Как не нужно проводить уроки по ИБ

Опубликовано Olga Geo Апр 21, 2016 | нет комментариев

В деле распространения знаний по информационной безопасности среди пользователей интернета недавно “отличился” новостной сайт CNBC. Этот ресурс решил дополнить статью, весьма косвенно относящуюся к информационной безопасности (речь шла о противостоянии Apple и ФБР), формой, в которой предлагалост проверить свой пароль на надежность. Вряд ли изданием ставилась цель повысить компьютерную грамотность своих читателей — скорее всего, эта форма была включена в качестве “изюминки”, для большего привлечения внимания.

И, надо сказать, внимания публикация вызвала более чем достаточно. Особенно у специалистов по той самой информационной безопасности. Ведь подобная форма как раз призывала нарушить одно из ключевых правил ИБ: пароль можно вводить только в официальной форме авторизации на том сайте, для которого он предназначен.

Автор, разместивший форму в своей статье, сделал к ней приписку мелким шрифтом (видимо, чтобы избежать возможных упреков) о том, что этот инструмент создан исключительно в образовательных целях в и что пароли, вводимые в форму, не сохраняются.

Пораженные подобной безграмотностью, сразу несколько экспертов решили повнимательней присмотреться к “учебной” форме. И выяснили, что пароли не только сохраняются в незашифрованном виде в документе Google Docs, но и передаются компаниям-партнерам CNBC.

Тут-то и разразился скандал. Представители ИБ-сообщества обратились с требованием немедленно убрать форму с сайта.

Однако, реакция руководства CNBC оказалась довольно странной: никаких ответов на критику дано не было, а злосчастную статью просто удалили с ресурса — вместе с формой, естественно. Пропало упоминание о ней и с Твиттер-аккаунта издания. Личная же страница автора в этой социальной сети вдруг стала приватной, закрытой для свободного просмотра. Как видно, ни пострадавшие, ни сетевое сообщество так и не дождутся извинений от администрации CNBC…

Сколько пользователей попались на эту провокацию и указали свои пароли, неизвестно. Но учитывая, что по оценкам рекламной платформы Thalamus, сайт CNBC весьма популярен (более 6 млн. посетителей в месяц), их должно быть довольно много. Специалисты по ИБ (настоящие) рекомендуют срочно сменить пароли всем, кто вводил их в эту форму.

Несмотря на столь явную провальность, “урок” от CNBC все же способен многому научить. Прежде всего, он дает повод лишний раз напомнить: защита данных пользователя — дело рук самого пользователя. Никакая, даже самая совершенная, система защиты данных не заменит простой осторожности и некоторой доли здорового скептицизма.

Чтобы не оказаться в такой ситуации, в которую попали люди, отправившие свои пароли неизвестно куда и кому, нужно не забывать всего несколько простых правил:

1. Пароль к учетной записи любого сайта следует вводить только на странице этого самого сайта, а никак не на сторонних ресурсах или при переходе по ссылкам в самых безобидных с виду письмах. Чтобы самостоятельно ввести в адресную строку нужный адрес или открыть сохраненную закладку, не потребуется много времени, а от фишинга подобная предосторожность защитит. Вообще не стоит сообщать свою секретную комбинацию посторонним ни в каком виде — ни устном, ни письменном.
2. Пароли, даже самые тщательно придуманные и трепетно хранимые, требуют регулярной замены (хотя бы раз в 1-2 месяца). А в тех случаях, когда есть подозрение на взлом сервиса, к которому они привязаны, это нужно сделать “вне очереди”.
3. На тех ресурсах, которые поддерживают эту возможность (что делают все уважающие себя сайты), обязательно должна использоваться двухфакторная аутентификация (two factor authentication). Благо, современные технологии аутентификации позволяют сделать процесс генерации и ввода одноразовых паролей максимально удобным для пользователя. Больше о разных типах OTP токенов можно прочитать здесь.

Защита данных — это не так уж сложно. Достаточно избегать очевидных ошибок и не воспринимать как истину все, что написано в интернете. Там тоже иногда ошибаются.