Наведений нижче текст є перекладом текстового варіанту тренінгу з кібербезпеки, який читають працівникам штабів на виборах у Конгрес США (оригінал). Очевидно, тренінг пристосований до американських реалій, тому в Україні деякі рекомендації (типу купівлі Хромбука) не дуже спрацюють, але в цілому варто прочитати, може взяти пару ідей. Щоб дізнатись більше про рекомендовану автором модель безпеки, а також про досвід її впровадження, варто прочитати цю статтю.
Дякую, що завітали на тренінг! Ми багато про що будемо говорити, тому ці нотатки вам знадобляться, щоб нічого не забути.
Пам'ятайте, що під час виборчої кампанії загрози безпеці дуже сильно зростають. Наведені нижче рекомендації дозволять вам захиститись від проблем, з якими нам довелось зустрітись у 2016. Вони перелічені у порядку від найважливіших до менш значних.
Виконання цих рекомендацій дасть вам високий рівень захисту від скандалу типу того, що стався з Джоном Подеста (прим. пер. Podesta emails). Краще розвинути в себе корисні безпекові звички зараз, ніж шкодувати потім.
Будь ласка, не соромтесь задавати питання. Можна звертатись у Signal (+1 415 610 0231) або на пошту maciej@ceglowski.com, там завжди знайдуться розумники, готові допомогти.
Апдейти
Найважливіша порада: завжди використовуйте актуальні версії програмного забезпечення. Увімкніть авто-апдейт на ноутбуці й телефоні та ніколи не відкладайте застосування оновлення.
Антивіруси
Видаліть усі антивірусні програми. Використання антивірусу — це якби ви розрізали собі шлунок, щоб зробити прямий доступ до їжі та перевіряти, чи вона не отруєна. Такий спосіб створює більше проблем, ніж вирішує.
Єдиним виключенням є Windows Defender — його можна безпечно використовувати. Також увімкнення Defender дозволить вам надійно видалити інші антивіруси.
Електронна пошта
Поштовий акаунт є ключем до вашого життя в інтернеті, тому усі атакуючі намагатимуться його зламати. Використовуйте Gmail для електронної пошти та Chrome у якості браузера.
Не використовуйте електронну пошту для розмов на чутливі теми, для цього є Signal (про це буде сказано далі).
Не давайте стороннім програмам доступу до вашої поштової скриньки.
Впевніться, що доступ до поштового акаунту захищено апаратним ключем (ми це зробимо в ході тренінгу). Якщо потрібно буде захистити інший акаунт, скористайтесь нашою інструкцією по додаванню апаратного ключа до Gmail
Вкладення
Файли, що додаються до електронних листів, становлять одну з найбільших загроз безпеці. Їх слід вважати небезпечними, навіть якщо лист надійшов від особи, яку ви знаєте. Цілком можливо, що зловмисники зламали пошту цієї особи, і надіслали вам повідомлення, намагаючись зламати вас також.
Якщо ви отримали електронного листа з вкладенням, можна робити такі дії (перелічено у порядку зменшення безпеки):
- Найбільш надійний спосіб — відкрити вкладення, використовуючи iPhone
- Також можна зберегти файл з Gmail напряму до Google Drive (прим. пер. очевидно, автор передбачає, що файли з Google Drive будуть відкриватись лише веб-інтерфейсом Google Docs)
- Завантажте файл на жорсткий диск, а потім відправте у Google Drive за допомогою браузера. Впевніться, що видалили файл на комп'ютері, щоб випадково не клікнути його пізніше
- Найменш безпечний спосіб — відкрити файл на ноутбуці подвійним кліком. Ніколи так не робіть.
Передача файлів
Ніколи не надсилайте файли вкладенням у пошту, це погана звичка. Завжди пересилайте посилання на документ у Google Docs.
Не використовуйте інші шерінгові сервіси типу Dropbox або Evernote, лише Google Drive.
Смартфон
Ви маєте використовувати iPhone, не менше шостої моделі. Смартфони на Android небезпечні.
iPhone — це найбільш надійний пристрій, який у вас може бути, тому варто його використовувати як можна частіше, для будь-чого. Перевіряти пошту, читати повідомлення у Signal або просто сидіти в інтернеті краще саме з айфону.
Впевніться, що смартфон захищено цифровим кодом(не менше шести знаків) або кодовою фразою.
Можна використовувати TouchID, а от Siri не варто. Siri може виказати інформацію про ваші контакти навіть якщо доступ до смартфону залочено.
Паролі
Ми наполегливо рекомендуємо використовувати менеджер паролів 1password.
Не використовуйте одні й ті самі паролі на різних сайтах. Краще вже заведіть собі текстовий або вордівський файл та зберігайте там список надійних різних паролів.
Якщо ви можете запам'ятати пароль — скоріш за все його не можна вважати надійним.
Сучасні технічні засоби можуть зламати будь-яку «розумну схему» створення паролю за кілька хвилин. Тому треба генерувати паролі зі справді випадковим змістом, а потім зберігати їх у менеджері паролів типу 1password.
Ноутбук
Пам'ятайте, що ваш смартфон надійніше захищений, ніж ноутбук.
Якщо ви використовуєте Windows, це має бути Windows 10.
Протягом тренінгу ми увімкнемо повнодискове шифрування на ваших ноутбуках, це допоможе захистити дані, якщо пристрій буде загублено або його хтось вкраде. Після цього файли на ноутбуці неможливо буде відтворити, не знаючи пароль.
Якщо є можливість, краще купіть Chromebook. Це такий спрощений ноут, який може запускати лише браузер Chrome і більше нічого.
Ніколи не втикайте флешки у ваш комп'ютер.
Текстові повідомлення
Для текстових повідомлень та групових чатів використовуйте Signal від Open Whisper Systems
Також можна використовувати WhatsApp, але в такому випадку Facebook матиме інформацію про те, з ким і коли ви розмовляли. Саме тому краще зупинитись на Signal.
Уникайте використання SMS та iMessage для приватних розмов. Використовуючи Facebook Messenger, увімкніть режим приватної розмови.
Розмови у Twitter або Slack слід вважати загальнодоступними (публічними), навіть якщо використовуються функції листування один на один.
Для входу на Facebook треба використовувати двохфакторну аутентифікацію з апаратним ключем, можна з тим же самим, що й для Gmail (прим. пер. ось авторська інструкція, як це налаштувати)
Приберіть номер телефону з налаштувань Facebook.
Slack та Twitter
Вважайте, що все, що було сказано у Slack або Twitter одного дня буде оприлюднено.
Slack зручно використовувати для організації та координації, але там варто слідкувати за своїми словами. Приватні розмови мають відбуватись у Signal.
Браузер
На ноутбуці використовуйте Google Chrome (ми встановимо його протягом тренінгу), уникайте Firefox або Safari. Ніколи в житті не використовуйте Tor browser (але можна використовувати Tor разом з Chrome, хоча це потребує окремого заняття)
На iPhone можна використовувати Safari.
В браузері варто встановити розширення uBlock Origin та HTTPS Everywhere; усі інші розширення варто видалити.
Звикайте використовувати режим анонімного доступу (incognito mode).
Для того, щоб зайти на сайти, які ви вважаєте підозрілими, використовуйте Chromebook або смартфон.
Звертайтесь за допомогою
Якщо потрібна допомога, або ви відчуваєте, що чогось не розумієте, або таємничі білі мікроавтобуси з'явились перед будівлею вашого штабу, звертайтесь до нас! Ми можемо порадити, до яких експертів з безпеки краще звернутись.
Наша мета — зробити вибори у Конгрес безпечними, не ускладнюючи нічого. Якщо тренінг здається вам корисним, поширте посилання на нього. Ми можемо надіслати розумників, щоб провести ще один будь-де і будь-коли!