Как сохранить конфиденциальность в интернете: 8 вопросов специалисту по кибербезопасности
Отвечает эксперт по безопасности приложений Омар Ганиев
Разбираемся, как безопасно сидеть в интернете: так, чтобы о вас не узнали лишнего, а вредоносные программы не украли все пароли.
Эксперт по оценке безопасности и основатель компании DeteAct Омар Ганиев рассказал о тонкостях менеджеров паролей, блокировщиков рекламы и Tor и поделился советом, как стать успешным пентестером — человеком, который профессионально проверяет сайты и приложения «на прочность».
Как удалить приватную информацию о себе из интернета?
Есть ощущение, что в различных телеграм-ботах и других неофициальных сервисах рунета и даркнета уже можно купить персональные данные о твоем месте жительства, поездках, покупках и так далее. Несмотря на довольно мирный образ жизни, очень хочется иметь определенную приватность. Подскажите, какие шаги должен предпринять среднестатистический пользователь рунета, использующий социальные сети и онлайн-сервисы, чтобы обезопасить себя и свои персональные данные?
К сожалению, повлиять на уровень коррупции в госорганах и операторах связи, сотрудники которых продают или теряют персональные данные, довольно тяжело. Для начала стоит хотя бы понять, насколько жирный у вас цифровой след: пройтись по тем же телеграм-ботам, где можно узнать информацию о человеке, и посмотреть, что там реально найти про вас самих.
Далее — попытайтесь зачистить какие-то из этих следов. Например, можно официально попросить удалить информацию о своем номере из GetContact и некоторых сервисов «пробива».
Очень много информации доступно даже без покупки каких-то баз, а просто средствами разведки по открытым источникам — OSINT. Погуглите, что можно найти про вас по всем вашим номерам телефонов, никнеймам, электронной почте. Посмотрите, были ли ваши аккаунты в утечках. Namechk позволяет по имени пользователя найти зарегистрированные аккаунты. Возможно, 10 лет назад вы где-то зарегистрировались, выложили что-то приватное и забыли.
Еще стоит изменить настройки конфиденциальности в социальных сетях и мессенджерах: запретить поиск по номеру телефона, индексирование профилей поисковыми системами, минимизировать доступную «недрузьям» информацию и так далее.
Безопасна ли авторизация по короткому паролю, как в приложениях мобильных банков?
Насколько безопасна популярная схема авторизации по короткому паролю — например, в мобильных приложениях банков? Если злоумышленники получат доступ к телефону и скопируют данные, они смогут получить настоящий пароль или токен авторизации? Или такие секреты хранятся внутри устройства на каком-то особом безопасном чипе?
Модель угроз, в которой ваш телефон оказался в руках злоумышленников, вообще не очень приятная. Слишком много разных возможностей открывается. Почти наверняка можно скопировать зашифрованный токен, если он вообще зашифрован, и провести офлайн-атаку — после чего аутентифицироваться в банке. Если же говорить об онлайн-аутентификации по короткому коду, там тоже часто бывают проблемы на стороне сервера. Мы даже как-то писали про типичные ошибки реализации такого механизма.
Безопасны ли менеджеры паролей?
Насколько безопасны менеджеры паролей типа Bitwarden или встроенного от Эпла? Возможно ли, имея доступ к компьютеру, расшифровать данные менеджеров — ведь они хранятся локально и онлайн? Или все-таки лучше использовать старый добрый блокнот?
Думаю, что для подавляющего большинства пользователей будет достаточно того уровня защищенности и удобства, который предоставляют платформенные менеджеры паролей вроде Google Chrome или Apple Keychain.
Пароли зашифрованы ключом, генерируемым в том числе из пароля от устройства, так что совсем простыми методами из выключенного — или даже спящего — компьютера их не вытащить даже с наличием физического доступа.
Примерно то же самое справедливо для популярных сторонних менеджеров паролей, но новичкам я рекомендую не усложнять себе жизнь и начать пользоваться платформенными менеджерами — вместо запоминания и клавиатурных сочетаний.
Но надо понимать, что все сильно зависит от вашей модели угроз: для большинства парольные менеджеры — это защита от простых или словарных паролей, от повторного их использования и других простейших ошибок.
Если же в вашей модели угроз спецслужбы или иные хорошо подготовленные соперники, лучше использовать наиболее параноидальные варианты — такие, как консольный менеджер паролей Pass без синхронизации.
Можно ли доверять Kaspersky Password Manager?
Стоит ли доверять хранилищу в Kaspersky Password Manager? Есть ли какие-то основания считать, что их софт скомпрометирован нашими спецслужбами? Или это конспирология? Самих спецслужб я не очень боюсь, но если ключи есть у них, то потенциально есть у всех.
С этим менеджером паролей все куда хуже: он изначально ужасно написан. В июле вышла статья, в которой рассказано, какие там были уязвимости, — и это уровень студентов, которые впервые пишут курсовую по криптографии.
Например, в качестве «случайного» элемента для генерации паролей использовалось текущее время в секундах. Поэтому у всех, кто сгенерировал пароль с заданными параметрами — длиной, алфавитом — в одну и ту же секунду, он был одинаковым. И зная хотя бы примерно, когда пользователь сгенерировал пароль, его можно было подобрать.
Уязвимость уже исправили
По словам «Лаборатории Касперского», алгоритм генерации паролей переработали. Исследователи кибербезопасности нашли уязвимость в 2019 году, но известно о ней стало уже после того, как ее исправили.
Что лучше: облачные парольницы или Open Source?
Есть необходимость использовать массу паролей на различных устройствах — а для такого нужна облачная парольница. Это уже несколько напрягает, так как чувствительные данные находятся у третьих лиц, а у них тоже могут быть проблемы с безопасностью. Безопаснее ли будет выбрать Open Source решение для облачного хранилища и поднять собственный сервер с ним? Что лучше выбрать? Знаю, наивно думать, что сам справишься лучше, чем команда специалистов, но во всяком случае сам свои пароли никуда специально не будешь сливать.
Я бы рекомендовал начинать с платформенных менеджеров паролей: Apple Keychain, Google Chrome. Если не хватает их удобства для ваших нужд, можно воспользоваться каким-то популярным облачным решением — таким, как 1Password. Можете, конечно, развернуть свой сервер, например Bitwarden, если вы понимаете, как правильно это сделать.
Нужно ли использовать Tor вместе с VPN?
Нужно ли при использовании Tor пользоваться также и VPN? Чтобы даже держатель узла не мог вас вычислить.
Да. В стандартной схеме Tor, если входной и выходной узел контролирует соперник, конфиденциальность клиента нарушается полностью. Что логично: можно сопоставить входящий трафик выходной ноды и исходящий трафик входной ноды. С другой стороны, контролировать узлы тогда будет конкретная организация, а не все подряд. Так что вопрос в том, от кого вы прячетесь, какова ваша модель угроз и нарушителя.
Сколько платят пентестерам — людям, проверяющим системы на уязвимость?
Какая зарплатная вилка у таких спецов? Какое направление пентестинга самое востребованное и высокооплачиваемое?
Думаю, что рынок примерно как у разработчиков, но с меньшей дисперсией, поскольку людей меньше. У джунов ставка где-то в диапазоне 50—100 тысяч, у разных сортов мидлов — 100—190 тысяч, у сеньоров — от 200 тысяч, но это очень индивидуально. Не слышал, чтоб у кого-то из пентестеров в России была зарплата выше 600 тысяч рублей. Про направления трудно сказать. Мне кажется, соотношение спроса на навыки пентеста инфраструктуры и приложений недалеко от 50/50.
Как самому стать пентестером?
Есть ли достойные курсы по пентесту? Если нет, то как лучше изучать эту тему теоретически и практически?
Думаю, лучший конкретно-практический совет такой: если хочется заниматься инфраструктурным пентестом, то решать таски на Hack the Box. Если хочется заниматься веб-пентестом, то пройти лабы PortSwigger.
