कैमरा - इसे गोंद दें! एक साइबर सुरक्षा विशेषज्ञ का रहस्योद्घाटन

2024 लेखक: Seth Attwood | [email protected]. अंतिम बार संशोधित: 2023-12-16 16:05

क्या मुझे अपने लैपटॉप पर कैमरा चिपकाने की आवश्यकता है? क्या आपका स्मार्टफोन आपकी बात सुन रहा है? व्यक्तिगत डेटा रिसाव से खुद को कैसे बचाएं? साइबर सुरक्षा विभाग का एक कर्मचारी हमारे समय के ज्वलंत सवालों का जवाब देता है और काम के बारे में बात करता है।

"व्हाइट हैकर" कैसे बनें, जुर्माना और आईटी नारीवाद

मैंने विश्वविद्यालय में संगठन में जटिल सूचना सुरक्षा से संबंधित विशिष्टताओं में से एक में अध्ययन किया। उन्होंने हमें सिखाया कि दस्तावेज़ीकरण - नीतियों, विनियमों आदि से लेकर तकनीकी घटक - वीडियो कैमरा, अभिगम नियंत्रण और प्रबंधन प्रणालियों तक संगठन को समग्र रूप से कैसे सुरक्षित रखा जाए। क्रिप्टोग्राफी में कई पाठ्यक्रम थे, एक कंप्यूटर सुरक्षा पाठ्यक्रम - यही वह क्षेत्र है जिसमें मेरी दिलचस्पी है।

विश्वविद्यालय में अध्ययन के भूमध्य रेखा के आसपास, अंशकालिक नौकरी की तलाश में, मैं एक बहुत अच्छी कंपनी में समाप्त हो गया, जहाँ मैंने अपनी पढ़ाई के साथ-साथ कई वर्षों तक काम किया।

मैं किसी विशिष्ट का नाम नहीं ले सकता, मैं विभिन्न प्रकार के साइबर हमलों के अध्ययन में विशेषज्ञों में से एक हूं। हम उनके तंत्र और कार्यक्षमता का अध्ययन करते हैं और यह पता लगाते हैं कि उन्हें कैसे रोका जाए।

मुझे कभी भी व्हाइट हैकर, ब्लैक या ग्रे नहीं कहा गया। मुझे "साइबर सुरक्षा विशेषज्ञ" - "साइबर अपराधी" श्रेणीकरण अधिक पसंद है। मैं बल के उज्जवल पक्ष में हूँ, बस इतना ही।

कई सूचना सुरक्षा विशेषज्ञ बड़े प्रसिद्ध संगठनों में काम करते हैं, उनमें से लगभग सभी कार्यालय में काम करते हैं। मुझे शामिल करते हुए। ऐसा कोई रूटीन नहीं है, मैं दस बजे पहुंचता हूं और सात बजे तक काम करता हूं। कोई एक बजे आता है और शाम को नौ-दस बजे निकल जाता है। मुख्य बात परिणाम है। आप हमेशा घर से काम कर सकते हैं - हर कोई लैपटॉप से जुड़ा है।

कॉफी मशीन, वेंडिंग मशीन और आधुनिक कार्यालय की अन्य विशेषताओं जैसे कई सुखद बन्स के साथ हमारे कार्यालय काफी आरामदायक हैं।

बेशक उन्हें भुगतान किया जाता है। रसोई भी हैं - स्वाभिमानी संगठनों में, यह सब डिफ़ॉल्ट रूप से होता है।

ज्यादातर कंपनियों का शिफ्ट शेड्यूल होता है। मैंने लंबे समय से शिफ्ट में काम नहीं किया है, लेकिन मैंने शिफ्ट शेड्यूल के साथ शुरुआत की। फिर मैंने उस क्षेत्र में स्विच किया जिसमें मुझे रूचि है।

रूस सहित साइबर सुरक्षा में बहुत सी लड़कियां हैं। विश्व-प्रसिद्ध विशेषज्ञ हैं जो कुछ क्षेत्रों में सर्वश्रेष्ठ या कुछ सर्वश्रेष्ठ हैं।

नहीं, इस क्षेत्र में मुख्य बात ज्ञान है। मैंने कई महिला विश्लेषकों के साथ काम किया, वे बहुत अच्छे विशेषज्ञ थीं। इस संबंध में, आईटी में सब कुछ खुला है। ठीक उसी तरह जिस तरह आजकल फीमेल प्रोग्रामर किसी को सरप्राइज नहीं देती हैं। फिर, मुख्य बात ज्ञान और कौशल है, लिंग नहीं।

हमेशा काम होता है, और हमेशा कुछ करना होता है। जहां तक मुझे पता है, कई कंपनियों के पास शिफ्ट कर्मचारियों के लिए कुछ संकेतक हैं। जो लोग फ्री फ्लोट में हैं उनके पास ऐसे संकेतक नहीं हो सकते हैं, क्योंकि कुछ स्थितियों में, एक साइबर हमले के अध्ययन में सप्ताह या महीने लग सकते हैं।

हर चीज के लिए वैसा ही जैसा किसी अन्य कंपनी में होता है। सुविधाओं के बीच - सूचना के संरक्षण में लगी कंपनियां हमारे क्षेत्र में कलंकित प्रतिष्ठा वाले व्यक्ति के साथ-साथ रूसी संघ के आपराधिक संहिता के अनुच्छेद 272, 273 और 274 के तहत अपराध करने वालों को भी काम पर नहीं रखेंगी: अवैध पहुंच कंप्यूटर की जानकारी के लिए; दुर्भावनापूर्ण कंप्यूटर प्रोग्राम का निर्माण, उपयोग और वितरण; कंप्यूटर सूचना और सूचना और दूरसंचार नेटवर्क के भंडारण, प्रसंस्करण या प्रसारण के साधनों के संचालन के नियमों का उल्लंघन।

यह तुरंत एक काला निशान है। हमारी दुनिया संकीर्ण है - यह संभावना नहीं है कि एक व्यक्ति को कहीं भी ले जाया जाएगा।

कॉर्पोरेट इवेंट, वेतन और करियर ग्रोथ

मैंने एक बड़ी कंपनी में लंबे समय तक काम किया, वहां बहुत मज़ा और आराम था। हम अक्सर विभिन्न विशिष्ट सम्मेलनों में भाग लेते थे, आत्म-विकास के लिए हमेशा कई अवसर होते थे। और उस समय की टीम बहुत मिलनसार थी।

बेशक, वे सिस्टम ऑफ़ ए डाउन के कॉर्पोरेट पार्टियों में नहीं आए, लेकिन Bi-2, Mumiy Troll, Spleen और रूसी रॉक के अन्य सितारों ने हमारे साथ प्रदर्शन किया। उदाहरण के लिए, द्वि -2, बहुत ही सरल लोग निकले - संगीत कार्यक्रम के बाद लेवा हमारे पास शब्दों के साथ आया: "दोस्तों, मुझे एक लाइटर दो।" हमने उसके साथ धूम्रपान किया, यह मजेदार था। हम, कई अन्य कंपनियों की तरह, दो वैश्विक कॉर्पोरेट पार्टियां हैं - नया साल और कंपनी का जन्मदिन। हम हर छह महीने में एक बार चलते हैं।

लेकिन यह केवल हमारे लिए ही नहीं है - समान Google जैसे किसी भी अन्य संगठन के लिए, कॉर्पोरेट ईवेंट, काम करने की स्थिति और विभिन्न अच्छाइयों के मामले में सब कुछ ठीक है। वे जानते हैं कि एक कर्मचारी को कैसे रखना है।

ऐसा लगता है, लेकिन मुझे याद नहीं है कि कोई इसे मना रहा हो। एयरबोर्न फोर्सेज के दिन या बॉर्डर गार्ड के दिन जैसी कोई चीज नहीं होती है। कंपनी का जन्मदिन आईटी विशेषज्ञ के दिन की तुलना में बहुत बड़े पैमाने पर मनाया जाता है।

एक अच्छा विशेषज्ञ अच्छा पैसा कमाता है। यह सब आपकी विशिष्टता पर, अनुभव और दायरे पर निर्भर करता है। मास्को में, आप 200,000 रूबल प्राप्त कर सकते हैं। अधिकतम - ठीक है, कुछ सौ। शीर्ष प्रबंधक स्तर पर। बेशक, यह राष्ट्रीय औसत से ऊपर है।

लगभग दस साल पहले, परिवीक्षा पर, मुझे 20,000 रूबल मिले। मेरे पास रहने के लिए एक जगह थी, मैंने कभी किसी चीज़ के लिए भुगतान नहीं किया, और मेरे लिए यह ****** किस तरह का पैसा था। अब इंटर्न के पास थोड़ा और है - संकट, मुद्रास्फीति - लेकिन, दुर्भाग्य से, मैं निश्चित रूप से नहीं जानता।

मैं 150,000 रूबल से कमाता हूं। लेकिन मैं काम करता हूं - कोई भी कुछ भी नहीं के लिए कुछ भी भुगतान नहीं करेगा। हर कोई पर्याप्त है, हर कोई पैसा गिनता है और व्यापार करता है।

स्वतंत्र विशेषज्ञ हैं। वे वही करते हैं जिसमें उनकी रुचि होती है, घर से काम करते हैं और किसी के साथ भी सहयोग कर सकते हैं।

कर्मियों की हमेशा कमी रहती है। मेरी टीम में इनमें से एक या दो नहीं हैं। टीम भौगोलिक रूप से खंडित हो सकती है, प्रत्येक एक विशिष्ट कार्य के साथ काम कर रहा है। कमरे में करीब दस लोग हैं। कोई प्रतिस्पर्धा नहीं है - हम सब एक काम कर रहे हैं।

एक विशेष विभाग है जो आवेदनों को संसाधित करता है।

हां। बड़ी कंपनियों के पास ऐसे विभाग होते हैं जो उदाहरण के लिए, विशुद्ध रूप से औद्योगिक सुरक्षा के साथ सौदा करते हैं। अब, आखिरकार, सब कुछ धीरे-धीरे डिजिटाइज़ किया जा रहा है - कारखाने, औद्योगिक उद्यम। उनके संरक्षण का विचार पुराना हो सकता है - इसलिए सभी प्रक्रिया नियंत्रण प्रणालियों को संरक्षित करना होगा।

एक महत्वपूर्ण क्षण जिसने आने वाले वर्षों के लिए पूरे उद्योग को बदल दिया, वह था 2010 में स्टक्सनेट वर्म की खोज। यह ईरानी परमाणु कार्यक्रम के विकास को रोकने के लिए बनाया गया था। नौ साल बाद स्टक्सनेट को आज भी याद किया जाता है।

साइबर हमले में आज बहुत पैसा खर्च हो सकता है, यही वजह है कि पेशेवर साइबर अपराधी इसमें लगे हुए हैं। खैर, या राज्यों की विशेष साइबर इकाइयाँ।

यदि आप अच्छा काम करते हैं, तो आपका विकास अच्छा होता है। कोई चाहता है कि वह केवल एक ही दिशा में लगे और उसका क्षैतिज विकास हो, जबकि कोई बड़ा हो। कई साल पहले मैंने परामर्श से संबंधित एक संबंधित क्षेत्र में स्विच किया - यह विकर्ण विकास निकला।

क्या मुझे एंटीवायरस की आवश्यकता है और लैपटॉप पर कैमरा क्यों चिपकाएं

निश्चित रूप से।

सुरक्षा उत्पादों का परीक्षण करने वाली कई उच्च प्रतिष्ठित कंपनियां हैं: एवी-तुलनात्मक, एवी-टेस्ट, और वायरस बुलेटिन। वे कमोबेश सच्चे परिणाम दिखाते हैं।

मेरे पूरे परिवार और मेरे पास Kaspersky Internet Security है। एक सुअर की आवाज, वैसे, जब एक वायरस का पता लगाया जाता है, लंबे समय से इसका उपयोग नहीं किया गया है:)

मैक के लिए भी बहुत सारे वायरस और एंटीवायरस हैं। और जब याब्लोको लोग कहते हैं कि वे अच्छा कर रहे हैं - ****** वे अच्छा नहीं कर रहे हैं। साइबर अपराधियों के लिए यह लापरवाही फल देती है।

IPhones के साथ यह अधिक कठिन है - उनके लिए दुर्भावनापूर्ण प्रोग्राम विकसित करना कठिन है। वास्तव में, ऐप स्टोर के बाहर से कुछ कोड चलाना बेहद मुश्किल है। निकास मार्ग हैं, लेकिन अंतिम उपयोगकर्ताओं पर बड़े पैमाने पर हमले नहीं हुए हैं। लेकिन वास्तव में - अगर वे कुछ हैक करना चाहते हैं, तो वे कुछ भी हैक कर लेंगे।

किसी भी सूचना सुरक्षा प्रणाली का लक्ष्य न केवल हमलों को रोकना है, बल्कि साइबर अपराधियों के लिए हैकिंग को यथासंभव कठिन और महंगा बनाना भी है।

सुरक्षा सॉफ़्टवेयर के साथ Android भी इंस्टॉल होना चाहिए। एक राय है कि एंड्रॉइड सबसे असुरक्षित है। 2014 में, जब इसके तहत कई लाख दुर्भावनापूर्ण कार्यक्रम पहले से मौजूद थे, उनके प्रतिनिधि कुछ बकवास कर रहे थे कि कोई दुर्भावनापूर्ण कार्यक्रम नहीं हैं, केवल संभावित खतरनाक हैं। मोबाइल ऑपरेटिंग सिस्टम में से iOS अभी भी सुरक्षित है।

अफवाह यह है कि अमेरिका में स्थित कुछ बड़े निगम ऐप्स के माध्यम से आपकी जानकारी के बिना आपके फोन को वायरटैप कर सकते हैं। लेकिन आज इसका कोई प्रत्यक्ष प्रमाण नहीं है, और साथ ही ऐसे कई तथ्य हैं जो इस सिद्धांत के खिलाफ खेलते हैं।

शायद नहीं।अफवाहें, फिर से, जाओ, लेकिन ये अफवाहें हैं। यदि व्यामोह लुढ़कता है, तो आप इसे बंद कर सकते हैं। लेकिन फिर भी आपको इसे चालू करना होगा।

कैमरे को गोंद करने की सलाह दी जाती है। ऐसे कई दुर्भावनापूर्ण प्रोग्राम हैं जो गुप्त रूप से वीडियो और ऑडियो डेटा को हैकर्स तक पहुंचा सकते हैं।

व्‍यापक सुरक्षा व्‍यवस्‍था लगाना, व्‍यवस्‍थापक खाते के नीचे न बैठना - इससे बहुत सी समस्‍याएं तुरंत दूर हो जाती हैं। सार्वजनिक वाई-फाई नेटवर्क का उपयोग न करें - कोई पासवर्ड नहीं है, सभी ट्रैफ़िक स्पष्ट पाठ में प्रेषित होते हैं। या फिर इस मामले में एक वीपीएन का उपयोग करें। प्रत्येक सेवा के लिए मजबूत पासवर्ड के साथ आएं, या पासवर्ड मैनेजर का उपयोग करें।

ऑनलाइन बैंक स्वयं यातायात को एन्क्रिप्ट करते हैं, लेकिन इस मामले में भी हमला करने के तरीके हैं। इसलिए, यदि आप सार्वजनिक वाई-फाई से जुड़े हैं, तो तुरंत वीपीएन चालू करें। ट्रैफ़िक एन्क्रिप्टेड है, इससे समझौता करने की संभावना बहुत कम है।

पासवर्ड कम से कम 8 अक्षर लंबा होना चाहिए, निश्चित रूप से, अपरकेस और लोअरकेस अक्षर, संख्याएं, विशेष वर्ण। आप प्रत्येक संसाधन के लिए पासवर्ड बनाने के लिए एक स्मरक नियम के साथ आ सकते हैं, लेकिन एक ही समय में ताकि वे सभी अलग हों। आपको इसे हर तीन महीने में अच्छी तरह से अभ्यास करने, याद रखने और बदलने की जरूरत है।

दो-कारक प्रमाणीकरण का उपयोग करना अनिवार्य है। और यह अत्यंत महत्वपूर्ण है कि पाठ संदेशों को दूसरे कारक के रूप में उपयोग न करें (कम से कम महत्वपूर्ण संसाधनों के लिए)।

आज, एसएमएस का व्यापक रूप से दो-कारक प्रमाणीकरण के लिए उपयोग किया जाता है, और साथ ही, साइबर अपराधी के लिए एसएमएस की सामग्री को पोषित करने के विभिन्न तरीके हैं। इसलिए, अधिकांश विशेषज्ञ हार्डवेयर टोकन या दो-कारक प्रमाणीकरण अनुप्रयोगों का उपयोग करने की दृढ़ता से अनुशंसा करते हैं।

एक राय है कि लिनक्स "मायावी जो" है। लेकिन वास्तव में, इस प्रणाली पर हमले करना भी संभव है।

कोई अटूट सिस्टम नहीं हैं। अटूट प्रणाली सबसे भारी सुरक्षा वाले सैन्य बंकर में एक स्टील क्यूब है, जिसमें एक कंप्यूटर पूरी तरह से सीमेंट से ढका होता है। तभी कंप्यूटर सुरक्षित है। और यह एक सच्चाई नहीं है।

सभी सुरक्षा नियम खून में लिखे गए हैं, वे विश्व स्तर पर नहीं बदले हैं - या तो अब या दस साल पहले। वे नई तकनीकों के अनुकूल हो सकते हैं, लेकिन सार सामान्य रूप से समान रहता है।

नियंत्रण "के" के साथ बातचीत, आईपी और पुतिन के फोन द्वारा गणना

वीपीएन या टोर स्थापित करें।

ख़ुफ़िया एजेंसियां स्वाभाविक रूप से पहुंच हासिल करने में रुचि रखती हैं। अन्य संदेशवाहक हैं जो टेलीग्राम से अधिक सुरक्षित हैं। सबसे महत्वपूर्ण बिंदु यह है कि किस तरह के एन्क्रिप्शन का उपयोग किया जाता है: एंड-टू-एंड, या संदेश केवल मैसेंजर के सर्वर पर ट्रांसमिशन के दौरान एन्क्रिप्ट किए जाते हैं और पहले से ही अनएन्क्रिप्टेड संग्रहीत होते हैं। आज की वास्तविकता में, एंड-टू-एंड एन्क्रिप्शन के साथ मैसेंजर का उपयोग करना सबसे अच्छा है, जब केवल आपके और जिस व्यक्ति के साथ आप संचार कर रहे हैं, उसके पास कुंजी है। यह, उदाहरण के लिए, सिग्नल है। मैं व्हाट्सएप से सावधान हूं, इस तथ्य के बावजूद कि वे डिफ़ॉल्ट रूप से इस तरह के एन्क्रिप्शन का उपयोग करते हैं, क्योंकि आज यह फेसबुक का है।

सामान्य तौर पर, सब कुछ हैक किया जा सकता है, मुख्य प्रश्न हैकिंग का लक्ष्य और हमलावर के संसाधन हैं।

यह एक नियमित विषय है। साइबर सुरक्षा में शामिल कई कंपनियों को "के" विभाग से विशेषज्ञता के लिए आधिकारिक अनुरोध प्राप्त हो सकता है, और हर कोई ऐसा करता है। साइबर क्राइम एक ही आपराधिक अपराध है। यह एक दिनचर्या है। अब साक्ष्य आधार एकत्र करने की प्रथा पहले ही विकसित हो चुकी है - क्या और कैसे देखना है, किसी व्यक्ति विशेष के अपराध को कैसे साबित करना है।

नहीं, लेकिन अक्सर "मास्क शो" संदिग्ध के पास आता है और एक लैपटॉप, सेल फोन, स्मार्टफोन, सिम-कार्ड, फ्लैश ड्राइव और अन्य उपकरण जब्त कर लेता है, और उन्हें तकनीकी अनुसंधान के लिए हमें देता है।

पायरेटेड सॉफ़्टवेयर को कभी भी इंस्टॉल करने की आवश्यकता नहीं होती है। यह सॉफ्टवेयर तक पहुंच के साथ एक समस्या हुआ करती थी, लेकिन अब मुख्य प्रोग्राम लैपटॉप पर प्रीइंस्टॉल्ड हो गए हैं। फोटोशॉप की वजह से उनके आपके पास आने की संभावना नहीं है, लेकिन किसी चीज से संक्रमित होना आसान है।

जब आप ऑनलाइन होंगे, तो आपका आईएसपी आपको एक पता देगा। यानी यह आपके फिजिकल एड्रेस को जानता है और एक आईपी को इससे बांधता है। लेकिन मुझे संदेह है कि प्रदाता इसे किसी वामपंथी वासिया को देगा।यदि आप एक प्रॉक्सी के माध्यम से बैठे हैं, तो यह और भी मुश्किल है। प्रदाता विशेष सेवाओं को सभी डेटा प्रदान कर सकता है, लेकिन ईर्ष्यालु पत्नी एमटीएस के माध्यम से पति की तलाश नहीं करेगी।

सिद्धांत रूप में, कुछ भी संभव है।

रूस लगातार सभी सबसे खराब साइबर (और न केवल) पापों के आरोपों से घिरा हुआ है। और किसी ने वास्तव में कोई वास्तविक सबूत नहीं दिखाया। और साथ ही, हर कोई जानता है कि उसी फेसबुक ने कैम्ब्रिज एनालिटिका से व्यक्तिगत जानकारी और मेटाडेटा को बड़े पैमाने पर लीक किया था।

कई देश आज सामान्य रूप से राज्य की साइबर सुरक्षा और विशेष रूप से महत्वपूर्ण बुनियादी ढांचे को सुनिश्चित करने की आवश्यकता को पहचानते हैं। इसलिए, कई देशों में ऐसी इकाइयाँ हैं जो साइबर हमलों से बचाव में शामिल हैं।

सबसे अधिक संभावना है, कोई भी निश्चित रूप से यह नहीं कहेगा कि रूसी भाषी हैकर्स ने चुनावों को प्रभावित किया या नहीं। लेकिन तथ्य यह है कि रूसी भाषी प्रोग्रामर और सुरक्षा विशेषज्ञ गंभीर लोग हैं और दुनिया में कुछ सर्वश्रेष्ठ हैं, यदि सर्वश्रेष्ठ नहीं हैं। और आप उन्हें न केवल रूस में, बल्कि सिलिकॉन वैली में और यूरोप में और अन्य देशों में भी पा सकते हैं।

कई तकनीकी शब्द अंग्रेजी से पेपर ट्रेस कर रहे हैं। सॉर्ट - स्रोत कोड, virye - वायरस, मैलवेयर - दुर्भावनापूर्ण प्रोग्राम का सामान्य नाम।

पेशेवर व्यामोह है, और बहुत से लोग इसका अनुभव करते हैं।

कोई गुमनामी नहीं है। वे चाहें तो ढूंढ लेंगे।

और वह क्यों चाहिए? वह एक चतुर आदमी है। हमारी सेवाएं सिर वाले लोग हैं, वे सब कुछ समझते हैं। एफएसओ की एक विशेष इकाई है, जो सरकारी संचार प्रदान करने में लगी हुई है। वहां कैसे और क्या काम करता है - केवल वे ही जानते हैं। लेकिन किसी कारण से मुझे 100% यकीन है कि वहां सब कुछ बहुत मज़बूती से किया जाता है।

इस स्तर पर स्मार्टफोन और ट्वीट्स लाड़-प्यार कर रहे हैं।