नौसिखियों के लिए कंप्यूटर सुरक्षा की मूल बातें। डमी सूचना विशेषज्ञों के लिए सूचना सुरक्षा

इंटरनेट बहुआयामी और असुरक्षित है। यह हमें जितने अधिक अवसर देता है, उतने अधिक खतरे और जोखिम छिपाता है। इंटरनेट के माध्यम से चोरी लंबे समय से एक वास्तविकता रही है।

कार्ड या इलेक्ट्रॉनिक वॉलेट से होती है चोरी. और यदि यह आपके साथ अभी तक नहीं हुआ है, तो इसका मतलब है कि या तो आप अपनी जानकारी सुरक्षित रखने में माहिर हैं, या भाग्यशाली हैं, या काफी समय से वैश्विक वेब का उपयोग नहीं कर रहे हैं।

पहले वाले इसे स्वयं संभाल सकते हैं, लेकिन दूसरे और तीसरे वाले को हमारी उपयोगी युक्तियों का सारांश सीखने से लाभ होगा। आख़िरकार, धातु के दरवाज़े आपको इंटरनेट पर नहीं बचाते। यहां, आपकी सुरक्षा अन्य कारकों पर और सबसे महत्वपूर्ण रूप से, कुछ स्थितियों में आपके कार्यों पर निर्भर करती है।

आपके पास न केवल दैनिक अद्यतन डेटाबेस वाला एंटीवायरस होना चाहिए, बल्कि स्पाइवेयर से सुरक्षा भी होनी चाहिए। बहुत से लोग सोचते हैं कि एक एंटीवायरस स्थापित करके वे जानकारी की सुरक्षा कर सकते हैं, और अंततः यह एक घातक गलती बन जाती है।

एक पंक्ति में सभी लिंक पर क्लिक न करें. विशेषकर यदि वे आपको मेल द्वारा या ICQ के माध्यम से भेजे गए हों। भले ही किसी विश्वसनीय प्राप्तकर्ता द्वारा भेजा गया हो। इंटरनेट सर्फिंग वायरस को पकड़ने का सबसे लोकप्रिय तरीका है, जिसका अर्थ है हमलावर को बहुमूल्य जानकारी प्राप्त करने का मौका देना। अजीब, अज्ञात प्रोग्राम डाउनलोड न करें, उन्हें इंस्टॉल तो बिल्कुल भी न करें।

यदि कोई अजीब स्थिति उत्पन्न होती है जब आप फिर भी किसी अपरिचित लिंक पर क्लिक करते हैं, तो इंटरनेट से डिस्कनेक्ट कर दें। इस मामले में सुरक्षा प्रोग्राम चेतावनी जारी कर सकते हैं, या कंप्यूटर प्रत्युत्तर देना बंद कर सकता है। डेटा सुरक्षा के लिए ज़िम्मेदार किसी विशेषज्ञ को बुलाएँ - वह पता लगाएगा कि समस्या क्या है।

यदि आपके पास एक इलेक्ट्रॉनिक वॉलेट स्थापित है या कोई अन्य प्रोग्राम है जिसके साथ आप ऑनलाइन भुगतान करते हैं, तो आपके कंप्यूटर की सुरक्षा सुनिश्चित करना और भी आवश्यक है। अक्षमता के मामले में, एक विशेषज्ञ को आमंत्रित करें जो सभी आवश्यक प्रोग्राम और उनके मापदंडों को स्थापित और कॉन्फ़िगर करेगा। आख़िरकार, हम सेवाओं के लिए भुगतान करने और खरीदारी करने के लिए अपनी कुर्सियाँ नहीं छोड़ते हैं।

पंजीकरण प्रक्रिया से गुजरते समय, अपना पासवर्ड कभी भी सेव न करें। जब भी आप कहीं पंजीकरण करें तो अलग-अलग पासवर्ड का उपयोग करें। उपयोग किए जाने वाले पासवर्ड लंबे होने चाहिए, अधिमानतः संख्याओं के साथ। जितनी बार संभव हो पासवर्ड बदलना बेहतर है, महीने में कम से कम एक बार। भले ही आप एक शब्द चुनें और उसे अपरकेस और लोअरकेस अक्षरों का उपयोग करके टाइप करें, यह पहले से ही एक उत्कृष्ट पासवर्ड विकल्प होगा।

अपना पासवर्ड और लॉगिन उपयोगकर्ता नाम दर्ज करते समय सावधान रहें। अक्सर, घोटालेबाज डुप्लिकेट वेबसाइटें बनाते हैं जो बिल्कुल मूल जैसी ही होती हैं - केवल डोमेन में अंतर हो सकता है। लेकिन एक त्वरित नज़र में इसे नोटिस करना मुश्किल है, खासकर एक शुरुआत के लिए। जालसाज़ उपयोगकर्ता लॉगिन और पासवर्ड चुराने के लिए डुप्लिकेट का उपयोग करते हैं। आपके द्वारा अपना डेटा दर्ज करने के बाद, स्कैमर्स स्वचालित रूप से उन्हें पहचान लेंगे और उन्हें अपने उद्देश्यों के लिए उपयोग कर सकते हैं, लेकिन वास्तविक साइट पर।

ये सरल सत्य निश्चित रूप से किसी को ऑनलाइन अपनी सुरक्षा करने में मदद करेंगे। शायद अनुभवी उपयोगकर्ताओं और कंप्यूटर सुरक्षा विशेषज्ञों को छोड़कर, क्योंकि वे पहले से ही सब कुछ बहुत अच्छी तरह से जानते हैं।

टिप्पणियाँ और समीक्षाएँ

यदि आप गेमिंग पेरिफेरल्स बाज़ार का अनुसरण करते हैं, तो आप जानते हैं कि हाइपरएक्स काफी समय से एक बहुत मजबूत कंपनी रही है...

डेल के नए ऑल-इन-वन पीसी में एक विशेष वेबकैम मिलेगा जो केस के अंदर स्लाइड हो जाएगा और...

कई आधुनिक उपयोगकर्ता शिकायत करते हैं कि लैपटॉप बहुत कॉम्पैक्ट हो गए हैं और कभी-कभी वे चाहते हैं...

बड़े निर्माता काफी समय से रेडीमेड पर्सनल कंप्यूटर बाजार में उतार रहे हैं, क्योंकि...

16 से 18 अगस्त तक, मुख्य इलेक्ट्रॉनिक संगीत समारोह अल्फा फ्यूचर पीपल 2 निज़नी नोवगोरोड के पास आयोजित किया गया था...

नौसिखियों के लिए सूचना सुरक्षा

10 साल पहले भी, कई कंपनियां जो अपने डेटाबेस तक पहुंच खो चुकी थीं, बस बंद हो गईं, जैसा कि मिनेसोटा विश्वविद्यालय की एक रिपोर्ट में बताया गया है, जिसने इस क्षेत्र में शोध किया था। अब, बेशक, काम जारी रखने के लिए जानकारी को पुनर्स्थापित करने के कई तरीके हैं, हालांकि, गोपनीय जानकारी के लीक होने से गंभीर नुकसान हो सकता है। वहीं, हम सिर्फ कंपनियों की ही नहीं, बल्कि आम इंटरनेट यूजर्स की भी बात कर रहे हैं।

सूचना प्रौद्योगिकी के विकास ने समाज को विकास के एक नए स्तर पर ला दिया है, जब व्यक्तिगत कंप्यूटर और इंटरनेट का उपयोग करके कई मुद्दों को हल किया जा सकता है: खरीदारी करना, होटल बुक करना और बस संचार करना, पेशेवर गतिविधियों के लिए नए अवसरों का उल्लेख नहीं करना। लेकिन जानकारी को संभालने की सरलता, सुविधा और गति खतरे से भरी है - तीसरे पक्षों तक इसकी उपलब्धता।

अभी हाल ही में साइबर क्राइम शब्द प्रयोग में आया है। पहले, ऐसा शब्द केवल विज्ञान कथा लेखकों के बीच पाया जाता था, लेकिन अब यह आधुनिक वास्तविकता का हिस्सा बन गया है। हम हैकर्स या साइबरबुलियों के बारे में बात कर रहे हैं, जो बैंक कार्ड, विशेष संसाधनों पर खातों आदि तक पहुंचने के लिए डेटा चुराते हैं, विभिन्न वायरस और ट्रोजन का उपयोग करके व्यक्तिगत कंप्यूटरों को हैक करते हैं।

अपराधियों से खुद को कैसे बचाएं? सबसे सरल उपाय एक एंटीवायरस प्रोग्राम इंस्टॉल करना है। लेकिन, दुर्भाग्य से, यह भी हमेशा हैकिंग से बचाव करने में सक्षम नहीं होता है। दूसरा विकल्प सूचना सुरक्षा पर आज लिखे गए भारी मात्रा में साहित्य का अध्ययन करने का प्रयास करना है। सच है, उनमें प्रस्तुत किए गए मानक और कार्यक्रम इस क्षेत्र के अधिकांश विशेषज्ञों के लिए सुलभ और समझने योग्य हैं, जबकि बैंक कार्ड से पैसे खोने का खतरा लगभग हर इंटरनेट उपयोगकर्ता पर मंडराता है।

हालाँकि, सब कुछ उतना बुरा नहीं है जितना पहली नज़र में लगता है। सामान्य ज्ञान की मदद से और इंटरनेट पर काम करने के सरल नियमों का पालन करके, आप बाहरी खतरों से अपने डेटा की सुरक्षा के स्तर को महत्वपूर्ण रूप से बढ़ा सकते हैं। यह अपार्टमेंट की सुरक्षा करके संपत्ति की सुरक्षा के लिए एक बुनियादी चिंता की तरह है। आप बस एक दरवाजा और एक चीनी ताला स्थापित कर सकते हैं, लेकिन आप सुरक्षा गतिविधियों में शामिल विशेषज्ञों की सिफारिशें भी सुन सकते हैं। और वे निश्चित रूप से गैर-मानक चाबियों के साथ विश्वसनीय दरवाजे के ताले लगाने और खिड़कियों को अपग्रेड करने की सलाह देंगे ताकि उन्हें बाहर से खोलना मुश्किल हो; वीडियो निगरानी और अलार्म सिस्टम स्थापित करें; और एक ऐसे संगठन के साथ एक समझौता भी करें जो घर में अनधिकृत प्रवेश के लिए त्वरित प्रतिक्रिया सेवाएं प्रदान करता है। और, शायद, एक समान रूप से महत्वपूर्ण नियम, जो आपको निश्चित रूप से याद दिलाया जाएगा, क्योंकि हम अक्सर इसके बारे में भूल जाते हैं, अजनबियों के लिए दरवाजे नहीं खोलना है और विशेष रूप से, किसी को भी यह नहीं बताना है कि आपका कीमती सामान कहां है।

बेशक, इन सभी गतिविधियों के लिए निवेश की आवश्यकता होती है। हालाँकि, उन्हें व्यापक रूप से लागू किया जाना चाहिए। अपने आप पर भरोसा न करें कि अच्छे ताले आपके घर को चोरों से बचाएंगे। कोई भी तंत्र देर-सबेर खुल ही जाएगा। और, उदाहरण के लिए, यदि कोई अलार्म सिस्टम नहीं है जो सुरक्षा कंसोल को अलार्म सिग्नल भेजता है, तो संपूर्ण वीडियो निगरानी प्रणाली बिल्कुल बेकार हो जाएगी।

सिद्धांत से व्यवहार तक

कोई भी सुरक्षा व्यवस्थाएक ऐसी प्रणाली है जिसमें रक्षा की कई पंक्तियाँ शामिल हैं जो लगातार प्रक्रिया में और क्रियाशील रहती हैं। तकनीकी सुरक्षा उपाय स्थापित करने के बाद आप तुरंत शांत नहीं हो सकते - नेटवर्क पर सुरक्षित व्यवहार और उपकरणों के संचालन के नियमों का नियमित रूप से पालन किया जाना चाहिए। अन्यथा, सुरक्षा प्रणाली अनुपयोगी हो जाएगी और केवल सुरक्षा का एक हानिकारक भ्रम रह जाएगा।

व्यवहार में सूचना सुरक्षा का ध्यान कैसे रखें? आइए बुनियादी नियमों पर नजर डालें।

शून्य नियम:किसी पर भरोसा न करें.

जैसा कि इंटेल के अध्यक्ष एंड्रयू ग्रोव ने कहा, "केवल पागल लोग ही जीवित रहते हैं।" कोई भी गोपनीय जानकारी दर्ज करते समय, आपको 200% आश्वस्त होना चाहिए कि जिस व्यक्ति पर आप भरोसा करते हैं, उसके पास वास्तव में इस डेटा के निपटान का अधिकार है। उदाहरण के लिए, किसी बैंक की वेबसाइट पर खाता खोलने के लिए आपसे आपकी पासपोर्ट जानकारी मांगी जा सकती है - यह एक मानक प्रक्रिया है, लेकिन एक ऑनलाइन स्टोर के लिए इस जानकारी का कोई उपयोग नहीं है। आप उस विक्रेता को अपना पासपोर्ट नहीं दिखाएंगे जिससे आप बाज़ार में आलू खरीदते हैं! इस समय। दूसरी बात, कभी नहीं, किसी को भी और किसी भी परिस्थिति मेंपासवर्ड न भेजें. सभी सुरक्षा प्रणालियों को इस तरह से डिज़ाइन किया गया है कि पासवर्ड केवल एक ही व्यक्ति को पता होना चाहिए। यदि आपको अपना पासवर्ड ईमेल द्वारा भेजने या किसी भी, यहां तक कि सबसे प्रशंसनीय बहाने के तहत फोन पर बताने की आवश्यकता है, तो आपको पता होना चाहिए कि यह 100% धोखा है।

पहला नियम: अपना कंप्यूटर सेट अप करना सुनिश्चित करें ताकि आप काम शुरू करने से पहले हमेशा एक उपयोगकर्ता नाम और पासवर्ड प्रदान करें।

किसी भी कंप्यूटर उपयोगकर्ता के लिए सबसे महत्वपूर्ण प्रोग्राम ऑपरेटिंग सिस्टम है। यह क्या संग्रहीत करेगा यह केवल आपको ही पता होना चाहिए, इसलिए एक पासवर्ड सेट करें जिसे कंप्यूटर चालू करते समय दर्ज किया जाना चाहिए। प्रक्रिया सरल है, लेकिन इसके कई फायदे हैं। हर बार जब आप किसी पंक्ति में वर्णों का संयोजन दर्ज करते हैं, तो आप कंप्यूटर पर संग्रहीत सभी जानकारी के निपटान के अपने अधिकार की पुष्टि करेंगे। उस स्थिति को हटा दें जहां कोई अनधिकृत व्यक्ति आपके डेस्कटॉप और सभी फ़ाइलों तक निःशुल्क पहुंच प्राप्त कर सकता है। जानकारी को "लॉक अप" करें ताकि यह बिना दरवाजे वाले अपार्टमेंट की तरह न दिखे जिस पर "यदि आप चाहें तो अंदर आएं" लिखा हो।

दूसरा नियम: व्यवस्थापक अधिकारों वाले किसी खाते के अंतर्गत कभी भी कार्य न करें.

एक कंप्यूटर के लिए, सभी उपयोगकर्ताओं को दो प्रकारों में विभाजित किया जाता है: प्रशासक और नियमित उपयोगकर्ता। व्यवस्थापकों- ये वे उपयोगकर्ता हैं जो सभी कंप्यूटर सेवाओं के संचालन को कॉन्फ़िगर कर सकते हैं, प्रोग्राम इंस्टॉल और हटा सकते हैं और सिस्टम के संचालन को बदल सकते हैं। नियमित उपयोगकर्ताउन्हें कुछ भी बदलने या स्थापित करने का अधिकार नहीं है, लेकिन वे स्वतंत्र रूप से प्रोग्राम चला सकते हैं, इंटरनेट का उपयोग कर सकते हैं और काम कर सकते हैं। अब आइए एक ऐसी स्थिति की कल्पना करें जहां एक व्यवस्थापक खाते का उपयोग करने वाला उपयोगकर्ता किसी हमलावर की वेबसाइट तक पहुंचता है। दुर्भावनापूर्ण प्रोग्राम आसानी से डेटा मिटा सकते हैं या उसे एन्क्रिप्ट कर सकते हैं ताकि अपराधी डेटा पुनर्प्राप्ति के लिए पैसे का घोटाला कर सकें। साथ ही, न तो ऑपरेटिंग सिस्टम और न ही एंटीवायरस उपयोगकर्ता को ऐसे दुर्भाग्य से बचाएगा, क्योंकि "प्रशासक" कंप्यूटर के लिए जो कुछ भी करता है - और वह सोचेगा कि ये आपके आदेश हैं - कुछ लोग ऐसा सोचते हैं एक नियमित उपयोगकर्ता के खाते के तहत काम करना असुविधाजनक है, क्योंकि समय-समय पर आपको नए प्रोग्राम इंस्टॉल करने की आवश्यकता होती है। लेकिन, यदि आप इसके बारे में सोचते हैं, तो यह हर दिन नहीं है कि आपको सॉफ़्टवेयर इंस्टॉल करना पड़े। फायदे स्पष्ट हैं. एक बार जब आप एक साधारण उपयोगकर्ता के अधिकारों के साथ हमलावरों की वेबसाइट तक पहुंच जाते हैं, तो आप दुर्भावनापूर्ण प्रोग्राम को एक सुरक्षात्मक बाधा में उजागर कर देते हैं जिससे पार पाना उसके लिए अधिक कठिन होता है। यह अब जल्दी से खुद को छुपा नहीं सकता है और एंटीवायरस के प्रति संवेदनशील हो जाता है। इसलिए, किसी भी स्थिति में, आपके व्यवस्थापक अधिकारों को छीन लेना ही उचित है। यदि इसकी कार्यक्षमता का सहारा लेने की आवश्यकता उत्पन्न होती है, तो आप हमेशा अपना खाता अस्थायी रूप से बदल सकते हैं।

तीसरा नियम:आपके पासवर्ड लंबे, जटिल और अधिमानतः विविध होने चाहिए। सभी पासवर्ड नियमित रूप से बदले जाने चाहिए।

पासवर्डों- यह सभी सूचना सुरक्षा विशेषज्ञों के लिए बहुत बड़ा सिरदर्द है। ऐसा इसलिए है क्योंकि उपयोगकर्ताओं को लंबे पासवर्ड पसंद नहीं हैं, क्योंकि वे या तो उन्हें भूल जाते हैं या उन्हें टाइप करने में बहुत आलसी होते हैं। और यह अच्छा है जब वे मौजूद हों। यहां सब कुछ एक अपार्टमेंट जैसा है: इसमें जाने का सबसे आसान तरीका ताले की चाबी उठाना है। ऐसी ही एक विधि कंप्यूटर क्षेत्र में काम करती है। डेटा तक पहुंचने का सबसे आसान तरीका पासवर्ड चुनना है। कंप्यूटर विकास के पहले दशकों में ही 8 अक्षरों की पासवर्ड लंबाई पर्याप्त थी। हालाँकि, प्रौद्योगिकी के विकास के साथ, सभी संयोजनों की गणना करने की विधि ऐसे कोड की गणना करना आसान हो गया है। कुछ ऐसी बात है पासवर्ड की मजबूती- उस समय का एक संकेतक जिसके दौरान एक हमलावर क्रूर बल विधियों का उपयोग करके पासवर्ड का चयन करता है। यह पता चला है कि केवल आठ संख्याओं या अक्षरों वाले संयोजनों का अनुमान एक सेकंड से भी कम समय में लगाया जा सकता है। इसीलिए, 8 अक्षरों तक लंबे पासवर्ड का उपयोग करके, आप कम समय में किसी हमलावर तक पहुंच देने का जोखिम उठाते हैं। हालाँकि, यदि आप छोटे पासवर्ड में, और यहां तक कि अलग-अलग रजिस्टरों में भी संख्याओं और अक्षरों दोनों का उपयोग करते हैं, तो आपको बलपूर्वक इसे ढूंढने में कुछ दिन बिताने होंगे। यह अब बुरा नहीं है, लेकिन, निश्चित रूप से, पर्याप्त नहीं है। आप न केवल अक्षरों और संख्याओं, बल्कि चिह्नों ('$','%',&'','#') के संयोजन का उपयोग करके, इसकी लंबाई बढ़ाकर संतोषजनक पासवर्ड शक्ति प्राप्त कर सकते हैं। लेकिन तुरंत भूले बिना एक लंबा और जटिल पासवर्ड कैसे बनाएं? बहुत सरल। पासफ़्रेज़ का प्रयोग करें. उदाहरण के लिए: "$Green_Cactus01"। ऐसा पासवर्ड शब्दकोश में शामिल नहीं है (हालाँकि अलग-अलग शब्द "हरा" और "कैक्टस" हैं), इसलिए इसे शब्दकोश में खोजकर नहीं पाया जा सकता है। पासवर्ड 12 अक्षरों से अधिक लंबा निकला और इसका अनुमान लगाने में 10-20 से अधिक प्रयास करने पड़ेंगे। यहां तक कि अगर एक सेकंड में एक अरब सर्च भी किए जाएं, तो भी ऐसे पासवर्ड को क्रैक करने में ~10 11 सेकंड लगेंगे, जो एक हजार साल से भी ज्यादा है।

चौथा नियम:दिन में कम से कम दो बार अपडेट मोड सक्षम आधुनिक भुगतान वाले एंटीवायरस का उपयोग करें।

एंटी-वायरस डेटाबेस को अद्यतन करने की क्षमता के बिना एक स्थापित एंटीवायरस अपने आप में बेकार है। वह सोते हुए रक्षक कुत्ते की तरह दिखेगा। ऐसा लगता है, लेकिन इसका कोई मतलब नहीं है। इसलिए यह सुनिश्चित करना सुनिश्चित करें कि आपके एंटीवायरस प्रोग्राम डेटाबेस नियमित रूप से अपडेट किए जाते हैं।

पाँचवाँ नियम:स्वचालित सॉफ़्टवेयर अपडेट चालू करें.

अपने सॉफ़्टवेयर को हमेशा अपडेट रखें. यह ऑपरेटिंग सिस्टम और इंटरनेट ब्राउज़र के लिए विशेष रूप से सच है। उदाहरण के लिए, Microsoft अपने सिस्टम में डिफ़ॉल्ट रूप से ऑटो-अपडेट मोड सक्षम करता है। अन्य सॉफ़्टवेयर उत्पादों को कॉन्फ़िगर करने की आवश्यकता है. यह सब किस लिए है? बहुत सरल। आधुनिक प्रोग्राम बहुत जटिल होते हैं और उनमें बड़ी संख्या में त्रुटियाँ होती हैं जो आपके डेटा की सुरक्षा को प्रभावित कर सकती हैं। निर्माता, अपडेट जारी करके, धीरे-धीरे उन त्रुटियों को समाप्त करते हैं जिनके माध्यम से हमलावर आपके सिस्टम में प्रवेश कर सकते हैं।

छठा नियम:अपने कंप्यूटर पर पासवर्ड संग्रहीत न करें या अपने इंटरनेट ब्राउज़र में पासवर्ड याद न रखें।

एक बार जब कोई हैकर आपके कंप्यूटर के किसी भी हिस्से तक पहुंच प्राप्त कर लेता है, तो उसे पासवर्ड फ़ाइल मिल जाने के बाद, उसे सुरक्षा प्रणाली में सेंध लगाने की कोशिश भी नहीं करनी पड़ेगी। यदि डोरमैट के नीचे चाबियाँ हों तो चोर दरवाज़ा क्यों तोड़ेगा? इसलिए, अपने पासवर्ड को अपनी जेब में फ्लैश ड्राइव पर रखें और हमेशा एन्क्रिप्टेड रूप में रखें।

सातवाँ नियम:महत्वपूर्ण डेटा के लिए एन्क्रिप्शन सिस्टम का उपयोग करें।

आपको इस तथ्य के लिए हमेशा तैयार रहना चाहिए कि कोई हमलावर आपके कंप्यूटर तक भौतिक पहुंच प्राप्त कर सकता है (उदाहरण के लिए, लैपटॉप की साधारण चोरी)। उसे इसमें संग्रहीत जानकारी का उपयोग करने से रोकने के लिए, सबसे पहले, प्रविष्टि के लिए एक उपयोगकर्ता पासवर्ड सेट करें (पहला नियम देखें), और दूसरा, डेटा एन्क्रिप्शन सिस्टम का उपयोग करें। इस मामले में, हैकर को कई वर्षों तक आपकी मशीन के साथ छेड़छाड़ करनी होगी।

आठवां नियम:गोपनीय जानकारी प्रसारित करने के लिए कभी भी इंटरनेट या ईमेल का उपयोग न करें।

सभी सूचनाएं इंटरनेट के माध्यम से स्पष्ट प्रारूप में प्रसारित की जाती हैं। टेलीकॉम ऑपरेटर के तकनीकी कर्मचारियों के साथ मिलीभगत करके आपके संदेशों तक पहुंच हासिल करना मुश्किल नहीं है। इसलिए, सुरक्षित कनेक्शन (https), या डेटा एन्क्रिप्शन सिस्टम और इलेक्ट्रॉनिक डिजिटल हस्ताक्षर सिस्टम का उपयोग करके स्वयं को सुरक्षित रखें।

नौवाँ नियम:ऐसे प्रोग्राम इंस्टॉल करें जिनका उद्देश्य या उत्पत्ति का स्रोत आप निश्चित रूप से जानते हों।

ट्रॉय के पतन की कहानी हर कोई जानता है। उस युद्ध का सबसे घातक आविष्कार ट्रोजन हॉर्स था। और यद्यपि यह आविष्कार कई हज़ार साल पुराना है, विजय की इस पद्धति ने अपनी प्रासंगिकता नहीं खोई है। लेकिन इसके विरुद्ध सुरक्षा लंबे समय से उपलब्ध है: अपरिचित प्रोग्रामों को स्वयं या तीसरे पक्ष के सुझाव पर इंस्टॉल न करें। मुख्य जोखिम क्षेत्र हैं: ऐसी साइटें जो अविश्वास का कारण बनती हैं, और संसाधन की वैधता में कोई पूर्ण विश्वास नहीं है, ICQ पर स्कैमर्स, स्पैमर्स। इनमें से प्रत्येक अभिनेता एक "अद्वितीय" व्यूअर, डेस्कटॉप वॉलपेपर और अन्य एप्लिकेशन और उनके साथ कोड डालने का प्रयास करता है जो आपके कंप्यूटर को एक आज्ञाकारी ज़ोंबी में बदल देगा।

दसवाँ नियम:विशिष्ट सुरक्षा निर्देशों का पालन करना सुनिश्चित करें। हमेशा सामान्य ज्ञान का प्रयोग करें.

अनुवाद: ओल्गा अलीफ़ानोवा

ये सब कैसे शुरू हुआ

बहुत पहले नहीं, सुरक्षा परीक्षण (और इसका उतना ही डरावना भाई, प्रवेश परीक्षण) एक बहुत बड़ा, डरावना बग था जिसे उन लोगों द्वारा नियंत्रित किया गया था जिन्होंने इसे समझा था। इसके लिए उन्हें बहुत अच्छा भुगतान किया गया। फिर जीवन बदल गया और मैंने अचानक पाया कि मैं उन चीज़ों पर ठोकर खा रहा हूँ जो मेरे नियोक्ता को बहुत महंगी पड़ सकती थीं यदि मैंने उन्हें नहीं पकड़ा होता।

अचानक मैं सुरक्षा परीक्षण की शुरुआत के बारे में और अधिक सीख रहा था - ऐसा ज्ञान जिसके बारे में मैंने कभी नहीं सोचा था कि मुझे इसकी आवश्यकता होगी - और यह थकाऊ, आश्चर्यजनक और डरावना था (लगभग समान भागों में)।

मुझे ऐसा महसूस हुआ:

जैसे-जैसे मैंने सुरक्षा परीक्षण के बारे में और अधिक जानना शुरू किया, मुझे पता चला कि यह उतना डराने वाला और अंतहीन नहीं है जितना मैंने सोचा था। मुझे समझ में आने लगा कि लोग किस बारे में बात कर रहे थे जब उन्होंने विशेषाधिकारों में वृद्धि, खतरे में सर्वर, या... का उल्लेख किया था।

बहुत कुछ सीखने को मिलेगा. लेकिन इसे शुरू करना इतना कठिन नहीं है, और कुछ पढ़ने और सोचने के बाद, आप सॉफ़्टवेयर के खराब होने से पहले एक भेद्यता (कोड का एक टुकड़ा जिसका उपयोग बुरे इरादों वाला कोई व्यक्ति सॉफ़्टवेयर को उस तरह से काम करने के लिए कर सकता है जिसे उसे नहीं करना चाहिए) पकड़ सकते हैं। महंगे सुरक्षा पेशेवरों के हाथों में जाने के लिए पर्याप्त रूप से परिपक्व (जिसका अर्थ है कि इसे ठीक करना सस्ता है - एक अच्छा बोनस, है ना?) और वाइल्ड वाइल्ड वेस्ट के विशाल विस्तार में लीक होने से बहुत पहले... अहम, वर्ल्ड वाइड वेब।

मुझे यह जानने की ज़रूरत है, गंभीरता से?

कई लोग कहेंगे कि सभी परीक्षकों को वेब सुरक्षा परीक्षण के बारे में जानना आवश्यक है। इसके बारे में अधिक जानना उन लोगों के लिए एक अच्छा विचार है जो ऑनलाइन समय बिताते हैं, लेकिन मुझे लगता है कि ऐसी स्थितियाँ हैं जिनमें आपको वेब सुरक्षा परीक्षण के बारे में सीखने से कोई लाभ नहीं होगा।

आपको परीक्षण के बारे में जानने की आवश्यकता नहीं होगीवेब- सुरक्षा यदि...

आप एक बड़ी टीम का हिस्सा हैं जिसमें सुरक्षा विशेषज्ञ शामिल हैं। यह उनकी विशेषज्ञता का क्षेत्र है, और यदि वे अपना काम अच्छी तरह से करते हैं, तो वे यह सुनिश्चित करने के लिए आपके और आपके डेवलपर्स के साथ काम करते हैं कि उनके क्षेत्र में सब कुछ सुरक्षा के सही स्तर पर है। वे सुरक्षा समस्याओं के लिए आपके सॉफ़्टवेयर का परीक्षण करने में भी आपकी सहायता करते हैं।
आप ऐसे सॉफ़्टवेयर का परीक्षण करते हैं जो उपयोगकर्ताओं के लिए पेश किया जाता है, और फिर किसी को इसकी परवाह नहीं होती है: यह आपके सर्वर तक नहीं पहुंचता है और गोपनीय जानकारी से निपटता नहीं है। एक ऑफ़लाइन सुडोकू ऐप एक अच्छा उदाहरण होगा - और अगर किसी कंपनी को इस बात की परवाह नहीं है कि वह निष्पक्ष रूप से उच्च स्कोर प्राप्त करती है या नहीं और/या अपने सर्वर की अच्छी तरह से सुरक्षा करती है - तो एक ऑनलाइन कैज़ुअल गेम भी एक उदाहरण हो सकता है।
यह एक डिस्प्ले वेबसाइट है और आप होस्टिंग का प्रबंधन नहीं करते हैं।
आप वेब पर बिल्कुल भी काम नहीं करते.

आपको परीक्षण के बारे में जानना आवश्यक है वेब-सुरक्षा अगर...

आपकी कंपनी का सॉफ़्टवेयर किसी भी प्रकार की व्यक्तिगत पहचान योग्य जानकारी संग्रहीत करता है (यह कानून द्वारा परिभाषित है, लेकिन आम तौर पर इसका उपयोग आपको या आपके परिवार को ढूंढने के लिए किया जा सकता है)

उदाहरण: पते, मेल (आमतौर पर अन्य जानकारी के साथ संयोजन में), सरकार द्वारा जारी पहचान (सामाजिक सुरक्षा नंबर, ड्राइवर का लाइसेंस नंबर, पासपोर्ट)

आपकी कंपनी का सॉफ़्टवेयर किसी भी प्रकार की भुगतान जानकारी का उपयोग या भंडारण करता है। यदि आप क्रेडिट कार्ड की जानकारी संग्रहीत करते हैं, तो अधिकांश देशों में ऐसे डेटा को संग्रहीत करने और उस तक पहुंचने के बारे में बहुत सख्त नियम हैं - और इस डेटा की सुरक्षा करने में विफल रहने पर बहुत अधिक जुर्माना है। यदि आप बैंक खाते की जानकारी संग्रहीत करते हैं, तो मानक उतने सख्त नहीं हैं, लेकिन फिर भी आपको अपनी आँखें खुली रखनी होंगी।
आपकी कंपनी को डेटा सुरक्षा से संबंधित कानून या प्रक्रियाओं का पालन करना होगा। कुछ उदाहरण जिनके बारे में मैं जानता हूं:

अमेरिका में स्वास्थ्य सेवा कंपनियों को कई संघीय कानूनों का पालन करना होगा।

संयुक्त राज्य अमेरिका में सार्वजनिक रूप से कारोबार करने वाली किसी भी कंपनी को मानकों के संबंध में संघीय कानूनों का पालन करना होगा। यदि कोई कंपनी उनका अनुपालन नहीं करती है, तो वह क्रेडिट कार्ड से भुगतान स्वीकार नहीं कर सकती है और जुर्माना और अन्य दंड के अधीन है।

आपकी कंपनी द्वारा संग्रहीत डेटा के लिए गोपनीयता आवश्यकताएँ हैं।

यदि आपको लगता है कि आपको वेब सुरक्षा परीक्षण के बारे में और अधिक जानने की आवश्यकता है, तो शायद आपको वास्तव में इसकी आवश्यकता है।

कहाँ से शुरू करें

वेब सुरक्षा परीक्षण सीखना शुरू करना काफी आसान है - वहाँ बहुत अच्छे लिंक और उपकरण मौजूद हैं और इसमें केवल आपका समय खर्च होगा। आप केवल एक ब्राउज़र का उपयोग करके बहुत कुछ कर सकते हैं!

सावधानी से! आगे खतरा है!

इससे पहले कि आप कुछ भी विनाशकारी करें, सुनिश्चित करें कि आप पूरी तरह आश्वस्त हैं कि आपके पास ऐसा करने की अनुमति है। हां, एक परीक्षण सर्वर पर भी - अन्य लोग इसका उपयोग अन्य उद्देश्यों के लिए कर सकते हैं, आपकी कंपनी संदिग्ध व्यवहार के लिए नेटवर्क की निगरानी कर सकती है - और सामान्य तौर पर, कारकों का एक समूह यहां एक भूमिका निभाता है जिसके बारे में आपको थोड़ा सा भी अंदाजा नहीं होगा। हमेशा, हमेशासुनिश्चित करें कि आपके पास हैकर खेलने की अनुमति है।

मुफ़्त उपकरण

मेरे द्वारा उपयोग किए जाने वाले सभी उपकरण विंडोज़ के लिए बनाए गए हैं, क्योंकि मैं विंडोज़ वातावरण में काम करता हूँ। उनमें से कुछ क्रॉस-प्लेटफ़ॉर्म हैं, कुछ नहीं हैं। बग की तलाश में सुरक्षा जल का परीक्षण करने वाले नौसिखिया के लिए इन सभी का उपयोग करना काफी आसान है।

ब्राउज़र डेवलपर उपकरण. जब तक उन्हें आपकी कंपनी द्वारा ब्लॉक नहीं किया जाता है, अधिकांश आधुनिक ब्राउज़र आपको पेज कोड की जांच करने, जावास्क्रिप्ट की जांच करने और ब्राउज़र और सर्वर के बीच नेटवर्क ट्रैफ़िक देखने की अनुमति देते हैं। आप उनमें यादृच्छिक जावास्क्रिप्ट को संपादित और चला सकते हैं, कोड बदलने का प्रयास कर सकते हैं और नेटवर्क अनुरोध दोहरा सकते हैं।
डाकिया. हालाँकि यह एक क्रोम एक्सटेंशन है, पोस्टमैन एक स्टैंडअलोन एप्लिकेशन के रूप में भी चलता है। आप इसका उपयोग विभिन्न अनुरोध भेजने और प्रतिक्रियाओं की जांच करने के लिए कर सकते हैं (यहां किकर है: सुरक्षा परीक्षण में लगभग हर चीज कई अलग-अलग तरीकों से की जा सकती है। अपने पसंदीदा को खोजने के लिए प्रयोग करें)।
सारंगी बजानेवाला. टेलरिक फिडलर वर्तमान में मेरा पसंदीदा वेब अनुरोध अन्वेषण और हेरफेर उपकरण है। यह क्रॉस-ब्राउज़र है, कई ओएस पर काम करता है, और सुरक्षा परीक्षण शुरू करना आसान है।
आयरनडब्ल्यूएएसपी. विंडोज़ के लिए बनाए गए मुफ़्त सुरक्षा स्कैनरों में से एक। इसके साथ काम करना काफी आसान है और आमतौर पर अच्छे परिणाम मिलते हैं।
और आगे... बहुत सारे उपकरण उपलब्ध हैं। मैंने अभी-अभी सुरक्षा के बारे में सीखना शुरू किया है, और चारों ओर घूमना शुरू कर दिया है।

मैं आगे बढ़ने के लिए फिडलर पर ध्यान केंद्रित करने जा रहा हूं क्योंकि मुझे लगता है कि यह मुफ़्त टूल में सबसे आसान है, और इंटरफ़ेस के चारों ओर ताक-झांक करने से लेकर वास्तव में उपयोगी परिणामों तक जाने के लिए सबसे तेज़ है।

फ़िडलर का उपयोग करना

जब मुझे इस विशाल, और संभावित रूप से बहुत महंगी भेद्यता का पता चला, जिसका मैंने ऊपर वर्णन किया है, तो मैं बस फ़िडलर के साथ खेल रहा था। यह अच्छा है कि मैंने इसे तब सही पाया: यदि यह बाज़ार में आ जाता, तो बड़ी मुसीबतें हो सकती थीं।

समायोजन

मैंने फ़िडलर को डिफ़ॉल्ट सेटिंग्स के साथ स्थापित किया। विंडोज़ पर, आपको इंटरनेट एक्सप्लोरर के लिए एक प्लगइन भी मिलता है जो आपको सीधे IE के माध्यम से चलाने की अनुमति देता है (और इसे केवल IE ट्रैफ़िक की निगरानी के लिए सेट करना अन्य ब्राउज़रों की तुलना में बहुत आसान है)। आप जो करते हैं उसके आधार पर, इनमें से कुछ प्लगइन्स बहुत उपयोगी हो सकते हैं: यहां मेरे पसंदीदा हैं

वाक्य - विन्यासदेखना/प्रमुखता से दिखाना।कस्टम स्क्रिप्ट तैयार करने और HTML, जावास्क्रिप्ट, CSS और XML देखने के लिए सिंटैक्स हाइलाइटिंग प्रदान करता है। सभी टैग और कीवर्ड को हाइलाइट करके वेब कोड के साथ छेड़छाड़ को बहुत कम दर्दनाक बनाता है। मैं उन चीज़ों का बहुत बड़ा प्रशंसक हूं जो महत्वपूर्ण चीज़ों पर ध्यान केंद्रित करना आसान बनाती हैं और यह उनमें से एक है।
पीडीएफ - देखना.यदि आपका एप्लिकेशन तुरंत पीडीएफ फाइलें बनाता है तो यह बहुत महत्वपूर्ण है। आप टैब पर क्लिक कर सकते हैं और पीडीएफ रेंडरिंग देख सकते हैं। उदाहरण के लिए, यदि आप यह सुनिश्चित करने के लिए बैंक स्टेटमेंट के पीडीएफ का परीक्षण कर रहे हैं कि किसी अन्य उपयोगकर्ता के स्टेटमेंट को खोलना असंभव है, तो यह टूल आपका मित्र है।