Защита персональных данных в Windows системах.

В предыдущих материалах мы уже упоминали о тотальном шпионстве которое ведет операционная система Windows 10. Также мы описывали как отключить навязчивое предложение обновить текущую версию Windows на версию 10. Сегодня хотим познакомить вас с методами по защите своих персональных данных, используя семейство операционных систем Windows

1. Проверяем достоверность используемого ПО.

В условии необходимости новой установки операционной системы первым правилом является использование оригинальных дистрибутивов Windows-ОС. Как же можно определить, что имеющийся диск или скаченный образ системы соответствует оригиналу? Всё достаточно просто. Существуют математические алгоритмы, позволявшие однозначно (с пренебрежением коллизий) идентифицировать какой-либо массив данных в виде символьной (буквенно-цифирной) последовательности, т.е. хеш-фунции. Если в программу будет добавлен или изъят, или изменён частично код, даже 1 бит, то хеш-значение уже буде другим. Сейчас для идентификации дистрибутивов достаточно распространены алгоритмы MD5 и SHA-1.

Для Windowsесть хорошая, встраиваемая в систему программа – HashTab. Она располагает в своём арсенале множество алгоритмов.

[​IMG] [​IMG]

Сверять полученные хеш-значения значения стоит на сайтах разработчика программ (ОС) или других ресурсах, которым вы доверяете.

Так же проверять хеш-значение (при их публикации разработчиком) не только ОС, но любых программ считается хорошей привычкой.

И так при установке Windows-операционной системы используем оригинальные дистрибутивы.

Устанавливая неофициальные сборки Windows-операционных систем или урезанные варианты вы берёте на себя риск получить не только не полностью функционирующую систему, но и имеющую недекларируемые возможности от «сборщиков» — бэкдоры (в строну Microsoftне смотрим) и\или иные зловредные включения. Системы от сборщиков использовать как основную (не специализированную) для работы недопустимо.

2. Ограничиваем себя в правах.

Для чего? В случае если, по той или иной причине, мы активируем вредоносную программу, то при урезанных правах она либо не запустится, либо не пропишет себя в систему на постоянной основе.

При этом проверяем, отключены ли стандартные учёные записи: Администратор и Гость. Если нет – то отключаем, а также для этих деактивированных УЗ меняем пароли, чтобы они не были «пустыми». Также проверяем наличие неиспользуемых УЗ и в других привилегированных группах.

Например, создаем в системе 2 учетные записи – одна с правами администратора; вторая – обычного пользователя.
[​IMG]
При обычной офисно-серфинговой работе в системе права администратора не нужны. При необходимости установки какого-либо программного продукта\конфигурировании системы всегда можно воспользоваться пунктом «запуск от имени другого пользователя\запуск от имени администратора»
[​IMG]
или «runas» в командной строке – «runas /user:mymachine\park cmd».

3. Обновляемся.

Скажу кратко. Регулярно мы слышим, что в ОС Windows или других программах выявляются уязвимости, а разработчики их стараются залатать, выпуская к ним обновления\патчи. По этому их ставим всегда и сразу, как выходят, тем более к ОС и сетевым программам.

4. «Запоминаем пароли».

Основа – они должны быть сложными и они не должны повторяться. А если он не один и не два, а их 20 и более, как их всех запомнить и где хранить?

Для хранения конечно подходит старый метод – запись на бумагу – «спец. блокнот» (наклейки на монитор и т.п. необходимо забыть как страшный сон). Но он хорош тем, если мы редко используем пароли и в углу стоит засыпной сейф, где и хранится этот блокнот. Не очень удобный для повседневной работы метод.

Хранить в электронном виде в обычном файле «*.txt» и т.п. крайне небезопасно, т.к. при получении доступа к вашей системе злодей получит доступ и к другим личным ресурсам.

Тут к нам на помощь приходят специализированные программы и дополнительный функционал «обычных».

Например для генерации, хранения, структурирования и доп. пометок отлично подходит KeePassX или другой аналогичный продукт. Создаваемая база паролей шифруется, для получения доступа к ней мы запоминаем только 1 сложный пароль (должен быть действительно сложным) + можно добавить ключевой файл.
[​IMG]
[​IMG]
[​IMG]

При использовании таких программ сложности в генерации и хранении сложных паролей упростятся на несколько порядков. Но при использовании функционала «скопировать в буфер пароль\логин» нужно помнить, что они обрабатываются в открытом виде.

[ad name=»Responbl»]

Если мы используем дополнительный (собственный) функционал программ для запоминания паролей то также необходимо использовать методы шифрования ваших «личных запомненных аутентификационных записей». Например в Firefox присутствует возможность использования мастер пароля. При его использовании, даже при компрометации системы, запомненные браузером пароли будут защищены.
[​IMG]

5. Определяем доверие к web-ресурсам.

Сейчас достаточно легко создать фишинговую страницу с полями для логина\пароля какого-нибудь известного ресурса. Как злодей направит жертву на неё это другой вопрос, но если это случается, то достаточно трудно мгновенно определить её подделку (не каждый сразу различит «опечатку» в 1 символ в адресной строке, помарки на представленной странице или иное).

Если у пользователя не глаз-алмаз, то для «фоновой» проверки лучше использовать антифишинговые программы или плагины для браузеров. Одной из таких может служить тулбар небезызвестной компании Netcraft. При его использовании нам подсказывают насколько можно доверять открытому web-ресурсу.
[​IMG]

5.1 Закрываем web-сессии.

Зашли на интересующийся web-ресурс. Авторизовались. Сделали все дела и выключили компьютер. Но для некоторых web-ресурсов браузер может запомнить вашу сессию, и в следующий раз, при входе на тот же сайт, он не попросит ваши аутентификационные данные, а восстановит предыдущую сессию, использовав сохранённые в браузере «cookies». Это довольно неплохо с точки зрения ускорения веб-серфинга, НО при доступе (физическом или удалённом) к вашему ПК других лиц, они получают возможность обойти аутентификацию получив доступ к вашему аккаунту (в т.ч и с другого устройства, скопировав cookies на него).

Если нет желания допускать подобный риск, то при выходе с сайтов\выключении браузера необходимо удалять cookies. Это делается настройками браузеров
[​IMG]

или соответствующими плагинами
[​IMG]

6. Защищаемся от кейлогеров.

Чтобы не передавать входящую\выводящую информацию необходимо контролировать процессы, сервисы, обращающиеся к ней в системе. Существует специализированный софт, который это проделывает, но стоит помнить, что такое ПО само глубоко закапывается в систему\реестр и пропускает через себя потоки набираемых\обрабатываемых личных данных. Вопрос доверия к ним в условиях не высокой распространённости стоит не на последнем месте.
Из известных есть ZemanaAnntiLogger
[​IMG]

Нужно учитывать, что некоторые правила этого ПО могут нарушить работу легальных программ.
[​IMG]

7. Используем комплексы антивирусной защиты.

Сейчас антивирусные продукты имеют возможность не только обнаруживать непосредственно вирусы, но и проводить проверку почтовых сообщений, обнаружение опасных сайтов, а также сетевое экранирование , IDS\IPS, и специализированные модули для банковских операций.
[​IMG]
[​IMG]
Не стоит пренебрегать этим дополнительными свойствами.

При этом, если не уверены в своём антивирусе при анализе объекта, то хороший способ воспользоваться сервисом virustotal.com
[​IMG]

8. Шифруем всё.

В контексте того, что мы не злодеи и от органов правопорядка или иных служб не прячемся, то шифрование системы в целом применительно к мобильным устройствам (но и для стационарных ПК бывает не лишне) с целью защиты на них данных в случае утери или кражи устройства.

Для этого нам помогут, как встроенные в windows программы, так и специальные.

Bitlocker – программа от micrisoft, идущая вместе с Windows (не во всех версиях). Позволяет зашифровать как содержимое всех логических дисков (в т.ч. и системного) или отдельных дисков системы. Позволяет использовать пароль или смарт-карту с их проверкой до загрузки операционной системы. Если за нами не гоняется ФСБ\ЦРУ\МИ6\Моссад, то его использование считается приемлемым.
[​IMG]

Truecrypt – наиболее популярная (официально уже не поддерживаемая анонимными разработчиками, но остающаяся всё также надёжной) программа, позволяющая шифровать разделы диска (в т.ч. системный), и создавать закрытые контейнеры, подключаемые в виде логических томов.
[​IMG]

Процесс аутентификации также происходит до загрузки операционной системы
[​IMG]

Нужно помнить, что шифрование всё-таки будет уменьшать производительность вашей системы — тем сильнее алгоритмы, тем медленнее будет происходить обработка данных.

9. Используем средства виртуализации.

В случаях когда есть опасность заразить систему, используя подозрительный\опасный файл\ресурс, который по той или иной причине необходимо запустить или обратиться к нему и т.п., то есть возможность использовать средства виртуализации.

Для домашнего использования самые распространённые — vmware workstation\player и virtualbox.

С их использованием можно создавать и использовать виртуальные, но полноценные операционные системы и работать независимо в каждой из них, при необходимости удаляя, заменяя, создавая новые.
[​IMG]

————————

Использование указанных мер, средств и действий позволят значительно уменьшить риск доступа к вашим личным данным при работе в Windows-операционных системах.

Click to rate this post!
[Total: 8 Average: 4.1]

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога - простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

1 comments On Защита персональных данных в Windows системах.

  • Тут вылезает проблема курицы и яйца: прежде, чем скачать ISO с сайта веб необходимо а) удостоверится,что этот сайт Микрософт настоящий(а на сайте этом бывает выкладывают контрольные суммы образов, но редко, например на сайте VLSC таких сумм нет ни для ISO, ни для EXE), и б) доверять самой виндовс, которая посчитает некой программой (опять же непонятно как полученной)контрольную сумму. Получим ли мы после переустановки ОС систему вызывающее большее доверие, чем сейчас? Неплохо было бы иметь инструкцию как построить на своём компьютере некую доверенную среду(Windows или Linux), начиная либо с пустого компьютера, либо с некой установленной ОС.
    Ещё один способ проверки достоверности сайтов это dnssec плагин в браузере. Но не достаточно, чтобы этот плагин был использован для проверки сайтов, нужно ещё и чтобы сами dns сервера его использовали, иначе он просто будет показывать,
    что этому ресурсу нет доверия…
    В принципе Dnssec не гарантирует, что странички эти не подделаны или сам сайт не хакнут. В принципе неплохо бы разрабатывать технологию, которая проверяет подписанность каждой страницы некой ЭЦП
    Hashtab закрытая программа, да и ещё похоже требующая обязательного указания e-mail . С какой-то BSD системой были утилиты md5sum и sha(обе для Windows) с открытым кодом, которыми можно было проверить контрольную сумму скачанных образов. Но официальные странички этих утилит я не знаю. Есть некоторые утилиты на sf.net проверяющие контрольные суммы. Но тут нужно выстроить цепочку построения доверительной среды без слабых звеньев. Что мне кажется довольно трудной задачей. Например как гарантировать, что биос на компьютере не подменён на таможне или в магазине? Скачать свежий Биос с контрольными суммами с сайта производителя тоже проблематично, нужно полное доверие этому сайту…Если нет доверия биосу, то дальше строить надёжное вообще что-либо проблематично. Где-то попадалась новость о некой хакерше, которая нашла способы построить некую доверительную среду, даже рассчитывая на то что есть закладки в виртуальных машинах,биосах итд. Но не очень понятно было написано как это реализуется.

Leave a reply:

Your email address will not be published.