. Не очень удобный для повседневной работы метод.

    Хранить в электронном виде в обычном файле «*.txt» и т.п. крайне небезопасно, т.к. при получении доступа к вашей системе злодей получит доступ и к другим личным ресурсам.

    Тут к нам на помощь приходят специализированные программы и дополнительный функционал «обычных».

    Например для генерации, хранения, структурирования и доп. пометок отлично подходит KeePassX или другой аналогичный продукт. Создаваемая база паролей шифруется, для получения доступа к ней мы запоминаем только 1 сложный пароль (должен быть действительно сложным) + можно добавить ключевой файл.
    [​IMG]
    [​IMG]
    [​IMG]

    При использовании таких программ сложности в генерации и хранении сложных паролей упростятся на несколько порядков. Но при использовании функционала «скопировать в буфер пароль\логин» нужно помнить, что они обрабатываются в открытом виде.

    Если мы используем дополнительный (собственный) функционал программ для запоминания паролей то также необходимо использовать методы шифрования ваших «личных запомненных аутентификационных записей». Например в Firefox присутствует возможность использования мастер пароля. При его использовании, даже при компрометации системы, запомненные браузером пароли будут защищены.
    [​IMG]


    5. Определяем доверие к web-ресурсам.

    Сейчас достаточно легко создать фишинговую страницу с полями для логина\пароля какого-нибудь известного ресурса. Как злодей направит жертву на неё это другой вопрос, но если это случается, то достаточно трудно мгновенно определить её подделку (не каждый сразу различит «опечатку» в 1 символ в адресной строке, помарки на представленной странице или иное).

    Если у пользователя не глаз-алмаз, то для «фоновой» проверки лучше использовать антифишинговые программы или плагины для браузеров. Одной из таких может служить тулбар небезызвестной компании Netcraft. При его использовании нам подсказывают насколько можно доверять открытому web-ресурсу.
    [​IMG]


    5.1 Закрываем web-сессии.

    Зашли на интересующийся web-ресурс. Авторизовались. Сделали все дела и выключили компьютер. Но для некоторых web-ресурсов браузер может запомнить вашу сессию, и в следующий раз, при входе на тот же сайт, он не попросит ваши аутентификационные данные, а восстановит предыдущую сессию, использовав сохранённые в браузере "cookies". Это довольно неплохо с точки зрения ускорения веб-серфинга, НО при доступе (физическом или удалённом) к вашему ПК других лиц, они получают возможность обойти аутентификацию получив доступ к вашему аккаунту (в т.ч и с другого устройства, скопировав cookies на него).

    Если нет желания допускать подобный риск, то при выходе с сайтов\выключении браузера необходимо удалять cookies. Это делается настройками браузеров
    [​IMG]

    или соответствующими плагинами
    [​IMG]

    6. Защищаемся от кейлогеров.

    Чтобы не передавать входящую\выводящую информацию необходимо контролировать процессы, сервисы, обращающиеся к ней в системе. Существует специализированный софт, который это проделывает, но стоит помнить, что такое ПО само глубоко закапывается в систему\реестр и пропускает через себя потоки набираемых\обрабатываемых личных данных. Вопрос доверия к ним в условиях не высокой распространённости стоит не на последнем месте.
    Из известных есть ZemanaAnntiLogger
    [​IMG]

    Нужно учитывать, что некоторые правила этого ПО могут нарушить работу легальных программ.
    [​IMG]

    7. Используем комплексы антивирусной защиты.

    Сейчас антивирусные продукты имеют возможность не только обнаруживать непосредственно вирусы, но и проводить проверку почтовых сообщений, обнаружение опасных сайтов, а также сетевое экранирование , IDS\IPS, и специализированные модули для банковских операций.
    [​IMG]
    [​IMG]
    Не стоит пренебрегать этим дополнительными свойствами.

    При этом, если не уверены в своём антивирусе при анализе объекта, то хороший способ воспользоваться сервисом virustotal.com
    [​IMG]


    8. Шифруем всё.

    В контексте того, что мы не злодеи и от органов правопорядка или иных служб не прячемся, то шифрование системы в целом применительно к мобильным устройствам (но и для стационарных ПК бывает не лишне) с целью защиты на них данных в случае утери или кражи устройства.

    Для этого нам помогут, как встроенные в windows программы, так и специальные.

    Bitlocker – программа от micrisoft, идущая вместе с Windows (не во всех версиях). Позволяет зашифровать как содержимое всех логических дисков (в т.ч. и системного) или отдельных дисков системы. Позволяет использовать пароль или смарт-карту с их проверкой до загрузки операционной системы. Если за нами не гоняется ФСБ\ЦРУ\МИ6\Моссад, то его использование считается приемлемым.
    [​IMG]

    Truecrypt – наиболее популярная (официально уже не поддерживаемая анонимными разработчиками, но остающаяся всё также надёжной) программа, позволяющая шифровать разделы диска (в т.ч. системный), и создавать закрытые контейнеры, подключаемые в виде логических томов.
    [​IMG]

    Процесс аутентификации также происходит до загрузки операционной системы
    [​IMG]

    Нужно помнить, что шифрование всё-таки будет уменьшать производительность вашей системы - тем сильнее алгоритмы, тем медленнее будет происходить обработка данных.


    9. Используем средства виртуализации.

    В случаях когда есть опасность заразить систему, используя подозрительный\опасный файл\ресурс, который по той или иной причине необходимо запустить или обратиться к нему и т.п., то есть возможность использовать средства виртуализации.

    Для домашнего использования самые распространённые - vmware workstation\player и virtualbox.

    С их использованием можно создавать и использовать виртуальные, но полноценные операционные системы и работать независимо в каждой из них, при необходимости удаляя, заменяя, создавая новые.
    [​IMG]

    -----------------------

    Использование указанных мер, средств и действий позволят значительно уменьшить риск доступа к вашим личным данным при работе в Windows-операционных системах.
     
    #1 Yason, 13 May 2015
    Last edited: 18 May 2015
    Zizin, dondy, Djoser and 4 others like this.
  2. fixerz

    fixerz Active Member

    Joined:
    12 Oct 2015
    Messages:
    94
    Likes Received:
    136
    Reputations:
    3
    Стоит отметить один момент про trucrypt, в последней версии насколько известно вшита бекдурь.
    Так что лучше не юзать последнюю. Bitlocker легко обходится, дрянь полная.
     
  3. OSW

    OSW Elder - Старейшина

    Joined:
    12 Jul 2007
    Messages:
    325
    Likes Received:
    56
    Reputations:
    7
    Подозрения на уязвимости TrueCrypt не подтвердились: https://threatpost.com/german-government-audits-truecrypt/115441/

    Везде советуют стабильный форк - VeraCrypt.
    А битлокер да, дрянь.
     
    KeNoSss likes this.