Keeper Light

    Безопасно работать с Keeper Light проще, чем с Keeper Classic. Вся защита Light'а сосредоточена в одном месте - персональном цифровом сертификате, который Вы получаете при регистрации. Сохранность сертификата и максимально осторожное его использование будет гарантией недоступности ваших кошельков для посторонних лиц.
    Немного определений.
    Персональный цифровой сертификат - это цифровой сертификат, содержащий открытый ключ с информацией о его владельце, а также закрытый ключ, соответствующий открытому. Персональный цифровой сертификат, получаемый пользователем при регистрации, удостоверяет его как владельца данного WMID. Хранилище сертификатов - скрытая папка операционной системы, в которой хранятся установленные на компьютере сертификаты. Экспорт сертификата - сохранение сертификата на диск в виде файла. Экспорт персонального цифрового сертификата, содержащего закрытый ключ, осуществляется согласно стандарту PKCS#12 в файл *.pfx. Импорт (установка) сертификата - добавление сертификата в хранилище из файла. Любой, получивший доступ к вашему сертификату, сможет воспользоваться вашими кошельками.

Меры безопасности

  1. Экспорт сертификата после регистрации. После регистрации в Keeper Light и получения персонального цифрового сертификата необходимо обязательно произвести его экспорт в pfx-файл. Для этого в Internet Explorer используйте меню "Сервис-Свойства обозревателя". На вкладке "Содержание" нажмите на кнопку "Сертификаты". Далее, на вкладке "Личные", выделите Ваш WMID и нажмите "Экспорт". В процессе экспорта обязательно установите пароль закрытого ключа. Пароль запомните (а лучше - запишите), восстановление его невозможно! В случае утраты этого пароля, Вы навсегда потеряете доступ к WMID и средствам на кошельках.
        Пароль нужен для защиты от несанкционированного импорта сертификата в дальнейшем. Если кто-то похитит экспортированный pfx-сертификат с вашего компьютера, он не сможет импортировать его в хранилище своего браузера. Требования к паролю такие же, как и к любому другому - большая длина, нетривиальность, сочетание букв и цифр. При экспорте сохраняйте сертификат на сменный носитель (например, дискету). После этого обеспечьте его сохранность и позаботьтесь о создании нескольких резервных копий на других носителях. Не забывайте проводить эти операции повторно каждый раз после обновления сертификата. В виде pfx-файла сертификат, при необходимости, может быть свободно перенесен на другой компьютер и там установлен.
  2. Удаление сертификата по окончании работы. Нежелательно держать сертификат в хранилище постоянно, поскольку в этом случае любой, кто имеет доступ к компьютеру, сможет воспользоваться им. Поэтому, закончив работу с Keeper Light, удаляйте сертификат из хранилища ("Сервис-Свойства обозревателя-Содержание-Сертификаты-Удалить"). Для продолжения работы в следующий раз, достаточно импортировать сертификат из файла *.pfx.
  3. Импорт сертификата в неэкспортируемом режиме. Импорт (установку) сертификата нужно осуществлять непосредственно перед началом работы с Keeper Light. Для этого просто дважды щелкните на pfx-файле. Во время импорта не ставьте галочку "Разрешить экспортирование закрытого ключа" . Это сделает невозможным экспорт сертификата, благодаря чему посторонний не сможет получить ваш сертификат через экспортирование, а вирус не сможет "выдернуть" сертификат из хранилища.
  4. Импорт сертификата в режиме сильной защиты ключа. При установке сертификата желательно - "Включить усиленную защиту закрытого ключа". Затем в диалоговом окне "Контейнер закрытого ключа" выберите "Средний" или "Высокий" уровень безопасности. В случае, если выбран "Средний" уровень, браузер в дальнейшем будет спрашивать вашего разрешения всякий раз, когда тот или иной интернет-сайт будет обращаться к вашему персональному сертификату при использовании WM Keeper Light.
        В случае, если выбран "Высокий" уровень, то для завершения импорта вам нужно будет назначить специальный пароль, защищающий закрытый ключ. В этом случае браузер не только будет требовать вашего разрешения на доступ к сертификату со стороны сайтов, но и будет запрашивать указанный при импорте пароль. Этот режим может быть полезен, если доступ к компьютеру в любой момент может получить посторонний человек. Без знания пароля невозможно будет воспользоваться сертификатом для доступа к WM-ресурсам (в том числе, к кошелькам на https://light.webmoney.ru), а также невозможным будет экспорт сертификата.
  5. Использование сменного носителя. Если вы сохранили сертификат на сменном носителе, при импорте сертификата в хранилище следует сразу же извлекать носитель из компьютера по окончании установки, чтобы никакие посторонние приложения (речь идет, прежде всего, о вирусах) не могли получить доступ к pfx-файлу.
  6. Использование службы Security. Сервис Security и все его возможности доступны пользователям Keeper Light.


Служба Security

    Этот сервис включает в себя три возможности, имеющих разное предназначение, но так или иначе служащих для достижения безопасности при использовании WebMoney. Вот они:

  • Блокировка по IP
  • Журнал подключений
  • Установка доверенных WMID

1. Блокировка по IP. Требуется всего пара минут, чтобы настроить и включить блокировку. Будучи активированным один раз, этот режим всегда стоит на страже и не требует каких-либо последующих манипуляций. Суть его в том, что вы запрещаете доступ к своему WMID со всех IP-адресов кроме списка разрешенных. В этот список нужно включить те IP, с которых вы обычно выходите в Интернет.
    На сайте службы Security кликнем по ссылке "Журнал IP-Блокировка по IP" (прямой линк: https://security.webmoney.ru/asp/setallyip.asp) и авторизуем Keeper. На открывшейся странице мы видим поля, которые нам нужно заполнить. Прежде чем включать блокировку, необходимо произвести два действия: установить список разрешенных IP и указать "страховочный" Email. Рассмотрим самый простой случай: вы выходите в Интернет по выделенной линии и имеете фиксированный IP. Тогда просто ставим переключатель "Тип новой позиции" в положение "IP-адрес", вводим свой IP в поле "Значение новой позиции" и нажимаем кнопку для добавления. После этого указанный адрес появится в списке разрешенных. Если вы теперь включите блокировку, то доступ к WMID будет возможен только с него. Обратите внимание, что поле "Маска" в данном случае не заполняется. Если вы пользуетесь (или планируете пользоваться) Keeper'ом с нескольких разных адресов (например, из дому и с работы) - внесите все эти адреса в список.
    С этого момента блокировка по IP будет активирована и любая попытка получить доступ к вашему WMID с IP-адреса, не включенного в список, закончится неудачей (Keeper будет выдавать ошибку). Каждый раз, когда система регистрирует такую попытку несанкционированного доступа, она отправляет на указанный E-mail письмо следующего содержания:
    "К Вашему идентификатору осуществлена попытка доступа с IP адреса - xxx.xxx.xx.xxx, которого нет в списке IP адресов, разрешенном Вами для авторизации в системе на сайте https://securtiy.webmoney.ru. Если это Вы осуществляете доступ, то по приведенной ниже ссылке Вы сможете снять блокировку https://security.webmoney.ru/asp/unblockiplist.asp? wmid=xxxxxxxxxxxx&wmcode=xxxxxx"
    Если кликнуть по ссылке в письме - блокировка будет снята и ваши средства, возможно, подвергнутся опасности. Не спешите этого делать, а сначала разберитесь, что явилось причиной срабатывания защитной системы. Если это вы сами пытались подключиться к своему WMID с IP, не внесенного в список разрешенных, тогда опасности нет: нажимайте на ссылку в письме и после снятия блокировки добавляйте свой новый IP в список (не забудьте после этого снова включить блокировку). В противном случае, вероятно, имела место попытка несанкционированного доступа к вашему WMID. Это означает, что злоумышленники завладели вашим паролем и файлом с ключами. Проверьте компьютер антивирусом, смените пароль и ключи ко всем своим WMID. Кликать по ссылке в письме и снимать блокировку в этом случае не нужно. Для нормальной работы этого сервиса необходим надежный e-mail. Он обязательно должен быть рабочим и находиться на сервере, обеспечивающем высокое качество работы. Если ящик будет недоступен в момент отправления вам оповещения, вы рискуете не получить письмо. В этом случае снять блокировку будет возможно только через администратора. Поэтому избегайте бесплатных почтовых служб, особенно если стабильность их хромает. Лучший выбор - ящик на корпоративном сервере или в личном домене. Ящик у провайдера тоже вряд ли подойдет, поскольку при смене провайдера одновременно изменятся и IP-адрес, и E-mail.

2. Журнал подключений. На странице "Журнал IP" (https://security.webmoney.ru/asp/securjournal.asp) показан лог подключений вашего WMID к серверу системы. Записи в таблице отсортированы по времени входа: вверху более поздние подключения, внизу - более ранние. С помощью простых фильтров можно сделать выборку по дате подключения и по IP, с которого были совершены входы. Даты представляются в формате "ГГГГММДД" (например, 03 мая 2009 года нужно записать как "20090503"). Логи хранятся только за последние 30 дней, поэтому более раннюю историю просмотреть не получится. В любой момент Вы можете посмотреть, с каких IP-адресов и в какое время происходили подключения. Кстати, эта информация очень поможет при настройке блокировки по IP, и при проведении "расследования" Арбитражем и самим пользователем в отношении несанкционированных подключений.

3. Установка доверенных WMID. В системе реализованы специальные xml-интерфейсы, позволяющие различным интернет-сайтам принимать оплату за товары или услуги, выписывать счета и проверять их оплату, и совершать другие действия автоматически. Для работы с интерфейсами необходимо использовать специальный модуль WMSigner, который производит электронно-цифровую подпись (ЭЦП) каждой операции. Проверяя ЭЦП, сервер WebMoney устанавливает, соответствует ли подпись WMID, от имени которого она была сформирована. Это позволяет совершать операции в системе только от имени своего WMID.
    При необходимости, можно разрешать чужим (доверенным) WMID'ам подписывать запросы на выполнение операций для Ваших кошельков. Указав доверенные WMID, можно будет формировать ЭЦП от их имени.

Общие меры безопасности

    Помимо специфических способов защиты существуют и общесистемные меры безопасности. Пренебрегать ими нельзя, поскольку на Вашем компьютере хранятся деньги.
    Среди всех видов оружия против вирусов, имеющегося в арсенале пользователя, здравый смысл, пожалуй, самое действенное средство. Чаще всего заражение компьютера происходит из-за неосторожности и опрометчивости пользователя. Человеку свойственно проявлять любопытство и интерес ко всему новому и неизвестному: "Как работает эта программа?", "Что находится на этом сайте?" и т.д. Если хотите спать спокойно, Вам нужно пожертвовать любопытством ради безопасности. Соблюдение приведенных ниже рекомендаций позволит намного снизить риск заражения вирусами и утери секретной информации.
1. Не запускайте файлы, пришедшие в письмах по электронной почте. Даже если очень хочется посмотреть, что же там, внутри. Если письмо пришло от человека, которого вы хорошо знаете, но содержит вложение, вызвывающее хоть малейшие подозрения, переспросите у отправителя, действительно ли ОН отправлял вам это письмо и ЧТО ИМЕННО находится в файле - и только потом открывайте его. Подделывать адреса отправителей сегодня не умеет только ленивый.
2. Храните важные сведения и файлы ключей WebMoney на сменных носителях. С них похитить информацию труднее.
3. Не скачивайте с сомнительных сайтов сомнительные программы. Даже если они, судя по описанию, выполняют как раз те функции и задачи, которые вам очень нужны. Особенно это касается программ, которым необходимо в сообщать свою конфиденциальную информацию. Речь идет, например, о "клиентах" почты, осуществляющих проверку писем в почтовом ящике. Таким программам нужно сообщать свой e-mail и пароль к нему, что недопустимо.
4. Не храните на компьютере важные файлы. Даже ненадолго отходя от компьютера, включайте защиту паролем и закрывайте все программы, доступ к которым со стороны посторонних людей может повлечь для вас плачевные последствия. К таким программам относится WebMoney Keeper.
5. Тщательно проверяйте правильность набранных web-адресов. Ошибка при вводе адреса всего в одну букву может привести к тому, что Вы попадете на поддельный сайт мошенников (которые очень часто таким трюком пользуются).
6. Никогда и ни при каких обстоятельствах не следует сообщать другим лицам свой пароль к Keeper'у и передавать файл ключей *.kwm. Даже если подобную просьбу вы вдруг обнаружите на каком-нибудь очень уважаемом сайте (в т.ч. на самом webmoney.ru). Есть возможность, что были взломаны DNS-серверы вашего провайдера или подменен файл hosts на вашем компьютере, в результате чего вы перенаправляетесь на сайт злоумышленников. Такие случаи имели место.

Настройка браузера

    Настройке браузера следует уделить хотя бы минимальное внимание. В окне "Сервис-Свойства обозревателя" на вкладке "Дополнительно" нужно включить параметры:

  • Проверять аннулирование сертификатов издателей
  • Проверять аннулирование сертификатов серверов
  • Проверка подписи для загруженных программ
  • SSL 3.0
  • Предупреждать о недействительных сертификатах узлов
  • Предупреждать при переадресации передаваемых форм

    Там же переходим на вкладку "Безопасность", выделяем значок "Интернет" и выставляем "Средний" или "Высокий" уровень безопасности. При необходимости подкорректировать обработку Java, ActiveX, cookie или других интерактивных элементов воспользуйтесь кнопкой "Другой".

Антивирусы

    Использование антивирусов - это одна из тех мер, которые являются сами собой разумеющимися. Как чистить зубы по утрам или вытирать ноги перед тем, как войти в квартиру. Конечно, можно этого не делать, надеясь, что зубы никогда не заболят, и пол в квартире будет чистым. Но вероятность такого, как понимаете, стремится к нулю.
    Лучше всего, когда антивирус запущен постоянно в режиме "монитора" и на лету проверяет все файлы, которые вы загружаете через Интернет, получаете по почте или просто запускаете с диска. Плюс к этому, необходимо хотя бы раз в несколько дней сканировать весь жесткий диск. О том, какой «антивирус лучше всех», существует множество мнений и предпочтений. Скажу только одно: лучше бесплатный Avira или AVG, чем взломанный DrWeb или Касперский.

Файерволы

    Любой файервол реализует защиту как на низком уровне (фильтрация протоколов, IP, хостов, портов и т.д.), так и на высоком (настройка правил доступа для конкретных приложений). Все входящие и исходящие пакеты, прежде чем быть полученными или отправленными, проверяются файерволом. Если действие инициировано стандартными программами типа Internet Explorer или Outlook Express, пакеты пропускаются. Если действие вызвано приложением, запрещенным пользователем, то соединение блокируется, если разрешенным - пропускается. Если какая-то программа пытается "пробиться в Сеть" впервые, файервол спрашивает у Вас, что с ней делать - разрешать или запрещать. Кроме того, брандмауэры блокируют атаки на порты, отслеживает программы-снифферы, следят за сохранением конфиденциальности и еще много всего.
    Как выбрать файервол? Прежде всего, он должен быть простым в использовании и настройке, иметь понятный интерфейс, удобное управление. Другое требование состоит в том, чтобы файервол, установленный на компьютер, не нуждался ни в каких (или, в крайнем случае, нуждался в минимальных) настройках и мог сразу же начать использоваться. Наиболее популярны сегодня Outpost Firewall, Norton Personal Firewall, Zone Alarm, Kerio, McAfee, Kaspersky Anti-Hacker.
    Использовать антивирусы и файрволы по отдельности неэффективно. Если на компьютере установлен только антивирус, он в любой момент может пропустить новый вирус, ведь обновляются базы чаще всего один раз в день, а эвристический анализ срабатывает не всегда. Использование только файервола не даст защиты от вирусов. Близкую к 100% гарантию безопасности обеспечивает только совместное использование антивируса и файервола. При попадании на компьютер нового WM-трояна на первой линии обороны его встретит антивирусн. Если необходимых сигнатур в базе не окажется и эвристический анализ тоже не даст результатов, вирус останется на машине и просидит незаметно до тех пор, пока не попытается передать на удаленный IP какую-нибудь информацию. В этот момент он будет обнаружен и заблокирован файерволом. Попытка выхода в Сеть неизвестного приложения будет для вас сигналом к дальнейшим действиям - обнаружению вируса и его уничтожению.
    В этом смысле очень показателен продукт от Agnitum – Outpost Security Suite Pro. Этот продукт совмещает в себе антивирус, файервол и защиту от спама. Что касается очистки компьютера от вируса, то это задача не из легких. В каждом отдельном случае следует применять свой подход и ориентироваться по обстоятельствам. Обычно необходимо выгрузить опасный процесс из памяти (скажем, загрузиться в безопасном режиме), удалить любые упоминания о вирусе из реестра, из файлов win.ini, system.ini, autoexec.bat (это можно сделать с помощью утилиты настройки системы msconfig.exe), из папки Автозагрузки и, конечно, непосредственно с диска.
    Впрочем, часто в деле обнаружения и удаления троянов (а это самый распространенный и самый опасный для пользователей WebMoney вид вирусов) могут помочь специальные программы.

Читать далее...


На предыдущую страницу


P.S. В данной статье широко использовались материалы журнала "Хакер" и сайта oWebMoney.ru.
P.P.S. Многие рекомендации являются результатом собственного опыта.




Реклама:

  • Здесь может быть Ваша реклама







Покупаем рекламу. Дорого.