AMA
17K

Как сохранить конфиденциальность в интернете: 8 вопросов специалисту по кибербезопасности

Отвечает эксперт по безопасности приложений Омар Ганиев
31
Аватар автора

Ефим Гугнин

выбирал вопросы

Страница автора
Аватар автора

Омар Ганиев

специалист по кибербезопасности

Страница автора

Разбираемся, как безопасно сидеть в интернете: так, чтобы о вас не узнали лишнего, а вредоносные программы не украли все пароли.

Эксперт по оценке безопасности и основатель компании DeteAct Омар Ганиев рассказал о тонкостях менеджеров паролей, блокировщиков рекламы и Tor и поделился советом, как стать успешным пентестером — человеком, который профессионально проверяет сайты и приложения «на прочность».

Лейбл заголовка

Как удалить приватную информацию о себе из интернета?

Аватар автора

Денис

не хочет, чтобы о нем знали слишком много

Страница автора

Есть ощущение, что в различных телеграм-ботах и других неофициальных сервисах рунета и даркнета уже можно купить персональные данные о твоем месте жительства, поездках, покупках и так далее. Несмотря на довольно мирный образ жизни, очень хочется иметь определенную приватность. Подскажите, какие шаги должен предпринять среднестатистический пользователь рунета, использующий социальные сети и онлайн-сервисы, чтобы обезопасить себя и свои персональные данные?

К сожалению, повлиять на уровень коррупции в госорганах и операторах связи, сотрудники которых продают или теряют персональные данные, довольно тяжело. Для начала стоит хотя бы понять, насколько жирный у вас цифровой след: пройтись по тем же телеграм-ботам, где можно узнать информацию о человеке, и посмотреть, что там реально найти про вас самих.

Далее — попытайтесь зачистить какие-то из этих следов. Например, можно официально попросить удалить информацию о своем номере из GetContact и некоторых сервисов «пробива».

Очень много информации доступно даже без покупки каких-то баз, а просто средствами разведки по открытым источникам — OSINT. Погуглите, что можно найти про вас по всем вашим номерам телефонов, никнеймам, электронной почте. Посмотрите, были ли ваши аккаунты в утечках. Namechk позволяет по имени пользователя найти зарегистрированные аккаунты. Возможно, 10 лет назад вы где-то зарегистрировались, выложили что-то приватное и забыли.

Еще стоит изменить настройки конфиденциальности в социальных сетях и мессенджерах: запретить поиск по номеру телефона, индексирование профилей поисковыми системами, минимизировать доступную «недрузьям» информацию и так далее.

Лейбл заголовка

Безопасна ли авторизация по короткому паролю, как в приложениях мобильных банков?

Аватар автора

Alex Diener

беспокоится за свой банковский счет

Страница автора

Насколько безопасна популярная схема авторизации по короткому паролю — например, в мобильных приложениях банков? Если злоумышленники получат доступ к телефону и скопируют данные, они смогут получить настоящий пароль или токен авторизации? Или такие секреты хранятся внутри устройства на каком-то особом безопасном чипе?

Модель угроз, в которой ваш телефон оказался в руках злоумышленников, вообще не очень приятная. Слишком много разных возможностей открывается. Почти наверняка можно скопировать зашифрованный токен, если он вообще зашифрован, и провести офлайн-атаку — после чего аутентифицироваться в банке. Если же говорить об онлайн-аутентификации по короткому коду, там тоже часто бывают проблемы на стороне сервера. Мы даже как-то писали про типичные ошибки реализации такого механизма.

Лейбл заголовка

Безопасны ли менеджеры паролей?

Аватар автора

Домашний лисёнок

бережно относится к паролям

Страница автора

Насколько безопасны менеджеры паролей типа Bitwarden или встроенного от Эпла? Возможно ли, имея доступ к компьютеру, расшифровать данные менеджеров — ведь они хранятся локально и онлайн? Или все-таки лучше использовать старый добрый блокнот?

Думаю, что для подавляющего большинства пользователей будет достаточно того уровня защищенности и удобства, который предоставляют платформенные менеджеры паролей вроде Google Chrome или Apple Keychain.

Пароли зашифрованы ключом, генерируемым в том числе из пароля от устройства, так что совсем простыми методами из выключенного — или даже спящего — компьютера их не вытащить даже с наличием физического доступа.

Примерно то же самое справедливо для популярных сторонних менеджеров паролей, но новичкам я рекомендую не усложнять себе жизнь и начать пользоваться платформенными менеджерами — вместо запоминания и клавиатурных сочетаний.

Но надо понимать, что все сильно зависит от вашей модели угроз: для большинства парольные менеджеры — это защита от простых или словарных паролей, от повторного их использования и других простейших ошибок.

Если же в вашей модели угроз спецслужбы или иные хорошо подготовленные соперники, лучше использовать наиболее параноидальные варианты — такие, как консольный менеджер паролей Pass без синхронизации.

Лейбл заголовка

Можно ли доверять Kaspersky Password Manager?

Аватар автора

Dmitry Koryas

не доверяет никому

Страница автора

Стоит ли доверять хранилищу в Kaspersky Password Manager? Есть ли какие-то основания считать, что их софт скомпрометирован нашими спецслужбами? Или это конспирология? Самих спецслужб я не очень боюсь, но если ключи есть у них, то потенциально есть у всех.

С этим менеджером паролей все куда хуже: он изначально ужасно написан. В июле вышла статья, в которой рассказано, какие там были уязвимости, — и это уровень студентов, которые впервые пишут курсовую по криптографии.

Например, в качестве «случайного» элемента для генерации паролей использовалось текущее время в секундах. Поэтому у всех, кто сгенерировал пароль с заданными параметрами — длиной, алфавитом — в одну и ту же секунду, он был одинаковым. И зная хотя бы примерно, когда пользователь сгенерировал пароль, его можно было подобрать.

Уязвимость уже исправили

По словам «Лаборатории Касперского», алгоритм генерации паролей переработали. Исследователи кибербезопасности нашли уязвимость в 2019 году, но известно о ней стало уже после того, как ее исправили.

Лейбл заголовка

Что лучше: облачные парольницы или Open Source?

Аватар автора

Sergey Shubin

думает, куда спрятать пароли

Страница автора

Есть необходимость использовать массу паролей на различных устройствах — а для такого нужна облачная парольница. Это уже несколько напрягает, так как чувствительные данные находятся у третьих лиц, а у них тоже могут быть проблемы с безопасностью. Безопаснее ли будет выбрать Open Source решение для облачного хранилища и поднять собственный сервер с ним? Что лучше выбрать? Знаю, наивно думать, что сам справишься лучше, чем команда специалистов, но во всяком случае сам свои пароли никуда специально не будешь сливать.

Я бы рекомендовал начинать с платформенных менеджеров паролей: Apple Keychain, Google Chrome. Если не хватает их удобства для ваших нужд, можно воспользоваться каким-то популярным облачным решением — таким, как 1Password. Можете, конечно, развернуть свой сервер, например Bitwarden, если вы понимаете, как правильно это сделать.

Лейбл заголовка

Нужно ли использовать Tor вместе с VPN?

Аватар автора

Дима Номоканов

считает, что безопасности много не бывает

Страница автора

Нужно ли при использовании Tor пользоваться также и VPN? Чтобы даже держатель узла не мог вас вычислить.

Да. В стандартной схеме Tor, если входной и выходной узел контролирует соперник, конфиденциальность клиента нарушается полностью. Что логично: можно сопоставить входящий трафик выходной ноды и исходящий трафик входной ноды. С другой стороны, контролировать узлы тогда будет конкретная организация, а не все подряд. Так что вопрос в том, от кого вы прячетесь, какова ваша модель угроз и нарушителя.

Лейбл заголовка

Сколько платят пентестерам — людям, проверяющим системы на уязвимость?

Аватар автора

Александр Побожий

рассматривает новые вакансии

Страница автора

Какая зарплатная вилка у таких спецов? Какое направление пентестинга самое востребованное и высокооплачиваемое?

Думаю, что рынок примерно как у разработчиков, но с меньшей дисперсией, поскольку людей меньше. У джунов ставка где-то в диапазоне 50—100 тысяч, у разных сортов мидлов — 100—190 тысяч, у сеньоров — от 200 тысяч, но это очень индивидуально. Не слышал, чтоб у кого-то из пентестеров в России была зарплата выше 600 тысяч рублей. Про направления трудно сказать. Мне кажется, соотношение спроса на навыки пентеста инфраструктуры и приложений недалеко от 50/50.

Лейбл заголовка

Как самому стать пентестером?

Аватар автора

Georgii Rusanov

хочет научиться пентесту

Страница автора

Есть ли достойные курсы по пентесту? Если нет, то как лучше изучать эту тему теоретически и практически?

Думаю, лучший конкретно-практический совет такой: если хочется заниматься инфраструктурным пентестом, то решать таски на Hack the Box. Если хочется заниматься веб-пентестом, то пройти лабы PortSwigger.

Ефим ГугнинРасскажите, как вы обеспечиваете себе безопасность в сети? И сильно ли волнуетесь насчет приватности в интернете?
  • Никита Попков«повлиять на уровень коррупции в госорганах и операторах связи, сотрудники которых продают или теряют персональные данные, довольно тяжело» Всё, что нужно знать о приватности ваших ПДН в РФ. Довольно тяжело — неподходящий эпитет. На текущий момент это невозможно без риска для свободы и здоровья.21
  • Egor KViktor, если вы надеялись узнать, как безопасно хранить коды запусков от ядерных ракет - вы не по адресу!7
  • Иван Иваныч ИвановИспользую для паролей Bitwarden - опенсорс, синхронизация между устройствами, бесплатно. Раньше пользовался Key pass, но без синхронизации неудобно. Менеджер паролей - это сейчас такая же базовая потребность организма, как воздух, им должны пользоваться абсолютно все. Времена одинаковых паролей ушли безвозвратно. Если у вас есть что украсть - это обязательно украдут, если у вас одинаковые пароли. Будь то страница в соцсети или деньги в банке. А менеджер паролей позволяет иметь сложные разные пароли и не запоминать их. Касперский лучше не использовать. И не только из-за качества (Гугл в помощь). Прежде, чем где-то оставить свои данные, подумайте, нужно ли вам это. У меня волосы дыбом встали, когда прочёл договор одного из каршерингов. Но каждый день вижу его пользователей. А потом люди удивляются, что у них что-то украли или где-то подставили. Ещё меня удивляют люди, которые везде оставляют настоящие имена и телефоны.7
  • 13
  • АлёшенькаИван, делимобиль ? )0
  • Слава УкраинеНасколько серьезно утекают адреса доставки из российских (и китайских) интернет-магазинов и прочих курьерских штук?0
  • Слава УкраинеИван, вовремя класть трубку поздно, надо чтобы звонок блокировался сразу. Себе и всем родственникам поставить Yet Another Call Blocker! Конечно всегда есть вероятность что позвонят с нового номера, но известные номера резать не помешает.1
  • Иван Иваныч ИвановМарко, нет, белка. Но про этих тоже наслышан. И, подозреваю, у всех примерно то же. Но никто эти договоры не читает. Сдать биометрию, сканы паспортов, фотки и видео с паспортом, просто чтобы пользоваться каршерингом - я бы подумал, что меня разыгрывают, если бы не все эти люди вокруг меня, которые этим пользуются.0
  • Михаил Шардин> Namechk позволяет по имени пользователя найти зарегистрированные аккаунты. А зачем здесь поиск по доменным именам?0
  • Иван ЧерновГригорий, ничего не поздно. При должной сноровке и развитии интеллекта никакие звонки не страшны. Я вообще люблю с жульем и проходимцами болтать, т.к. изучаю их новые схемы по долгу службы.4
  • АлександрИван, один чел вон тоже наболтал. Потом из его записи скомпилировали что надо и скормили оператору. Баян конечно, пугалка из интернета, но я на всякий случай всё же ни с кем не болтаю. Даже здороваться переучился на "Слушаю!", ибо "Да!" может выйти боком.10
  • Иван ЧерновАлександр, это оправданные действия. Сделать легко, призрачный риск предотвращен. Все нормально.0
  • ЖукИван, Всю жизнь оставляю реальные имена телефоны и прочее) Просто надо чтобы башка работала)2
  • Vladimir VatrušinИван, я как-то попытался в Минске установить приложение для оплаты ОТ. Казалось бы, что может быть проще? (Tix тогда был совсем кривой и сырой). У меня паспорт российский. Захотели данные паспортные... ну ок, получите. Оказалось - мало. На след. день позвонили, сказали что еще нужен загранпаспорт, данные орегистрации по месту жительства, биометрия(!). Всего лишь, чтобы проезд в автобусе оплачивать не талончиком бумажным. Очень удивились, сказали что я первый кто послал их лесом с такими запросами.3
  • AlexМихаил, там ниже на странице ещё поиск по разным сервисам1
  • Иван Иваныч ИвановНикита, гуглите Ошибку выжившего ;)3
  • ЖукИван, Может и так хз)1
  • Иван Иваныч ИвановVladimir, так и есть. Почему-то люди считают, что противодействие неугодной им власти - это по митингам ходить. А на талончики от фоток с паспортом до размера члена всё отдать - да пожалуйста.2
  • Иван Иваныч ИвановГригорий, утекает всё отовсюду. Всё, что вы можете сделать тут - это по возможности не давать, вместе с настоящим адресом, настоящее имя и не светить телефоны, куда привязан банк, где-то ещё, в том числе в доставках.1
  • Иван Иваныч ИвановАлександр, всё ещё проще. Нужно всего лишь никуда не сдавать свою биометрию. Никакую. Вообще. Никуда. Никогда. А то люди вначале дакают в сбере да глазами в перекрёстке платят, а потом оказывается, что у них последнюю 1000 с карты спёрли.2
  • Аноним АнонимусKyle, надо0
  • Ilya ZНасколько безопасно хранить данные на облачных сервисах (мэил, Гугл, Яндекс)?0
  • АндрейIlya, много лет назад преподаватель по уголовному праву - действующий сотрудник органов, сказал на первом занятии: ребята, никогда не ведите серьезную переписку через почту, созданную на популярных российских сервисах (рамблер, мэйл, яндекс)0
  • РишаМихаил, первое слово английское у вас в комменте-это название приложения?0
  • РишаИван, мфа. Это что?0
  • Михаил ШардинРиша, вроде да. Это из статьи0