Избавляемся от плохих привычек, касающихся компьютерной безопасности

0
45
views

Перевод статьи «Bad Security habits to lose».

Компьютерная безопасность это довольно широкая тема. В ней много ловушек и ложных суждений.

В связи с коронавирусным кризисом увеличилось количество хакерских атак, поэтому стоит уделить внимание обеспечению безопасности и не подставляться понапрасну.

Хакеры ищут уязвимости, у них работа такая. И вы удивитесь, насколько часто самым слабым звеном в цепи безопасности является человеческий фактор.

Меньше прав — меньше проблем

Поскольку мы (разработчики) — люди, мы порой совершаем глупости, особенно в начале нашей карьеры.

Я ежегодно слышу печальные истории о том, как какой-нибудь новичок запушил плохой коммит и вылил логины с паролями в публичный GitHub-репозиторий.

И это не удивительно. Если у вас разрешены форки, если вы не следите должным образом за уровнем прав и разрешений, это рано или поздно случится и с вами.

Здесь самый лучший подход — давать разработчикам и сотрудникам только самые необходимые права. Не знаю, как вы, но я как разработчик предпочитаю не иметь доступа к ненужным мне вещам. Это избавляет меня от многих потенциальных проблем.

Используйте менеджеры паролей и VPN

Никогда не храните пароли в своем браузере. Вместо этого пользуйтесь каким-нибудь менеджером паролей. Вы как разработчик имеете доступ к конфиденциальной информации, и сохранность ваших паролей может быть критически важна для бизнеса. Нужно обезопасить свой доступ.

Использовать менеджер паролей это более безопасно и быстро, к тому же так вы получите дополнительный функционал вроде автозаполнения полей или генератора паролей.

Разработчики могут работать удаленно, при этом не обязательно дома. Вы можете отправлять какой-то код непосредственно перед вылетом, и порой вы пользуетесь публичными сетями. Если ваш работодатель не предоставляет какое-то VPN-соединение, вероятно, это зря. Пожалуйста, обсудите это с менеджментом; возможно, работодатель просто не слышал о такой возможности.

Photo by Dan Nelson on Unsplash

Держите свою машину в порядке

Защита вашей рабочей машины — ваша ответственность. Не устанавливайте взломанные программы. Не делайте ничего нелегального, включая скачивание игр и фильмов из файлообменных сетей. Определенно не смотрите порно на рабочей машине.

Не занимайтесь хакерством или, по крайней мере, используйте для таких вещей другую машину. Купите себе какой-то Raspberry Pi: они достаточно дешевы. Установите на него Kali Linux или другую специальную оперативную систему.

К сожалению, иногда опасность не столь очевидна. Не устанавливайте на рабочую машину GitHub-репозитории, если только речь не идет о надежных источниках. Нередки случаи, когда в комплекте вы получаете, например, небезопасные конфигурации Docker.

Кроме того, будьте осторожны с разрешениями, которые даете при установке приложений. Регулярно пересматривайте установленные программы.

Будьте осторожны с социальными сетями

Если я хакер и знаю, что вы — разработчик в компании, на которую я нацелился, для меня проще (и, возможно, эффективнее) хакнуть вас, а не компанию.

Если вы весь день пишете твиты, я могу получить достаточно много сведений о вас и ваших привычках, используя Twitter API или даже «подружившись» с вами в сети.

Зная, что у вас, вероятно, включено много всего (сайты, приложения, мессенджеры, внутренние сети), я могу воспользоваться этим вам во вред.

Следите за обновлением инструментария

Пользуйтесь последними версиями программного обеспечения, с которым работаете. Сюда входят операционные системы, отдельные программы, библиотеки, фреймворки.

На обновления уходит много времени, к тому же можно получить отдельную головную боль из-за несовместимостей, но это необходимо.

Безопасность в коде

Конечно, нужно знать об уязвимостях, таких как XSS, CSRF, SQL injections, непроверяемый input и т. п. По этой теме есть множество книг и других потрясающих источников информации.

Изучение этих концепций стоит потраченных усилий. В интернете полно постов по теме уязвимостей ПО, и часто они недостаточно аккуратны в подаче материала. По факту, можно перелопатить весь веб, и так и не разобраться в ключевых концепциях. Как по мне, лучше всего ваш код защитят две вещи: использование руководств по безопасности, принятых в вашей команде, и ревью кода.

Автоматические инструменты на многое способны, но при этом вы получите много ложноположительных результатов. Ну, и ничто не сравнится с опытом и парным программированием.

Заключение

Надеюсь, эти советы будут вам полезны. Не доверяйте пользовательским input-ам, да и себе тоже не доверяйте. Будьте скромнее, не считайте себя неуязвимым. Даже если вы следуете самым лучшим практикам, вас все равно могут взломать. Лучшие подходы не обеспечивают стопроцентную защиту, но существенно снижают риски взлома.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here