Версия 0.1.0 от 10.10.2013
Сюда будет перенесено содержание
Целью настоящей инструкции является указание на наиболее простые и малозатратные способы несанкционированного доступа к заданиям для интеллектуальных конкурсов и игр и изложение необходимых мер для пресечения подобного доступа. Инструкция — не набор рекомендаций «как защитить ящик электронной почты от взлома», а комплексное описание мер, выполнение которых необходимо для предотвращения утечки информации при наиболее вероятных действиях со стороны злоумышленников.
Положения инструкции носят общий характер и применимы к подготовке различных интеллектуальных конкурсов и игр, например, школьных и студенческих олимпиад.
Инструкция адресована как непосредственным участникам процесса подготовки заданий, так и оргкомитетам турниров, которые могут составлять свои требования на её основе.
Настоящая инструкция предназначена для людей с разным уровнем владения информационными технологиями, но прежде всего — для тех, у кого этот уровень минимален. При этом предполагается, что даже тем, кто уверен в своей высокой квалификации, её текст поможет систематизировать подход к защите информации. Основное внимание уделено работе под операционной системой «Виндоус», как наиболее распространённой среди неискушённых пользователей и одновременно относительно уязвимой.
Требования инструкции рассчитаны на турниры, успех на которых не стоит серьёзных затрат на несанкционированное получение заданий. В том случае, если возможный бюджет злоумышленников составляет величину порядка тысячи долларов и выше, или в случае турнира очень высокого уровня (например, чемпионата мира), меры, требуемые в данной инструкции, не могут считаться достаточными.
Инструкция состоит из основной части, приложений и памяток. Предполагается, что все участники процесса подготовки заданий читали инструкцию хотя бы один раз в течение последнего года, а требования касающихся их памяток помнят постоянно. Приложения предназначены для выполнения разовых задач и носят справочный характер.
В общем случае главы 1, 2 и 3 инструкции предназначены для всех, имеющих доступ к заданию: АЗ, РГ, ГТ и ВТ. Оргкомитет турнира может в зависимости от ситуации по своему усмотрению изменить это положение. Например, если каждый из АЗ готовит лишь весьма незначительную часть задания, можно сделать для них необязательным пункт 1, а если ВТ получают задание в аналоговом виде — сделать для них необязательными пункты 2 и 3). Также оргкомитет может изменить рекомендации и требования отдельных пунктов или подготовить основе данной инструкции собственную с соблюдением условий лицензии.
Главное, о чём следует постоянно помнить владельцам ценной информации: самое слабое место в информационной защите — человеческий фактор. В большинстве случаев похищение информации происходит не благодаря гению злоумышленника, а из-за слабых мест, а иногда и откровенных дыр в защите.
Положения настоящей версии инструкции соответствуют состоянию развития технологий на конец 2013 года.
В тексте инструкции используются следующие аббревиатуры:
РГ — редакторская группа. Группа людей, которые готовят задание для турнира, составляя его самостоятельно или получая материалы от авторов.
АЗ — авторы задания. Не входят в РГ; их участие ограничивается передачей членам РГ материалов для задания.
ГТ — группа тестирования. Группа людей, которая получает от РГ задание до турнира и комментирует задание.
ВТ — ведущие турнира. Группа людей, которые получают от РГ окончательную версию задания и отвечают за его конфиденциальность до окончания турнира.
ПК — персональный компьютер.
В тексте инструкции используются следующие термины:
Время работы над заданием считается с того момента, когда становится известным, кто входит в редакторскую группу. Окончанием работы считается момент, когда задание становится полностью известным участникам.
В тексте цветом выделены требования и запреты, настоятельные рекомендации и рекомендации. Требования и запреты обязательны к исполнению. Настоятельные рекомендации в общем случае тоже обязательны к исполнению. Невыполнение настоятельных рекомендаций возможно лишь с разрешения доверенного квалифицированного специалиста после его ознакомления с конкретными обстоятельствами, при условии выполнения указаний по информационной безопасности, которые будут даны этим специалистом.
К наиболее простым и при этом самым вероятным способам доступа злоумышленников к заданиям относятся:
Физический доступ к объекту, на котором хранится задание (бумага, электронное устройство, накопитель) или с которого осуществляется доступ к заданию (электронное устройство).
Удалённый доступ к средству обмена информацией (электронная почта, удалённый диск, коммуникатор) с помощью ввода предварительно добытого или подобранного пароля.
Подслушивание обсуждения заданий, когда оно осуществляется голосом.
К более сложным в реализации способам следует отнести удалённый доступ к электронному устройству или к интернет-сервису путём их взлома с использованием программных уязвимостей или благодаря получению пароля методом машинного перебора.
Остальные способы несанкционированного доступа можно считать практически нереализуемыми в рамках оговорённых в преамбуле условий.
Каждый, кто обладает доступом к заданиям, должен постоянно помнить, на каких носителях информации, аналоговых и электронных, имеется или ранее имелось задание (в незашифрованном виде) и с каких электронных устройств возможен упрощённый (без ввода пароля) доступ к нему.
Для упрощения контроля рекомендуется ограничить этот список накопителей и устройств.
Необходимо отдавать себе отчёт в том, что задание может быть добыто злоумышленником, даже если он отсутствует в момент работы с заданием. Например, файл может быть получен с помощью специально подготовленного носителя информации, который будет установлен в электронное устройство; пароль может быть зафиксирован с помощью устройства с функцией записи изображения; обсуждение может быть записано с помощью устройства с функцией записи звука.
Каждый, кто обладает доступом к заданиям, должен знать, где в настоящий момент находятся носители информации, содержащие задания, и понимать, кто может получить к ним несанкционированный доступ.
Следует помнить, что если задание когда-либо было записано на персональном компьютере или накопителе (в незашифрованном виде), то даже в случае его удаления, если не предпринимать специальных мер, оно может быть восстановлено с достаточно высокой вероятностью (подробнее см. п. 3.4).
Следует также помнить, что без соблюдения дополнительных мер безопасности доступ к электронному устройству даже на несколько десятков секунд может дать злоумышленнику определённую информацию о содержании задания.
Пароли, используемые как при шифровке задания, так и для ограничения доступа к накопителям и электронным устройствам, должны соответствовать требованиям, изложенным в Приложении В. Защита планшетов и смартфонов, используемых для работы с заданием, должна соответствовать требованиям, изложенным в п. 2.6.
Не делиться «интересными случаями», по которым написано задание или планируется написать. Не рассказывать об источниках (например, книгах, журналах, интернет-сайтах, почтовых рассылках), которые используются для составления заданий. При массовом использовании одного богатого фактами источника — по возможности находить подтверждения нужных фактов в других источниках (в энциклопедиях, на сайтах новостей).
Неясно, включать ли это в инструкцию: В процессе подготовки задания доступ к нему имеют только РГ и ГТ. РГ обязана контролировать состав ГТ. За несколько дней (по согласованию с ОТ) до турнира РГ передаёт в ОТ список всех лиц, которые имели доступ к заданиям. ОТ обязан проследить за возможными совпадениями. Ведущий получает задания напрямую от РГ не ранее чем за двое суток до начала и обязан выполнять те же меры безопасности. ИЖ и АЖ получают доступ к заданиям (только текущий тур) от ведущего с началом тура.
1.3.1. Работая с заданием в аналоговой форме следует соблюдать основные меры предосторожности в зависимости от помещения. При работе дома или в другом помещении, доступ в который строго контролируется, следует убирать задание с виду перед визитом гостей и использовать для хранения труднодоступное место, если гостями являются потенциальные участники турнира или малознакомые люди. Не рекомендуется оставлять задание в помещениях с ограниченно свободным доступом, например, в учительском кабинете или в офисе, даже если для хранения используется запираемый на ключ ящик.
1.3.2. Не рекомендуется носить задание в аналоговой форме с собой. Если транспортировка задания необходима, следует постоянно контролировать его местоположение. Настоятельно не рекомендуется оставлять задание в помещениях с ограниченно свободным доступом, в гардеробах, раздевалках и т. п.
1.3.3. При пересылке задания в аналоговой форме следует принять меры для контроля за несанкционированным доступом: задание необходимо запечатать таким образом, чтобы с ним нельзя было ознакомиться и оставить упаковку в исходном виде. Адресат должен быть уведомлён о мерах защиты. Рекомендуется использовать службы доставки, передающие посылки лично в руки.
1.3.4. Распечатку задания настоятельно рекомендуется выполнять лицу, знакомому с настоящей инструкцией. Распечатку настоятельно рекомендуется выполнять с личного компьютера, удовлетворяющего требованиям пп. 2.1, 2.2, 2.5. Распечатка со служебного компьютера допускается только при соблюдении требований п. 2.3. Если для печати используется принтер, находящийся в помещении со свободным доступом, то после успешного завершения печати принтер следует выключить, убедившись, что очередь заданий на печать в компьютере свободна. Рекомендуется не допускать к принтеру, на котором было распечатано задание, посторонних вплоть до окончания турнира. При возникновении нештатных ситуаций следует обратиться к специалисту.
1.3.5. После распечатки задания непосредственно перед турниром настоятельно не рекомендуется оставлять его без присмотра даже на короткое время.
Пункты 2.1 и 2.2 являются общими и обязательными при работе с заданием на ПК; пункты 2.3—2.5 уточняют их применительно к особым условиям работы.
Настоятельно не рекомендуется работать с заданием, записанном на накопителе. При необходимости работы с заданием на разных ПК рекомендуется пользоваться удалённым диском или, в случае невозможности, соблюдать меры предосторожности при работе с накопителем (см. п. 3.4).
Если на ПК хранилось или хранится задание, либо на этом ПК будет производиться работа заданиеми (в том числе с авторизацией при помощи пароля), необходимо принять следующие меры безопасности:
2.1.1. Установить достаточно сложный пароль (см. Приложение В) для каждой учётной записи, существующей на ПК. Если на ПК установлено несколько операционных систем, пароль нужно установить для всех учётных записей всех систем. Обязательно следует убедиться в том, что после загрузки системы в неё нельзя войти под гостевой учётной записью («Гость», «Guest») без ввода пароля.
2.1.2. Убедиться, что на компьютере нет папок с общем доступом через сеть, либо такие папки не содержат и не могут содержать задание. Запрещается предоставлять в общий доступ диск C: целиком, папку C:\Users и папки уровнем ниже (C:\Users\имя_пользователя). Запрещается предоставлять в общий доступ папки C:\TMP, C:\TEMP и любые папки, содержащиеся в них.
Посмотреть список сетевых папок на компьютере можно набрав в адресной строке «Проводника» или «Интернет-эксплорера» адрес \\PC, где вместо PC надо подставить имя компьютера. Имя компьютера можно посмотреть в свойствах компьютера в меню «Пуск».
2.1.3. Отключить автозапуск новых устройств (см. Приложение Д).
2.1.6. При работе под операционной системой «Виндоус-виста» (Windows Vista) или более поздней (версии 7 или 8) в настройках контроля учётных записей пользователей (User Account Control) включить уровень, при котором система будет предупреждать о программах, вносящих изменения в систему. При этом запрещается запускать файлы, у которых издатель (publisher) системе неизвестен или указан, но не соответствует ожиданиям.
При работе под более ранними операционными системами настоятельно не рекомендуется запускать исполняемые файлы.
2.1.7. Никогда не открывать и не запускать файлы сомнительного происхождения (в том числе файлы, не имеющие отношения к работе над заданием), в частности: пришедшие по электронной почте; скачанные с ресурсов, не вызывающих полного доверия; полученные на накопителях.
К таким файлам относятся все файлы, полученные от неизвестных отправителей, а также файлы, полученные от знакомых, но не запрошенные предварительно. При получении от знакомых не запрошенных ранее файлов настоятельно рекомендуется уточнить факт отправки, причём по другим каналам связи (телефонная связь, коммуникаторы).
2.1.8. Никогда не открывать файлы, полученные со стороны, с помощью клика по его названию или иконке. Если полученный файл не вызывает подозрений, первый раз его следует открывать таким образом: запустить программу для работы с файлами соответствующего типа (архиватор, текстовый процессор, редактор электронных таблиц и т. п.), выбрать в меню команду «Открыть файл», найти сохранённый файл и открыть его.
Если при открытии файла таким образом возникают проблемы, необходимо проконсультироваться со специалистом. Если файл открылся, и его содержимое соответствует ожиданиям, в дальнейшем этот файл можно открывать любым способом.
Если с полученным документом требуется лишь ознакомиться, рекомендуется воспользоваться службой просмотра, встроенной в почтовый сервис. Подобную услугу предлагает, например, почта «Яндекса» и «Гугла».
Всякий раз при вводе пароля убедиться, что никто не может подсмотреть пароль.
Использование утилиты для создания защищённого диска.
Использование архиватора.
Про возможность восстановления данных см. п. 3.4; сказанное там относится и к ПК.
Домашним считается ПК, который в ходе работы над заданием не покидает пределы помещения, надёжно защищённого от проникновения посторонних, и доступ к которому имеет только владелец, члены его семьи и приравненные к ним лица.
2.2.1. Не допускать к работе с ПК посторонних лиц. Доверенные лица должны знать и выполнять правила информационной безопасности, в частности, п. 1.3.
2.2.2. Если персональным компьютером может воспользоваться кто-то, за исключением членов семьи и приравненных к ним лиц, например, гости, пользователь должен блокировать ПК всякий раз, когда перестаёт работать с ним.
Блокировка компьютера под управлением ОС «Виндоус» осуществляется сочетанием клавиш Win + L или из меню, вызываемом сочетанием Ctrl + Alt + Del.
2.2.3. После визита посторонних лиц (а при необходимости работы на компьютере до окончания визита — непосредственно перед началом работы) следует убедиться, что в компьютере отсутствуют посторонние накопители, а рядом с компьютером отсутствуют устройства, которые могут вести фото- или видеосъёмку.
Служебным считается ПК, стационарно установленный на территории работодателя, или мобильный ПК, хотя бы часть времени работающий в корпоративном домене, а также любой ПК, полный доступ к которому (неважно, физический или удалённый) могут в штатном порядке получить третьи лица, например, системные администраторы.
Настоятельно не рекомендуется осуществлять доступ к заданиям с рабочего ПК. Доступ возможен только после разрешения и консультации доверенного квалифицированного специалиста по информационным технологиям, который обязан оценить как минимум следующие факторы: режим эксплуатации ПК, используемая на ПК операционная система, возможность соблюдения требований и рекомендаций пп. 2.1 и 2.2, уровень профессионализма и компетентности системных администраторов компании, наличие в штате компании потенциально заинтересованных в задании лиц, степень известности факта работы пользователя ПК именно в этой компании среди потенциально заинтересованных в задании лиц. Также специалист должен подтвердить необходимость выполнения требований пп. 2.1 и 2.2 либо скорректировать эти требования применительно к конкретной ситуации.
Следует помнить, что при наличии у системного администратора желания получить информацию, содержащуюся на компьютере пользователя или к которой осуществляется доступ с этого компьютера, ему будет нетрудно добиться желаемого, если компьютер работает под управлением ОС «Виндоус» в корпоративном домене. При этом предпринять какие-то контрмеры практически невозможно.
В том случае, если член РГ является фактическим администратором служебного ПК, работа на этом ПК над заданием допускается. При этом настоятельно рекомендуется воспользоваться всеми дополнительными мерами защиты, описанными в п. 2.4.3.
2.4.1. В общем случае настоятельно не рекомендуется осуществлять доступ к заданию с чужого ПК.
2.4.2. При заранее включённой двухэтапной аутентификации (multi-factor authentication) допускается работа с соответствующими сервисами (электронная почта; удалённый диск) на компьютерах, о местонахождении которых не знают и не могут догадываться потенциальные участники турнира. При этом двухэтапная аутентификация должна оставаться включённой до смены пароля на домашнем ПК или до окончания работы над заданием. Двухэтапную аутентификацию предлагает для доступа к учётной записи (в том числе к электронной почте и удалённому диску) «Гугл» (справка).
2.4.3. Не рекомендуется работа над заданием на компьютере, доступ к которому потенциально возможен со стороны участников турнира, в том числе на компьютерах, расположенных в публичных местах. Работа над заданием на таких компьютерах допускается при соблюдении всех нижеперечисленных условий:
Использование приватного режима в браузере (см. Приложение Г).
Заранее включённая двухэтапная аутентификация для доступа к электронной почте и удалённым дискам.
Работа с документами только на удалённых дисках. Запрещается открывать документы с заданием в программах и распаковывать архивы с заданием.
Необходимо убедиться, что никто не может подсмотреть изображение на экране, а к ПК (стационарного, ноутбука или док-станции) не подключён дополнительный дисплей или проектор.
Настоятельно рекомендуется при работе с удалёнными дисками использовать анонимные сессии в браузерах, например, «режим инкогнито» (см. Приложение Г).
(Если у злоумышленника есть полный доступ, он может настроить сохранение скриншотов. Это неубиваемо)
2.4.4. Запрещается работать с заданием на ПК, полный доступ к которому имеется у участника турнира. Исключение может быть составлено только для членов семей и приравненных к ним лицам.
Мобильным считается ПК, который может может на срок от нескольких минут оставаться без присмотра владельца вне помещения, надёжно защищённого от проникновения посторонних.
2.5.1. При работе с заданием на мобильном ПК рекомендуется не хранить задание на ПК в незащищённом виде, то есть пользоваться удалённым диском (см. п. 3.2) или защищать задание паролем (см. п. 2.1.x).
2.5.2. Соединение с электронной почтой и удалённым диском должно осуществляться с помощью защищённого соединения HTTPS. Запрещается работать вне защищённого помещения с заданием, записанным на накопителе.
2.5.3. Перед началом работы на ПК (в том числе не связанной с подготовкой задания) вне дома или по возвращении домой следует выполнить требования пункта 2.2.3.
2.5.4. Следует проявлять осторожность при вводе любых паролей в общественных местах. Рекомендуется максимально ограничить возможность обзора клавиатуры при вводе пароля. Если ПК имеет сканер отпечатка пальцев, рекомендуется использовать его как для разблокировки ПК, так и для ввода паролей в программах, включая браузеры.
2.5.5. Не рекомендуется оставлять мобильный ПК без присмотра на длительное время даже в условно защищённых местах (раздевалки, гардеробы, служебные кабинеты). Это допускается при соблюдении всех нижеперечисленных условий:
Отсутствие на ПК задания в незащищённом виде.
Отсутствие на ПК сохранённых паролей, с помощью которых можно получить доступ к заданию, включая пароли, сохранённые в браузере.
Соблюдение положений п. 2.1.x (о работе с зашифрованным диском).
В том случае, когда злоумышленники заведомо не могут получить доступ к ПК (например, при временном нахождении в другом городе, о чём может знать лишь ограниченный круг лиц), эти условия носят рекомендательный характер, однако в таком случае необходимо принять меры для того, чтобы постфактум обнаружить несанкционированный доступ.
Что касается оставления без присмотра — то же, что и для мобильного. Отдельные требования по блокировке. Особое упоминание карт памяти.
2.6.1. При работе с заданием на планшете или смартфоне настоятельно рекомендуется сохранять задание во встроенную память.
2.6.2. Соединение с электронной почтой и удалённым диском должно осуществляться с помощью защищённого соединения HTTPS.
2.6.3. Устройство следует настроить так, чтобы при выходя из режима ожидания требовалась авторизация. Следует установить блокировку проявлять осторожность при вводе любых паролей в общественных местах. Рекомендуется максимально ограничить возможность обзора клавиатуры при вводе пароля. Если ПК имеет сканер отпечатка пальцев, рекомендуется использовать его как для разблокировки ПК, так и для ввода паролей в программах, включая браузеры.
2.5.5. Не рекомендуется оставлять мобильный ПК без присмотра на длительное время даже в условно защищённых местах (раздевалки, гардеробы, служебные кабинеты). Это допускается при соблюдении всех нижеперечисленных условий:
Отсутствие на ПК задания в незащищённом виде.
Отсутствие на ПК сохранённых паролей, с помощью которых можно получить доступ к заданию, включая пароли, сохранённые в браузере.
Соблюдение положений п. 2.1.x (о работе с зашифрованным диском).
В том случае, когда злоумышленники заведомо не могут получить доступ к ПК (например, при временном нахождении в другом городе, о чём может знать лишь ограниченный круг лиц), эти условия носят рекомендательный характер, однако в таком случае необходимо принять меры для того, чтобы постфактум обнаружить несанкционированный доступ.
Тестированием заданий в данном Положении называется любое обсуждение реалий, используемых в заданиях, с лицами, как входящими, так и не входящими в РГ.
Для тестирования заданий следует выбирать только людей, к которым имеется полное доверие. Тестирующие должны ознакомиться с настоящим Положением до получения заданий и подтвердить, что понимают требования Положения и готовы их соблюдать.
При обсуждении задания с личным присутствием тестирующих следует применять меры, описанные в п. 2.
При тестировании удалённо с использованием информационных технологий (телефонная связь, электронная почта, программы и сервисы обмена сообщениями) следует применять следующие меры безопасности.
При пересылке заданий следует выполнить следующие условия:
Передать архив и пароль от архива строго различными каналами. Рекомендуется передача архива по почте, а пароля — голосом по телефону либо сообщением SMS. Использование в качестве одного из каналов веб-интерфейса почты, а другого — сервиса обменов сообщениями не допускается при выполнении хотя бы одного из нижеперечисленных условий:
Настоятельно не рекомендуется использование канала передачи пароля, который не допускает окончательного удаления сообщения с паролем.
После успешной распаковки архива получатель должен сообщить об этом, а затем обе стороны должны удалить сообщения, содержащие пароль (получатель — из входящих сообщений, отправитель — из исходящих).
%TMP% (в случае, если команда %TEMP% открывает другую папку, следует проверить и её). (*перенести в 2.1*)3.1.1. Защита электронной почты от несанкционированного доступа является крайне важным аспектом информационной безопасности. Прежде всего из-за тяжести возможных последствий: при получении злоумышленником хотя бы разового доступа к почтовому ящику он, как правило, сразу получает всю информацию, которая когда-либо была в ней, и имеет возможность настроить пересылку
3.1.2. Для работы над заданием настоятельно рекомендуется использовать почтовый ящик, заведённый в известной интернет-службе электронной почты с хорошей репутацией. Использование рабочей почты требует выполнения условий п. 2.3. Использование почтового ящика, предоставляемого провайдером, не рекомендуется без одобрения специалиста по информационной безопасности. Использование почтового ящика, организованного на собственном сервере, допустимо при полной уверенности в собственной квалификации или под контролем доверенного специалиста по информационной безопасности.
В дальнейшем предполагается, что для работы с заданием используется бесплатная почтовая служба.
3.1.3. Список рекомендуемых бесплатных почтовых служб:
«Джимэйл» (gmail.com), «Тут.бай» (mail.tut.by). Языки: русский, украинский, румынский, иврит, латвийский, литовский, эстонский, английский. Поддержка двухэтапной авторизации. История входов (до 10 адресов и до 30 суток). Поддержка HTTPS. Интеграция с удалённым диском («Документы Гугл»). Встроенный коммуникатор.
«Яндекс.Почта» (mail.yandex.ru). Языки: русский, украинский, белорусский, армянский, грузинский, румынский, казахский, татарский, английский. История входов (до 7 суток). Поддержка HTTPS. Интеграция с удалённым диском («Яндекс.Диск»).
«Мэйл.ру» (e.mail.ru). Языки: русский, украинский, белорусский, армянский, узбекский, казахский, английский. История входов (нет данных). Поддержка HTTPS.
3.1.4. Способы получения доступа к электронной почты, в порядке уменьшения вероятности, и методы противодействия им:
Фишинг. Отправка поддельного письма, направляющего на страницу, где предлагается ввести пароль (как правило, от почты, но не обязательно). В некоторых случаях возможен доступ злоумышленников к ящику без ввода пользователем пароля. В случае плохо защищённых почтовых служб это возможно уже при открытии пользователем письма в веб-интерфейсе. Противодействие: использовать надёжные почтовые службы (см. п.); не переходить по ссылкам из сомнительных писем (в крайнем случае — открывать из в приватном режиме, см. п. ); ни в коем случае не вводить пароли при переходе по ссылке из письма, а также при возникновении необычной ситуации.
Подсматривание пароля. Злоумышленник Противодействие:
Закладка. Получив кратковременный доступ к компьютеру пользователя, злоумышленник буквально в течение минуты может настроить пересылку всех писем на свой ящик. Противодействие: соблюдать требования п. 2.1; соблюдать требования п. 3.1.x (про регулярный контроль; но это верно для всех или почти всех пунктов).
Использование пароля от другого сервиса. Злоумышленник может заполучить пароль от учётной записи пользователя на другом, плохо защищённом сервисе, и вычислить пароль от электронной почты. Противодействие: использовать для электронной почты пароль, принципиально отличающийся от паролей на любом другом сервисе.
Угадывание пароля. Злоумышленник хорошо знает привычки и интересы владельца ящика и может угадать пароль или восстановить его, частично подглядев. Противодействие: соблюдать требования Приложений А, Б, В.
Атака на браузер. Злоумышленник заставляет пользователя перейти по ссылке на специально подготовленную страницу, с которой осуществляется атака на браузер или на какое-то из его расширений. Противодействие: открывать все сколько-нибудь подозрительные ссылки в приватном режиме браузера (см. п. ), использовать последние версии браузеров, избегать подозрительных ссылок, полученных любым путём.
Ответ на секретный вопрос. Некогда действенный способ, сейчас он утратил свою актуальность благодаря улучшениям в почтовых службах. Злоумышленник запрашивает «восстановление» пароля от интересующего его ящика и угадывает ответ на секретный вопрос. Противодействие: использовать надёжные почтовые службы (см. п.); использовать защиту ящика с помощью номера мобильного телефона; использовать действительно сложный вопрос. (про притупление бдительности).
Кейлоггер. Получив кратковременный доступ к компьютеру пользователя, или передав владельцу накопитель с записанной вредоносной программой, или переслав эту программу по почту, злоумышленник добивается того, что все нажатия на кнопки записываются. Противодействие: соблюдать требования пп. (про физический доступ, про накопители, про открытие вложений, про запуск, про чужие компьютеры. Регулярно проверять входы в почту (п. 3.1.х).
Регулярный контроль за почтовым ящиком. Проверка пересылок, проверка логинов, проверка доступа по POP и IMAP.
Совместное использование почтового ящика.
Документы Гугл (Диск Гугл), вики-движки (медиавики, конфлюенс), движки форумов и др.
Обязательно пароль. В случае вики-движков и движков форума — опыт администрирования, понимание принципов работы на уровне файлов и баз данных.
Рекомендация. Для доступа к документам Гугл рекомендуется использовать отдельную учётную запись, которая никому не известна. Если при этом регулярно используется другая учётная запись Гугла, то для удобства с заданиями можно работать в другом браузере.
Задания могут храниться во встроенной памяти электронного устройства, в съёмной памяти или на удалённом интернет-сайте. Для хранения заданий и работы над ними может использоваться как одно место, так и любое количество в любых сочетаниях.
3.4.1. Встроенная память
Примеры: персональный компьютер, электронный планшет (электронная книга), смартфон, карманный компьютер, мобильный телефон.
Требование отсутствие доступа к физическому устройству любых посторонних лиц (за исключением членов РГ). Обязательна установка пароля на доступ к устройству (см. требования). Для компьютеров: обязательное отключение функции автозапуска (autoplay), см. примечание. Любые отклонения могут привести к похищению заданий.
Итог: если информация хранится на электронном устройстве, ни в коем случае нельзя оставлять его без присмотра. Исключения возможны только для сертифицированных специалистов по информационной безопасности, которые принимают дополнительные меры безопасности (шифровка файлов на уровне файловой системы, создание зашифрованных виртуальных дисков и т. п.).
Ни на секунду нельзя оставлять без присмотра в незаблокированном виде.
Поскольку зачастую трудно не оставлять компьютер совсем без присмотра, настоятельно рекомендуется шифровать папку с заданиями (ссылка на приложение).
3.4.2. Съёмная память
USB-накопитель, компакт-диск, дискета.
Не оставлять без присмотра. Настоятельно рекомендуется шифровать папку с заданиями (ссылка на приложение).
При обсуждении заданий обращать внимание на то, кто может слышать обсуждение. При очном тестировании или обсуждении большого количества заданий провести дополнительные меры безопасности: убедиться, что среди вещей нет чужих, а если есть — что они не могут быть использованы как диктофон. Выбор помещения. Исключить обсуждение и тестирование вопросов в помещении, которое могло быть предварительно подготовлено.
Скачать в PDF
Пункт про настройки соединения: выбрать HTPPS.
Использовать сложный пароль (ссылки). Для почты — использование двухуровневой авторизации + контроль за мобильным телефоном. Смена пароля (ссылка на приложение, где описывается процедура, с проверкой на трояны). Нигде не использовать пароли, совпадающие с паролем от почты, либо пароли, по которым можно вычислить или подобрать пароль от почты.
Рекомендация: при использовании почтовых программ все подозрительные письма открывать, отключившись от Интернета.
Все современные браузеры для ПК предоставляют возможность работы в приватном режиме. В этом режиме пользователь изначально разлогинен на всех сайтах и выглядит для них как новый посетитель. После окончания работы браузер удаляет с компьютера всю автоматически сохраняемую информацию: историю посещения страниц, введённые данные в формах, включая логины и пароли. Также удаляется информация, сохраняемая сайтами для того, чтобы опознавать посетителя при следующих визитах. При этом остаются нетронутыми файлы и страницы, сохранённые пользователем вручную.
По сути, открытие окна в приватном режиме, работа в нём и последующее закрытие равносильно установке на компьютер нового браузера, работе в нём и последующем удалении браузера вместе со всеми его настройками и временными файлами.
Ниже приводятся названия приватных режимов в популярных браузерах для ПК и способы открытия окна в приватном режиме (настоятельно не рекомендуется использовать «Интернет-эксплорер» версии ниже 10).
«Хром» (Chrome) и «Яндекс.Браузер». Режим «Инкогнито» (Incognito mode). Нажать Ctrl + Shift + N или выбрать в меню «Новое окно в режиме инкогнито».
«Сафари» (Safari). Режим «Частный доступ» (Private Browsing) можно выбрать в главном меню «Сафари». Включение режима по нажатию на сочетание клавиш пользователь может задать самостоятельно.
«Файрфокс» (Firefox). Режим «Приватный просмотр» (Private Browsing). Нажать Ctrl + Shift + P или выбрать в меню «Файл → Новое приватное окно» («File → New Private Window»). Можно открыть ссылку в новом приватном окне, кликнув на ссылку правой кнопкой мыши и выбрав пункт «Открыть ссылку в новом приватном окне» («Open Link in New Private Window»).
«Опера» (Opera). Приватный режим (Private Browsing). Выбрать в меню «Tabs and Windows» пункт «New Private Window» или «New Private Tab». Для закрытия всех приватных вкладок есть пункт в меню вкладки, доступный по нажатию правой кнопки мыши, а также сочетание клавиш Ctrl + Shift + Q.
«Интернет-эксплорер-10» (Internet Explorer 10). Режим «Ин-пра́йвейт» (InPrivate Browsing, подробнее). В «настольном» (классическом) интерфейсе браузера (desktop mode) для открытия нового окна в приватном режиме нажать Ctrl + Shift + P, или выбрать в меню «Инструменты → Просмотр InPrivate» («Tools → InPrivate Browsing»), или открыть новую вкладку и нажать на ссылку ***. В режиме «Виндоус-8» (ранее называвшимся «Метро») для открытия новой вкладки в приватном режиме нажать Ctrl + Shift + P или выбрать пункт «Новая вкладка InPrivate» («New InPrivate Tab») в меню вкладок. Чтобы вызвать меню вкладок, нужно либо провести пальцем вниз от верхнего края экрана, либо нажать Win + Z, либо нажать правую кнопку мыши в любой свободной области браузера. Появится кнопка меню вкладок с тремя точками. Внимание, чтобы завершить работу в приватном режиме, следует закрыть все приватные вкладки!
После окончания работы необходимо закрыть окно приватного режима.
Отключить автозапуск в операционной системе «Виндоус» (версия XP или более новая) можно, следуя рекомендациям статьи на сайте технической поддержки «Майкрософт».
/////// Вы можете заблокировать доступ к устройству с помощью PIN-кода, пароля, шаблона или даже функции распознавания лица! http://googlerussiablog.blogspot.ru/2013/08/android.html iPhone 5S внешне практически не отличается от своего предшественника iPhone 5. Не изменились ни размер самого корпуса, ни диагональ экрана. Из видимых изменений можно отметить только наличие двойной вспышки, призванной усилить возможности аппарата при съемке в темноте и новая кнопка Home, в которой теперь находится Touch ID Sensor – сканер отпечатков пальцев, который позволяет ограничить использование аппарата только одним владельцем, идентифицируя его по дактилоскопическому отпечатку. http://izvestia.ru/news/556831#ixzz2eWJl6va0CC-BY Максим Сидоров