AMA
8K

«В современном мире слежка повсеместна»: 8 советов по защите личных данных

Специалист по безопасности приложений Омар Ганиев отвечает на вопросы читателей
22
Аватар автора

Ефим Гугнин

выбирал вопросы

Страница автора
Аватар автора

Омар Ганиев

специалист по кибербезопасности

Страница автора

В 21 веке информация — главная валюта, и ее надо уметь защитить.

Эксперт по безопасности приложений Омар Ганиев объяснил, где хранить пароли, как прятаться от вездесущих камер и какие смартфоны лучше покупать, если заботишься о приватности данных.

Лейбл заголовка

Как при потере симкарты не потерять заодно доступ ко всем счетам?

Аватар автора

Дима К

боится потерять симку

Страница автора

Доступы ко всем счетам и приложениям можно получить, украв симкарту. Что делать с этим? Как защититься?

Действительно, есть такая проблема — причем не только в России, как многие думают. Даже в США известны случаи хищений с перевыпуском симкарты — правда, сначала ее там мигрировали в мексиканского провайдера.

Но замечу, что некоторые сервисы сами сотрудничают с операторами, чтобы выявлять такое. Например, банки могут запретить операции в течение некоторого времени после перевыпуска. Кроме того, многие аккаунты вы можете дополнительно защитить паролем. Это касается аккаунтов, где пароль — второй фактор, в первую очередь в «Телеграме».

У большинства операторов также есть услуга по запрету действий по доверенности, поскольку это самый частый сценарий реализации такой схемы. Но часто в подобных схемах сотрудники оператора находятся в сговоре со злоумышленниками, и тогда они в принципе могут обойти даже такой запрет, рискуя при этом оказаться под следствием.

Еще недавно практически любые действия с правами сотрудника отделения сотовой связи можно было купить на форумах за сущие копейки. Конечно, ситуация на этом рынке меняется — так что, может, сейчас перевыпуск симки уже стал довольно дорогим.

В качестве дополнительной меры можно какие-то аккаунты привязать к номерам зарубежных операторов. Только это должен быть не единственный способ входа в аккаунт, поскольку доступ к номеру можно и потерять.

Лейбл заголовка

Безопасны ли ZIP-архивы?

Аватар автора

Dmitry Koryas

делает архивы внутри архивов

Страница автора

Насколько безопасен запароленный ZIP-архив? А если архив в архиве?

В очень старых реализациях формата ZIP существовала уязвимость, которая позволяла расшифровать содержимое, если известна его часть. В таком случае, пожалуй, архив в архиве был даже менее защищен, поскольку кусок внутреннего архива заведомо известен — по крайней мере, заголовок.

Современные реализации более защищены, но в них нет поддержки шифрования имен файлов, которые есть в RAR, 7z, tar + bcrypt и других. И можно подменить часть файлов внутри архива: если для вас важна целостность, это критично.

В общем, конкретно ZIP — не самый безопасный формат. Но атакующим будет трудно получить содержимое файла в ZIP-архиве, созданном не в легаси-режиме и с хорошим паролем.

Лейбл заголовка

Насколько безопасны современные смартфоны?

Аватар автора

Alex Diener

опасается ремонтировать телефон

Страница автора

Хранятся ли данные на телефоне в зашифрованном виде? Можно ли включить шифрование? Насколько это сейчас хорошо реализовано? Нужно ли как-то защищать загрузчик? Если нет шифрования, то как правильно готовить телефон к передаче в ремонт? Бонусный уровень: что делать, если телефон не включается?

В топовых устройствах падения производительности вы не заметите, потому что данные изначально будут зашифрованы.

Если телефон не включается, при этом на нем без шифрования сохранены чувствительные данные, придется довериться мастерам либо напроситься присутствовать при ремонте. Можно, конечно, попытаться предварительно выпаять память, чтоб потом запаять ее назад, но с такими навыками и упорством вам, скорее всего, и самостоятельный ремонт будет по силам.

На Айфонах все по умолчанию зашифровано, и шифрование обеспечено на аппаратном уровне: чуть подробнее — тут. На Андроиде все зависит от версии и производителя — в Pixel по умолчанию есть шифрование. В настройках в разделе «Безопасность» можно проверить, включено ли шифрование для устройства и для внешних карт.

Лейбл заголовка

Где хранить пароли от бирж?

Аватар автора

Алексей

не знает, куда спрятать деньги

Страница автора

Где хранить приватные ключи, пароли от бирж, чтобы они были под рукой?

Если суммы действительно большие, нужно их держать на «холодном» кошельке, ключ которого имеет смысл разделить и хранить фрагменты — части ключа или multisig-тени — физически на разных континентах. Так делают «киты» вроде Виталика Бутерина или братьев Уинклвоссов.

По отношению же к ключам «горячих» кошельков и тем более паролям от бирж, полагаю, достаточно применять стандартные подходы цифровой гигиены: проявлять бдительность, чтобы не попадаться на фишинг; использовать менеджеры паролей, а лучше — отдельное устройство только для работы с криптовалютами

Лейбл заголовка

Существует ли идеальная защита?

Аватар автора

Александр Побожий

ищет идеал

Страница автора

Были ли в твоей практике и практике твоей компании кейсы, когда ну совершенно ничего не нашлось у заказчика? Прямо идеально выверенные и вылизанные эшелоны защиты?

Нет, такого не бывает, разве что в совсем синтетических условиях — когда дают изолированную систему, в которой почти ничего не доступно. В норме же обязательно находим хотя бы недостатки среднего уровня риска. Но бывает, не получается, что называется, пробить, реализовать интересные угрозы.

Лейбл заголовка

Как спрятаться от камер с распознаванием лица?

Аватар автора

Алёна

не хочет, чтобы за ней следили

Страница автора

Как спастись от детищ NtechLab — камер с распознаванием человека по лицу, походке, одежде и так далее, коими уже вся Москва усеяна?

Можно попытаться реализовать то, что называется adversarial attack, и обмануть нейросетку! Есть даже такие научные работы, вот пример.

А если серьезно, нам придется смириться с тем, что в современном мире слежка повсеместна, и надеяться на то, что хотя бы суммарный эффект этого явления будет положительным. Полагаю, пока он действительно положительный и искореняет преступность в крупных городах. Хотя огромный минус вносит использование технологии для преследования по политическим мотивам.

Лейбл заголовка

TOTP-аутентификаторы или USB-ключи?

Аватар автора

Andre Macareno

подходит к безопасности очень серьезно

Страница автора

Имеет ли смысл переходить с TOTP-аутентификаторов на USB-ключи?

При желании можно перейти на YubiKey, например. Вообще, USB тут — это просто транспорт, он может быть и через NFC, особенно в случае использования протокола WebAuthn. При этом в целом я не вижу большого смысла в массовом использовании USB-ключей. Они добавляют головняка, чтоб их не потерять, при этом защищают от довольно узкой категории атакующих, которые в состоянии удаленно взломать ваш телефон.

Лейбл заголовка

Как максимально обезопасить устройство на Виндоус?

Аватар автора

Alex Diener

оберегает компьютер от хакеров

Страница автора

Какие возможности шифрования данных есть для Виндоус? Безопасен ли BitLocker? Что сделать с устройством с точки зрения защиты перед передачей в ремонт? Если ценность в пароле на bios/UEFI?

BitLocker + TPM — нормальное решение, можно еще дополнительно защитить паролем или пин-кодом, помимо пароля в Виндоус. Восстанавливается по ключу, который создается при настройке шифрования. При этом понятно, что, если компьютер уже включен, потенциально можно применить DMA-атаки (Direct Memory Access), чтобы вытащить данные.

Еще возможна скрытая установка хардварных имплантов — такое любят проделывать с ноутбуками, оставленными в номерах отелей. Но подобные атаки относительно сложные и не массовые.

Пароль для BIOS или UEFI имеет смысл, потому что даже в случаях, когда его можно отломать — например, через отключение питания для некоторых чипов, — это все равно удорожает атаку. Ведь не каждый раз ваш потерянный ноутбук окажется в руках спецслужб. Чаще это будут случайные люди.

Ефим ГугнинА боитесь ли вы постоянной слежки и хакерских атак? Что делаете, чтобы жить в эпоху интернета было хоть чуть-чуть спокойнее?
  • На словах я Лев Толстой– Как обеспечить приватность в интернете? – Никак, тебя уже поимели.11
  • Mikhail SergeevPP, Ну вот представьте себе. Решит высшее руководство страны, что собачки - это зло и их нужно всех переловить и убить. Вы выйдете на ммтинг по защите собачек. А потом вас будут на входе в метро отлавливать и кошмарить. В рамках закона, разумеется. Если вам этот вариант кажется неуместным, применение социальной инженерии ("мама, я попал в аварию, строчно переведи 100 тыс на этот номер") становится крайне эффективной, если атакующий про вас много знает.20
  • superthegМогу посоветовать еще Outline VPN (часть проекта jigsaw.google.com). Сама программа бесплатна, нужен только свой сервер, если его нет, то за несколько кликов можно настроить в каком-нибудь облаке Google, AWS, DO от 5$/mo. При установке сразу прописываются DNS 1.1.1.1 и 9.9.9.9. Помогает держать ваш траффик подальше от глаз провайдера и ББ.1
  • Ivan KolesnikovНасчёт слежки камерами, можно переехать в страну, где существуют серьезные законодательные ограничения на неё. Например, во Франции запрещены системы распознания лиц (во всяком случае на городском уровне). То есть камеры на улице есть, но только в классическом формате, что по ним могут посмотреть записи за последние 3 месяца (gpdr ограничивает сроки хранения) вручную и всё.3
  • Тактика Какая-тоsupertheg, или использовать проверенный OpenVPN0
  • Тактика Какая-тоPP, вы упускаете тот факт, что не все люди так защищены от атак СИ, как вы.0
  • superthegТактика, да, но это сложно, для домохозяек не подойдёт, в outline как раз акцент на простой установке.1
  • Дима КСтатья отвечает как защититься от перевыпуска симки, но не про физическую кражу телефона с ней. Похоже единственное решение - отдельная виртуальная симка esim и запрет уведомлений на заблокированный экран. Тогда вору сначала придется разблокировать телефон.3
  • АлександрPP, что за бред ты несёшь. Приставить к конкретной единице внешнюю слежку чтобы узнать о человеке побольше, или купить пакет данных на 100 человек в дарке разом в один клик и узнать всё о человеке, его соцальных связях, привычках, манере поведения и слабых местах. Действительно, одно и тоже. А потом шлёп и социальный рейтинг ввели и ты уже нигде и никогда ни пёрднуть в обществе не сможешь, ни вздохнуть глубоко в кругу своих, потому что у всех в кармане Алиса слушает, не ну а чо, подумаешь - сказал чего лишнего и тебе агрегаторы уже не продают билеты, ибо рейтинг твой говно. Бояться нечего.0
  • Матвей СофьинДима, и блокировка экрана разными пальцами - разные профили. На случай, если тебя зажали братья и настойчиво просят разблокировать экран, можно разблокировать резервным профилем. Но его тоже надо сделать похожим на основной, только без чувствительных приложений1
  • Матвей СофьинPP, а это, кстати, хороший вопрос. Зачем нужна приватность? И что такого, что государство или корпорации следят за нами и собирают огромные объемы данных. Ну заработают корпорации деньги на рекламе, да и все, что такого?. А государства бояться не надо. Я же честный гражданин, да? Но это сейчас. А потом вылезет какая-нибудь фраза из переписки, вырванная из контекста, и пришьется к делу в суде. Или фотка ребенка для врача с легкой подачи прокура превратиться в дело о детской порнографии.0
  • Матвей СофьинЕсли вдруг кого-то заинтересовала тема приватности и слежки, то рекомендую книгу Кевина Митника "Искусство быть невидимым" и документальный фильм N+1: "Ничего личного"0
  • Pavel KostenkovСамая любопытная тема "скрыться от камер" раскрыта как "смиритесь". 😂👍1
  • ВеленаМатвей, я вас умоляю. Если кому-то нужен будет компромат, это дело сделают очень просто и быстро. И никак ты от этого не убережешься. КОмпромат и огульные обвинения были абсолютно всегда. И будут.0
  • Jane PreobrazhenskayaА как лучше поступить со старым телефоном (айфон 4), который не включается? Ремонтировать его экономически нет никакого смысла, но на нем установлены приложения банков и проч., и не знаю что делать с ним0
  • СергейТехнически пин-код и запрет уведомлений, на Андроиде важного вообще лучше ничего не хранить, который год андроид занимает лидирующее место по найденным уязвимостям0
  • Полина РомановаОтвратительный автор сдохнешь скоро мошенник0