Разбираемся, как безопасно сидеть в интернете: так, чтобы о вас не узнали лишнего, а вредоносные программы не украли все пароли.
Эксперт по оценке безопасности и основатель компании DeteAct Омар Ганиев рассказал о тонкостях менеджеров паролей, блокировщиков рекламы и Tor и поделился советом, как стать успешным пентестером — человеком, который профессионально проверяет сайты и приложения «на прочность».
Как удалить приватную информацию о себе из интернета?
Есть ощущение, что в различных телеграм-ботах и других неофициальных сервисах рунета и даркнета уже можно купить персональные данные о твоем месте жительства, поездках, покупках и так далее. Несмотря на довольно мирный образ жизни, очень хочется иметь определенную приватность. Подскажите, какие шаги должен предпринять среднестатистический пользователь рунета, использующий социальные сети и онлайн-сервисы, чтобы обезопасить себя и свои персональные данные?
К сожалению, повлиять на уровень коррупции в госорганах и операторах связи, сотрудники которых продают или теряют персональные данные, довольно тяжело. Для начала стоит хотя бы понять, насколько жирный у вас цифровой след: пройтись по тем же телеграм-ботам, где можно узнать информацию о человеке, и посмотреть, что там реально найти про вас самих.
Далее — попытайтесь зачистить какие-то из этих следов. Например, можно официально попросить удалить информацию о своем номере из GetContact и некоторых сервисов «пробива».
Очень много информации доступно даже без покупки каких-то баз, а просто средствами разведки по открытым источникам — OSINT. Погуглите, что можно найти про вас по всем вашим номерам телефонов, никнеймам, электронной почте. Посмотрите, были ли ваши аккаунты в утечках. Namechk позволяет по имени пользователя найти зарегистрированные аккаунты. Возможно, 10 лет назад вы где-то зарегистрировались, выложили что-то приватное и забыли.
Еще стоит изменить настройки конфиденциальности в социальных сетях и мессенджерах: запретить поиск по номеру телефона, индексирование профилей поисковыми системами, минимизировать доступную «недрузьям» информацию и так далее.
Безопасна ли авторизация по короткому паролю, как в приложениях мобильных банков?
Насколько безопасна популярная схема авторизации по короткому паролю — например, в мобильных приложениях банков? Если злоумышленники получат доступ к телефону и скопируют данные, они смогут получить настоящий пароль или токен авторизации? Или такие секреты хранятся внутри устройства на каком-то особом безопасном чипе?
Модель угроз, в которой ваш телефон оказался в руках злоумышленников, вообще не очень приятная. Слишком много разных возможностей открывается. Почти наверняка можно скопировать зашифрованный токен, если он вообще зашифрован, и провести офлайн-атаку — после чего аутентифицироваться в банке. Если же говорить об онлайн-аутентификации по короткому коду, там тоже часто бывают проблемы на стороне сервера. Мы даже как-то писали про типичные ошибки реализации такого механизма.
Безопасны ли менеджеры паролей?
Насколько безопасны менеджеры паролей типа Bitwarden или встроенного от Эпла? Возможно ли, имея доступ к компьютеру, расшифровать данные менеджеров — ведь они хранятся локально и онлайн? Или все-таки лучше использовать старый добрый блокнот?
Думаю, что для подавляющего большинства пользователей будет достаточно того уровня защищенности и удобства, который предоставляют платформенные менеджеры паролей вроде Google Chrome или Apple Keychain.
Пароли зашифрованы ключом, генерируемым в том числе из пароля от устройства, так что совсем простыми методами из выключенного — или даже спящего — компьютера их не вытащить даже с наличием физического доступа.
Примерно то же самое справедливо для популярных сторонних менеджеров паролей, но новичкам я рекомендую не усложнять себе жизнь и начать пользоваться платформенными менеджерами — вместо запоминания и клавиатурных сочетаний.
Но надо понимать, что все сильно зависит от вашей модели угроз: для большинства парольные менеджеры — это защита от простых или словарных паролей, от повторного их использования и других простейших ошибок.
Если же в вашей модели угроз спецслужбы или иные хорошо подготовленные соперники, лучше использовать наиболее параноидальные варианты — такие, как консольный менеджер паролей Pass без синхронизации.
Можно ли доверять Kaspersky Password Manager?
Стоит ли доверять хранилищу в Kaspersky Password Manager? Есть ли какие-то основания считать, что их софт скомпрометирован нашими спецслужбами? Или это конспирология? Самих спецслужб я не очень боюсь, но если ключи есть у них, то потенциально есть у всех.
С этим менеджером паролей все куда хуже: он изначально ужасно написан. В июле вышла статья, в которой рассказано, какие там были уязвимости, — и это уровень студентов, которые впервые пишут курсовую по криптографии.
Например, в качестве «случайного» элемента для генерации паролей использовалось текущее время в секундах. Поэтому у всех, кто сгенерировал пароль с заданными параметрами — длиной, алфавитом — в одну и ту же секунду, он был одинаковым. И зная хотя бы примерно, когда пользователь сгенерировал пароль, его можно было подобрать.
Уязвимость уже исправили
По словам «Лаборатории Касперского», алгоритм генерации паролей переработали. Исследователи кибербезопасности нашли уязвимость в 2019 году, но известно о ней стало уже после того, как ее исправили.
Что лучше: облачные парольницы или Open Source?
Есть необходимость использовать массу паролей на различных устройствах — а для такого нужна облачная парольница. Это уже несколько напрягает, так как чувствительные данные находятся у третьих лиц, а у них тоже могут быть проблемы с безопасностью. Безопаснее ли будет выбрать Open Source решение для облачного хранилища и поднять собственный сервер с ним? Что лучше выбрать? Знаю, наивно думать, что сам справишься лучше, чем команда специалистов, но во всяком случае сам свои пароли никуда специально не будешь сливать.
Я бы рекомендовал начинать с платформенных менеджеров паролей: Apple Keychain, Google Chrome. Если не хватает их удобства для ваших нужд, можно воспользоваться каким-то популярным облачным решением — таким, как 1Password. Можете, конечно, развернуть свой сервер, например Bitwarden, если вы понимаете, как правильно это сделать.
Нужно ли использовать Tor вместе с VPN?
Нужно ли при использовании Tor пользоваться также и VPN? Чтобы даже держатель узла не мог вас вычислить.
Да. В стандартной схеме Tor, если входной и выходной узел контролирует соперник, конфиденциальность клиента нарушается полностью. Что логично: можно сопоставить входящий трафик выходной ноды и исходящий трафик входной ноды. С другой стороны, контролировать узлы тогда будет конкретная организация, а не все подряд. Так что вопрос в том, от кого вы прячетесь, какова ваша модель угроз и нарушителя.
Сколько платят пентестерам — людям, проверяющим системы на уязвимость?
Какая зарплатная вилка у таких спецов? Какое направление пентестинга самое востребованное и высокооплачиваемое?
Думаю, что рынок примерно как у разработчиков, но с меньшей дисперсией, поскольку людей меньше. У джунов ставка где-то в диапазоне 50—100 тысяч, у разных сортов мидлов — 100—190 тысяч, у сеньоров — от 200 тысяч, но это очень индивидуально. Не слышал, чтоб у кого-то из пентестеров в России была зарплата выше 600 тысяч рублей. Про направления трудно сказать. Мне кажется, соотношение спроса на навыки пентеста инфраструктуры и приложений недалеко от 50/50.
Как самому стать пентестером?
Есть ли достойные курсы по пентесту? Если нет, то как лучше изучать эту тему теоретически и практически?
Думаю, лучший конкретно-практический совет такой: если хочется заниматься инфраструктурным пентестом, то решать таски на Hack the Box. Если хочется заниматься веб-пентестом, то пройти лабы PortSwigger.
«повлиять на уровень коррупции в госорганах и операторах связи, сотрудники которых продают или теряют персональные данные, довольно тяжело»
Всё, что нужно знать о приватности ваших ПДН в РФ.
Довольно тяжело — неподходящий эпитет. На текущий момент это невозможно без риска для свободы и здоровья.
Использую для паролей Bitwarden - опенсорс, синхронизация между устройствами, бесплатно. Раньше пользовался Key pass, но без синхронизации неудобно. Менеджер паролей - это сейчас такая же базовая потребность организма, как воздух, им должны пользоваться абсолютно все. Времена одинаковых паролей ушли безвозвратно. Если у вас есть что украсть - это обязательно украдут, если у вас одинаковые пароли. Будь то страница в соцсети или деньги в банке. А менеджер паролей позволяет иметь сложные разные пароли и не запоминать их.
Касперский лучше не использовать. И не только из-за качества (Гугл в помощь).
Прежде, чем где-то оставить свои данные, подумайте, нужно ли вам это. У меня волосы дыбом встали, когда прочёл договор одного из каршерингов. Но каждый день вижу его пользователей. А потом люди удивляются, что у них что-то украли или где-то подставили.
Ещё меня удивляют люди, которые везде оставляют настоящие имена и телефоны.
Иван, Всю жизнь оставляю реальные имена телефоны и прочее) Просто надо чтобы башка работала)
Никита, гуглите Ошибку выжившего ;)
Иван, Может и так хз)
Иван, делимобиль ? )
Марко, нет, белка. Но про этих тоже наслышан. И, подозреваю, у всех примерно то же. Но никто эти договоры не читает. Сдать биометрию, сканы паспортов, фотки и видео с паспортом, просто чтобы пользоваться каршерингом - я бы подумал, что меня разыгрывают, если бы не все эти люди вокруг меня, которые этим пользуются.
Иван, я как-то попытался в Минске установить приложение для оплаты ОТ. Казалось бы, что может быть проще? (Tix тогда был совсем кривой и сырой). У меня паспорт российский. Захотели данные паспортные... ну ок, получите. Оказалось - мало. На след. день позвонили, сказали что еще нужен загранпаспорт, данные орегистрации по месту жительства, биометрия(!). Всего лишь, чтобы проезд в автобусе оплачивать не талончиком бумажным. Очень удивились, сказали что я первый кто послал их лесом с такими запросами.
Vladimir, так и есть. Почему-то люди считают, что противодействие неугодной им власти - это по митингам ходить. А на талончики от фоток с паспортом до размера члена всё отдать - да пожалуйста.
Viktor, если вы надеялись узнать, как безопасно хранить коды запусков от ядерных ракет - вы не по адресу!
Egor, понимаю ваш сарказм. Но хотелось бы увидеть текст, который соответствует статье. Автор даже не потрудился, по большому счету. Вот каким боком пентестер относится к тому, как я могу сохранить свои данные?
Первый вопрос - еще куда ни шло. Почему не подняли банальную тему как защитить данные на телефоне или ноутбуке, которые довольно легко украсть. Ну или как предусмотреть, что твои данные могут утечь и что можно сделать в рамках закона. Еще хотелось бы узнать, на какие законы можно сослаться, чтобы потребовать удалить ПД у любого оператора.
Или, хотите сказать, это неактуально? Что большинство людекй чаще использует в жизни - карту скидок условной Пятерочки или мониторит зарплаты пентестеров?
Так что ваш сарказм не уместен, если вы не видите проблему - не значит, что ее нет. А так сказочно просрать возможность получить ответы у реального эксперта - это надо умудриться!
Иван, вовремя класть трубку поздно, надо чтобы звонок блокировался сразу. Себе и всем родственникам поставить Yet Another Call Blocker! Конечно всегда есть вероятность что позвонят с нового номера, но известные номера резать не помешает.
Григорий, ничего не поздно. При должной сноровке и развитии интеллекта никакие звонки не страшны. Я вообще люблю с жульем и проходимцами болтать, т.к. изучаю их новые схемы по долгу службы.
Иван, один чел вон тоже наболтал. Потом из его записи скомпилировали что надо и скормили оператору. Баян конечно, пугалка из интернета, но я на всякий случай всё же ни с кем не болтаю. Даже здороваться переучился на "Слушаю!", ибо "Да!" может выйти боком.
Александр, всё ещё проще. Нужно всего лишь никуда не сдавать свою биометрию. Никакую. Вообще. Никуда. Никогда. А то люди вначале дакают в сбере да глазами в перекрёстке платят, а потом оказывается, что у них последнюю 1000 с карты спёрли.
Александр, это оправданные действия. Сделать легко, призрачный риск предотвращен. Все нормально.
Kyle, смысл в том, что заголовок статьи и ее содержание говорят о разном. Если бы я имел столь широкие познания, как у эксперта статьи, а он реально крутой эксперт, написал бы. Но увы, пока могу только собирать по крупицам нужную информацию. И, в частности, зашел в эту статью, чтобы найти ответы.
Насколько серьезно утекают адреса доставки из российских (и китайских) интернет-магазинов и прочих курьерских штук?
Григорий, утекает всё отовсюду. Всё, что вы можете сделать тут - это по возможности не давать, вместе с настоящим адресом, настоящее имя и не светить телефоны, куда привязан банк, где-то ещё, в том числе в доставках.
> Namechk позволяет по имени пользователя найти зарегистрированные аккаунты.
А зачем здесь поиск по доменным именам?
Михаил, там ниже на странице ещё поиск по разным сервисам
Kyle, надо
Насколько безопасно хранить данные на облачных сервисах (мэил, Гугл, Яндекс)?