├── README.md
├── README_EN.md
└── guide_clean.md


/README.md:
--------------------------------------------------------------------------------
  1 | # Як не стати кібер-жертвою
  2 | 
  3 | Правила персональної кібербезпеки, які врятують вам гроші, нерви, а може й життя.
  4 | 
  5 | Цей документ створений фахівцями у сфері кібербезпеки з великим досвідом у розробці, аналізі та етичному хакінгу комп'ютерних систем і мереж. Інструкції надаються "як є", і автори не несуть відповідальності за ваші дії чи бездіяльність. Ви вільні розповсюджувати, використовувати в бізнесі або модифікувати цей документ. Це безплатно. Посилання на оригінал заохочуються, але не є обов'язковими.
  6 | 
  7 | Дякуємо, що піклуєтеся про свою кібербезпеку. Поширте ці рекомендації серед рідних, друзів та колег, щоб зробити світ безпечнішим. Якщо у вас є доповнення або ви помітили помилку в тексті, зверніться за адресою ✉️ [vlad@styran.com](mailto:vlad@styran.com) або [створіть issue на GitHub](https://github.com/sapran/dontclickshit/issues/new).
  8 | 
  9 | ## Зміст
 10 | 
 11 | 1. [Не натискайте каку](#user-content-не-натискайте-каку)
 12 | 1. [Використовуйте парольні менеджери](#user-content-використовуйте-парольні-менеджери)
 13 | 1. [Використовуйте двофакторну автентифікацію](#user-content-використовуйте-двофакторну-автентифікацію)
 14 | 1. [Використовуйте безпечні месенджери](#user-content-використовуйте-безпечні-месенджери)
 15 | 1. [Використовуйте віртуальні приватні мережі (VPN)](#user-content-використовуйте-віртуальні-приватні-мережі-vpn)
 16 | 1. [Шифруйте дані](#user-content-шифруйте-дані)
 17 | 1. [Операційна система та програми](#user-content-операційна-система-та-програми)
 18 | 1. [Антивірус](#user-content-антивірус)
 19 | 1. [Фаєрвол](#user-content-фаєрвол)
 20 | 1. [Робіть резервні копії](#user-content-робіть-резервні-копії)
 21 | 1. [Мобільна безпека](#user-content-мобільна-безпека)
 22 | 1. [Фізична безпека](#user-content-фізична-безпека)
 23 | 1. [Подяка](#user-content-подяка)
 24 | 
 25 | ## Не натискайте каку
 26 | 
 27 | ### Що мається на увазі?
 28 | 
 29 | Не відкривайте, не натискайте, та не запускайте підозрілі файли, посилання та програми. 💡 Головне правило: якщо ви на це (лист, файл, посилання тощо) не чекали, – це підозріло.
 30 | 
 31 | ### Підозрілі файли
 32 | 
 33 | Не відкривайте файли, електронні вкладення або архіви від недовірених джерел. Все, що надходить від незнайомців, слід вважати потенційно небезпечним. Рекомендуємо перенаправити такі електронні листи в спам.
 34 | 
 35 | Якщо ви знайомі з відправником, але не очікували від нього кореспонденції або файлів, зверніться до нього через інший комунікаційний канал для підтвердження. Це необхідно для виявлення можливого компрометування його акаунту. Наприклад, якщо ви отримали документ Word через електронну пошту, зв'яжіться з відправником по телефону або через месенджер, щоб уточнити, чи дійсно він вас цікавить та чи відправив вам цей файл.
 36 | 
 37 | :exclamation: Найбільш ризиковані типи файлів:
 38 | - Виконувані файли: `EXE`, `COM`, `CMD`, `BAT`, `PS1`, `ELF`.
 39 | - Скрипти та код: `JS`, `VBS`, `PY`, `PHP`, `SH`.
 40 | - Офісні документи з макросами: `DOCM`, `XLSM`, `PPTM`.
 41 | - PDF з активним вмістом: `PDF`.
 42 | - Файли векторної графіки з вбудованим кодом: `SVG`.
 43 | - Архіви, особливо з авто-виконанням або захищені паролем: `ZIP`, `RAR`, `7Z`.
 44 | 
 45 | Інколи, зокрема коли час тисне, важко відрізнити безпечні файли від шкідливих. Для експрес-аналізу використовуйте сервіс VirusTotal. Ця платформа сканує файли за допомогою понад 50 антивірусних програм. Однак ❗зверніть увагу, що завантажуючи файли на VirusTotal, ви надаєте до них доступ третім сторонам.
 46 | 
 47 | :wrench: VirusTotal: https://virustotal.com
 48 | 
 49 | ### Підозрілі посилання
 50 | 
 51 | Не клацайте на сумнівні URL, особливо на ті, що ведуть до незнайомих вебсайтів. Перевіряйте доменні імена перед клацанням. Зловмисники часто маскують домени під знайомі назви (наприклад, `facelook.com`, `gooogle.com`, `tw1tter.com`, `gma1l.com`, `amaz0n.co` тощо). Використовуйте HTTPS і перевіряйте SSL-сертифікати.
 52 | 
 53 | Шкідливі URL можуть бути приховані в HTML, документах та емейлах. Наведіть курсор на URL, але не клацайте, щоб побачити справжню адресу. Використовуйте VirusTotal для перевірки URL, як і для файлів.
 54 | 
 55 | Будьте обережні з QR-кодами та скороченими URL від сервісів типу tinyurl.com. Не скануйте та не вводьте їх, якщо не впевнені в їхній безпекі.
 56 | 
 57 | - CheckShortURL: [https://checkshorturl.com/](https://checkshorturl.com/)
 58 | - GetLinkInfo: [http://getlinkinfo.com/](http://getlinkinfo.com/)
 59 | - Unshorten.it: [https://unshorten.it/](https://unshorten.it/)
 60 | - Unshorten.me: [https://unshorten.me/](https://unshorten.me/)
 61 | - RevealURL: [http://revealurl.com/](http://revealurl.com/)
 62 | ### Спливаючі (pop-up) вікна
 63 | 
 64 | Будьте уважні до спливаючих вікон і повідомлень в браузері, програмах, ОС та смартфоні. Завжди уважно читайте їх вміст і не погоджуйтеся з ними поспішно.
 65 | 
 66 | Зловмисники можуть використовувати спливаючі вікна для різних цілей: встановлення фальшивих SSL-сертифікатів для перехоплення мережевого трафіку, завантаження шкідливого ПЗ на вашу техніку, або перенаправлення браузера на інфіковані сайти.
 67 | 
 68 | ### Підозрілі пристрої
 69 | 
 70 | Не підключайте невідомі флешки, зовнішні диски, CD чи DVD до свого комп'ютера. Злам може відбутися навіть перед тим, як ви відкриєте файл, і до того, як антивірус його просканує. Якщо пристрій знайдено в офісі, отримано поштою або від незнайомця, існує ризик, що він може бути інфікований. Використовуйте лише відомі вам носії та будьте обережні з пристроями від третіх осіб.
 71 | 
 72 | ## Використовуйте парольні менеджери
 73 | 
 74 | Використовуйте менеджери паролів для генерації, зберігання та захисту паролів, дотримуючись наступних рекомендацій:
 75 | 
 76 | 1. Створюйте паролі довжиною не менше 20 символів, використовуючи випадкову комбінацію.
 77 | 2. Встановіть складний майстер-пароль для доступу до менеджера паролів.
 78 | 3. Виберіть менеджер паролів, який зберігає базу даних у зашифрованому вигляді, перш ніж зберігати її в хмарі або синхронізувати між пристроями.
 79 | 4. Регулярно, ідеально автоматично, створюйте резервні копії вашої бази паролів.
 80 | 
 81 | 🔧 Приклади надійних парольних менеджерів:
 82 | 
 83 | - Dashlane: [https://www.dashlane.com/](https://www.dashlane.com/)
 84 | - 1Password: [https://1password.com/](https://1password.com/)
 85 | - Bitwarden: [https://bitwarden.com/](https://bitwarden.com/)
 86 | - NordPass: [https://nordpass.com/](https://nordpass.com/)
 87 | 
 88 | ### Тримайте паролі в секреті
 89 | 
 90 | Тільки ви повинні знати свої паролі. Не діліться ними з ніким, навіть з вашими близькими, керівниками чи службою підтримки. Для них немає жодної логічної чи законної причини знати ваші паролі. З технічного боку, система, де ви використовуєте пароль, не має до нього прямого доступу. Замість цього вона зберігає криптографічний "хеш" пароля.
 91 | 
 92 | ### Як вигадати мастер-пароль?
 93 | 
 94 | Майстер-пароль до вашого парольного менеджера має бути зручним, але надійним. Він може складатися з чотирьох або більше незалежних слів. Щоб зробити пароль сильнішим, одне зі слів можна ввести великими літерами.
 95 | 
 96 | :bulb: Приклади сильних паролів, згенерованих програмою 1Password:
 97 | 
 98 | `hyping-BASKET-bouquet-outs`
 99 | 
100 | `tinsel-dolt-INDIGENT-echo`
101 | 
102 | ### Оновлення паролів
103 | 
104 | :bulb: "Правило буравчика": чим частіше ви використовуєте пароль, тим частіше він повинен змінюватись.
105 | 
106 | ### Перевірити чи пароль не скомпрометовано
107 | 
108 | Витоки баз даних з логінами та паролями стаються регулярно. Використовуйте сайт [';--have i been pwned?](https://haveibeenpwned.com/) для перевірки безпеки вашого пароля. Зареєструйтеся на сайті, щоб отримувати сповіщення про можливі майбутні порушення безпеки ваших аккаунтів.
109 | 
110 | ## Використовуйте двофакторну автентифікацію
111 | 
112 | ### Увімкніть двофакторну автентифікацію
113 | 
114 | Увімкніть двофакторну автентифікацію на всіх сучасних онлайн-сервісах за допомогою апаратних ключів чи програмних токенів від Microsoft, Google, Authy та інших. Деякі парольні менеджери також підтримують цю функцію.
115 | 
116 | Налаштування двофакторної автентифікації популярних сервісів:
117 | 
118 | - Google: [https://myaccount.google.com/signinoptions/two-step-verification](https://myaccount.google.com/signinoptions/two-step-verification)
119 | - Facebook: [https://www.facebook.com/settings?tab=security&section=two_fac_auth&view](https://www.facebook.com/settings?tab=security&section=two_fac_auth&view)
120 | - Twitter: [https://twitter.com/settings/security](https://twitter.com/settings/security)
121 | - Instagram: [https://www.instagram.com/accounts/two_factor_authentication/](https://www.instagram.com/accounts/two_factor_authentication/)
122 | - Microsoft: [https://account.microsoft.com/security](https://account.microsoft.com/security)
123 | - Apple: [https://appleid.apple.com/account/manage](https://appleid.apple.com/account/manage)
124 | - LinkedIn: [https://www.linkedin.com/psettings/two-step-verification](https://www.linkedin.com/psettings/two-step-verification)
125 | - GitHub: [https://github.com/settings/security](https://github.com/settings/security)
126 | - Dropbox: [https://www.dropbox.com/account/security](https://www.dropbox.com/account/security)
127 | - PayPal: [https://www.paypal.com/myaccount/settings/security/2fa](https://www.paypal.com/myaccount/settings/security/2fa)
128 | 
129 | 🔧 Решту сервісів ви знайдете на цьому вебсайті: [https://twofactorauth.org](https://twofactorauth.org/)
130 | 
131 | Найкращий другий фактор автентифікації – це ключ безпеки або токен.
132 | 
133 | 🔧 Найпопулярніші ключі безпеки:
134 | 
135 | - YubiKey: [https://www.yubico.com/products/yubikey-hardware/](https://www.yubico.com/products/yubikey-hardware/)
136 | - Google Titan Security Key: [https://store.google.com/product/titan_security_key](https://store.google.com/product/titan_security_key)
137 | - Thetis FIDO U2F Security Key: [https://thetismedia.com/products/thetis-fido-u2f-security-key](https://thetismedia.com/products/thetis-fido-u2f-security-key)
138 | - Feitian MultiPass K16: [https://www.ftsafe.com/Products/FIDO/BLE/K16](https://www.ftsafe.com/Products/FIDO/BLE/K16)
139 | - Ledger Nano S: [https://shop.ledger.com/products/ledger-nano-s](https://shop.ledger.com/products/ledger-nano-s)
140 | 
141 | 🔧 Зручні додатки для другого фактору автентифікації:
142 | 
143 | - Google Authenticator for Android [https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2)
144 | - Google Authenticator for iOS [https://apps.apple.com/us/app/google-authenticator/id388497605](https://apps.apple.com/us/app/google-authenticator/id388497605)
145 | - Authy: [https://authy.com/](https://authy.com/)
146 | - Microsoft Authenticator: [https://www.microsoft.com/en-us/account/authenticator](https://www.microsoft.com/en-us/account/authenticator)
147 | - Duo Mobile: [https://duo.com/product/trusted-users/two-factor-authentication/duo-mobile](https://duo.com/product/trusted-users/two-factor-authentication/duo-mobile)
148 | 
149 | ### Уникайте SMS
150 | 
151 | Уникайте другого фактору автентифікації з використанням одноразових паролів через SMS – це вкрай небезпечно.
152 | 
153 | ## Використовуйте безпечні месенджери
154 | 
155 | Використовуйте наскрізне шифрування для захисту приватних та конфіденційних повідомлень. Це забезпечує, що доступ до даних мають лише ви та ваш співрозмовник.
156 | 
157 | 🔧 Безпечні месенджери:
158 | 
159 | - Signal: [https://signal.org/](https://signal.org/)
160 | - Threema: [https://threema.ch/en](https://threema.ch/en)
161 | - Wickr Me: [https://wickr.com/](https://wickr.com/)
162 | - Wire: [https://wire.com/en/](https://wire.com/en/)
163 | 
164 | :bulb: Порівняння безпеки месенджерів: https://www.securemessagingapps.com
165 | 
166 | ## Використовуйте віртуальні приватні мережі (VPN)
167 | 
168 | Щоб захистити ваш мережевий трафік від прослуховування, використовуйте віртуальні приватні мережі (Virtual Private Networks, VPN). Найкращий спосіб зробити це – встановити свій власний VPN-сервер.
169 | 
170 | 🔧 Algo – розгорнути власний сервер VPN в будь-якому популярному хмарному сервісі: [https://github.com/trailofbits/algo](https://github.com/trailofbits/algo)
171 | 
172 | 🔧 Outline – ще простіший спосіб налаштувати власний сервер VPN: [https://getoutline.org/](https://getoutline.org/)
173 | 
174 | 🔧 Додаткові альтернативи:
175 | 
176 | - WireGuard: [https://www.wireguard.com/](https://www.wireguard.com/)
177 | - ZeroTier: [https://www.zerotier.com/](https://www.zerotier.com/)
178 | 
179 | Використання VPN-сервісів не рекомендується, але може бути допустимим, коли немає змоги скористатися власним VPN.
180 | 
181 | 🔧 Порівняльна таблиця VPN-сервісів: https://thatoneprivacysite.net/#simple-vpn-comparison
182 | 
183 | ## Шифруйте дані
184 | 
185 | ### Перевіряйте шифрування вебсайтів
186 | 
187 | Завжди переконуйтесь, що вебсайт, якому ви передаєте свої чутливі дані, використовує HTTPS. Це означає, що його адреса в адресному рядку браузера починається з `https://` та його сертифікат перевірений вашим браузером, отже він не робить вам попереджень безпеки.
188 | 
189 | Однак, наявності HTTPS не достатньо для повної довіри до вебсайту: будь-хто може згенерувати дійсний сертифікат для свого вебсервера. Потрібно звернути увагу та перевірити правильність доменного імені вебсайту, тому що його можна підробити.
190 | 
191 | ❗ Ніколи, навіть для тимчасового використання, не приймайте недійсні сертифікати SSL.
192 | 
193 | ### Шифруйте хмарні дані
194 | 
195 | Шифруйте дані перед завантаженням в хмару. Пам'ятайте: немає ніякої "хмари", це просто чийсь чужий комп'ютер. `Keybase` та `Boxcryptor` – це інструменти, які дозволяють шифрувати дані в автономному режимі, перш ніж завантажити їх у хмарне сховище. `Cryptomator` створює універсальний зашифрований логічний диск, який можна синхронізувати між вашими пристроями через хмарне сховище.
196 | 
197 | 🔧 Популярні інструменти хмарного шифрування:
198 | 
199 | - Boxcryptor: [https://www.boxcryptor.com/](https://www.boxcryptor.com/)
200 | - Cryptomator: [https://cryptomator.org/](https://cryptomator.org/)
201 | - Tresorit: [https://tresorit.com/](https://tresorit.com/)
202 | - NordLocker: [https://nordlocker.com/](https://nordlocker.com/)
203 | - VeraCrypt: [https://www.veracrypt.fr/en/Home.html](https://www.veracrypt.fr/en/Home.html)
204 | 
205 | 🔧 В iCloud існує вбудований інструмент `Advanced Data Protection` для надійного шифрування: [https://support.apple.com/en-us/HT212520](https://support.apple.com/en-us/HT212520).
206 | ### Шифруйте дані на диску
207 | 
208 | Використовуйте функцію `Full Disk Encryption` вашої операційної системи для захисту даних на ноутбуці або ПК від крадіжки або втрати. FDE це безплатна функція у Linux, MacOS та Windows Pro.
209 | 
210 | #### macOS
211 | 
212 | Увімкніть `File Vault` ([](https://support.apple.com/en-us/HT204837)[https://support.apple.com/en-us/HT204837](https://support.apple.com/en-us/HT204837)).
213 | 
214 | 1. Відкрийте `System Preferences` (Системні налаштування).
215 | 1. Клацніть на `Security & Privacy` (Безпека та конфіденційність).
216 | 1. Перейдіть на вкладку `FileVault`.
217 | 1. Клацніть на замок унизу і введіть адміністративний пароль.
218 | 1. Клацніть `Turn On FileVault` (Увімкнути FileVault).
219 | 
220 | Це ввімкне FileVault і почне процес шифрування диска.
221 | 
222 | #### Linux
223 | 
224 | Використовуйте `LUKS` (Linux Unified Key Setup) або інші засоби повного шифрування диску. Як альтернативу, під час встановлення ОС зазвичай можна вибрати параметри шифрування диску або шифрування тільки вашого домашнього розділу.
225 | 
226 | 🔧 Ось посилання на інструкції для популярних дистрибутивів Linux:
227 | 
228 | - Ubuntu: [https://help.ubuntu.com/community/FullDiskEncryptionHowto](https://help.ubuntu.com/community/FullDiskEncryptionHowto)
229 | - Fedora: [https://fedoraproject.org/wiki/Disk_encryption](https://fedoraproject.org/wiki/Disk_encryption)
230 | - Debian: [https://www.debian.org/doc/manuals/securing-debian-howto/ch-crypto-disk.en.html](https://www.debian.org/doc/manuals/securing-debian-howto/ch-crypto-disk.en.html)
231 | - Arch Linux: [https://wiki.archlinux.org/title/Disk_encryption](https://wiki.archlinux.org/title/Disk_encryption)
232 | - CentOS: [https://wiki.centos.org/HowTos/OS_Protection](https://wiki.centos.org/HowTos/OS_Protection)
233 | #### Windows
234 | 
235 | Щоб увімкнути повне шифрування диску в Windows за допомогою `BitLocker`, зробіть наступне:
236 | 
237 | 1. Відкрийте `Панель управління` (Control Panel).
238 | 2. Перейдіть до `Система і безпека`" (System and Security).
239 | 3. Клацніть на `BitLocker Drive Encryption` (Шифрування диска BitLocker).
240 | 4. Оберіть диск, який ви хочете зашифрувати, і клацніть `Увімкнути BitLocker` (Turn On BitLocker).
241 | 5. Оберіть метод аутентифікації (пароль, смарт-карта тощо) і продовжте.
242 | 6. Виберіть режим шифрування і клацніть `Далі` (Next).
243 | 7. Підтвердіть увімкнення BitLocker.
244 | 
245 | Зауважте, що процес шифрування може зайняти певний час. Щойно процес буде завершений, диск буде зашифрований.
246 | 
247 | 💡 Ви також можете шифрувати зовнішні диски або окремі файли.
248 | 
249 | ## Операційна система та програми
250 | 
251 | Не запускайте програми з правами адміністратора. Завжди входьте в ОС з правами "звичайного" користувача та за потреби підвищуйте привілеї в меню програми `Run As...` коли це потрібно.
252 | 
253 | ❗ Запускаючи програми з правами локального адміністратора, ви надаєте їм можливість перехоплювати доступ та дані інших користувачів, які зараз працюють на вашому комп'ютері або нещодавно заходили в нього. Таким чином зловмисник може перехопити реквізити доступу доменного адміністратора корпорації та повністю скомпрометувати домен `Active Directory`.
254 | 
255 | Не використовуйте піратські програми. Не запускайте та не встановлюйте програми, завантажені з ненадійних джерел, включаючи торенти та інші мережі обміну файлами. Це особливо стосується "кейгенів" та "крякалок", які зазвичай вимагають прав адміністратора для запуску.
256 | 
257 | ### Windows
258 | 
259 | Щоб увімкнути автоматичні оновлення в Windows, виконайте наступні кроки:
260 | 
261 | 1. Відкрийте `Панель управління` (Control Panel) або введіть в пошук `Windows Update`.
262 | 2. Перейдіть до `Система і безпека` (System and Security).
263 | 3. Клацніть на `Windows Update`.
264 | 4. Виберіть `Змінити налаштування` (Change settings).
265 | 5. В розділі `Важливі оновлення` (Important updates) виберіть `Встановлювати оновлення автоматично` (Install updates automatically).
266 | 6. За бажанням, ви можете також вибрати, як часто і коли саме будуть встановлюватися оновлення.
267 | 7. Клацніть `ОК` для збереження змін.
268 | 
269 | Оновлюйте програмне забезпечення від "сторонніх" постачальників регулярно та автоматично.
270 | 
271 | ### macOS
272 | 
273 | Щоб увімкнути автоматичні оновлення на macOS, зробіть наступне:
274 | 
275 | 1. Відкрийте `System Preferences` (Системні налаштування).
276 | 2. Клацніть на `Software Update` (Оновлення програмного забезпечення).
277 | 3. Поставте галочку біля `Automatically keep my Mac up to date` (Автоматично тримати мій Mac оновленим).
278 | 4. Для додаткових налаштувань клацніть на `Advanced` (Додатково).
279 | 5. Виберіть опції, які вам потрібні (наприклад, автоматичне завантаження та встановлення оновлень).
280 | 6. Клацніть `OK` для збереження змін.
281 | 
282 | Тепер ваш Mac буде автоматично оновлюватися.
283 | 
284 | ### Linux
285 | 
286 | Сучасні дистрибутиви Linux дають змогу налаштувати автооновлення за допомогою засобів ОС, або ж регулярно оновлювати ПЗ вручну. Наприклад, в Ubuntu Linux оновлення ПЗ здійснюється за допомогою команди
287 | 
288 | ```bash
289 | apt update && apt -y upgrade
290 | ```
291 | 
292 | За подробицями щодо вашого дистрибутиву Linux зверніться до документації.
293 | 
294 | ## Антивірус
295 | 
296 | ### macOS та Linux
297 | 
298 | Сучасні дистрибутиви Linux дають змогу налаштувати автооновлення за допомогою засобів ОС, або ж регулярно оновлювати ПЗ вручну. Наприклад, в Ubuntu Linux оновлення ПЗ здійснюється за допомогою команди
299 | 
300 | :wrench: Malwarebytes https://www.malwarebytes.com
301 | 
302 | :wrench: BitDefender https://www.bitdefender.de
303 | 
304 | ### Windows
305 | 
306 | У Windows користуйтеся антивірусом. Увімкніть та не вимикайте вбудований Microsoft Defender.
307 | 
308 | ## Фаєрвол
309 | 
310 | ### macOS
311 | 
312 | Для активації файрволу на macOS, виконайте наступні кроки:
313 | 
314 | 1. Відкрийте `System Preferences` (Системні налаштування).
315 | 2. Перейдіть у розділ `Security & Privacy` (Безпека і конфіденційність).
316 | 3. Переключитесь на вкладку `Firewall` (Файрвол).
317 | 4. Клацніть на `Turn On Firewall` (Ввімкнути файрвол) або `Start` для активації.
318 | 
319 | Ви також можете клацнути на `Firewall Options` (Опції файрволу) для додаткового налаштування, такого як вибір додатків, які можуть приймати вхідні з'єднання.
320 | 
321 | Встановіть та навчіться користуватися одним зі спеціалізованих клієнтських фаєрволів, таких як
322 | 
323 | 🔧 [Little Snitch](https://www.obdev.at/products/littlesnitch/index.html) (комерційний) або
324 | 
325 | 🔧 [LuLu](https://objective-see.org/products/lulu.html) (безкоштовний з відкритим кодом).
326 | 
327 | ### Windows
328 | 
329 | Щоб ввімкнути файрвол у Windows, виконайте наступні кроки:
330 | 
331 | 1. Відкрийте `Панель керування` (Control Panel).
332 | 2. Перейдіть у розділ `Система та безпека` (System and Security).
333 | 3. Клацніть на `Windows Defender Firewall`.
334 | 4. У лівій панелі виберіть `Увімкнути або вимкнути Windows Firewall` (Turn Windows Defender Firewall on or off).
335 | 5. Увімкніть файрвол для потрібних типів мережі (приватна, публічна) шляхом вибору опції `Увімкнути Windows Firewall` (Turn on Windows Defender Firewall).
336 | 6. Збережіть зміни, натиснувши `OK`.
337 | ### Linux
338 | 
339 | Для активації файрволу на Linux, залежно від дистрибутиву, можна використовувати такі інструменти:
340 | 
341 | 1. UFW (Ubuntu Firewall)
342 |     - Встановлення: `sudo apt install ufw`
343 |     - Ввімкнення: `sudo ufw enable`
344 | 2. Firewalld (Fedora, CentOS)
345 |     - Встановлення: `sudo dnf install firewalld`
346 |     - Ввімкнення: `sudo systemctl enable --now firewalld`
347 | 3. Iptables (Для більшості дистрибутивів)
348 |     - Зазвичай вже встановлено.
349 |     - Налаштування: Редагування правил за допомогою команд `iptables`.
350 | 4. nftables (Сучасна альтернатива Iptables)
351 |     - Встановлення: Зазвичай вже встановлено.
352 |     - Налаштування: Редагування правил за допомогою команд `nft`.
353 | 5. Gufw (Графічний інтерфейс для UFW)
354 |     - Встановлення: `sudo apt install gufw`
355 |     - Ввімкнення: Запуск через графічний інтерфейс.
356 | 
357 | Кожен інструмент має свої особливості і налаштування. Вибір залежить від вашої системи і потреб.
358 | 
359 | ## Робіть резервні копії
360 | 
361 | ### macOS
362 | 
363 | Для налаштування Time Machine на macOS, виконайте наступні кроки:
364 | 
365 | 1. Підключіть зовнішній диск до Mac.
366 | 2. Відкрийте `System Preferences` (Системні налаштування).
367 | 3. Перейдіть у розділ `Time Machine`.
368 | 4. Клацніть на `Select Backup Disk` (Вибрати диск для резервного копіювання).
369 | 5. Виберіть підключений диск і клацніть `Use Disk` (Використовувати диск).
370 | 6. Включіть опцію `Back Up Automatically` (Робити резервні копії автоматично), якщо хочете автоматичне резервне копіювання.
371 | 
372 | Додатково можна вибрати папки для виключення з резервних копій у налаштуваннях `Options` (Опції).
373 | 
374 | Тепер Time Machine буде робити резервні копії вашої системи на вибраному диску коли він підключений.
375 | 
376 | ### Windows
377 | 
378 | Для налаштування резервного копіювання в найновішій версії Windows (зазвичай Windows 10 або 11), виконайте наступні кроки:
379 | 
380 | 1. Відкрийте `Settings` (Параметри) через меню `Start` (Пуск).
381 | 2. Перейдіть у розділ `Update & Security` (Оновлення та безпека).
382 | 3. Виберіть `Backup` (Резервне копіювання) у лівій панелі.
383 | 4. Клацніть на `Add a drive` (Додати диск) і виберіть диск для резервного копіювання. Це активує функцію `File History`.
384 | ### Linux
385 | 
386 | Користувачі Linux мають доступ до різноманіття засобів створення резервних копій: від `tar` до `rsync` на мережеву файлову шару. Менш досвідчені користувачі можуть обрати [більш комфортний інструмент](https://www.nuxified.org/blog/easy-linux-backup-software-time-machine-functionality/).
387 | 
388 | ## Мобільна безпека
389 | 
390 | Мобільна (стільникова) мережа є так само небезпечною, як публічні точки доступу Wi-Fi. Використовуйте ті ж криптографічні засоби у вашій мобільній мережі передачі даних. Не вважайте SMS або ваші голосові розмови приватними: замість цього використовуйте голосові виклики та повідомлення, які шифруються наскрізь.
391 | 
392 | Використовуйте `iOS`. Судячи з усього, мобільна безпека `Apple` та безпека їхньої екосистеми застосунків є набагато безпечнішою за рішення на базі ОС Android, які контролюються вашим оператором зв'язку або OEM-виробником (Samsung, LG, Sony тощо.)
393 | 
394 | Якщо `Android`, то `Google`. Тільки пряма підтримка операційної системи з боку виробника може гарантувати своєчасні оновлення безпеки. Будь-які додаткові кроки в ланцюжку постачання (OEM постачальники, стільникові оператори, корпоративні ІТ тощо) знижують рівень безпеки. У деяких випадках оновлення просто припиняють надходити до вашого пристрою через рік або два після початку його використання.
395 | 
396 | Не "рутайте" (`root`) свій смартфон. Використовуйте тільки дозволені репозиторії додатків, наприклад, `Google Play` та `AppStore`. Не завантажуйте та не встановлюйте "оновлення безпеки", які надходять з неавторизованих джерел програмного забезпечення.
397 | 
398 | ## Фізична безпека
399 | 
400 | Тримайте ваші речі, де ви можете їх бачити або контролювати. Ваш комп'ютер і гаджети вимагають такого ж рівня фізичної безпеки, який ви забезпечуєте вашим кредитним карткам та ключам від квартири та автомобіля. Пам'ятайте: якщо зловмисник проведе навіть недовгий час наодинці з вашим комп'ютером, це вже буде не ваш комп'ютер, а його. Швидше за все, він зможе повністю скомпрометувати вашу систему. Блокування екрану допомагає, але існують сучасні атаки, від яких воно не захищає.
401 | 
402 | Отже, не залишайте ваш пристрій без нагляду, особливо коли він працює. Вимикайте його або відправляйте у режим гібернації кожного разу, коли ви залишаєте його без нагляду навіть на декілька хвилин. Налаштуйте повне шифрування диску та запит паролю кожного разу, коли він вмикається.
403 | 
404 | Здійснюйте чутливі та нечутливі операції з різних комп'ютерів. Якщо ви дозволяєте дітям грати в онлайн-ігри на комп'ютері, який ви використовуєте для онлайн-банкінгу – вас зламають. Якщо ви відвідуєте інтернет-крамниці з ПК в комп'ютерному клубі або інтернет-кафе – вас зламають. Якщо ви відправляєте ділові листи з ПК у відкритій зоні вашого готелю – вас зламають.
405 | 
406 | Використовуйте окремий комп'ютер для бізнесу та фінансових операцій та усіх дій, які вимагають приватності або конфіденційності. Використовуйте спеціальну віртуальну або фізичну машину для найбільш критичних операцій.
407 | 
408 | ❗ В деяких авторитарних країнах вас можуть _попросити_ надати пароль до вашого зашифрованого носія інформації на кордоні та в аеропорті. Перетинаючи кордони таких держав, скористайтеся порадою: попросіть людину, якій ви довіряєте (бажано юриста) змінити ваш пароль перед від'їздом та надати його вам лише коли ви завершите подорож. Повторіть процедуру на зворотному шляху.
409 | 
410 | ## Подяка
411 | 
412 | Цей посібник був би неможливий без допомоги багатьох фахівців галузі кібербезпеки в Україні та за кордоном. Щиро вдячний всім, хто зробив внесок у зміст цього документу та пропонував правки та оновлення під час та після його створення. Скомпільовано та підготовлено [Vlad Styran](https://fb.me/vstyran), [BSG](https://bsg.tech), https://styran.com
413 | 
414 | Special thanks go to Boris "[@jadedsecurity](https://twitter.com/jadedsecurity)" Sverdlik for a great deal of inspiration and coining the "Don't click shit" slogan.
415 | 
416 | Взяти участь в розробці: https://github.com/sapran/dontclickshit/
417 | 


--------------------------------------------------------------------------------
/README_EN.md:
--------------------------------------------------------------------------------
  1 | # How to stay safe online
  2 | 
  3 | [Українська версія](https://github.com/sapran/dontclickshit/blob/master/README.md)
  4 | 
  5 | Permanent link: https://github.com/sapran/dontclickshit/
  6 | 
  7 | Original mind map (updated):
  8 | - [Ukrainian](http://www.xmind.net/m/DNRY)
  9 | - [English](http://www.xmind.net/m/raQ4)
 10 | 
 11 | ## Contents
 12 | 
 13 | 1. [Don't click shit](#dont-click-shit)
 14 | 1. [Use passphrases instead of passwords](#use-passphrases-instead-of-passwords)
 15 | 1. [Use multi-factor authentication](#use-multi-factor-authentication)
 16 | 1. [Operating system and software](#operating-system-and-software)
 17 | 1. [Antivirus](#antivirus)
 18 | 1. [Firewall](#firewall)
 19 | 1. [Backup your data](#backup-your-data)
 20 | 1. [Use crypto](#use-crypto)
 21 | 1. [Mobile security](#mobile-security)
 22 | 1. [Physical security](#physical-security)
 23 | 1. [Stay safe!](#stay-safe)
 24 | 1. [Credits](#credits)
 25 | 
 26 | ## Don't click shit
 27 | 
 28 | ### What do you mean?
 29 | 
 30 | Don't open, click or run **suspicious files, links, and programs**.
 31 | 
 32 | Rule of thumb: if you are not expecting it, it is suspicious.
 33 | 
 34 | ### Suspicious files
 35 | 
 36 | Don't open suspicious files, email attachments, or archived documents, if you do not completely trust the source they originate from. Send unwanted emails to spam folder before reading – files or links from people you don't know should be treated as malicious by default.
 37 | 
 38 | Verify file origin by the means other than media used to receive it. For example, if you have received a Word document via email, contact the sender by an Instant Messenger or by phone and verify the reason for sending it.
 39 | 
 40 | :exclamation: The most risky file types are:
 41 | - Any executable files: `EXE`, `COM`, `CMD`, `BAT`, `PS1`, `SWF`, `JAR` etc.
 42 | - MS Office documents, especially with macros: `DOC/DOCX/DOCM`, `XLS/XSLX/XLSM` etc.
 43 | - PDF documents: `PDF`.
 44 | - Vector graphics with embedded code: `SVG`.
 45 | - Archives of these files, especially password-protected.
 46 | 
 47 | Sometimes it's hard to tell malicious files from legitimate ones under time pressure. Use Virustotal to verify any file by scanning it by more than 50 antiviruses at the same time. While it is much more efficient than scanning files offline, :exclamation:consider the fact that you need to disclose the file to a third party.
 48 | 
 49 | :wrench: VirusTotal: https://virustotal.com
 50 | 
 51 | ### Suspicious links
 52 | 
 53 | Don't open suspicious URL links, especially those pointing to web-sites you don't normally visit. Always check **web-site domain names** before clicking the links: attackers could mangle the domain name for it to look familiar: `facelook.com`, `gooogle.com` etc. Use HTTPS and verify SSL certificate of the web-site to ensure it is not cloned or spoofed.
 54 | 
 55 | Malicious URLs **can be 'masked' by arbitrary text** in HTML files, documents and emails. In web-browsers and email programs, hover the mouse cursor over the link (but don't click) and wait for a while before the real URL pops up. Or right-click on the link and copy it to the text editor to see its actual address. Use [VirusTotal](https://virustotal.com) to scan suspicious links the same way you scan files.
 56 | 
 57 | Malicious URLs can be encoded as QR codes or printed out, including in a form of 'shortened' URLs generated by services such as `tinyurl.com`, `bit.ly`, `ow.ly` etc. Don't enter those links into your browser or scan QR codes by your smartphone unless you know exactly what you are doing.
 58 | 
 59 | :wrench: You can 'resolve' shortened URLs before opening them using these services:
 60 | - http://checkshorturl.com/
 61 | - http://www.expandurl.net/
 62 | 
 63 | :wrench: These popular web-browser extensions automatically perform this resolution:
 64 | - Google Chrome, [URL Unshortener](https://chrome.google.com/webstore/detail/url-unshortener/hciiopljaekhmopgaghflgfnhhbbaclm)
 65 | - Mozilla Firefox, [Long URL Please Mod](https://addons.mozilla.org/en-US/firefox/addon/long-url-please-mod/)
 66 | 
 67 | ### Suspicious pop-ups
 68 | 
 69 | Be careful with pop-ups in your browser, applications and operating system. Always read pop-up messages and **don't 'accept' anything in a hurry**.
 70 | 
 71 | Pop-ups can be dangerous in many ways: some result in installing malicious SSL certificates that allow attackers to sniff your network traffic; some could install malicious software on your computer or redirect your browser to malicious web-sites that infect your computer with malware.
 72 | 
 73 | ### Suspicious devices
 74 | 
 75 | Do not insert flash drives, CD/DVD, external HDDs etc. into your computer unless you explicitly trust their origin. There are techniques of hacking into your computer before you open files on a flash drive and way before your antivirus scans them. If you found it outside or inside the office, if you received it by mail or delivery, if a stranger gives it to you asking to print out a document or just attach it to a PC – it is likely to be malicious. Only trust your own devices and proceed with caution when dealing with devices received from people you work with or otherwise collaborate.
 76 | 
 77 | ## Use passphrases instead of passwords
 78 | 
 79 | ### What is passphrase?
 80 | 
 81 | Use passphrases instead of passwords to eliminate problems related to passwords' length and use of dictionary words.
 82 | 
 83 | To create a passphrase, choose a phrase you won't forget easily: a line from a poem or a song's lyrics, a proverb, a slogan etc. Then transform it to a single string by removing spaces and replacing letters to similar digits: `A->4`, `B->8`, `C->(`, `E->3`, `I->1`, `L->7`, `S->5`, `T->7` etc. Adding special characters and capitalizing random words in the phrase also makes it stronger.
 84 | 
 85 | ### How to create strong passphrase?
 86 | 
 87 | Use passphrase recipes to create strong unique passphrases. Recipe is an algorithm used to create different passphrases for different systems using a common basis. For example:
 88 | 
 89 | 1. Choose a strong basis, say, the passphrase `w3llD0nem8'`.
 90 | 
 91 | 2. Think about a way of linking the passphrase to the system. Simply adding server name in the end is easy:
 92 | 	
 93 | 	`w3llD0nem8'google`
 94 | 
 95 | 	Splitting the name in halves and adding in the beginning and at the end of the phrase is even cooler:
 96 | 	
 97 | 	`goow3llD0nem8'gle`
 98 | 	
 99 | 	`glew3llD0nem8'goo`
100 | 
101 | 3. Don't forget to apply a mangling rule too, say, change the last letter of the server name to a digit if applicable, and always add an exclamation mark or another special character.
102 | 
103 | 	`goow3llD0nem8'gl3!`
104 | 
105 | ### Keep passphrases secret
106 | 
107 | No one should know your passphrase except you. Don't tell it to anyone including your boss, your sysadmin or helpdesk, your wife, your parents, your kids etc. **There is no legitimate reason for anyone to ask for your passphrase**. Technically, even the system that you are using it for does not have your passphrase in its original form – instead it 'hashes' it and stores its cryptographically protected copy.
108 | 
109 | Never write down your passphrases on paper or in a clear text (unencrypted) file. Password-protected Excel is not encrypted. Password-protected archive is not properly encrypted. Only use trustworthy [password managers](#password-managers) if needed.
110 | 
111 | ### Updating passphrases
112 | 
113 | Change passphrases regularly and **at least once a year**. Your corporate passphrases or the passphrases you use more often (e.g. multiple times a day) have to be changed at least once a month or two.
114 | 
115 | :bulb: The rule of thumb is: the more frequently you use it, the more frequently it has to be changed.
116 | 
117 | ### Still want to use passwords?
118 | 
119 | Strong passwords are long, complex, and unique. This means they should be longer than **12 characters**, contain different types of characters (letters, digits, special characters), and be different for every service, web-site or system you use. Passwords should not be based on simple words that could be found in dictionaries. Passwords shall not be cognitive, that means they have to be based on something else than data about the user or the system. Otherwise, information related to the user or the system could and will help an attacker guess the password.
120 | 
121 | ### Password managers
122 | 
123 | Use password manager (password safe) software and follow these rules:
124 | 
125 | 1. Generate strong random passwords of configurable length (longer than 20 characters) and complexity.
126 | 1. Make sure your master password is strong.
127 | 1. Use a password manager that encrypts password database before storing it in the cloud or synchronizing it between your devices via the network.
128 | 1. Backup your password database often.
129 | 
130 | :bulb: For additional layer of protection, use *a manual password salt*: figure out a secret string, keep it in memory, and add it manually to each password stored in the manager application every time you paste it into a login form.  
131 | 
132 | :wrench: Examples of good password managers are:
133 | - 1Pasword https://1password.com
134 | - KeePass http://keepass.info
135 | - Password Safe https://pwsafe.org
136 | 
137 | ## Use multi-factor authentication
138 | 
139 | ### Enable multi-factor authentication
140 | 
141 | Most respected online services allow two-factor authentication. Enable it using a built-in software token (available on Facebook, Twitter, Google etc.) or an SMS one-time verification code.
142 | 
143 | :wrench: URLs to multi-factor authentication settings of popular web-sites::
144 | - Apple https://support.apple.com/en-us/HT204915
145 | - Google https://myaccount.google.com/security/signinoptions/two-step-verification
146 | - Facebook https://www.facebook.com/settings?tab=security&section=approvals
147 | - Twitter https://twitter.com/settings/security
148 | - Dropbox https://www.dropbox.com/account/#security
149 | 
150 | :wrench: Large collection of services that support two-factor authentication: https://twofactorauth.org
151 | 
152 | ### Avoid SMS
153 | 
154 | Prefer using `Google Authenticator`, physical token, or mobile app verification techniques. Avoid SMS one-time passwords wherever possible.
155 | 
156 | ## Operating system and software
157 | 
158 | Do not run client software with administrator privileges. Always log into OS interactively with the rights of the 'regular' user and, if necessary, increase the privileges with the program menu `Run As ...` when it is required to install or run legitimate programs. Never run, especially with administrator rights, programs on `Java` and ` Flash`, `PowerShell` and `cmd` scripts, etc., and any other 'mobile' code.
159 | 
160 | :exclamation: WARNING: When you run programs with the rights of a local administrator, you enable them to intercept the access credentials and current sessions of other users who are currently working on your computer or have recently visited it. In this way, the attacker can intercept the access credentials of the corporate domain administrator and completely compromise `Active Directory` the domain.
161 | 
162 | Don't use pirated software. Don't run or install software downloaded from untrusted sources. This includes torrents and other peer-to-peer networks. This especially includes keygen and cracking tools that require administrator privileges to run.
163 | 
164 | Morals or ethics have nothing to do with it: it is just totally insecure. First, trojaning the distribution and putting it online 'for free' is a known way of hacking into systems and it happens much more often than we'd like. Second, pirated software can rarely be kept up to date with security patches that just don't arrive to your system. Messing with 'activations' and re-activations just isn't worth it and the risks of not updating software are unacceptable.
165 | 
166 | ### Windows
167 | 
168 | Turn on `Auto-Update` in your Windows OS. For more details refer to [the official FAQ](https://support.microsoft.com/en-us/help/12373/windows-update-faq).
169 | 
170 | Make sure your Windows Update is [configured to check for updates for all Microsoft products, including MS Office](https://www.winhelp.us/configure-automatic-updates-in-windows.html).
171 | 
172 | Update third party software regularly or automatically. For that, use `Flexera` (formerly Secunia) PSI or an equivalent tool that checks your third party applications for updates and allows you to update them automatically.
173 | 
174 | :wrench: Flexera PSI: http://www.flexerasoftware.com/enterprise/products/software-vulnerability-management/personal-software-inspector/
175 | 
176 | ### macOS
177 | 
178 | Turn on `AppStore` auto-updates [as recommended by Apple](https://support.apple.com/kb/PH25371).
179 | 
180 | Turn on your `MS Office Auto-Update` in macOS [as recommended by Microsoft](https://support.office.com/en-us/article/Check-for-Office-for-Mac-updates-automatically-bfd1e497-c24d-4754-92ab-910a4074d7c1).
181 | 
182 | 
183 | Use Homebrew to keep your third party apps up to date. You can easily find many tools you already use in Homebrew:
184 | 
185 | ```bash
186 | brew search vlc
187 | brew search wireshark
188 | brew search gpgtools
189 | ```
190 | 
191 | To install Homebrew, follow the official guide: https://brew.sh
192 | 
193 | Alternatively, to keep third-party apps up to date, use MacInformer or equivalent tool. :exclamation:WARNING: although safer than not using any update mechanism, this kind of software may be invasive and not as secure as Homebrew. So no URL here.
194 | 
195 | ### Linux
196 | 
197 | Modern Linux distributions allow you to configure an auto-update with OS tools, or to manually update the software manually. For example, in `Ubuntu Linux`, the software is updated using the command
198 | 
199 | ```bash
200 | apt update && apt -y upgrade
201 | ```
202 | 
203 | For details about your Linux distribution, refer to the documentation.
204 | 
205 | ## Antivirus
206 | 
207 | ### macOS & Linux
208 | 
209 | On Linux or macOS **don't use antivirus**. Seriously. Security software comes with security vulnerabilities, it is not more secure than any other piece of code. However, in order to be efficient, antivirus normally requires elevated privileges in the OS. This introduces new risks that outweigh the dangers of getting infected on relatively secure and less popular platforms. If you follow recommendations in this guide, you can install an AV that is not continuously monitoring your OS, and scan your system with it once in a while. Malwarebytes has one of those, BitDefender is a more thorogh option.
210 | 
211 | :wrench: Malwarebytes https://www.malwarebytes.com
212 | 
213 | :wrench: BitDefender https://www.bitdefender.de
214 | 
215 | ### Windows
216 | 
217 | On Windows **do use antivirus**. But don't forget that AV is very ineffective against modern online threats. You can imagine antivirus efficiency to vary from 15% to 30%, most of the time this is true.
218 | 
219 | Choosing antivirus is not easy: 'independent' tests are biased toward the AV vendors who in the end of the day pay for these tests. There are, however, more or less objective reviews and testing results.
220 | 
221 | - AV-Test.org https://www.av-test.org/en/antivirus/home-windows
222 | - NSS Labs reports, if you can find any nowadays.
223 | 
224 | ## Firewall
225 | 
226 | ### macOS
227 | 
228 | Enable and configure the built-in macOS firewall in `System Preferences -> Security & Privacy -> Firewall`. Advanced `Firewall Options...` allow more detailed configuration, such as blocking all incoming connections, configuring ingress and egress filtering for specific applications, and allowing incoming connections to system and signed applications. `Enable stealth mode` if you would like to make your Mac unavailable to any other network client (e.g. to prevent [a recent remote attack over ICMP protocol](https://lgtm.com/blog/apple_xnu_icmp_error_CVE-2018-4407)).
229 | 
230 | Install and master advanced network protection using one of the custom firewall solutions such as
231 | 
232 | :wrench: [Little Snitch](https://www.obdev.at/products/littlesnitch/index.html)(commercial) or
233 | 
234 | :wrench: [LuLu](https://objective-see.com/products/lulu.html)(free & open source).
235 | 
236 | ### Windows
237 | 
238 | TODO
239 | 
240 | ### Linux
241 | 
242 | TODO
243 | 
244 | ## Backup your data
245 | 
246 | ### macOS
247 | 
248 | Use a separate encrypted external hard drive with configured `Time Machine` backups. Attach it whenever you are doing some important work, it will backup everything automatically. Recommended HDD size: at least twice as large as your internal hard drive. [Apple guide](https://support.apple.com/en-us/HT201250).
249 | 
250 | ### Windows
251 | 
252 | In Windows 10 backup & restore functionality is easy and can be configured in `Settings -> Update & Security -> Backup`. [Microsoft guide](https://support.microsoft.com/en-us/help/17143/windows-10-back-up-your-files).
253 | 
254 | For Windows 8.1 and 7 follow [Microsoft recommendations](https://support.microsoft.com/en-us/help/17127/windows-back-up-restore) on system and data backups.
255 | 
256 | Select and use a [third party backup software](http://www.techradar.com/news/software/applications/best-free-backup-software-11-programs-we-recommend-1137924).
257 | 
258 | ### Linux
259 | 
260 | Linux users have many backup mechanisms at their disposal: from tar to rsync remotely to a file share. Less technically savvy users can choose from [more user-friendly tools](http://www.nuxified.org/blog/easy-linux-backup-software-time-machine-functionality/).
261 | 
262 | You can backup your data by putting it to a cloud drive such as `Dropbox`, `iCloud Drive`, `Google Drive` etc. Don't forget to [encrypt data](#encrypt-cloud-data) before uploading it though.
263 | 
264 | ## Use crypto
265 | 
266 | ### Check web-sites encryption
267 | 
268 | Always make sure that the web-site to which you are passing your sensitive data is protected by HTTPS. That means it has `https://` before it in the address bar and its certificate is validated by your browser, so it does not generate security warnings.
269 | 
270 | Note that presence of HTTPS by itself should not increase your trust in the web-site: anyone can generate a valid certificate for his/her web-site. The web-site domain name should be verified because it can be easily spoofed and web-site cloned if you don't pay attention.
271 | 
272 | :exclamation: And do not accept untrusted certificates either temporarily or permanently.
273 | 
274 | ### Encrypt data
275 | 
276 | You can use `Full Disk Encryption` feature of your OS to protect the data at your laptop or PC from theft or loss. FDE is a free feature on Linux, macOS, and Windows Pro.
277 | 
278 | #### macOS
279 | 
280 | Enable `File Vault`. That's it, you're done. [Apple guide](https://support.apple.com/en-us/HT204837).
281 | 
282 | #### Linux
283 | 
284 | Use `LUKS` or other means of Full Disk Encryption. Alternatively you can select disk encryption options or encrypt just your home partition during OS installation. This seems to be a reasonable [guide for Arch](https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system), but every popular distro has a similar how-to.
285 | 
286 | #### Windows
287 | 
288 | Enable `BitLocker`. It's fast, it's native to Windows, and it's easy to configure and use. [Microsoft guide](http://www.howtogeek.com/234826/how-to-enable-full-disk-encryption-on-windows-10/).
289 | 
290 | In case your edition of Windows comes without BitLocker, use a third party solution such as `VeraCrypt`, a fork of TrueCrypt, which itself is not recommended.
291 | 
292 | :wrench: VeraCrypt: https://veracrypt.codeplex.com
293 | 
294 | :bulb: You can encrypt external drives or individual files too.
295 | 
296 | ### Encrypt communications
297 | 
298 | Use trusted end-to-end encrypted communications for private/confidential data. End-to-end encryption ensures that no one other than you and your recipient can access the conversation. The means of encrypting email end-to-end are `PGP` or `GPG`, or `S/MIME`. End-to-end encrypted Instant Messengers are `Signal`, `WhatsApp`, `iMessage`, `Viber`, `Threema`. `Facebook Messenger`, `Google Allo`, and `Telegram` have 'secret chats' that may be seen as more secure than default mode.
299 | 
300 | :wrench: Email encryption
301 | 
302 | - GPGTools for Apple Mail and macOS: https://gpgtools.org/
303 | - OpenPGP in Microsoft Outlook 2016/2013/2010/2007: https://www.encryptomatic.com/openpgp/
304 | - S/MIME in Outlook Web App: https://support.office.com/en-us/article/Encrypt-messages-by-using-S-MIME-in-Outlook-Web-App-2e57e4bd-4cc2-4531-9a39-426e7c873e26
305 | 
306 | :wrench: End-to-end encrypted IMs:
307 | 
308 | - Signal https://whispersystems.org
309 | - WhatsApp (uses Signal protocol) https://www.whatsapp.com
310 | - Viber https://www.viber.com
311 | - Threema https://threema.ch
312 | 
313 | :wrench: High anonymity IMs:
314 | 
315 | - Ricochet https://ricochet.im
316 | - Retroshare http://retroshare.net
317 | 
318 | EFF secure instant messaging guide and scorecard https://www.eff.org/secure-messaging-scorecard
319 | 
320 | ### Encrypt cloud data
321 | 
322 | Encrypt your sensitive data before uploading it to the cloud. Remember: there is no 'cloud', it's just someone else's computer. `Boxcryptor` and `Cryptomator` are the tools that allows you to encrypt data offline before putting it to your cloud drive. Use `Boxcryptor` for one cloud drive for free. `Cryptomator` is a free open source software.
323 | 
324 | :wrench: Boxcryptor: https://www.boxcryptor.com
325 | :wrench: Cryptomator: https://cryptomator.org
326 | 
327 | ### Use VPN
328 | 
329 | To protect your traffic data and metadata from network sniffing, use Virtual Private Networks. You can choose from many VPN services providers, such as proXPN or PrivateTunnel. You can install and maintain your own VPN server as well. Always use corporate VPN when working with business data remotely.
330 | 	
331 | :wrench: Personal VPN services ([recommended by Daniel Miessler](https://danielmiessler.com/blog/vpn-recommendations/)):
332 | 
333 | - Mullvad https://www.mullvad.net/
334 | - Zipline https://atenlabs.com/zipline/
335 | - IVPN https://www.ivpn.net/
336 | - AzireVPN https://www.azirevpn.com/
337 | - OVPN.se https://www.ovpn.se/
338 | 
339 | :bulb: How to setup your own OpenVPN server on Digital Ocean: https://www.digitalocean.com/community/tutorials/openvpn-access-server-centos
340 | 
341 | :bulb: Algo is a fully automated Ansible-based approach to deploying a personal IPSec VPN server in any major cloud: https://github.com/trailofbits/algo
342 | 
343 | ## Mobile security
344 | 
345 | Mobile network is as insecure as public WiFi access point. Use the same crypto tools while on your cellular data network. Don't consider SMS or your voice calls private: use end-to-end encrypted voice calls and messages instead.
346 | 
347 | Use `iOS`. By all accounts, `Apple` mobile security and the security of its applications ecosystem is much more secure than one based on Android and controlled by your carrier or an OEM manufacturer (Samsung, LG, Sony etc.)
348 | 
349 | If `Android`, then `Google`. Only direct support by OS manufacturer can guarantee timely security updates. Any additional hops in the supply chain (OEM vendor, cellular carrier, enterprise IT etc.) decrease your security level. In some occasions updates just don't reach you after a year or two of using the device.
350 | 
351 | Don't `root` your phone. Use only authorized application repositories e.g. Google Play and Apple AppStore. Don't download or install 'emergency security updates' coming from sources other than software manufacturer.
352 | 
353 | ## Physical security
354 | 
355 | Keep your stuff where you can see or control it. Your computer and gadgets require the same level of physical security you maintain for your credit cards and apartment/car keys. :exclamation:Remember: if an attacker can get close to your PC without you noticing, most probably he will succeed in complete OS takeover with very little effort. Keeping user session locked can help, but there are modern attacks which it cannot protect you against.
356 | 
357 | So, don't leave your equipment unattended, especially when it is running. Shutdown or hibernate every time you leave it event for a few minutes. Require password every time you turn it on.
358 | 
359 | Do sensitive and insensitive operations on different computers. If you allow your kids play online games on the same PC you use for online banking – you will be hacked. If you shop online from the PC in a computer club or internet cafe – you will be hacked. If you send business emails from the PC in the open area of your hotel – you will be hacked.
360 | 
361 | Use separate computers for business and financial operations and activities that demand privacy and confidentiality. Use a dedicated virtual or physical machine for the most critical operations.
362 | 
363 | :bulb: In some authoritarian countries, you may *be asked* to provide a password to your encrypted information at the border and at the airport. When crossing the borders of such states, take advantage of the advice: ask the person you trust (preferably the lawyer) to change your password before leaving and give it to you only when you complete a trip. Repeat the procedure on the reverse path.
364 | 
365 | ## Stay safe!
366 | 
367 | Thank you for taking care of your personal cyber-security. Share these tips with your friends, colleagues and close ones to make the world a bit safer.
368 | 
369 | These tips are contributed by multiple security professionals who have years of experience in building, assessing, and ethically hacking computer systems, applications and networks.
370 | 
371 | You can share these tips, use them commercially, and change them as you wish. It's free. Links to the original and credits are welcome.
372 | 
373 | If you have something add or found an error in the text, let me know: via email sapran@protonmail.com or by creating an [issue](https://github.com/sapran/dontclickshit/issues/new). Pull requests are the most welcome.
374 | 
375 | ## Credits
376 | 
377 | This guide wouldn't exist without the help of many security professionals in Ukraine and abroad. Big thanks to everyone who contributed to the contents of this document and proposed the edits and updates along the course of its creation. Compiled and drafted by [Vlad Styran](https://fb.me/vstyran), [BSG](https://bsg.tech/), https://blog.styran.com.
378 | 
379 | Special thanks go to Boris "[@jadedsecurity](https://twitter.com/jadedsecurity)" Sverdlik for a great deal of inspiration and coining the "Don't click shit" slogan.
380 | 


--------------------------------------------------------------------------------
/guide_clean.md:
--------------------------------------------------------------------------------
  1 | # Як не стати кібер-жертвою
  2 | 
  3 | Постійна адреса: https://github.com/sapran/dontclickshit/
  4 | 
  5 | Оригінальна майнд-мапа (оновлюється):
  6 | - [Українською](http://www.xmind.net/m/DNRY)
  7 | - [Англійською](http://www.xmind.net/m/raQ4)
  8 | 
  9 | ## Зміст
 10 | 
 11 | 1. [Не натискайте каку](#Не-натискайте-каку)
 12 | 2. [Використовуйте пасфрази замість паролів](#Використовуйте-пасфрази-замість-паролів)
 13 | 3. [Використовуйте двохфакторну автентифікацію](#Використовуйте-двохфакторну-автентифікацію)
 14 | 4. [Операційна система та програмне забезпечення](#Операційна-система-та-програмне-забезпечення)
 15 | 5. [Антивірус](#Антивірус)
 16 | 6. [Робіть резервні копії даних](#Робіть-резервні-копії-даних)
 17 | 7. [Використовуйте криптографію](#Використовуйте-криптографію)
 18 | 8. [Мобільна безпека](#Мобільна-безпека)
 19 | 9. [Фізична безпека](#Фізична-безпека)
 20 | 10. [Зворотній зв'язок](#Бережіться)
 21 | 
 22 | ## Не натискайте каку
 23 | 
 24 | ### Що мається на увазі?
 25 | 
 26 | Не відкривайте, не натискайте, та не запускайте **підозрілі файли, посилання та програми**.
 27 | 
 28 | Основне правило: якщо ви на це (лист, файл, посилання тощо) не чекали, це підозріло.
 29 | 
 30 | ### Підозрілі файли
 31 | 
 32 | Не відкривайте підозрілі файли, вкладення електронної пошти, або архівні документи, якщо ви не довіряєте джерелу, з якого вони надійшли. Відправляйте небажані листи в папку для спаму перед прочитанням – файли або посилання від людей, яких ви не знаєте, повинні розцінюватися як шкідливі за замовчуванням.
 33 | 
 34 | Перевіряйте отримані файли іншим шляхом, ніж той, який використовувався для їх передачі. Наприклад, якщо ви отримали документ MS Word по електронній пошті, зв'яжіться з відправником за допомогою програми обміну миттєвими повідомленнями (месенджера) або по телефону та спитайте в нього мету відправки файлу та взагалі, чи він вам його відправив.
 35 | 
 36 | Найбільш ризиковані типи файлів:
 37 | - Будь-які виконувані файли: `EXE`, `COM`, `CMD`, `BAT`, `PS1`, `SWF`, `JAR` тощо.
 38 | - Документи MS Office, особливо з макросами: `DOC/DOCX/DOCM`, `XLS/XSLX/XLSM` тощо.
 39 | - PDF документи: `PDF`.
 40 | - Файли векторної графіки з вбудованим кодом: `SVG`.
 41 | - Архіви файлів, особливо захищені паролем.
 42 | 
 43 | Іноді, особливо під тиском часу, буває важко відрізнити шкідливі файли від легітимних. Користуйтеся сервісом VirusTotal для перевірки підозрілих файлів шляхом їх одночасного сканування більш ніж 50 антивірусами. Це набагато ефективніше, ніж сканування файлів антивірусом в автономному режимі, але враховуйте той факт, що завантажуючи файли на VirusTotal ви надаєте доступ до нього третій стороні.
 44 | 
 45 | VirusTotal: https://virustotal.com
 46 | 
 47 | ### Підозрілі посилання
 48 | 
 49 | Не відкривайте підозрілі посилання (URL), особливо ті, що вказують на веб-сайти, які ви зазвичай не відвідуєте. Завжди перевіряйте **доменні імена веб-сайтів**, перш ніж натиснути на посилання: зловмисники можуть замаскувати доменне ім'я, щоб воно виглядало знайомим (`facelook.com`, `gooogle.com` тощо) Використовуйте HTTPS та перевіряйте SSL-сертифікат веб-сайту, щоб переконатися, що він не клонований або підроблений.
 50 | 
 51 | Шкідливі URL-адреси **можуть "маскуватися" за довільним текстом** в HTML-файлах, документах та електронних листах. У веб-браузері або поштовій програмі наведіть курсор миші на посилання (але не натискайте) і почекайте деякий час (1-2 сек), поки не "спливе" реальний URL. Можна також клацнути правою кнопкою миші на посиланні та скопіювати його в текстовий редактор, щоб побачити його фактичну адресу. Використовуйте [VirusTotal](https://virustotal.com) для перевірки підозрілих посилань так само, як для сканування файлів.
 52 | 
 53 | Шкідливі URL-адреси можуть бути закодовані в вигляді QR-кодів та/або роздруковані на папері, в тому числі в формі скорочених URL, згенерованих спеціальними сервісами на кшталт `tinyurl.com`, `bit.ly`, `ow.ly` тощо. Не вводьте ці посилання в браузер та не скануйте QR-коди вашим смартфоном якщо ви не впевнені у їхньому вмісті та їхньому походженні.
 54 | 
 55 | Ви можете розгорнути скорочені URL перед відкриттям за допомогою цих веб-сайтів:
 56 | - http://checkshorturl.com/
 57 | - http://www.expandurl.net/
 58 | 
 59 | Ці додатки до популярних браузерів здійснюють таке розгортання автоматично:
 60 | - Google Chrome, [URL Unshortener](https://chrome.google.com/webstore/detail/url-unshortener/hciiopljaekhmopgaghflgfnhhbbaclm)
 61 | - Mozilla Firefox, [Long URL Please Mod](https://addons.mozilla.org/en-US/firefox/addon/long-url-please-mod/)
 62 | 
 63 | ### Підозрілі спливаючі вікна
 64 | 
 65 | Будьте обережні щодо спливаючих вікон та повідомлень у вашому браузері, програмах, операційній системі та мобільному пристрої. Завжди читайте вміст спливаючих вікон та **не "схвалюйте" або "приймайте" нічого похапцем**.
 66 | 
 67 | Спливаючі вікна можуть становити небезпеку у різні способи: деякі дозволяють зловмисникам встановити у вашій системі підробні SSL-сертифікати, які допоможуть їм перехоплювати ваш мережевий трафік; деякі можуть встановлювати зловмисні програми на ваш комп'ютер та смартфон або перенаправляти ваш браузер на зловмисні веб-сайти, які заражають комп'ютери вірусами та іншими зловмисними програмами.
 68 | 
 69 | ### Підозрілі пристрої
 70 | 
 71 | Не підключайте флешки та зовнішні диски, не вставляйте CD та DVD тощо у ваш комп'ютер якщо ви не довіряєте повністю їхньому джерелу. Існують техніки зламу комп'ютера ще до того, як ви відкриєте файл на флешці і задовго до того, як ваш антивірус його просканує. Якщо ви знайшли пристрій всередині офісу або на вулиці, якщо ви отримали його по пошті або з доставкою, якщо незнайомець дав вам його з проханням роздрукувати документ або просто відкрити та перевірити його вміст – є великі шанси, що пристрій є зловмисним. Довіряйте лише власним пристроям та будьте обережні з пристроями, які отримуєте від інших людей по роботі або в інших цілях.
 72 | 
 73 | ## Використовуйте пасфрази замість паролів
 74 | 
 75 | ### Що таке пасфраза?
 76 | 
 77 | Використовуйте пасфрази замість паролів щоб уникнути проблем зі слабкими паролями. Паролі, які засновані на відомих словах з словника, легко підібрати.
 78 | 
 79 | Натомість, оберіть фразу, яку ви не зможете легко забути в наступні 2-3 дні: рядок з вірша або пісні, прислів'я, гасло тощо. Потім трансформуйте цю фразу у єдине "слово" видаливши пробіли та замінивши деякі літери схожими на них цифрами або спецсимволами: `A->4`, `B->8`, `C->(`, `E->3`, `I->1`, `L->7`, `S->5`, `T->7` тощо. Додавання цифр та спецсимволів, а також переведення деяких букв у верхній регістр, зроблять пасфразу ще сильнішою.
 80 | 
 81 | ### Як створити сильну пасфразу?
 82 | 
 83 | Використовуйте рецепти створення сильних, унікальних пасфраз. Рецепт – це алгоритм, який використовується для формування різних пасфраз для різних систем на спільній основі. Наприклад:
 84 | 
 85 | 1. Виберіть міцну основу, скажімо, пасфразу `w3llD0nem8'`
 86 | 
 87 | 2. Придумайте спосіб прив'язки ключової фрази до сервісу. Наприклад, просте додавання імені сервера в кінці:
 88 | 
 89 | 	`w3llD0nem8'google`
 90 | 
 91 | 	Або розщеплення імені сервісу навпіл і додавання на початку та в кінці фрази:
 92 | 
 93 | 	`goow3llD0nem8'gle`
 94 | 
 95 | 	`glew3llD0nem8'goo`
 96 | 
 97 | 3. Не забудьте трохи "перекрутити" отриману фразу, скажімо, змінивши останню букву імені сервісу на цифру, якщо це можливо, і додавши знак оклику або інший спецсимвол.
 98 | 
 99 | 	`goow3llD0nem8'gl3!`
100 | 
101 | ### Тримайте пасфрази в секреті
102 | 
103 | Ніхто крім вас не повинен знати ваші пасфрази. Не розказуйте їх нікому, включаючи вашого боса, вашого сисадміна або службу підтримки, вашу дружину, ваших батьків, ваших дітей тощо. В них **немає ніяких логічних або законних підстав для отримання ваших пасфраз**. З технічної точки зору, навіть система, в якій ви використовуєте пасфразу, не має доступу до неї в її первісному вигляді. Замість цього система зберігає "хеш" – її криптографічно захищену копію.
104 | 
105 | Ніколи не записуйте ваші пасфрази на папері або в незашифрованому файлі. Захищений паролем файл Excel – це не шифрування. Архів, захищений паролем – не є належним шифруванням. Використовуйте тільки надійні [парольні менеджери](#Парольні-менеджери) для зберігання пасфраз, якщо це необхідно.
106 | 
107 | ### Оновлення пасфраз
108 | 
109 | Змінюйте пасфрази на регулярній основі та **принаймні один раз на рік**. Ваші корпоративні пасфрази та пасфрази, які ви використовуєте найчастіше (наприклад, кілька разів на день), повинні змінюватися принаймні щомісячно або раз на два місяці. 
110 | 
111 | "Правило буравчика": чим частіше ви використовуєте пасфразу, тим частіше вона повинна змінюватись.
112 | 
113 | ### Парольні менеджери
114 | 
115 | Використовуйте програмне забезпечення для збереження та захисту паролів – парольні менеджери – та виконуйте ці правила:
116 | 
117 | 0. Генеруйте сильні, випадкові паролі довжиною від 20 символів.
118 | 1. Переконайтеся, що ваш майстер-пароль, яким ви захищаєте решту паролів, є сильною пасфразою.
119 | 2. Використовуйте парольний менеджер, який шифрує базу даних перед зберіганням її в хмарі або синхронізації між пристроями по мережі.
120 | 3. Частіше, бажано автоматично, робіть резервні копії бази даних паролів.
121 | 
122 | Прикладами хороших парольних менеджерів є:
123 | - 1Pasword https://1password.com
124 | - KeePass http://keepass.info
125 | - Password Safe https://pwsafe.org
126 | 
127 | ### Все ще хочете використовувати паролі?
128 | 
129 | Надійні паролі довгі, складні та унікальні. Це означає, що вони повинні бути довше 12 символів, містити різні типи символів (літери, цифри, спеціальні символи), та бути різними для кожної служби, веб-сайту або системи. Паролі не повинні бути засновані на простих словах, які можна знайти в словниках. Паролі не повинні бути когнітивними, це означає, що вони не повинні бути засновані на даних про користувача або систему. В противному випадку, інформація, що стосується користувача або системи, допоможе зловмисникові вгадати пароль.
130 | 
131 | ## Використовуйте двохфакторну автентифікацію
132 | 
133 | ### Увімкніть двохфакторну автентифікацію
134 | 
135 | Більшість поважних онлайн-сервісів підтримують двохфакторну автентифікацію. Увімкніть її за допомогою програмного токена (доступний у Facebook, Twitter, Google тощо) або за допомогою одноразового пароля з доставкою по SMS.
136 | 
137 | URL-адреси для налаштування багатофакторної автентифікації популярних веб-сайтів:
138 | - Apple https://support.apple.com/en-us/HT204915
139 | - Google https://myaccount.google.com/security/signinoptions/two-step-verification
140 | - Facebook https://www.facebook.com/settings?tab=security&section=approvals
141 | - Twitter https://twitter.com/settings/security
142 | - Dropbox https://www.dropbox.com/account/#security
143 | 
144 | Широка підбірка сервісів, які підтримують двохфакторну автентифікацію: https://twofactorauth.org
145 | 
146 | ### Уникайте SMS
147 | 
148 | Надавайте перевагу використанню `Google Authenticator`, фізичного токена, або перевірці за допомогою мобільного додатку. Уникайте використання одноразових паролів через SMS коли це можливо.
149 | 
150 | ## Операційна система та програмне забезпечення
151 | 
152 | Не використовуйте піратське програмне забезпечення. Не запускайте та не встановлюйте програмне забезпечення, завантажене з ненадійних джерел, включаючи торенти та інші peer-to-peer мережі обміну файлами. Це особливо стосується "кейгенів" та "крякалок", які зазвичай вимагають права адміністратора для запуску.
153 | 
154 | Мораль або етика не мають з цим нічого спільного: це просто абсолютно небезпечно. По-перше, зараження дистрибутиву програми Троянцем та "безкоштовна" публікація його в Інтернеті – це відомий спосіб зараження систем, і це відбувається набагато частіше, ніж хотілося б. По-друге, на піратське програмне забезпечення рідко можна своєчасно встановлювати оновлення безпеки, які просто не надходять до вашої системи. "Активації" та повторні активації згають ваш час, а ризики не оновлення програмного забезпечення є неприйнятними.
155 | 
156 | ### Windows
157 | 
158 | Увімкніть авто-оновлення (`Auto-Update`) в вашій ОС Windows. Для більш детального опису дій зверніться до [офіційної інструкції](https://support.microsoft.com/en-us/help/12373/windows-update-faq).
159 | 
160 | Переконайтеся в тому, що авто-оновлення Windows [налаштоване для перевірки оновлень для всіх продуктів Microsoft](https://www.winhelp.us/configure-automatic-updates-in-windows.html), включаючи MS Office.
161 | 
162 | Оновлюйте програмне забезпечення від "сторонніх" постачальників регулярно та автоматично. Для цього використовуйте `Flexera` (раніше відома як Secunia) PSI або еквівалентне рішення, яке перевіряє наявність оновлень для вашого ПЗ та дозволяє вам встановлювати їх автоматично.
163 | 
164 | Flexra PSI: http://www.flexerasoftware.com/enterprise/products/software-vulnerability-management/personal-software-inspector/
165 | 
166 | ### macOS
167 | 
168 | Увімкніть авто-оновлення в `AppStore` [як рекомендує Apple](https://support.apple.com/kb/PH25371).
169 | 
170 | Увімкніть авто-оновлення MS Office в macOS [як рекомендує Microsoft](https://support.office.com/en-us/article/Check-for-Office-for-Mac-updates-automatically-bfd1e497-c24d-4754-92ab-910a4074d7c1).
171 | 
172 | Використовуйте Homebrew для оновлення вашого стороннього ПЗ. Ви можете легко знайти багато програм, які вже використовуєте, у Homebrew:
173 | 
174 | ```bash
175 | brew search vlc
176 | brew search wireshark
177 | brew search gpgtools
178 | ```
179 | 
180 | Щоб встановити Homebrew, ознайомтеся з офіційною інструкцією: http://brew.sh 
181 | 
182 | В якості альтернативи, щоб тримати сторонні програми в актуальному стані, використовуйте MacInformer або еквівалентний інструмент. ПОПЕРЕДЖЕННЯ: хоча це й безпечніше, ніж не використовувати жоден механізм оновлення, такого роду програмне забезпечення може бути "рекламно-агресивним" та звісно ж не таким безпечним, як Homebrew. Отже, URL на продукт тут немає.
183 | 
184 | ### Linux
185 | 
186 | Сучасні дистрибутиви Linux дають змогу налаштувати авто-оновлення за допомогою засобів ОС, або ж регулярно оновлювати ПЗ вручну. Наприклад, у Ubuntu Linux оновлення ПЗ здійснюється за допомогою команди
187 | 
188 | ```bash
189 | apt update && apt -y upgrade
190 | ```
191 | 
192 | За подробицями щодо вашого дистрибутиву Linux зверніться до документації.
193 | 
194 | ## Антивірус
195 | 
196 | ### macOS та Linux
197 | 
198 | В Linux або macOS **не користуйтеся** антивірусом. Серйозно. Рішення з безпеки також містять вразливості, вони не є безпечнішими за будь-який інший програмний продукт. При цьому, з метою ефективності, антивіруси зазвичай вимагають підвищених привілеїв в ОС. Це становить більший ризик, ніж загроза інфікування вірусом або троянцем на порівняно більш безпечній та менш популярній платформі. Якщо ви слідуєте іншим рекомендаціям з цієї інструкції , ви можете встановити антивірус, який не буде постійно моніторити вашу ОС, та періодично сканувати вашу систему з його допомогою. 
199 | 
200 | Один з таких варіантів це Malwarebytes: https://www.malwarebytes.com
201 | 
202 | ### Windows
203 | 
204 | В Windows **користуйтеся** антивірусом. Але не забувайте, що антивіруси дуже неефективні проти сучасних онлайн-загроз. Ви можете уявити собі ефективність антивірусів десь між 15% та 30%, в більшості випадків це буде правдою.
205 | 
206 | Вибрати антивірус нелегко: "незалежні" тести більш прихильні до антивірусних вендорів, які в решті решт фінансують ці тестування. Існують, щоправда, більш-менш об'єктивні ревю та результати тестувань.
207 | 
208 | - AV-Test.org https://www.av-test.org/en/antivirus/home-windows
209 | - Результати тестування NSS Labs, якщо ви можете їх знайти.
210 | 
211 | ## Робіть резервні копії даних
212 | 
213 | ### macOS
214 | 
215 | Використовуйте окремий зашифрований зовнішній жорсткий диск для резервного копіювання з допомогою `Time Machine`. Підключайте його кожного разу, коли працюєте над чимось важливим, резервні копії будуть створюватися автоматично. Рекомендований об'єм диску: щонайменше вдвічі більший за об'єм вашого внутрішнього носія. [Інструкція від Apple](https://support.apple.com/en-us/HT201250).
216 | 
217 | ### Windows
218 | 
219 | У Windows 10 налаштування функції створення та відтворення з резервних копій дуже просте і може бути здійснене в меню  `Settings -> Update & Security -> Backup`. [Інструкція Micrsoft](https://support.microsoft.com/en-us/help/17143/windows-10-back-up-your-files).
220 | 
221 | Для Windows 8.1 та 7 виконайте [ці рекомендації Microsoft](https://support.microsoft.com/en-us/help/17127/windows-back-up-restore) щодо роботи з резервними копіями даних та системи.
222 | 
223 | В якості альтернативи, оберіть та використовуйте [програмне забезпечення від стороннього постачальника](http://www.techradar.com/news/software/applications/best-free-backup-software-11-programs-we-recommend-1137924).
224 | 
225 | ### Linux
226 | 
227 | Користувачі Linux мають доступ до різноманіття засобів створення резервних копій: від `tar` до `rsync` на мережеву файлову шару. Менш досвідчені користувачі можуть обрати [більш комфортний інструмент](http://www.nuxified.org/blog/easy-linux-backup-software-time-machine-functionality/).
228 | 
229 | Ви можете створювати резервні копії ваших даних автоматично, зберігаючи їх у хмарних носіях, таких як `Dropbox`, `iCloud Drive`, `OneDrive`, `Google Drive` тощо. Але не забувайте [шифрувати ваші дані](#Шифруйте-хмарні-дані) перед завантаженням їх у хмару.
230 | 
231 | ## Використовуйте криптографію
232 | 
233 | ### Перевіряйте шифрування веб-сайтів
234 | 
235 | Завжди переконуйтесь, що веб-сайт, якому ви передаєте свої чутливі дані, використовує HTTPS. Це означає, що його адреса в адресному рядку браузера починається з `https://` та його сертифікат перевірений вашим браузером, отже він не робить вам попереджень безпеки.
236 | 
237 | Зверніть увагу, що наявності HTTPS не достатньо для виникнення довіри до веб-сайту: будь-хто може згенерувати дійсний сертифікат для свого веб-сервера. Потрібно звернути увагу та перевірити правильність доменного імені веб-сайту, тому що воно може бути легко підроблене, а веб-сайт – клонований.
238 | 
239 | Ніколи, навіть для тимчасового використання, не приймайте недійсні сертифікати.
240 | 
241 | ### Шифруйте дані
242 | 
243 | Ви можете використовувати функцію `Full Disk Encryption` вашої операційної системи для захисту даних на вашому ноутбуці або ПК від крадіжки або втрати. FDE це безкоштовна функція у Linux, MacOS та Windows Pro.
244 | 
245 | #### macOS
246 | 
247 | Увімкніть `File Vault`. Ось і все, ви це зробили. [Інструкція від Apple](https://support.apple.com/en-us/HT204837).
248 | 
249 | #### Linux
250 | 
251 | Використовуйте `LUKS` або інші засоби повного шифрування диску. В якості альтернативи, під час встановлення ОС зазвичай можна вибрати параметри шифрування диску або шифрування тільки вашого домашнього розділу. Ось це [достатньо детальна інструкція для Arch](https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system), але кожен популярний дистрибутив має аналогічний документ.
252 | 
253 | #### Windows
254 | 
255 | Ввімкніть `BitLocker`. Це швидко зробити та легко налаштувати та використовувати, тому що це "рідний" механізм ОС Windows. [Інструкція від Microsoft](http://www.howtogeek.com/234826/how-to-enable-full-disk-encryption-on-windows-10/).
256 | 
257 | У разі, якщо ваша версія ОС Windows поставляється без BitLocker, використовуйте "сторонні" рішення. Наприклад `VeraCrypt`, який є відгалуженням від TrueCrypt, який у свою чергу припинив існування та не рекомендується для використання.
258 | 
259 | VeraCrypt: https://veracrypt.codeplex.com
260 | 
261 | Ви також можете шифрувати зовнішні диски або окремі файли.
262 | 
263 | ### Шифруйте канали зв'язку
264 | 
265 | Використовуйте надійне шифрування "з кінця в кінець" для передачі приватних та конфіденційних даних. Шифрування "з кінця в кінець" гарантує, що ніхто, крім вас і вашого одержувача не може отримати доступ до розмови. Засобами шифрування електронної пошти "з кінця в кінець" є `PGP/GPG`, та `S/MIME`. Програми обміну миттєвими повідомленнями, які здійснюють шифрування "з кінця в кінець":  `Signal`, `WhatsApp`, `iMessage`, `Viber`, `Threema`. В `Facebook Messenger`, `Google Allo`, і `Telegram` є "секретні чати", які можна розглядати як більш безпечний режим, ніж чати за замовчуванням.
266 | 
267 | Шифрування електронної пошти
268 | 
269 | - GPGTools для Apple Mail та macOS: https://gpgtools.org/
270 | - OpenPGP у Microsoft Outlook 2016/2013/2010/2007: https://www.encryptomatic.com/openpgp/
271 | - S/MIME в Outlook Web App: https://support.office.com/en-us/article/Encrypt-messages-by-using-S-MIME-in-Outlook-Web-App-2e57e4bd-4cc2-4531-9a39-426e7c873e26
272 | 
273 | Месенджери, які здійснюють шифрування "з кінця в кінець" за замовчуванням:
274 | 
275 | - Signal https://whispersystems.org
276 | - WhatsApp (uses Signal protocol) https://www.whatsapp.com
277 | - Viber https://www.viber.com
278 | - Threema https://threema.ch
279 | 
280 | Месенджери з підтримкою посиленої анонімності:
281 | 	
282 | - Ricochet https://ricochet.im
283 | - Retroshare http://retroshare.net
284 | 
285 | Інструкція з безпечного обміну миттєвими повідомленнями та порівняння рівня безпеки сучасних месенджерів від EFF: https://www.eff.org/secure-messaging-scorecard
286 | 
287 | ### Шифруйте хмарні дані
288 | 
289 | Шифруйте дані перед завантаженням в хмару. Пам'ятайте: немає ніякої "хмари", це просто чужий комп'ютер. `Boxcryptor` є інструментом, який дозволяє шифрувати дані в автономному режимі, перш ніж покласти їх у хмарний диск. Використовуйте його безкоштовно для одного хмарного диску.
290 | 
291 | Boxcryptor: https://www.boxcryptor.com
292 | 
293 | ### Користуйтеся VPN
294 | 
295 | Для того, щоб захистити ваші мережеві дані та метадані від прослуховування, використовуйте VPN (віртуальна приватна мережа). Ви можете вибрати один з багатьох провайдерів послуг VPN, таких як proXPN або PrivateTunnel. Ви можете встановити і підтримувати свій власний VPN-сервер. Під час віддаленої роботи з бізнес-даними, завжди використовуйте корпоративну VPN.
296 | 	
297 | Персональні VPN:
298 | 
299 | - PrivateTunnel https://www.privatetunnel.com
300 | - proXPN https://secure.proxpn.com
301 | 
302 | Як налаштувати свій власний VPN-сервер: https://www.digitalocean.com/community/tutorials/openvpn-access-server-centos
303 | 
304 | ## Мобільна безпека
305 | 
306 | Мобільна (стільникова) мережа є так само небезпечною, як публічні точки доступу Wi-Fi. Використовуйте ті ж криптографічні засоби у вашій мобільній мережі передачі даних. Не вважайте SMS або ваші голосові розмови приватними: замість цього використовуйте голосові виклики та повідомлення, які шифруються "з кінця в кінець".
307 | 
308 | Використовуйте `iOS`. Судячи з усього, мобільна безпека `Apple` та безпека їхньої екосистеми застосунків є набагато безпечнішою за рішення на базі ОС Android, які контролюються вашим оператором зв'язку або OEM-виробником (Samsung, LG, Sony тощо.)
309 | 
310 | Якщо `Android`, то `Google`. Тільки пряма підтримка операційної системи з боку виробника може гарантувати своєчасні оновлення безпеки. Будь-які додаткові кроки в ланцюжку поставок (OEM постачальники, стільникові оператори, корпоративні ІТ тощо) знижують рівень безпеки. У деяких випадках оновлення просто припиняють надходити до вашого пристрою через рік або два після початку його використання.
311 | 
312 | Не "рутайте" (`root`) свій смартфон. Використовуйте тільки дозволені репозиторії додатків, наприклад, `Google Play` та `AppStore`. Не завантажуйте та не встановлюйте "оновлення безпеки", які надходять з неавторизованих джерел програмного забезпечення.
313 | 
314 | ## Фізична безпека
315 | 
316 | Тримайте ваші речі, де ви можете їх бачити або контролювати. Ваш комп'ютер і гаджети вимагають такого ж рівня фізичної безпеки, який ви забезпечуєте вашим кредитним карткам та ключам від квартири або автомобіля. Пам'ятайте: якщо зловмисник проведе навіть недовгий час наодинці з вашим комп'ютером, це вже буде не ваш комп'ютер, а його. Швидше за все, він зможе повністю скомпрометувати вашу систему не доклавши суттєвих зусиль. Блокування сесії користувача може допомогти, але існують сучасні атаки, від яких воно не захищає.
317 | 
318 | Отже, не залишайте ваш пристрій без нагляду, особливо коли він працює. Вимикайте його або відправляйте у режим гібернації кожного разу, коли ви залишаєте його без нагляду навіть на декілька хвилин. Налаштуйте запит паролю кожного разу, коли він вмикається.
319 | 
320 | Здійснюйте чутливі та нечутливі операції з різних комп'ютерів. Якщо ви дозволяєте дітям грати в онлайн-ігри на комп'ютері, який ви використовуєте для онлайн-банкінгу – вас зламають. Якщо ви відвідуєте Інтернет-крамниці з ПК в комп'ютерному клубі або Інтернет-кафе – вас зламають. Якщо ви відправляєте ділові листи з ПК у відкритій зоні вашого готелю – вас зламають.
321 | 
322 | Використовуйте окремий комп'ютер для бізнес- та фінансових операцій та усіх дій, які вимагають приватності або конфіденційності. Використовуйте спеціальну віртуальну або фізичну машину для найбільш критичних операцій.
323 | 
324 | В деяких авторитарних країнах вас можуть *попросити* надати пароль до вашого зашифрованого носія інформації на кордоні та в аеропорті. Перетинаючи кордони таких держав, скористайтеся порадою: попросіть людину, якій ви довіряєте (бажано юриста) змінити ваш пароль перед від'їздом та надати його вам лише коли ви завершите подорож. Повторіть процедуру на зворотньому шляху. 
325 | 
326 | ## Бережіться!
327 | 
328 | Дякую, що приділяєте увагу власній кібер-безпеці. Поділіться цією пам'яткою з близькими, друзями та колегами, щоб зробити світ трохи безпечнішим.
329 | 
330 | Ця пам'ятка – результат роботи спеціалістів з кібер-безпеки, які мають багаторічний досвід побудови, перевірки та етичного зламу комп'ютерних систем, додатків та мереж.
331 | 
332 | Ви можете поширювати цю пам'ятку, використовувати її у бізнесі, та змінювати на власний розсуд. Це безкоштовно. Посилання на оригінал та автора вітаються.
333 | 
334 | Якщо у вас є що додати або ви знайшли в тексті помилку, напишіть на :email: sapran@protonmail.com або [створіть issue](https://github.com/sapran/dontclickshit/issues/new).
335 | 
336 | Скомпільовано та підготовлено by Vlad Styran, [Berezha Security](https://berezhasecurity.com), https://blog.styran.com
337 | 


--------------------------------------------------------------------------------