16.12.21
6K
21

«В современном мире слежка повсеместна»: 8 советов по защите личных данных

Специалист по безопасности приложений Омар Ганиев отвечает на вопросы читателей

«В современном мире слежка повсеместна»: 8 советов по защите личных данных

В 21 веке информация — главная валюта, и ее надо уметь защитить.

Эксперт по безопасности приложений Омар Ганиев объяснил, где хранить пароли, как прятаться от вездесущих камер и какие смартфоны лучше покупать, если заботишься о приватности данных.

Как при потере симкарты не потерять заодно доступ ко всем счетам?

Дима К 
боится потерять симку

Доступы ко всем счетам и приложениям можно получить, украв симкарту. Что делать с этим? Как защититься?

Действительно, есть такая проблема — причем не только в России, как многие думают. Даже в США известны случаи хищений с перевыпуском симкарты — правда, сначала ее там мигрировали в мексиканского провайдера.

Но замечу, что некоторые сервисы сами сотрудничают с операторами, чтобы выявлять такое. Например, банки могут запретить операции в течение некоторого времени после перевыпуска. Кроме того, многие аккаунты вы можете дополнительно защитить паролем. Это касается аккаунтов, где пароль — второй фактор, в первую очередь в «Телеграме».

У большинства операторов также есть услуга по запрету действий по доверенности, поскольку это самый частый сценарий реализации такой схемы. Но часто в подобных схемах сотрудники оператора находятся в сговоре со злоумышленниками, и тогда они в принципе могут обойти даже такой запрет, рискуя при этом оказаться под следствием.

Еще недавно практически любые действия с правами сотрудника отделения сотовой связи можно было купить на форумах за сущие копейки. Конечно, ситуация на этом рынке меняется — так что, может, сейчас перевыпуск симки уже стал довольно дорогим.

В качестве дополнительной меры можно какие-то аккаунты привязать к номерам зарубежных операторов. Только это должен быть не единственный способ входа в аккаунт, поскольку доступ к номеру можно и потерять.

Безопасны ли ZIP-архивы?

Dmitry Koryas
делает архивы внутри архивов

Насколько безопасен запароленный ZIP-архив? А если архив в архиве?

В очень старых реализациях формата ZIP существовала уязвимость, которая позволяла расшифровать содержимое, если известна его часть. В таком случае, пожалуй, архив в архиве был даже менее защищен, поскольку кусок внутреннего архива заведомо известен — по крайней мере, заголовок.

Современные реализации более защищены, но в них нет поддержки шифрования имен файлов, которые есть в RAR, 7z, tar + bcrypt и других. И можно подменить часть файлов внутри архива: если для вас важна целостность, это критично.

В общем, конкретно ZIP — не самый безопасный формат. Но атакующим будет трудно получить содержимое файла в ZIP-архиве, созданном не в легаси-режиме и с хорошим паролем.

Насколько безопасны современные смартфоны?

Alex Diener
опасается ремонтировать телефон

Хранятся ли данные на телефоне в зашифрованном виде? Можно ли включить шифрование? Насколько это сейчас хорошо реализовано? Нужно ли как-то защищать загрузчик? Если нет шифрования, то как правильно готовить телефон к передаче в ремонт? Бонусный уровень: что делать, если телефон не включается?

В топовых устройствах падения производительности вы не заметите, потому что данные изначально будут зашифрованы.

Если телефон не включается, при этом на нем без шифрования сохранены чувствительные данные, придется довериться мастерам либо напроситься присутствовать при ремонте. Можно, конечно, попытаться предварительно выпаять память, чтоб потом запаять ее назад, но с такими навыками и упорством вам, скорее всего, и самостоятельный ремонт будет по силам.

На Айфонах все по умолчанию зашифровано, и шифрование обеспечено на аппаратном уровне: чуть подробнее — тут. На Андроиде все зависит от версии и производителя — в Pixel по умолчанию есть шифрование. В настройках в разделе «Безопасность» можно проверить, включено ли шифрование для устройства и для внешних карт.

Где хранить пароли от бирж?

Алексей
не знает, куда спрятать деньги

Где хранить приватные ключи, пароли от бирж, чтобы они были под рукой?

Если суммы действительно большие, нужно их держать на «холодном» кошельке, ключ которого имеет смысл разделить и хранить фрагменты — части ключа или multisig-тени — физически на разных континентах. Так делают «киты» вроде Виталика Бутерина или братьев Уинклвоссов.

По отношению же к ключам «горячих» кошельков и тем более паролям от бирж, полагаю, достаточно применять стандартные подходы цифровой гигиены: проявлять бдительность, чтобы не попадаться на фишинг; использовать менеджеры паролей, а лучше — отдельное устройство только для работы с криптовалютами

Существует ли идеальная защита?

Были ли в твоей практике и практике твоей компании кейсы, когда ну совершенно ничего не нашлось у заказчика? Прямо идеально выверенные и вылизанные эшелоны защиты?

Нет, такого не бывает, разве что в совсем синтетических условиях — когда дают изолированную систему, в которой почти ничего не доступно. В норме же обязательно находим хотя бы недостатки среднего уровня риска. Но бывает, не получается, что называется, пробить, реализовать интересные угрозы.

Как спрятаться от камер с распознаванием лица?

Алёна
не хочет, чтобы за ней следили

Как спастись от детищ NtechLab — камер с распознаванием человека по лицу, походке, одежде и так далее, коими уже вся Москва усеяна?

Можно попытаться реализовать то, что называется adversarial attack, и обмануть нейросетку! Есть даже такие научные работы, вот пример.

А если серьезно, нам придется смириться с тем, что в современном мире слежка повсеместна, и надеяться на то, что хотя бы суммарный эффект этого явления будет положительным. Полагаю, пока он действительно положительный и искореняет преступность в крупных городах. Хотя огромный минус вносит использование технологии для преследования по политическим мотивам.

TOTP-аутентификаторы или USB-ключи?

Andre Macareno
подходит к безопасности очень серьезно

Имеет ли смысл переходить с TOTP-аутентификаторов на USB-ключи?

При желании можно перейти на YubiKey, например. Вообще, USB тут — это просто транспорт, он может быть и через NFC, особенно в случае использования протокола WebAuthn. При этом в целом я не вижу большого смысла в массовом использовании USB-ключей. Они добавляют головняка, чтоб их не потерять, при этом защищают от довольно узкой категории атакующих, которые в состоянии удаленно взломать ваш телефон.

Как максимально обезопасить устройство на Виндоус?

Alex Diener
оберегает компьютер от хакеров

Какие возможности шифрования данных есть для Виндоус? Безопасен ли BitLocker? Что сделать с устройством с точки зрения защиты перед передачей в ремонт? Если ценность в пароле на bios/UEFI?

BitLocker + TPM — нормальное решение, можно еще дополнительно защитить паролем или пин-кодом, помимо пароля в Виндоус. Восстанавливается по ключу, который создается при настройке шифрования. При этом понятно, что, если компьютер уже включен, потенциально можно применить DMA-атаки (Direct Memory Access), чтобы вытащить данные.

Еще возможна скрытая установка хардварных имплантов — такое любят проделывать с ноутбуками, оставленными в номерах отелей. Но подобные атаки относительно сложные и не массовые.

Пароль для BIOS или UEFI имеет смысл, потому что даже в случаях, когда его можно отломать — например, через отключение питания для некоторых чипов, — это все равно удорожает атаку. Ведь не каждый раз ваш потерянный ноутбук окажется в руках спецслужб. Чаще это будут случайные люди.

Ефим Гугнин
Ефим Гугнин
16.12.21, 09:39
А боитесь ли вы постоянной слежки и хакерских атак? Что делаете, чтобы жить в эпоху интернета было хоть чуть-чуть спокойнее?
Загрузка
Mikhail Sergeev

PP, Ну вот представьте себе. Решит высшее руководство страны, что собачки - это зло и их нужно всех переловить и убить. Вы выйдете на ммтинг по защите собачек. А потом вас будут на входе в метро отлавливать и кошмарить. В рамках закона, разумеется.
Если вам этот вариант кажется неуместным, применение социальной инженерии ("мама, я попал в аварию, строчно переведи 100 тыс на этот номер") становится крайне эффективной, если атакующий про вас много знает.

21
На словах я Лев Толстой

– Как обеспечить приватность в интернете?
– Никак, тебя уже поимели.

11
Ivan Kolesnikov

Насчёт слежки камерами, можно переехать в страну, где существуют серьезные законодательные ограничения на неё. Например, во Франции запрещены системы распознания лиц (во всяком случае на городском уровне). То есть камеры на улице есть, но только в классическом формате, что по ним могут посмотреть записи за последние 3 месяца (gpdr ограничивает сроки хранения) вручную и всё.

2
Александр Побожий

Ivan, стоит дописать "пока". Это как с криптой - можно-можно и вдруг бац и нельзя на законодательном уровне.

0
Дима К
Герой статьи

Статья отвечает как защититься от перевыпуска симки, но не про физическую кражу телефона с ней. Похоже единственное решение - отдельная виртуальная симка esim и запрет уведомлений на заблокированный экран. Тогда вору сначала придется разблокировать телефон.

2
Сергей

Технически пин-код и запрет уведомлений, на Андроиде важного вообще лучше ничего не хранить, который год андроид занимает лидирующее место по найденным уязвимостям

0
Матвей Софьин

Дима, и блокировка экрана разными пальцами - разные профили. На случай, если тебя зажали братья и настойчиво просят разблокировать экран, можно разблокировать резервным профилем. Но его тоже надо сделать похожим на основной, только без чувствительных приложений

0
supertheg
Отредактировано

Могу посоветовать еще Outline VPN (часть проекта jigsaw.google.com). Сама программа бесплатна, нужен только свой сервер, если его нет, то за несколько кликов можно настроить в каком-нибудь облаке Google, AWS, DO от 5$/mo. При установке сразу прописываются DNS 1.1.1.1 и 9.9.9.9. Помогает держать ваш траффик подальше от глаз провайдера и ББ.

1
Тактика Какая-то

supertheg, или использовать проверенный OpenVPN

0
supertheg

Тактика, да, но это сложно, для домохозяек не подойдёт, в outline как раз акцент на простой установке.

1
Pavel Kostenkov

Самая любопытная тема "скрыться от камер" раскрыта как "смиритесь". 😂👍

1
Тактика Какая-то

PP, вы упускаете тот факт, что не все люди так защищены от атак СИ, как вы.

0
Александр Побожий

PP, что за бред ты несёшь. Приставить к конкретной единице внешнюю слежку чтобы узнать о человеке побольше, или купить пакет данных на 100 человек в дарке разом в один клик и узнать всё о человеке, его соцальных связях, привычках, манере поведения и слабых местах. Действительно, одно и тоже. А потом шлёп и социальный рейтинг ввели и ты уже нигде и никогда ни пёрднуть в обществе не сможешь, ни вздохнуть глубоко в кругу своих, потому что у всех в кармане Алиса слушает, не ну а чо, подумаешь - сказал чего лишнего и тебе агрегаторы уже не продают билеты, ибо рейтинг твой говно. Бояться нечего.

0
Матвей Софьин

PP, а это, кстати, хороший вопрос. Зачем нужна приватность? И что такого, что государство или корпорации следят за нами и собирают огромные объемы данных. Ну заработают корпорации деньги на рекламе, да и все, что такого?. А государства бояться не надо. Я же честный гражданин, да?
Но это сейчас. А потом вылезет какая-нибудь фраза из переписки, вырванная из контекста, и пришьется к делу в суде. Или фотка ребенка для врача с легкой подачи прокура превратиться в дело о детской порнографии.

0
PP
Герой Т—Ж

Матвей, я вас умоляю. Если кому-то нужен будет компромат, это дело сделают очень просто и быстро. И никак ты от этого не убережешься. КОмпромат и огульные обвинения были абсолютно всегда. И будут.

0
Матвей Софьин
Отредактировано

Если вдруг кого-то заинтересовала тема приватности и слежки, то рекомендую книгу Кевина Митника "Искусство быть невидимым" и документальный фильм N+1: "Ничего личного"

0
Jane Preobrazhenskaya

А как лучше поступить со старым телефоном (айфон 4), который не включается? Ремонтировать его экономически нет никакого смысла, но на нем установлены приложения банков и проч., и не знаю что делать с ним

0
Сергей

Да, всегда есть категория людей, которые вообще не прочь выставить на показ любую часть своей жизни, и это в чем то переходит в тренд. Но я такого мнения, рекламодателям нужна информация о привычках пользователей, о чем говорят и что покупают, но пусть они собирают эту информацию с других людей, мне не к чему смски от магазинов, мимо которых я прохожу. Уже несколько лет назад взял за привычку отключать голосовой поиск, отслеживание гео, да и вообще отключаю половину предустановленных приложений на телефоне, типа fasebook. Конечно, часть информации все равно передается с моих устройств, но количество этой информации минимизировано, просто по тому, что считаю что любой человек не обязан делиться информацией о своих привычках и тематики разговора с неизвестными рекламодателями и иными лицами, умыслы которых могут быть не обязательно благоприятны. Разные люди, разные взгляды, спорить об этом по сути безполезно.

0

Сообщество

Лучшее за неделю