Рекомендации написаны для пользователей компьютеров Mac с операционной системой OS X 10.7 и выше, а также для пользователей мобильных устройств iPhone/iPad/iPod touch с системой iOS 5.0 и выше. Написаны они для ситуаций, когда происходит потеря или изъятие техники, а вы не хотите, чтобы информация с этих устройств попала в неизвестные руки. Также в этом списке содержатся рекомендации общего характера, относящиеся к базовым правилам сохранения неприкосновенности вашей личной информации, в случае если вы можете подвергаться хакерской атаке.
Разумеется, даже если вы будете неукоснительно применять все эти советы на практике, это не гарантирует на 100%, что с вашей информацией ничего не случится, но в целом уровень сложности несанционированного доступа к вашим устройствам и аккаунтам это должно повысить. Что-то из нижеперечисленного может оказаться достаточно очевидным на ваш взгляд, но не перечислить это все равно было нельзя. Также хочу отметить, что для большинства вещей, описанных ниже, я не стал писать пошаговых инструкций. Мне кажется, если вас будет настолько беспокоить безопасность ваших данных, вы сможете сами разобраться что к чему.
Данные на компьютере
Пароль на доступ к учетной записи должен быть сложным, содержащий в себе буквы, цифры и специальные символы
Желательно минимизировать количество других пользователей на компьютере, а их пароли тоже должны быть сложными (безопасными)
Возможность “гостевого” входа тоже должна быть отключена.
Настройки безопасности компьютера
обязательный вход по логину-паролю, отключение автоматического логина
запрос пароля по выходу из сна и скринсейвера
минимальное время для активации скринсейвера
настройка “горячих углов” для активации скринсейвера
Log out после определенного времени неактивности
активация Firewall в системе
активация Stealth Mode (паранойя, а что делать?)
Отключение любых опций Sharing в Настройках
обязательная активация FileVault на диске с системой и БЕЗ возможности восстановления через MobileMe аккаунт
Лучше всего для рабочих файлов создать зашифрованный образ диска, защищенный паролем с помощью Disk Utility и хранить все важные рабочие файлы на нем
Этот образ диска необходимо хранить в облачных сервисах (например, DropBox или на другом хостинг-провайдере), и монтировать его каждый раз при начале работы с компьютером, вводя соответствующий пароль
Альтернативный вариант — использование TrueCrypt с той же целью.
Она умеет создавать образы из двух частей, с двумя паролями — при вводе одного отображается одна часть, с единорогами и бабочками на ней, при вводе другого — другая, с важной информацией. Таким образом можно добросовестно выдать один пароль, но не выдавать другой. Математическая модель построена таким образом, что невозможно установить, есть ли в конкретном образе диска вторая “секретная” часть, или нет.
Все внешние хранители данных (жесткие диски, USB Flash-карты), которые будут использоваться для хранения данных и обмена файлами между компьютерами Macintosh, должны обязательно быть Encrypted — в этом случае они будут запрашивать пароль при монтировании на рабочем столе Мака.
Удаление всех данных на компьютере должно происходить с использованием опции Secure Empty Trash.
Форматирование дисков и карт памяти должно происходить обязательно с использованием Secure Erase в Disk Utility
На всех устройствах (Mac, iPhone, iPad) обязательно должна быть настроена учетная запись iCloud (пароль на учетную запись должен быть сложным) и активирована опция Find My iPhone. В этом случае обеспечиваются несколько вещей (при условии, что устройство включено):
Есть возможность посмотреть местонахождение устройства на сайте icloud.com
Есть возможность удаленно “залочить” устройство запароленным доступом
Есть возможность удаленно очистить устройство от всех данных
Кроме того, при включении опции Email me when this device is found” на сайте iCloud, будет приходить информация о включениях устройства, когда оно было утеряно/изъято.
Безопасность мобильных устройств (iPhone/iPad)
Пароль на доступ в телефон должен быть обязательно установлен “сложный”, не 4-значный цифровой, а произвольный. Это обеспечит защиту от доступа и копирования данных с телефона при получении к нему физического доступа.
Время активации блокировки экрана с паролем — минимальное, 1 минута или даже “немедленно”.
В случае, когда при этом и пароль сложный, очень хочется махнуть на это все рукой, но не стоит.
Отключение работы Siri при залоченном экране
Обязательно должна быть включена опция удаления данных после 10 неправильных попыток ввода пароля.
На телефоне обязательно должна быть настроена учетная запись iCloud (см выше про iCloud)
Должен быть отключен Bluetooth
Избегать подключения к открытым WiFi-сетям (без паролей)
Не синхронизировать устройства с iTunes через WiFi
Регулярно обновлять ПО мобильных устройств обновлениями производителя
По возможности использовать для переписки между устройствами (iPhone/iPad/Mac) iMessage, которые шифруются.
При создании локальной резервной копии данных телефона через iTunes эта копия должна обязательно шифроваться, а пароль должен быть сложным.
Онлайн-аккаунты
Для различных сервисов в интернете крайне рекомендуется к использованию приложение 1Password. Оно обеспечивает не только безопасное хранение паролей, но и генерацию паролей. Алгоритм следующий:
В 1Password устанавливается 1 мастер-пароль, который должен быть сложным и безопасным
1Password интегрируется со всеми браузерами, в том числе с Safari, Chrome и Firefox
База данных логинов и паролей в этом случае переносится между браузерами
При регистрации новых аккаунтов 1Password обеспечивает генерацию случайных сложных паролей, которые потом сам в себя и сохраняет
Таким образом, пользователь даже не знает пароль (поэтому его невозможно забыть), и для входа в тот или иной сайт использует сохраненные в 1Password пароли
Бэкап базы 1Password можно автоматически сохранять в облачный сервис типа Dropbox.
Никогда не использовать одинаковые пароли для разных сервисов. Минимум — общий пароль-база с изменяемыми параметрами, если это абсолютно необходимо (например, база “A1ex3y-”, далее домен сайта в обратном порядке – A1ex3y-Xednay для yandex.ru, A1ex3y-Xobpord для dropbox.com и т.п.).
Использование Keychain на Mac
Сохранение логинов и паролей в браузере Safari должно быть отключено
При использовании шифрованных образов дисков и других подключений на уровне OS X возникает соблазн сохранить пароль в Keychain, чтобы избежать последующих вводов паролей. Сохранять пароли в Keychain не стоит.
Использование почтового сервиса Gmail
обязательно включить двухэтапную авторизацию на сайте Gmail, при которой на телефон будет приходить SMS-сообщение при логине
это даст возможность вовремя выявить несанкционированный доступ и отключить остальные сессии к почтовому сервису.
Периодически проверять, не установлена ли пересылка всей корреспонденции на какой-то неожиданный адрес
В идеале — периодически менять секретный вопрос-ответ.
Сохранение данных на мобильных устройствах
При запросе браузера Mobile Safari на iPhone/iPad на сохранение логина-пароля — отказываться, данные не сохранять
Существует версия 1Password для iPhone/iPad, которая обладает встроенным браузером, что вызывает определенный дискомфорт, когда это не Safari, зато безопасные пароли удобно применять
В этой ситуации можно настроить синхронизацию файла паролей 1Password между всеми устройствами и для входа в области с логином-паролем использовать 1Password.
Обязательно использование HTTPS
При настройке почтового клиента в приложении Mail обязательно использование подключения SSL
Обязательная защита паролем беспроводной сети с системой WPA2
Настроить доступ в сеть только разрешенным устройствам (фильтрация по MAC-address)
Антивирус
Это практически религиозный вопрос для многих Мак-пользователей — надо ли устанавливать антивирусное ПО на OS X, ведь Джобс столько лет твердил, что Маки безопасны и антивирус им не нужен. Я считаю, что для продвинутых пользователей Маков, которые при этом не бродят по порно-сайтам или торрент-трекерам, антивирус на самом деле не особо нужен, они способны следить за чистотой своих компьютеров и сами. Но при этом нужно понимать, что есть риск заражения даже без дополнительных действий со стороны пользователя, как показала недавняя история с трояном Flashback. Поэтому лучше подобрать себе подходящий пакет антивируса и установить его, дабы чувствовать себя в большей безопасности.
Кроме этого, после выхода OS X 10.8 пользователям пригодится опция, которая обеспечит возможность запрета установки-запуска приложений, которые попали на Мак не из App Store или же не были подписаны сертификатом разработчика. Это также должно помочь предотвратить установку ПО, пытающегося попасть на ваш Мак в обход пользователя.
В общем, это то, что пришло в голову за последние пару дней. Что-то упустил? Добавляйте в комментариях.
Рекомендации по информационной безопасности
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
Спасибо за труд, Александр !
Очень полезно.