Рекомендации по информационной безопасности

Рекомендации написаны для пользователей компьютеров Mac с операционной системой OS X 10.7 и выше, а также для пользователей мобильных устройств iPhone/iPad/iPod touch с системой iOS 5.0 и выше. Написаны они для ситуаций, когда происходит потеря или изъятие техники, а вы не хотите, чтобы информация с этих устройств попала в неизвестные руки. Также в этом списке содержатся рекомендации общего характера, относящиеся к базовым правилам сохранения неприкосновенности вашей личной информации, в случае если вы можете подвергаться хакерской атаке.
Разумеется, даже если вы будете неукоснительно применять все эти советы на практике, это не гарантирует на 100%, что с вашей информацией ничего не случится, но в целом уровень сложности несанционированного доступа к вашим устройствам и аккаунтам это должно повысить. Что-то из нижеперечисленного может оказаться достаточно очевидным на ваш взгляд, но не перечислить это все равно было нельзя. Также хочу отметить, что для большинства вещей, описанных ниже, я не стал писать пошаговых инструкций. Мне кажется, если вас будет настолько беспокоить безопасность ваших данных, вы сможете сами разобраться что к чему.
Данные на компьютере

    Общие рекомендации

  • Пароль на доступ к учетной записи должен быть сложным, содержащий в себе буквы, цифры и специальные символы
  • Желательно минимизировать количество других пользователей на компьютере, а их пароли тоже должны быть сложными (безопасными)
  • Возможность “гостевого” входа тоже должна быть отключена.

    Настройки безопасности компьютера

  • обязательный вход по логину-паролю, отключение автоматического логина
  • запрос пароля по выходу из сна и скринсейвера
  • минимальное время для активации скринсейвера
  • настройка “горячих углов” для активации скринсейвера
  • Log out после определенного времени неактивности
  • активация Firewall в системе
  • активация Stealth Mode (паранойя, а что делать?)
  • Отключение любых опций Sharing в Настройках
    FileVault

  • обязательная активация FileVault на диске с системой и БЕЗ возможности восстановления через MobileMe аккаунт

    Хранение файлов

  • Лучше всего для рабочих файлов создать зашифрованный образ диска, защищенный паролем с помощью Disk Utility и хранить все важные рабочие файлы на нем
  • Этот образ диска необходимо хранить в облачных сервисах (например, DropBox или на другом хостинг-провайдере), и монтировать его каждый раз при начале работы с компьютером, вводя соответствующий пароль

  • Альтернативный вариант — использование TrueCrypt с той же целью.
  • Она умеет создавать образы из двух частей, с двумя паролями — при вводе одного отображается одна часть, с единорогами и бабочками на ней, при вводе другого — другая, с важной информацией. Таким образом можно добросовестно выдать один пароль, но не выдавать другой. Математическая модель построена таким образом, что невозможно установить, есть ли в конкретном образе диска вторая “секретная” часть, или нет.

  • Все внешние хранители данных (жесткие диски, USB Flash-карты), которые будут использоваться для хранения данных и обмена файлами между компьютерами Macintosh, должны обязательно быть Encrypted — в этом случае они будут запрашивать пароль при монтировании на рабочем столе Мака.
  • Удаление всех данных на компьютере должно происходить с использованием опции Secure Empty Trash.
  • Форматирование дисков и карт памяти должно происходить обязательно с использованием Secure Erase в Disk Utility
    iCloud
    На всех устройствах (Mac, iPhone, iPad) обязательно должна быть настроена учетная запись iCloud (пароль на учетную запись должен быть сложным) и активирована опция Find My iPhone. В этом случае обеспечиваются несколько вещей (при условии, что устройство включено):

  • Есть возможность посмотреть местонахождение устройства на сайте icloud.com
  • Есть возможность удаленно “залочить” устройство запароленным доступом
  • Есть возможность удаленно очистить устройство от всех данных
  • Кроме того, при включении опции Email me when this device is found” на сайте iCloud, будет приходить информация о включениях устройства, когда оно было утеряно/изъято.

    Безопасность мобильных устройств (iPhone/iPad)

  • Пароль на доступ в телефон должен быть обязательно установлен “сложный”, не 4-значный цифровой, а произвольный. Это обеспечит защиту от доступа и копирования данных с телефона при получении к нему физического доступа.
  • Время активации блокировки экрана с паролем — минимальное, 1 минута или даже “немедленно”.
  • В случае, когда при этом и пароль сложный, очень хочется махнуть на это все рукой, но не стоит.

  • Отключение работы Siri при залоченном экране
  • Обязательно должна быть включена опция удаления данных после 10 неправильных попыток ввода пароля.
  • На телефоне обязательно должна быть настроена учетная запись iCloud (см выше про iCloud)
  • Должен быть отключен Bluetooth
  • Избегать подключения к открытым WiFi-сетям (без паролей)
  • Не синхронизировать устройства с iTunes через WiFi
  • Регулярно обновлять ПО мобильных устройств обновлениями производителя
  • По возможности использовать для переписки между устройствами (iPhone/iPad/Mac) iMessage, которые шифруются.
  • При создании локальной резервной копии данных телефона через iTunes эта копия должна обязательно шифроваться, а пароль должен быть сложным.

    Онлайн-аккаунты
    Для различных сервисов в интернете крайне рекомендуется к использованию приложение 1Password. Оно обеспечивает не только безопасное хранение паролей, но и генерацию паролей. Алгоритм следующий:

  • В 1Password устанавливается 1 мастер-пароль, который должен быть сложным и безопасным
  • 1Password интегрируется со всеми браузерами, в том числе с Safari, Chrome и Firefox
  • База данных логинов и паролей в этом случае переносится между браузерами
  • При регистрации новых аккаунтов 1Password обеспечивает генерацию случайных сложных паролей, которые потом сам в себя и сохраняет
  • Таким образом, пользователь даже не знает пароль (поэтому его невозможно забыть), и для входа в тот или иной сайт использует сохраненные в 1Password пароли
  • Бэкап базы 1Password можно автоматически сохранять в облачный сервис типа Dropbox.
  • Никогда не использовать одинаковые пароли для разных сервисов. Минимум — общий пароль-база с изменяемыми параметрами, если это абсолютно необходимо (например, база “A1ex3y-”, далее домен сайта в обратном порядке – A1ex3y-Xednay для yandex.ru, A1ex3y-Xobpord для dropbox.com и т.п.).
    Использование Keychain на Mac

  • Сохранение логинов и паролей в браузере Safari должно быть отключено
  • При использовании шифрованных образов дисков и других подключений на уровне OS X возникает соблазн сохранить пароль в Keychain, чтобы избежать последующих вводов паролей. Сохранять пароли в Keychain не стоит.
    Использование почтового сервиса Gmail

  • обязательно включить двухэтапную авторизацию на сайте Gmail, при которой на телефон будет приходить SMS-сообщение при логине
  • это даст возможность вовремя выявить несанкционированный доступ и отключить остальные сессии к почтовому сервису.

  • Периодически проверять, не установлена ли пересылка всей корреспонденции на какой-то неожиданный адрес
  • В идеале — периодически менять секретный вопрос-ответ.
    Сохранение данных на мобильных устройствах

  • При запросе браузера Mobile Safari на iPhone/iPad на сохранение логина-пароля — отказываться, данные не сохранять
  • Существует версия 1Password для iPhone/iPad, которая обладает встроенным браузером, что вызывает определенный дискомфорт, когда это не Safari, зато безопасные пароли удобно применять
  • В этой ситуации можно настроить синхронизацию файла паролей 1Password между всеми устройствами и для входа в области с логином-паролем использовать 1Password.
    Передача данных по сети

  • Обязательно использование HTTPS
  • При настройке почтового клиента в приложении Mail обязательно использование подключения SSL
    Настройка домашней сети

  • Обязательная защита паролем беспроводной сети с системой WPA2
  • Настроить доступ в сеть только разрешенным устройствам (фильтрация по MAC-address)

Антивирус
Это практически религиозный вопрос для многих Мак-пользователей — надо ли устанавливать антивирусное ПО на OS X, ведь Джобс столько лет твердил, что Маки безопасны и антивирус им не нужен. Я считаю, что для продвинутых пользователей Маков, которые при этом не бродят по порно-сайтам или торрент-трекерам, антивирус на самом деле не особо нужен, они способны следить за чистотой своих компьютеров и сами. Но при этом нужно понимать, что есть риск заражения даже без дополнительных действий со стороны пользователя, как показала недавняя история с трояном Flashback. Поэтому лучше подобрать себе подходящий пакет антивируса и установить его, дабы чувствовать себя в большей безопасности.
Кроме этого, после выхода OS X 10.8 пользователям пригодится опция, которая обеспечит возможность запрета установки-запуска приложений, которые попали на Мак не из App Store или же не были подписаны сертификатом разработчика. Это также должно помочь предотвратить установку ПО, пытающегося попасть на ваш Мак в обход пользователя.
В общем, это то, что пришло в голову за последние пару дней. Что-то упустил? Добавляйте в комментариях.