Это авторский вариант статьи, опубликованной в 11 номере журнала XXL (Россия) за 2011 год под названием «Ловчие сети». Здесь многословнее, там лаконичнее и с картинками.
Как известно, управлять компьютером сейчас может любая кухарка. Миллионы людей пользуются им для выхода в Интернет, чтобы зависнуть во «ВКонтакте» или «Одноклассниках», выжечь огнём и мечом с группой виртуальных знакомых поселение орков в World of Warcraft или же скачать в торрентах какую-нибудь порнушку.
А в это время злыдни, которые прекрасно знают, что возможности компьютера и Интернета гораздо шире, самыми изощрёнными способами стригут капусту со всей этой армии интернетчиков. О том, что на них идёт охота, большинство пользователей узнают уже тогда, когда попадают в расставленные на них киберсилки, причём зачастую неоднократно.
Тогда они зовут на помощь специалистов, которые приводят их компьютеры в чувство — лишь для того, чтобы пользователи опять могли заниматься своими любимыми делами, снова и снова наступая на одни и те же грабли. В реальной жизни такое показалось бы абсурдом. Это как если бы среднестатистический гражданин активно вступал в случайные половые связи, не пользуясь не только собственными мозгами, но и элементарными средствами защиты, после чего проходил очередной курс лечения в кожвендиспансере и — опять принимался за старое, даже не пытаясь связать причину и следствие.
Из этого замкнутого круга может выйти только сам интернет-пользователь. Если захочет.
А вы — хотите?
Комплексная защита
К сожалению, чтение одной небольшой статьи не сделает из вас «продвинутого юзера» — тема безопасности при работе за компьютером и в Интернете слишком обширна. Универсальный совет «Включайте голову!», конечно, хорош, но без знаний и навыков от него нет никакого практического смысла. Поэтому первым делом следует озаботиться установкой на компьютер комплексной защиты — программы, которая подстрахует вас в тех случаях, когда вы не сможете разглядеть «мину» своими глазами.
Все, конечно, слышали о компьютерных вирусах и, соответственно, антивирусах. Вирусы нам, понятно, не нужны, и защититься от них как раз помогают антивирусы. Но если компьютер подключён к Интернету, тем более если это подключение постоянно, простому антивирусу тут не справиться. Нужна комплексная интернет-защита, в которую входит и антивирус, и масса других полезных модулей.
Да, это стоит денег, причём их придётся тратить не один раз, а регулярно. Это примерно как платить зарплату телохранителю. Вряд ли вы рассчитываете, что, заплатив однажды энную сумму денег, вы сможете прятаться от оптических прицелов за широкими спинами парней из секьюрити до конца своей жизни. Ну, если, конечно, жить предполагаете долго, а не до первого выстрела.
Овчинка стоит выделки. Лучше платить ежегодно долларов по тридцать, чем по несколько раз в год тратиться на вычистку компьютера от тормозящих его работу вирусов, отсылать злоумышленникам платные SMS-ки в надежде получить код, который снимет блокировку компьютера, и постоянно подвергать себя риску кражи пароля к системе онлайн-банкинга со всеми вытекающими отсюда последствиями.
К тому же, вполне возможно, что вы уже платите деньги за такую защиту, но не пользуетесь ею. Внимательно проверьте условия своего тарифного плана у интернет-провайдера. Некоторые провайдеры заключают договора с разработчиками антивирусов и предлагают их программы «бесплатно» (что означает, что их стоимость включена в стоимость услуг провайдера).
Комплексную защиту какого именно производителя лучше купить? Решайте сами. У всех имеются свои сильные и слабые стороны. Многие можно бесплатно пощупать в течение нескольких недель, и этим тоже стоит воспользоваться. В любом случае, ни одна из них не обеспечит стопроцентной защиты от киберугроз, поэтому голову вам всё равно придётся включать. Обидно, да, но тут уж ничего не попишешь.
Обновление программ
Тут правило простое: старайтесь использовать в работе самые последние версии программ. Если программы умеют обновляться самостоятельно, лучше не лишать их такого удовольствия. На практике в первую очередь обновлять нужно собственно операционную систему (обычно это Windows), интернет-браузеры (Internet Explorer, Firefox, Opera, Chrome, Safari), популярные офисные пакеты (Microsoft Office) и
всевозможные браузерные надстройки и вспомогательные утилиты (Java, Adobe Reader, Flash).
Для чего всё это нужно? Дело в том, что любая достаточно сложная программа содержит ошибки. В том числе и такие, какими могут воспользоваться в злонамеренных целях всякие нехорошие хакеры. Такого рода ошибки называются уязвимостями или «дырами». Для наглядности можете представить себе банк с бронированными стенами, камерами видеонаблюдения, сигнализацией, решётками на окнах и охраняющими вход злобными гоблинами. Казалось бы, к нему не подступиться, но если тщательно изучить вопрос, может оказаться, что чердачный люк запирается на обычный шпингалет или что внутрь можно попасть через систему канализации.
Разработчики программ периодически эти «дыры» обнаруживают (нередко уже после того, как их обнаружат хакеры) и, если у них будет хорошее настроение, заделывают. Правда, в отличие от ситуации с банком, где достаточно приделать к люку новый замок с сигнализацией, тут нужно заделывать все копии программ, которые установлены у тысяч и миллионов пользователей. Поэтому разработчики выпускают обновления (патчи, «заплатки»), надеясь на то, что пользователи их у себя установят. Так давайте же оправдывать эти надежды!
Надо сказать, что наибольшему риску подвергаются пользователи наиболее популярных программ: злоумышленнику выгоднее найти «дыру» в той программе, которая установлена на миллионе компьютеров, чем в той, которой пользуется всего тысяча человек. Этим соображением в ряде случаев имеет смысл руководствоваться при выборе программ. Не ленитесь: если к Windows автоматически прилагается браузер, это не значит, что не нужно попробовать конкурирующие программные продукты, тем более что практически все браузеры сейчас бесплатны.
Есть люди, которые считают, что если уж менять, так операционную систему целиком, т.е. Windows — на что-то из семейства Linux. Мол, система сама по себе защищена лучше, а вирусов под неё очень мало. Это, безусловно, тоже вариант, но подойдет он на сегодняшний день далеко не всем. К тому же никакая надёжность системы не спасёт от влияния «человеческого фактора» — той самой прокладки между креслом и монитором компьютера.
Бомба в посылке
Лёгкая паранойя не помешает. Прежде чем нажать на ссылку или открыть файл, которые пришли к вам по электронной почте или «аське», задумайтесь, нет ли здесь подвоха. Если они пришли от незнакомого человека, можно даже не думать, а сразу отправлять в мусор. Если от знакомого — возможны варианты, ведь адрес отправителя, к сожалению, легко подделывается. Не исключено также, что вскоре после того как вы откроете эту ссылку или запустите эту программу, ваши знакомые начнут получать аналогичные послания, сделанные якобы от вашего имени.
Комплексная интернет-защита спасает и в таких случаях, но не всегда. Если речь идёт о совсем новой вирусной эпидемии, велика вероятность, что ваш антивирус ещё не знаком с такой «заразой» и может её не распознать. Да, многие антивирусные компании достаточно оперативно выявляют новые вредоносы, но, как говорится, на антивирус надейся, а сам не плошай.
Аналогичной тактики следует придерживаться и в социальных сетях, ведь многие эпидемии зарождаются именно здесь. Не жмите на всё подряд без особой на то необходимости, особенно если ссылка сопровождается какой-нибудь завлекающей фразой с восклицательными знаками. Подумайте, действительно ли вам так уж нужно посмотреть на сиськи, которые якобы случайно якобы показала некая кинозвезда или теннисистка, тем более если под рукой у вас всегда есть свежий выпуск «XXL».
Если у вас всё же хватило ума нажать куда не следовало, это ещё не значит, что непоправимое уже случилось. Да, можно подхватить виртуальный сифилис, просто открыв какой-то «левый» сайт (в этом случае как раз эксплуатируется одна или несколько уязвимостей в ваших программах). Но очень часто злоумышленники рассчитывают на беспечность пользователей, которые, влекомые сладкой приманкой, должны сами раскрыть ворота троянскому коню.
Так, вам могут предложить «обновить Flash» или сделать ещё какие-то действия, для того чтобы вы могли посмотреть видеоролик с желанными сиськами. Разумеется, этого делать не надо. Если вам действительно захочется обновить Flash, не поленитесь зайти на официальный сайт компании Adobe и сделать это оттуда. И не удивляйтесь, если окажется, что у вас уже и так установлена самая последняя версия «флеша» и ничего обновлять не нужно.
Обращайте внимание на расширения файлов, которые скачиваете из Интернета или получаете извне другим способом. Поверьте, для того чтобы прочитать книгу, вовсе не обязательно качать её с какого-то сомнительного сайта в виде EXE-файла. Научитесь отличать файлы-документы от программ, т.е. исполняемых файлов: книга, фильм или музыка — это всего лишь данные в определённом формате, который можно прочитать при помощи некой программы. Если же книга оказывается не данными, а программой, это должно зародить в вас зерно сомнения.
С незапамятных времён Windows по умолчанию скрывает расширения файлов. Этой рискованной «фичей» нередко пользуются злоумышленники, выдавая EXE-файлы, т.е. программы, за изображения или видеоролики при помощи двух расширений — скрытого настоящего и фиктивного. Поэтому надо попросить систему непременно показывать все расширения файлов. Уберите соответствующую галочку в настройках Проводника Windows или попросите об этом знакомого компьютерного «гуру», если не можете справиться с этим сами.
Наконец, чем реже вы будете лазить по всяким онлайн-помойкам в поисках халявного порно и «кряков» к платным программам, тем реже вашему антивирусу придётся за вас краснеть. Разумеется, вовсе не обязательно на каждом таком сайте вас поджидают «трояны» — равно как и вовсе не обязательно любой «хороший» сайт не представляет никакой опасности, — но если говорить о вероятностях, то вас скорее ограбят в тёмном переулке, чем в приличном ресторане.
Что делать, если вам ну просто позарез нужно открыть какую-то ссылку или файл, но у вас имеются на их счёт некоторые сомнения? Проверьте возможности вашей программы комплексной защиты. Не исключено, что в ней предусмотрены режимы безопасного запуска программ и просмотра сайтов. В этих режимах используется дополнительный уровень защиты, при котором программы запускаются как бы в стороне от всего прочего, в отдельной среде. Это позволит вам проверить на практике подозрительную программу или ссылку, существенно снизив риск подцепить заразу. По сути это то же самое, что вскрыть подозрительную посылку, поместив её в бронированное помещение — если она всё-таки взорвётся, разрушения и человеческие жертвы будут минимальны.
Ловись, рыбка, большая и маленькая
По электронной почте могут прийти не только вирусы. Нежелательная почта делится также на спам (непрошеная реклама), скам (мошеннические письма) и фишинг (письма-подделки). Поскольку практически везде сейчас стоят спам-фильтры, большинство этих писем вы, скорее всего, не увидите. Но кое-что время от времени просачивается, и на это кое-что вы должны уметь адекватно реагировать сами.
Как реагировать на непрошеную рекламу — дело хозяйское, хотя правильнее всего её попросту игнорировать. Что до писем от мошенников, то хотя распознать их и несложно, всегда находятся исключительно наивные люди, которые обманываются и теряют в результате тысячи и даже десятки тысяч долларов. Вы не из таких, случайно? Ну, на всякий случай: если вам пришло письмо от якобы нигерийского принца в изгнании, которому нужно помочь с переводом нескольких десятков миллионов денег в обмен на щедрые проценты и орден Зелёного Змия первой степени — это точно оно. Можете игнорировать, а можете получить массу удовольствия, вступив с этим «принцем» в затяжную переписку и разыграв из себя невинную овечку. Главное тут — ни под каким видом не давать ему ни копейки. Заглотнёт и не подавится.
Для большинства же наибольшую опасность из всей нежелательной почты представляют рассмотренные выше вредоносные ссылки и файлы, а также фишинговые письма. Слово «phishing», если закрыть глаза на орфографию, означает «рыбалка». Как настоящий рыбак надеется, что рыба примет пластмассовую мушку за настоящую, а блесну — за мелкую рыбёшку, так и фишер рассылает интернетчикам фальшивые письма в надежде, что те клюнут на подделку.
Это может быть письмо якобы из социальной сети, онлайн-аукциона, банка — любого достаточно популярного онлайнового сервиса или известной компании. Письмо будет очень похоже или даже практически неотличимо от настоящего. В нём также будет более или менее убедительно написано, что в целях обеспечения безопасности вам следует подтвердить свой пароль или ещё что-нибудь в этом духе. И ещё там будет ссылка на сайт, очень похожий на настоящий, где вы должны будете ввести свои реквизиты в заботливо подготовленные для этого поля. После этого вам почти наверняка скажут большое спасибо, причём совершенно искренне: ваши логин и пароль очень пригодятся злоумышленнику, которому, если задуматься, тоже ведь нужно кормить семью.
Чтобы не попасться на эту удочку, нужно понимать следующее. Во-первых, солидные сервисы, особенно если они напрямую связаны с деньгами, обычно не рассылают в письмах никаких гиперссылок. И уж наверняка они не попросят у вас пароль через email. К любым, даже самым правдоподобным письмам, содержащим хотя бы намёк на такую просьбу, следует относиться с подозрением.
Во-вторых, обращайте внимание на гиперссылки. В подавляющем большинстве случаев фишинговые странички располагаются на «левых» доменах: адрес будет хотя бы в одной букве да отличаться от настоящего. (Крайне редко злоумышленникам удаётся воспользоваться уязвимостью настоящего сайта и незаметно разместить там свою страничку. Если такое произойдёт с вами — считайте, что вам не повезло, поскольку выявить подделку будет гораздо труднее.) Имейте также в виду, что если письмо пришло в HTML-формате, то текст ссылки может отличаться от самой ссылки. Наведите на ссылку мышкой и посмотрите, какой реальный адрес появляется во всплывающей подсказке.
Надо добавить, что письма с вирусами (точнее, «троянами» и «червями») — неважно, прикреплены ли они к письму как файлы или же доступны по ссылкам в тексте письма — также нередко замаскированы под настоящие.
Это волшебное слово «qwerty»
Каждый раз, когда в открытый доступ каким-то образом попадает список реальных паролей пользователей какого-то популярного веб-сервиса, эксперты по безопасности выразительно закатывают глаза и качают головами. Сколько ни говорится о том, как правильно выбирать пароли, к этим советам практически никто не прислушивается. Поэтому массы людей в качестве паролей используют что-то вроде «111111», «qwerty» и «пароль», а при наличии некоторой фантазии — слова вроде «gfhjkm» («пароль» в английской раскладке). Многие лепят в качестве паролей свои имена и даты рождения, максимум — данные своих любимых. Одни используют для этого названия сайтов, у других пароли совпадают с логинами... Иными словами, люди делают всё, для того чтобы облегчить себе работу по запоминанию пароля — и заодно облегчить работу злоумышленника по его подбору.
Оставим сейчас в стороне вопрос о том, зачем злобному хакеру может понадобиться пароль к почте какого-то там Васи Пупкина — примеров можно придумать массу. Отметим лишь, что у хакеров нередко имеются все возможности автоматизировать процесс подбора паролей тысяч и тысяч пользователей того или иного веб-сервиса.
Конечно, запомнить пароль вроде «ehTn45mNNd0» или «_NakMur6_09dhTnb» — а именно такие жуткие комбинации считаются наиболее устойчивыми ко взломам — довольно непросто. Но у пользователя есть несколько способов облегчить себе работу с паролями, не упрощая при этом задачу потенциальному взломщику.
Один из них — использование так называемого менеджера паролей. Это программа или веб-сервис, которые помнят все ваши пароли, сами умеют генерировать новые «неподбираемые» пароли и, главное, защищают их от чужих глаз. В этом способе имеются как плюсы, так и минусы. Например, список паролей часто защищается при помощи одного-единственного мастер-пароля, который должен запомнить пользователь. И горе ему, если он вздумает в качестве главного пароля использовать пресловутый «qwerty».
Другой способ — запоминать несколько паролей, буквально три-четыре штуки. И каждый из них использовать для разных уровней секретности. К примеру, один пароль — для сервисов, где потеря учётной записи для вас некритична, другой — для более личных сервисов (например, социальных сетей), третий — для работы с денежными операциями. Здесь тоже есть свои минусы, наличие которых надо хорошо осознавать. И если вам показалось, что кто-то узнал один из этих паролей, нужно немедленно поменять его на всех сайтах, где он используется.
Если защита онлайновой платёжной системы или системы онлайн-банкинга построена на одном лишь пароле, такой системой лучше не пользоваться. Вообще. В системе, связанной с деньгами, должна быть предусмотрена так называемая двухфакторная идентификация — когда, помимо пароля, у пользователя явным или неявным способом запрашивается дополнительный код. Сейчас популярна защита в виде высылаемого цифрового кода на указанный пользователем мобильный телефон. Существует и упрощённый вариант, при котором пользователи идентифицируются непосредственно по номерам своих мобильных телефонов (в таких случаях можно обойтись и без обычных паролей). Надо заметить, что обе такие схемы достаточно надёжны, особенно если вы не имеете привычку терять мобильник. Помните только, что смартфон тоже может быть заражён каким-нибудь «трояном».
Отдельного разговора заслуживают пароли к почтовым ящикам. Дело в том, что любой мало-мальски продвинутый веб-сервис, на котором предусмотрена регистрация, оборудован также системой восстановления паролей. На тот случай, если пользователь забывает свой пароль — или же, если угодно, на тот случай, если кто-то, выдавая себя за пользователя, пытается получить доступ к его учётной записи. Один из распространённых способов восстановления забытого пароля — отправка этого или нового пароля по электронной почте. Соответственно, если у злоумышленника имеется доступ к вашему почтовому ящику, он может достучаться с его помощью и к другим сервисам. Конечно, в первую очередь это используется при целевых атаках (скажем, ревнивая жена хочет узнать, с кем вы там общаетесь на сайте знакомств), но при некоторых условиях этот принцип может быть и автоматизирован. Как следствие, крайне желательно для каждого почтового ящика иметь отдельный, трудно подбираемый пароль.
И, раз уж речь зашла о восстановлении паролей, нельзя не сказать пару ласковых слов о так называемых контрольных вопросах. По какой-то загадочной причине подавляющее большинство сервисов (включая, как это ни прискорбно, даже платёжные системы) оперируют исключительно списком стандартных вопросов типа «Девичья фамилия вашей матери» и «Ваша любимая поп-группа». Не сомневайтесь: человек, который задался целью увести у вас, скажем, блог в «Живом журнале», не поленится выяснить о вас всю подноготную, тем более что вы почти наверняка сами доверили большинство подобных сведений своему онлайн-дневнику с открытым доступом. Поэтому, если, помимо вопроса из стандартного списка сервис предоставляет возможность указать собственный вопрос, лучше выберите этот вариант и занесите в поля данные, которые не известны никому, кроме вас. Если же это невозможно, лучше, пожалуй, указывать неправильный ответ на контрольный вопрос — но таким образом, чтобы вы сами себя не запутали. (А никто, между прочим, и не обещал, что будет легко.)
Наконец, самое главное. Вы должны хорошо понимать, что все эти ваши ухищрения не будут стоить ломаного гроша, если вы подцепите шпионскую программу, подглядывающую пароли, или же собственноручно внесёте его в форму фишингового сайта. Поверьте, компьютеру совершенно всё равно, насколько сложный у вас пароль: в отличие от вас, он одинаково хорошо запоминает как «qwerty», так и «alWE1cdt6_RVm». Но как снизить риск заразить свой компьютер или попасться на удочку фишеров, вы уже знаете. Во всяком случае, очень хочется в это верить.
[...] Опасности Интернета [...]