09.11
10K
27

Как сохранить конфиденциальность в интернете: 8 вопросов специалисту по кибербезопасности

Отвечает эксперт по безопасности приложений Омар Ганиев

Как сохранить конфиденциальность в интернете: 8 вопросов специалисту по кибербезопасности

Разбираемся, как безопасно сидеть в интернете: так, чтобы о вас не узнали лишнего, а вредоносные программы не украли все пароли.

Эксперт по оценке безопасности и основатель компании DeteAct Омар Ганиев рассказал о тонкостях менеджеров паролей, блокировщиков рекламы и Tor и поделился советом, как стать успешным пентестером — человеком, который профессионально проверяет сайты и приложения «на прочность».

Как удалить приватную информацию о себе из интернета?

Денис
не хочет, чтобы о нем знали слишком много

Есть ощущение, что в различных телеграм-ботах и других неофициальных сервисах рунета и даркнета уже можно купить персональные данные о твоем месте жительства, поездках, покупках и так далее. Несмотря на довольно мирный образ жизни, очень хочется иметь определенную приватность. Подскажите, какие шаги должен предпринять среднестатистический пользователь рунета, использующий социальные сети и онлайн-сервисы, чтобы обезопасить себя и свои персональные данные?

К сожалению, повлиять на уровень коррупции в госорганах и операторах связи, сотрудники которых продают или теряют персональные данные, довольно тяжело. Для начала стоит хотя бы понять, насколько жирный у вас цифровой след: пройтись по тем же телеграм-ботам, где можно узнать информацию о человеке, и посмотреть, что там реально найти про вас самих.

Далее — попытайтесь зачистить какие-то из этих следов. Например, можно официально попросить удалить информацию о своем номере из GetContact и некоторых сервисов «пробива».

Очень много информации доступно даже без покупки каких-то баз, а просто средствами разведки по открытым источникам — OSINT. Погуглите, что можно найти про вас по всем вашим номерам телефонов, никнеймам, электронной почте. Посмотрите, были ли ваши аккаунты в утечках. Namechk позволяет по имени пользователя найти зарегистрированные аккаунты. Возможно, 10 лет назад вы где-то зарегистрировались, выложили что-то приватное и забыли.

Еще стоит изменить настройки конфиденциальности в социальных сетях и мессенджерах: запретить поиск по номеру телефона, индексирование профилей поисковыми системами, минимизировать доступную «недрузьям» информацию и так далее.

Безопасна ли авторизация по короткому паролю, как в приложениях мобильных банков?

Alex Diener
беспокоится за свой банковский счет

Насколько безопасна популярная схема авторизации по короткому паролю — например, в мобильных приложениях банков? Если злоумышленники получат доступ к телефону и скопируют данные, они смогут получить настоящий пароль или токен авторизации? Или такие секреты хранятся внутри устройства на каком-то особом безопасном чипе?

Модель угроз, в которой ваш телефон оказался в руках злоумышленников, вообще не очень приятная. Слишком много разных возможностей открывается. Почти наверняка можно скопировать зашифрованный токен, если он вообще зашифрован, и провести офлайн-атаку — после чего аутентифицироваться в банке. Если же говорить об онлайн-аутентификации по короткому коду, там тоже часто бывают проблемы на стороне сервера. Мы даже как-то писали про типичные ошибки реализации такого механизма.

Безопасны ли менеджеры паролей?

Домашний лисёнок
бережно относится к паролям

Насколько безопасны менеджеры паролей типа Bitwarden или встроенного от Эпла? Возможно ли, имея доступ к компьютеру, расшифровать данные менеджеров — ведь они хранятся локально и онлайн? Или все-таки лучше использовать старый добрый блокнот?

Думаю, что для подавляющего большинства пользователей будет достаточно того уровня защищенности и удобства, который предоставляют платформенные менеджеры паролей вроде Google Chrome или Apple Keychain.

Пароли зашифрованы ключом, генерируемым в том числе из пароля от устройства, так что совсем простыми методами из выключенного — или даже спящего — компьютера их не вытащить даже с наличием физического доступа.

Примерно то же самое справедливо для популярных сторонних менеджеров паролей, но новичкам я рекомендую не усложнять себе жизнь и начать пользоваться платформенными менеджерами — вместо запоминания и клавиатурных сочетаний.

Но надо понимать, что все сильно зависит от вашей модели угроз: для большинства парольные менеджеры — это защита от простых или словарных паролей, от повторного их использования и других простейших ошибок.

Если же в вашей модели угроз спецслужбы или иные хорошо подготовленные соперники, лучше использовать наиболее параноидальные варианты — такие, как консольный менеджер паролей Pass без синхронизации.

Можно ли доверять Kaspersky Password Manager?

Dmitry Koryas
не доверяет никому

Стоит ли доверять хранилищу в Kaspersky Password Manager? Есть ли какие-то основания считать, что их софт скомпрометирован нашими спецслужбами? Или это конспирология? Самих спецслужб я не очень боюсь, но если ключи есть у них, то потенциально есть у всех.

С этим менеджером паролей все куда хуже: он изначально ужасно написан. В июле вышла статья, в которой рассказано, какие там были уязвимости, — и это уровень студентов, которые впервые пишут курсовую по криптографии.

Например, в качестве «случайного» элемента для генерации паролей использовалось текущее время в секундах. Поэтому у всех, кто сгенерировал пароль с заданными параметрами — длиной, алфавитом — в одну и ту же секунду, он был одинаковым. И зная хотя бы примерно, когда пользователь сгенерировал пароль, его можно было подобрать.

Уязвимость уже исправили

По словам «Лаборатории Касперского», алгоритм генерации паролей переработали. Исследователи кибербезопасности нашли уязвимость в 2019 году, но известно о ней стало уже после того, как ее исправили.

Что лучше: облачные парольницы или Open Source?

Sergey Shubin
думает, куда спрятать пароли

Есть необходимость использовать массу паролей на различных устройствах — а для такого нужна облачная парольница. Это уже несколько напрягает, так как чувствительные данные находятся у третьих лиц, а у них тоже могут быть проблемы с безопасностью. Безопаснее ли будет выбрать Open Source решение для облачного хранилища и поднять собственный сервер с ним? Что лучше выбрать? Знаю, наивно думать, что сам справишься лучше, чем команда специалистов, но во всяком случае сам свои пароли никуда специально не будешь сливать.

Я бы рекомендовал начинать с платформенных менеджеров паролей: Apple Keychain, Google Chrome. Если не хватает их удобства для ваших нужд, можно воспользоваться каким-то популярным облачным решением — таким, как 1Password. Можете, конечно, развернуть свой сервер, например Bitwarden, если вы понимаете, как правильно это сделать.

Нужно ли использовать Tor вместе с VPN?

Дима Номоканов
считает, что безопасности много не бывает

Нужно ли при использовании Tor пользоваться также и VPN? Чтобы даже держатель узла не мог вас вычислить.

Да. В стандартной схеме Tor, если входной и выходной узел контролирует соперник, конфиденциальность клиента нарушается полностью. Что логично: можно сопоставить входящий трафик выходной ноды и исходящий трафик входной ноды. С другой стороны, контролировать узлы тогда будет конкретная организация, а не все подряд. Так что вопрос в том, от кого вы прячетесь, какова ваша модель угроз и нарушителя.

Сколько платят пентестерам — людям, проверяющим системы на уязвимость?

Александр Побожий
рассматривает новые вакансии

Какая зарплатная вилка у таких спецов? Какое направление пентестинга самое востребованное и высокооплачиваемое?

Думаю, что рынок примерно как у разработчиков, но с меньшей дисперсией, поскольку людей меньше. У джунов ставка где-то в диапазоне 50—100 тысяч, у разных сортов мидлов — 100—190 тысяч, у сеньоров — от 200 тысяч, но это очень индивидуально. Не слышал, чтоб у кого-то из пентестеров в России была зарплата выше 600 тысяч рублей. Про направления трудно сказать. Мне кажется, соотношение спроса на навыки пентеста инфраструктуры и приложений недалеко от 50/50.

Как самому стать пентестером?

Georgii Rusanov
хочет научиться пентесту

Есть ли достойные курсы по пентесту? Если нет, то как лучше изучать эту тему теоретически и практически?

Думаю, лучший конкретно-практический совет такой: если хочется заниматься инфраструктурным пентестом, то решать таски на Hack the Box. Если хочется заниматься веб-пентестом, то пройти лабы PortSwigger.

Ефим Гугнин
09.11, 06:35
Расскажите, как вы обеспечиваете себе безопасность в сети? И сильно ли волнуетесь насчет приватности в интернете?

«повлиять на уровень коррупции в госорганах и операторах связи, сотрудники которых продают или теряют персональные данные, довольно тяжело»
Всё, что нужно знать о приватности ваших ПДН в РФ.
Довольно тяжело — неподходящий эпитет. На текущий момент это невозможно без риска для свободы и здоровья.

16

Viktor, если вы надеялись узнать, как безопасно хранить коды запусков от ядерных ракет - вы не по адресу!

5
Герой Т—Ж 🏆

Egor, понимаю ваш сарказм. Но хотелось бы увидеть текст, который соответствует статье. Автор даже не потрудился, по большому счету. Вот каким боком пентестер относится к тому, как я могу сохранить свои данные?
Первый вопрос - еще куда ни шло. Почему не подняли банальную тему как защитить данные на телефоне или ноутбуке, которые довольно легко украсть. Ну или как предусмотреть, что твои данные могут утечь и что можно сделать в рамках закона. Еще хотелось бы узнать, на какие законы можно сослаться, чтобы потребовать удалить ПД у любого оператора.

Или, хотите сказать, это неактуально? Что большинство людекй чаще использует в жизни - карту скидок условной Пятерочки или мониторит зарплаты пентестеров?
Так что ваш сарказм не уместен, если вы не видите проблему - не значит, что ее нет. А так сказочно просрать возможность получить ответы у реального эксперта - это надо умудриться!

9

Использую для паролей Bitwarden - опенсорс, синхронизация между устройствами, бесплатно. Раньше пользовался Key pass, но без синхронизации неудобно. Менеджер паролей - это сейчас такая же базовая потребность организма, как воздух, им должны пользоваться абсолютно все. Времена одинаковых паролей ушли безвозвратно. Если у вас есть что украсть - это обязательно украдут, если у вас одинаковые пароли. Будь то страница в соцсети или деньги в банке. А менеджер паролей позволяет иметь сложные разные пароли и не запоминать их.

Касперский лучше не использовать. И не только из-за качества (Гугл в помощь).

Прежде, чем где-то оставить свои данные, подумайте, нужно ли вам это. У меня волосы дыбом встали, когда прочёл договор одного из каршерингов. Но каждый день вижу его пользователей. А потом люди удивляются, что у них что-то украли или где-то подставили.

Ещё меня удивляют люди, которые везде оставляют настоящие имена и телефоны.

5

Иван, Всю жизнь оставляю реальные имена телефоны и прочее) Просто надо чтобы башка работала)

2

Никита, гуглите Ошибку выжившего ;)

1

Иван, Может и так хз)

1

Иван, делимобиль ? )

0

Марко, нет, белка. Но про этих тоже наслышан. И, подозреваю, у всех примерно то же. Но никто эти договоры не читает. Сдать биометрию, сканы паспортов, фотки и видео с паспортом, просто чтобы пользоваться каршерингом - я бы подумал, что меня разыгрывают, если бы не все эти люди вокруг меня, которые этим пользуются.

0

Иван, я как-то попытался в Минске установить приложение для оплаты ОТ. Казалось бы, что может быть проще? (Tix тогда был совсем кривой и сырой). У меня паспорт российский. Захотели данные паспортные... ну ок, получите. Оказалось - мало. На след. день позвонили, сказали что еще нужен загранпаспорт, данные орегистрации по месту жительства, биометрия(!). Всего лишь, чтобы проезд в автобусе оплачивать не талончиком бумажным. Очень удивились, сказали что я первый кто послал их лесом с такими запросами.

2

Vladimir, так и есть. Почему-то люди считают, что противодействие неугодной им власти - это по митингам ходить. А на талончики от фоток с паспортом до размера члена всё отдать - да пожалуйста.

1

Иван, вовремя класть трубку поздно, надо чтобы звонок блокировался сразу. Себе и всем родственникам поставить Yet Another Call Blocker! Конечно всегда есть вероятность что позвонят с нового номера, но известные номера резать не помешает.

1

Григорий, ничего не поздно. При должной сноровке и развитии интеллекта никакие звонки не страшны. Я вообще люблю с жульем и проходимцами болтать, т.к. изучаю их новые схемы по долгу службы.

2

Иван, один чел вон тоже наболтал. Потом из его записи скомпилировали что надо и скормили оператору. Баян конечно, пугалка из интернета, но я на всякий случай всё же ни с кем не болтаю. Даже здороваться переучился на "Слушаю!", ибо "Да!" может выйти боком.

5

Александр, всё ещё проще. Нужно всего лишь никуда не сдавать свою биометрию. Никакую. Вообще. Никуда. Никогда. А то люди вначале дакают в сбере да глазами в перекрёстке платят, а потом оказывается, что у них последнюю 1000 с карты спёрли.

2

Александр, это оправданные действия. Сделать легко, призрачный риск предотвращен. Все нормально.

0

Насколько серьезно утекают адреса доставки из российских (и китайских) интернет-магазинов и прочих курьерских штук?

0

Григорий, утекает всё отовсюду. Всё, что вы можете сделать тут - это по возможности не давать, вместе с настоящим адресом, настоящее имя и не светить телефоны, куда привязан банк, где-то ещё, в том числе в доставках.

0

> Namechk позволяет по имени пользователя найти зарегистрированные аккаунты.

А зачем здесь поиск по доменным именам?

0

Михаил, там ниже на странице ещё поиск по разным сервисам

1

Kyle, надо

0

Насколько безопасно хранить данные на облачных сервисах (мэил, Гугл, Яндекс)?

0

Сообщество Т—Ж

Лучшее за неделю