«В современном мире слежка повсеместна»: 8 советов по защите личных данных
В 21 веке информация — главная валюта, и ее надо уметь защитить.
Эксперт по безопасности приложений Омар Ганиев объяснил, где хранить пароли, как прятаться от вездесущих камер и какие смартфоны лучше покупать, если заботишься о приватности данных.
Как при потере симкарты не потерять заодно доступ ко всем счетам?
Доступы ко всем счетам и приложениям можно получить, украв симкарту. Что делать с этим? Как защититься?
Действительно, есть такая проблема — причем не только в России, как многие думают. Даже в США известны случаи хищений с перевыпуском симкарты — правда, сначала ее там мигрировали в мексиканского провайдера.
Но замечу, что некоторые сервисы сами сотрудничают с операторами, чтобы выявлять такое. Например, банки могут запретить операции в течение некоторого времени после перевыпуска. Кроме того, многие аккаунты вы можете дополнительно защитить паролем. Это касается аккаунтов, где пароль — второй фактор, в первую очередь в «Телеграме».
У большинства операторов также есть услуга по запрету действий по доверенности, поскольку это самый частый сценарий реализации такой схемы. Но часто в подобных схемах сотрудники оператора находятся в сговоре со злоумышленниками, и тогда они в принципе могут обойти даже такой запрет, рискуя при этом оказаться под следствием.
Еще недавно практически любые действия с правами сотрудника отделения сотовой связи можно было купить на форумах за сущие копейки. Конечно, ситуация на этом рынке меняется — так что, может, сейчас перевыпуск симки уже стал довольно дорогим.
В качестве дополнительной меры можно какие-то аккаунты привязать к номерам зарубежных операторов. Только это должен быть не единственный способ входа в аккаунт, поскольку доступ к номеру можно и потерять.
Безопасны ли ZIP-архивы?
Насколько безопасен запароленный ZIP-архив? А если архив в архиве?
В очень старых реализациях формата ZIP существовала уязвимость, которая позволяла расшифровать содержимое, если известна его часть. В таком случае, пожалуй, архив в архиве был даже менее защищен, поскольку кусок внутреннего архива заведомо известен — по крайней мере, заголовок.
Современные реализации более защищены, но в них нет поддержки шифрования имен файлов, которые есть в RAR, 7z, tar + bcrypt и других. И можно подменить часть файлов внутри архива: если для вас важна целостность, это критично.
В общем, конкретно ZIP — не самый безопасный формат. Но атакующим будет трудно получить содержимое файла в ZIP-архиве, созданном не в легаси-режиме и с хорошим паролем.
Насколько безопасны современные смартфоны?
Хранятся ли данные на телефоне в зашифрованном виде? Можно ли включить шифрование? Насколько это сейчас хорошо реализовано? Нужно ли как-то защищать загрузчик? Если нет шифрования, то как правильно готовить телефон к передаче в ремонт? Бонусный уровень: что делать, если телефон не включается?
В топовых устройствах падения производительности вы не заметите, потому что данные изначально будут зашифрованы.
Если телефон не включается, при этом на нем без шифрования сохранены чувствительные данные, придется довериться мастерам либо напроситься присутствовать при ремонте. Можно, конечно, попытаться предварительно выпаять память, чтоб потом запаять ее назад, но с такими навыками и упорством вам, скорее всего, и самостоятельный ремонт будет по силам.
На Айфонах все по умолчанию зашифровано, и шифрование обеспечено на аппаратном уровне: чуть подробнее — тут. На Андроиде все зависит от версии и производителя — в Pixel по умолчанию есть шифрование. В настройках в разделе «Безопасность» можно проверить, включено ли шифрование для устройства и для внешних карт.
Где хранить пароли от бирж?
Где хранить приватные ключи, пароли от бирж, чтобы они были под рукой?
Если суммы действительно большие, нужно их держать на «холодном» кошельке, ключ которого имеет смысл разделить и хранить фрагменты — части ключа или multisig-тени — физически на разных континентах. Так делают «киты» вроде Виталика Бутерина или братьев Уинклвоссов.
По отношению же к ключам «горячих» кошельков и тем более паролям от бирж, полагаю, достаточно применять стандартные подходы цифровой гигиены: проявлять бдительность, чтобы не попадаться на фишинг; использовать менеджеры паролей, а лучше — отдельное устройство только для работы с криптовалютами
Существует ли идеальная защита?
Были ли в твоей практике и практике твоей компании кейсы, когда ну совершенно ничего не нашлось у заказчика? Прямо идеально выверенные и вылизанные эшелоны защиты?
Нет, такого не бывает, разве что в совсем синтетических условиях — когда дают изолированную систему, в которой почти ничего не доступно. В норме же обязательно находим хотя бы недостатки среднего уровня риска. Но бывает, не получается, что называется, пробить, реализовать интересные угрозы.
Как спрятаться от камер с распознаванием лица?
Как спастись от детищ NtechLab — камер с распознаванием человека по лицу, походке, одежде и так далее, коими уже вся Москва усеяна?
Можно попытаться реализовать то, что называется adversarial attack, и обмануть нейросетку! Есть даже такие научные работы, вот пример.
А если серьезно, нам придется смириться с тем, что в современном мире слежка повсеместна, и надеяться на то, что хотя бы суммарный эффект этого явления будет положительным. Полагаю, пока он действительно положительный и искореняет преступность в крупных городах. Хотя огромный минус вносит использование технологии для преследования по политическим мотивам.
TOTP-аутентификаторы или USB-ключи?
Имеет ли смысл переходить с TOTP-аутентификаторов на USB-ключи?
При желании можно перейти на YubiKey, например. Вообще, USB тут — это просто транспорт, он может быть и через NFC, особенно в случае использования протокола WebAuthn. При этом в целом я не вижу большого смысла в массовом использовании USB-ключей. Они добавляют головняка, чтоб их не потерять, при этом защищают от довольно узкой категории атакующих, которые в состоянии удаленно взломать ваш телефон.
Как максимально обезопасить устройство на Виндоус?
Какие возможности шифрования данных есть для Виндоус? Безопасен ли BitLocker? Что сделать с устройством с точки зрения защиты перед передачей в ремонт? Если ценность в пароле на bios/UEFI?
BitLocker + TPM — нормальное решение, можно еще дополнительно защитить паролем или пин-кодом, помимо пароля в Виндоус. Восстанавливается по ключу, который создается при настройке шифрования. При этом понятно, что, если компьютер уже включен, потенциально можно применить DMA-атаки (Direct Memory Access), чтобы вытащить данные.
Еще возможна скрытая установка хардварных имплантов — такое любят проделывать с ноутбуками, оставленными в номерах отелей. Но подобные атаки относительно сложные и не массовые.
Пароль для BIOS или UEFI имеет смысл, потому что даже в случаях, когда его можно отломать — например, через отключение питания для некоторых чипов, — это все равно удорожает атаку. Ведь не каждый раз ваш потерянный ноутбук окажется в руках спецслужб. Чаще это будут случайные люди.