AMA
6K

Хотите знать, как обезопасить свои данные? Задайте вопрос эксперту

AMA с экспертом по оценке безопасности и основателем компании DeteAct
86
Аватар автора

Омар Ганиев

специалист по безопасности приложений

Страница автора

Чем больше технологий в нашей жизни, тем больше скрытых опасностей и неприятностей. Мошеннические сайты, приложения, которые получают доступ к вашим фотографиям и перепискам, утечки персональной информации из компаний, которые до этого казались максимально надежными, — все это заставляет беспокоиться. На этом фоне появляются другие тревожные новости: например, недавно мы разбирались, как будет работать механизм поиска детского порно в «Айклауд» на устройствах Эпл.

Если вы переживаете, как и куда может утечь ваша персональная информация, или не уверены, каким приложениям и сайтам можно давать доступ к данным, а каким лучше не доверять, — этот выпуск AMA для вас. Целую неделю на вопросы читателей будет отвечать человек, который почти всю сознательную жизнь взламывал компьютерные системы, проверяя их на устойчивость, и выиграл множество чемпионатов мира по хакингу. Омар Ганиев, Beched, — основатель компании DeteAct, которая лидирует на рынке тестирования на проникновение и аудита безопасности в России. Задайте ему вопрос в комментариях и получите совет, как сохранить свои данные и не допустить фатальных ошибок.

Правила игры

  1. Пишите свои вопросы в комментариях с 17 по 24 сентября — до 15:00. Если вы пришлете свой вопрос позже, возможно, на него ответит кто-то из читателей.
  2. Ответы получат только вопросы с положительным рейтингом и только на заданную тему. Поэтому, если вам интересен какой-то вопрос, ставьте ему лайк. Если считаете, что вопрос не по теме или неуместен, ставьте дизлайк.
  3. Эксперт начнет отвечать на вопросы в понедельник, 20 сентября, и закончит в пятницу, 24 сентября, в 19:00.
  4. Мы оставляем за собой право не отвечать на самые каверзные вопросы в трансляции: для сложных случаев мы возьмем дополнительное время, чтобы чуть позже посвятить им подробные разборы.
  5. Не стесняйтесь задавать любые вопросы по теме и помогать друг другу — мы будем рады каждому комментарию.
Омар ГаниевНачинаем:
  • Том Бомбадилпро крипту - абсолютно ли безопасны локальные кошельки, если опустить социальную инженерию? опять про крипту - спасает ли двухфакторная авторизация или это на самом деле фигня? нужны ли обычному человеку без криминального бэкграунда закрытые чаты в даркнете для нормальной приватности, или телеги/сигнала достаточно будет? правда ли что айось с точки зрения пользовательских данных надёжней чем андроид, есть ли факты, или это просто пиар?13
  • АлексейТоже вопрос про крипту. Где хранить приватные ключи, пароли от бирж? При этом, чтобы они были под рукой.2
  • Домашний лисёнок1.1 Насколько безопасны менеджеры паролей типа Bitwarden или встроенный от Apple? Возможно ли, имея доступ к компьютеру, расшифровать данные менеджеров, ведь они хранятся локально и онлайн? Или все таки лучше использовать старый добрый блокнот? 1.2 2FA приложения для Windows. Насколько опять же безопасно использовать такие приложения, например Winauth, с поставленным на них паролем. Или все также есть возможность дешифрации секретных ключей без пароля? 2. Известно, что блокировщики рекламы продают данные о своих пользователях, но так ли опасны эти данные? Есть повод для беспокойства или за эти данные переживать не стоит?21
  • тьфунатебя ¯\_(ツ)_/¯«Эпл» отключила в России функцию шифрования IP-адреса от всех Смена страны в настройках не поможет?4
  • Елена ПоздняковаЛет 10 назад была клиентом Альфа-банка, как мне казалось, все там закрыла. Вчера начали приходить пароли, будто я захожу в личный кабинет. Позвонила в поддержку, оказалось, есть счета незакрытые и на одном долг в 400₽. Закрыла по телефону все, что могла. Сама установила приложение и вошла в него,чтобы хоть как-то контролировать ситуацию. Попытки мошенников войти продолжаются. В поддержке посоветовали удалять смс, ну такое себе решение проблемы. Собираюсь в банк закрыть последний счёт. Можно ли потребовать заблокироть свой ЛК или как я могу обезопасить себя от входа мошенников в кабинет? Я боюсь, что они могут оформить кредиты там. Заранее спасибо!4
  • Van So1. Почему банки не используют двухфакторку которая в приложение коды генерирует? Зачем такая жесткая привязка к телефону - это же узкое звено. 2. Можно ли чтоб любой кредит могли выдать только при личном участие?10
  • romashaКак защитить свой мак от стилеров и других подобных штук. Ванпасворд уже использую.2
  • DmitryНасколько безопасен запароленный zip архив? А если архив в архиве?5
  • MichaelВот проснулся в один прекрасный день и понял, что хочешь максимально обезопасить свои персональные данные в интернете. Но ты — активный пользователь. Вопрос: как максимально эффективно удалить свои персональные данные и где это лучше всего сделать в первую очередь? Спасибо18
  • Mikhail SergeevVan, отвечу за эксперта 😊 используют. У банка Авангард есть карта с генератором одноразовых кодов. Прямо на карте клавиатура и дисплей. Но это явление не массовое, потому что такие карты сильно (прям очень сильно) дороже обычных. А техногигов, которые могут по достоинству оценить преимущества - в процентном отношении от общего количества людей - ничтожно мало.1
  • Дима КВсе доступы к всем счетам и приложениям можно получить украв сим карту. Что делать с этим? Как защититься от этого?10
  • Александр0
  • Александр0
  • Alex DienerХранятся ли данные на телефоне в зашифрованном виде? Можно ли включить шифрование? Насколько это сейчас хорошо реализовано (возможное падение производительности, хранение ключа, возможность восстановления если забыл пароль, останется ли возможность получения данных, если у кто-то получит доступ к устройству)? Нужно ли как-то защищать загрузчик? Если нет шифрования, то как правильно готовить телефон к передачи в ремонт (бонус уровень: что делать если телефон не включается)?3
  • Alex DienerКакие возможности шифрования данных есть для Windows (плюсы/минусы, безопасен ли bit locker, возможность восстановления если забыл ключ). Что сделать с устройством с точки зрения зашиты перед передачей в ремонт? Если ценность в пароле на bios/UEFI (он имеет ценность или при шифрованных дисках)?7
  • Alex DienerЗаконодательство РФ. Могу ли я законно пользоваться шифрованием данных в большой длинной ключа (для личных целей и для бизнеса)? Могут ли быть требования к расшифровке данных в случае судебных разбирательств? Отказ от расшифровки подпадает под "не свидетельствовать против себя"?5
  • Andy ShaxДима, написать оператору симки отказ от перевыпуска симкарты по доверенности. При утере симкарты (вместе с телефоном к примеру) обращение к оператору для блокировки симкарты и отвязка банковского счета от мобильного банкинга. Минус - когда окажется что телефон не украден - все это ходить восстанавливать. Для гурманов безопасности - eSIM в зашифрованом телефоне. Но пока eSIM доступен только во флагманских телефонах стоимостью под $1000 жду проникновения технологии в бюджетный сегмент0
  • Andy ShaxАлександр, мода на клонирование? А можно поподробней, клонировать СИМкарту вообще то очень сложная задача, в них встроеный ключ шифрования Ki который даже при владении Симкой трудно извлечь. Теоретически сотрудник ОпСоСа может слить нужную информацию клонаторам но от этого абоненту защититься трудно0
  • ТёмаАлександр, всё-таки разница есть: * веб кошелёк — это когда ты хранишь свои биткойны на сайте кошелька. Например, на свете coindesk, локалбиткойнс или другой бирже. Главный фактор риска: твои биткойны в полном распоряжении владельцев кошелька и безопасность твоих средств зависит от безопасности этой компании. Что может случиться? Много чего: - компания может обанкротиться или просто украсть твои деньги. Примеров множество. Пользователи биржи MTGOX уже почти десятилетие пытаются получить свои деньги. - кошелёк может подвергнуться хакерской атаке и деньги будут украдены. Очевидно что крупные биржи/кошельки являются отличной приманкой для хакеров, которые постоянно пытаются найти в них уязвимости.. - Средства могут пострадать от государства. Например, в результате принятия нового закона или санкций. * горячий кошелёк — это программа установленная на устройство пользователя всё время подключённая к сети биткойн. Это может быть нужно, например, если ты делаешь частые переводы или занимаешься трейдингом. Главный риск — это риск хакерской атаки на в результате которой можно потерять все средства хранящиеся на кошельке. При этом векторы атаки могут быть довольно разнообразными. Несколько лет назад хакерам удалось убедить некоторых пользователей установить ненастоящее обновление кошелька Electrum, в результате чего были украдены около 200 биткойнов. * Холодный кошелёк. Биткойн устроен так, что сама программа кошелька ка предоставляет доступ к твоим биткойнам. Она только использует твой закрытый ключ или специальную сид-фразу для подтверждения права владения. Если частые операции не требуются, то можно не держать программу кошелька запущенной и подключённой к сети Биткойн, а вводить вышеупомянутые данные только по требованию. Безусловно всё еще есть риск атаки на устройство пользователя, но на этом устройстве просто не будет информации нужной хакерам. * Железные кошельки — это физические устройства используемые для доступа к закрытому ключу пользователя. Они тоже несут некоторые риски - не известно, имеет ли кошелёк «черный ход» для доступа к нему посторонним, например сотрудников компании или властей. - В случае ошибки в «железе» можно потерять доступ к средствам. - Бывают и атаки на производителей таких кошельков. Например, в прошлом году в результате атаки на одного из самых известных производителей таких кошельков Ledger, хакерам достались данные об их клиентах. А через год, некоторые клиенты начали получать по почте якобы обновлённую версию кошелька, которую рассылают хакеры. К слову, все виды перечисленных кошельков могут использовать дополнительный фактор авторизации. Также биткойн может предоставлять довольно хитрые схемы доступа. Например, кошелёк для доступа к которому нужно два из трёх закрытых ключей, хранящихся у разных людей. На мой взгляд, наиболее безопасным способом использования будет: * Средства которые нужно тратить в ближайшее время хранить в локальном или онлайн (чуть менее безопасно) кошельке. Это аналог «текущего счёта» в банке. * Средства, доступ к которым в обозримом будущем не нужен, или нужен не так часто, хранить в холодном кошельке.2
  • ТёмаЕлена, я 10 лет назад закрыл счёт в Альфа-банке при личном визите. Полтора года назад снова открыл у них счёт и был удивлён обнаружить часть моей информации там. Например, шаблоны платежей2
  • Валентин1. Посоветуйте банк который НЕ может выдать кредит онлайн, а только при личном визите в отделение. 2. Который позвонит, если увидит оплату гпей на большую сумму. 3. Слышал истории что через госуслуги можно выполнять манипуляции со своим имуществом при помощи ЭЦП. И что мошенники могут ее выпустить где-то и воспользоваться такой возможностью. Это правда? Если да то можно как-то запретить это делать. Или проблема касается только тех у кого ЭЦП уже есть? 4. Что делать если украли сим карту? (украли телефон, и вытащили симкарту.) Пин код на нее уже установил. 5. Последнее время часто говорят про клонирование сим карты без моего ведома. Правда ли это? И можно ли от этого защититься. А есим можно клонировать? 6. Мошенники часто пользуются подменой номеров телефонов. Можно ли как-то распознать подмену?10
  • Александр2
  • ДенисДобрый день, Омар. Есть ощущение, что в различных телеграмм ботах и других неофициальных сервисах рунета и даркнета уже можно купить персональные данные о твоем месте жительства , поездках, покупках и тд Несмотря на довольно мирный образ жизни, очень хочется иметь определенную приватность, хотя бы в части места жительства и каких-то основных данных о себе. Подскажите, пожалуйста, какие шаги должен предпринять среднестатистический пользователь рунета использующий социальные сети и онлайн сервисы, чтобы обезопасить себя и обеспечить безопасный уровень приватности своих персональных данных. Заранее спасибо Денис8
  • Иван ЯкунинАлександр, там даже слишком сильно. Я как- то от них пару дней не мог вывести деньги, так как заводил у них счёт только под вклад. И никаких операций не совершал полгода. Мне было очень трудно доказать что я это я.0
  • Иван ЯкунинКак можно обезопасить себя от выпуска ЭЦП по скану моего паспорта левыми людьми? Можно написать какое-то заявление и куда его писать? Лично сталкивался с тем, что ЭЦП с доплатой можно выпустить по скану когда «очень надо». А с ее помощью в нашем стремительно цифровизирующемся государстве уже много чего можно сделать.4
  • Georgii RusanovДобрый вечер. Есть ли, на твой взгляд, достойные курсы по пентесту? Если нет, то как бы ты посоветовал изучать(теоретически и практически) эту тему?2
  • Дима КAndy, похоже eSIM единственный вариант, если при насильственных действиях получилось не разблокировать телефон.0
  • Омар ГаниевЛисёнок, 1. Думаю, что для подавляющего большинства пользователей тот уровень защищённости в совокупности с уровнем удобства, который предоставляют платформенные менеджеры паролей (Google Chrome, Apple Keychain), достаточен. Пароли зашифрованы ключом, генерируемом в том числе из пароля от устройства, так что совсем простыми методами из выключенного (или даже спящего) компьютера их не вытащить даже с наличием физического доступа. Примерно то же самое справедливо для популярных сторонних менеджеров паролей, но новичкам я рекомендую не усложнять и начать пользоваться платформенными менеджерами вместо запоминания и клавиатурных сочетаний. Но надо понимать, что всё сильно зависит от вашей модели угроз: для большинства парольные менеджеры -- это защита от простых или словарных паролей, от повторного их использования и других простейших ошибок. Если же в вашей модели угроз спецслужбы или иные хорошо подготовленные соперники, лучше использовать наиболее параноидальные варианты, такие как консольный менеджер паролей pass без синхронизации.4
  • Омар Ганиев2. Вопрос неоднозначный, потому что нужно определить, что значит "опасны" и для кого. У большинства пользователей очень низкий уровень приватности, и вряд ли блокировщики рекламы сильно его ухудшают. Это не значит, что надо на это забить, но надо всё-таки определиться, от кого и от чего конкретно хочется защититься. Какую именно угрозу могут реализовать при помощи рекомендательных систем? Компрометацию каких-то личных интересов? Деанонимизация? Может быть, но я думаю, что есть куда более серьёзная угроза: если злодеи взломают популярный блокировщик рекламы, они могут внедрить в него свой код и воровать информацию со всех посещаемых пользователями страниц, а это пароли, переписки, секретные URL (например, для google docs), содержимое внутренних корпоративных ресурсов и т. д.2
  • Омар ГаниевMichael, честно говоря, сам не являюсь шифропанком и относительно халатно отношусь к своим персданным, поскольку довольно публичен =) Тем не менее, стараюсь минимизировать их растаскивание там, где это возможно: например, можно зайти в основные свои аккаунты (gmail, instagram, twitter, facebook, vk, ...) и изучить там настройки приватности. Минимизировать логирование поисковых запросов и геолокации, рекомендательные системы и т. д. В соцсетях ограничить видимость информации о себе и постов. Такие вещи уменьшают "цифровой след", но, конечно, не уничтожают его полностью. Полезно почитать про то, как делается OSINT (Open Source Intelligence) или "пробив", попытаться поискать информацию о себе глазами другого человека; так будет понятнее, где нужно почистить. Также из некоторых поисковых систем и баз данных типа GetContact можно удалить информацию о себе по запросу, но тут соглашусь с Александром, что во многих случаях это может оказаться непросто, если в явном виде такой возможности не заявлено.2
  • Омар ГаниевVan, 1. Думаю, что основная причина в инерции, ведь смартфоны стали массовыми относительно недавно, а технология SMS как-то работает (хотя несколько процентов сообщений не доходит до адресатов), при этом при первом запуске приложения в любом случае нужно какое-то внешнее подтверждение. Ещё одной причиной может быть то, что номер телефона по идее должен был документально привязан к личности человека. В любом случае, сейчас многие банки шлют не SMS, а push-уведомления. 2. Вопрос интересный, но не могу ответить, нужно спросить у специалистов по банковскому обслуживанию.1
  • Омар ГаниевDmitry, в очень старых реализациях формата ZIP существовала уязвимость, которая позволяла расшифровать содержимое, если известна его часть. В таком случае, пожалуй, архив в архиве был даже менее защищён, поскольку кусок внутреннего архива заведомо известен (по крайней мере заголовок) =) Современные реализации более защищены, но: 1) Нет поддержки шифрования имён файлов (есть в rar, 7z, tar+bcrypt и др.), 2) Можно подменить часть файлов внутри архива (если для вас важна целостность, это критично). В общем, конкретно zip -- не самый безопасный формат, но атакующим будет трудно получить содержимое файла в zip-архиве, созданном не в legacy-режиме и с хорошим паролем.0
  • Омар ГаниевТом, 1) Смотря какая функциональность у кошелька. Речь про хардварные кошельки? Про обычные мобильные и десктопные клиенты типа Electrum? Или просто про текстовый файл с seed-фразой? В любом случае "абсолютной" безопасности нет, потому что все эти кошельки наследуют уровень защищённости хоста. Для параноиков можно придумать разные варианты: например, использовать "air gapped" компьютер, на котором генерировать и подписывать нужные транзакции через проверенный кошелёк или программную библиотеку, а броадкастить транзакцию уже через другой компьютер, перенеся её физически. 2) Двухфакторка на аккаунт биржи или куда? От фишинга она вряд ли спасёт, но от входа через утёкший пароля, очевидно, может и спасти. 3) "закрытые чаты в даркнете" вряд ли обеспечивают приватность =) Сигнал точно ок, если вы не от АНБ скрываетесь. 4) Вопросы про приватность и использование данных компанией или про устойчивость ко взлому? Если про первое, то андроид андроиду рознь, но не думаю, что есть принципиальная разница с эпплом в количестве передаваемых данных вендору. Если про второе, то у Apple есть преимущество: это единая экосистема, в которой сочетаются механизмы защиты на уровне железа и софта, и долгое время эксплойты для iOS ценились выше, чем эксплойты для Android. В последние годы это изменилось, потому что Google стали больше вкладываться в безопасность, и к тому же стало больше устройств типа Pixel вместо no name китайских трубок. Рынок эксплойтов весьма закрытый, так что фактов мало, но можно сравнить публичные расценки, которые предлагает самая известная биржа Zerodium: https://zerodium.com/program.html Максимальная цена там за full-chain-with-persistance эксплойты для Android ($2.5M) и iOS ($2M). Только не стоит напрямую интерпретировать как "Android сложнее взломать, чем iOS", тут есть не только технические, но и экономические причины.0
  • Том БомбадилОмар, спасибо большое за ответы!0
  • Eqer PuiseПривет Омар Недавно ходил в reStore на диагностику ноута. У них была услуга бэкапа на "непредвиденный случай во время диагностики или ремонта" - заказал и ее тоже. Отремонтировали , все ок. Но меня заинтересовал оставшийся бэкап моего устройства. На вопрос "что с моим бэкапом?" - сказали , что не беспокойтесь, мы его удалили и не имеем к нему никакого доступа. Но никакого документального подтверждения мне не дали. Вопрос: 1. как, для заказчика, должна выглядеть процедура оформления услуги, которая сопровождается доступом (или хранением) к персональным (личным) данным, хранящимся на устройстве клиента? 2. Как я должен действовать при заказе услуги , чтобы в дальнейшем (при худшем развитии ситуации) моя проблема (хранение бэкапа у сервисного центра без разрешения) имела бы основание в правовом поле? 3. В каких странах и каким образом по этому поводу дела обстоят на высоте, по вашему мнению?3
  • Омар ГаниевДима, Действительно, есть такая проблема, причём не только в России, как многие думают (даже в США известны случаи хищений с перевыпуском сим-карты, правда, сначала её там мигрировали в мексиканского провайдера). Но замечу, что, во-первых, некоторые сервисы сами сотрудничают с операторами, чтобы выявлять такое (например, банки могут запретить операции в течение некоторого времени после перевыпуска). Во-вторых, многие аккаунты вы можете дополнительно защитить паролем. Это касается тех аккаунтов, где пароль является вторым фактором, в первую очередь Telegram. Как уже заметили в комментариях, у большинства операторов также услуга по запрету действий по доверенности, поскольку это самый частый сценарий реализации такой схемы. Но часто в таких схемах сотрудники оператора находятся в сговоре со злоумышленниками, и тогда они в принципе могут обойти даже такой запрет, рискуя при этом оказаться под следствием. Ещё недавно практически любые действия с правами сотрудника отделения сотовой связи можно было купить на форумах за сущие копейки. Конечно, ситуация на этом рынке меняется, так что, может, сейчас перевыпустить симку уже достаточно дорого. В качестве дополнительной меры можно какие-то аккаунты привязать к номерам зарубежных операторов, только это должен быть не единственный способ входа в аккаунт, поскольку доступ к номеру можно и потерять.1
  • Georgy FirsovДима, это сделает деанонимизацию труднее, однако VPN-провайдеры в целом могут и раскрыть реальные адреса клиентов.1
  • Georgy FirsovAlex, использовать длинные ключи закон не запрещает. Какие-либо требования к длинам ключей предъявляются к различным СКЗИ, но уж никак не к частному использованию. Да и те требования ограничивают длины ключей снизу. Однако стоит отметить, что алгоритмы шифрования сами по себе имеют верхнюю границу количества битов в ключе, так для AES (западный стандарт шифрования) это 256 бит, для российского шифра "Кузнечик" (российский стандарт) - это тоже 256 бит. Стоит также понимать, что длина ключа на самом деле - не эквивалент стойкости. Стойкость зависит от длины ключа, но не определяется ей полностью. Так, например, для достижения того же уровня стойкости, что и для приведенных выше симметричных шифров, длина ключа RSA (используется для шифрования интернет-трафика) будет составлять 4096 бит и выше. Хотя современные асимметричные криптосистемы основываются на аппарате эллиптических кривых, и размер ключа в них сопоставим с симметричными криптосистемами (тоже порядка 256 бит). По поводу судебных разбирательств, думаю, кто-то другой подскажет.0
  • Артур1. Что посоветуете из менеджеров паролей? LastPass стал платным, Bitwarden как то очень туго работает на телефоне (постоянно отказывается делать автоподстановку). Плюс есть страх за сохранность данных уже на серверах сервисов. Идеально конечно бесплатное предложение с аналогом LastPass Password Challenge (автопроверка сложности пароля, повторов и на "сливы"), поскольку иначе мотивации менять пароли почти нет. 2. Насколько важно использовать в разных по критичности местах разные почтовые ящики? 3. Государственная биометрия для банковских услуг и биометрия в транспорте Москвы - насколько в теории это небезопасно? 4. Есть ли хоть какое то реальное спасение от телефонных мошенников кроме Truecaller? 5. Есть ли какие то способы эффективно подтереть собственные посты/комментарии в VK/<любая другая соцсеть> за прошлые годы? 6. Таргетированная реклама по произнесенным словам рядом с телефоном - это миф? Или это реальность, но исключительно при использовании голосового поиска?2
  • Артемий КуликовОмар, привет! Какие топ-3 совета вы дадите пользователю, который хочет повысить уровень своей безопасности в интернете (и приватности в том числе)? Помимо VPN и использования разных хороших паролей, например :)1
  • Daniil LabuzovОмар, а если не zip, а .rar? есть ли разница?0
  • Омар ГаниевDaniil, да, разница есть. Как и сказал, в rar есть поддержка шифрования имён файлов (что в том числе позволяет надёжнее обеспечить целостность), и для rar нет таких эффективных атак, как на legacy-режим zip.1
  • Омар ГаниевАлёна, можно попытаться реализовать то, что называется "adversarial attack" и обмануть нейросетку! Серьёзно, есть даже такие научные работы, вот пример: https://nieuws.kuleuven.be/en/content/2019/ku-leuven-researchers-make-themselves-invisible-to-ai-cameras А если серьёзно, нам придётся смириться с тем, что в современном мире слежка повсеместна, и надеяться на то, что хотя бы суммарный эффект этого явления будет положительным. Полагаю, пока он действительно положительный и искореняет преступность в крупных городах, хотя огромный минус вносит использование технологии для преследования по политическим мотивам.1
  • Омар ГаниевДима, да: в стандартной схеме Tor, если входной и выходной узел контролирует соперник, конфиденциальность клиента нарушается полностью (что логично: можно сопостовать входящий трафик выходной ноды и исходящий трафик входной ноды). С другой стороны, это контролировать узлы будет конкретная организация, а не все подряд. Вопрос в том, от кого вы прячетесь, какова ваша модель угроз и нарушителя.1
  • Омар ГаниевАлексей, если суммы действительно большие, нужно их держать на "холодном" кошельке, ключ которого имеет смысл разделить и хранить фрагменты (части ключа или multisig-тени) физически на разных континентах (как делают киты вроде Виталика или Уинклвоссов). По отношению же к ключам горячих кошельков и тем более к паролям от бирж, полагаю, достаточно применять стандартные подходы по "цифровой гигиене": проявлять бдительность, чтобы не попадаться на фишинг, использовать менеджеры паролей, а лучше использовать отдельное устройство только для работы с криптовалютами.1
  • Омар ГаниевAlex, Bitlocker+TPM -- норм решение, можно ещё дополнительно защитить паролем/PIN-кодом, помимо пароля Windows. Восстановить можно по ключу восстановления, который создаётся при настройке шифрования. При этом понятно, что если компьютер уже включён, потенциально можно применить DMA-атаки (direct memory access), чтобы вытащить данные. Также возможна скрытная установка хардварных имплантов (такое любят проделывать с ноутбуками, оставленными в номерах отелей). Но такие атаки относительно сложны и не массовы. Пароль для BIOS/UEFI имеет ценность, потому что даже в случаях, когда его можно отломать (например, через отключение питания для некоторых чипов), это всё равно удорожает атаку. Ведь не каждый раз ваш потерянный ноут окажется в руках спецслужб, чаще это будут случайные люди.0
  • Омар ГаниевДенис, добрый день. К сожалению, повлиять на уровень коррупции в гос. органах и операторах связи, сотрудники которых продают или теряют персональные данные, достаточно тяжело. Для начала можно хотя бы понять, насколько жирный у вас "цифровой след", пройтись по тем же телеграм-ботам, где можно узнать информацию о человеке, и посмотреть, что можно найти про вас самих. Далее можно попытаться зачистить какие-то из этих следов. Например, можно официально попросить удалить информацию о своём номере из GetContact и из некоторых сервисов "пробива". Очень много информации доступно даже без покупки каких-то баз, а просто средствами разведки по открытым источникам (OSINT). Погуглите, что можно найти про вас по всем вашим номерам телефонов, никнеймам, email'ам. Посмотрите на https://haveibeenpwned.com/, были ли ваши аккаунты в утечках. На https://namechk.com/ можно по имени пользователя найти зарегистрированные аккаунты. Может, 10 лет назад вы где-то зарегистрировались, выложили что-то приватное и забыли. Также можно изменить настройки конфиденциальности в социальных сетях и мессенджерах, чтобы запретить поиск по номеру телефона, индексирование профилей поисковыми системами, минимизировать доступную "недрузьям" информацию и т. д.0
  • Омар ГаниевAlex, Георгий уже ответил по первой части, добавлю, что ещё есть экспортные ограничения на некоторые криптоалгоритмы, но в общем случае вам действительно никто не может запретить пользоваться стойкой криптографией. Про юридический вопрос достоверно не отвечу, но вообще-то тут применимо то, что называется "plausible deniability". Ведь часто нельзя доказать, что вы сами знаете пароль/ключ, так что можно его "забыть". Другое дело, как к этому отнесётся судья, и есть ли какие-то ещё доказательства.1
  • Омар ГаниевSergey, я бы рекомендовал начинать с платформенных менеджеров паролей: Apple Keychain, Google Chrome. Если не хватает их удобства для ваших нужд, можно воспользоваться каким-то популярным облачным решением, таким как 1Password. Можете, конечно, развернуть свой сервер (например, bitwarden), если вы понимаете, как правильно это сделать.1
  • Омар ГаниевDmitry, с этим менеджером паролей всё куда хуже -- он изначально ужасно написан, в июле вышла статья, в которой рассказано про то, какие там уязвимости, и это уровень студентов, которые впервые пишут курсовую по криптографии: https://donjon.ledger.com/kaspersky-password-manager/ Например, в качестве "случайного" элемента для генерации паролей используется текущее время в секундах, поэтому у всех, кто сгенерировал пароль с заданными параметрами (длина, алфавит) в одну и ту же секунду, он будет одинаковым. Аналогично, зная хотя бы примерно, когда пользователь сгенерировал пароль, его можно подобрать. Есть надежда, что после этого им пришлось всё переделать (по крайней мере, они обещают: https://twitter.com/kaspersky/status/1412751979428917250)1
  • Т—ЖМы больше не принимаем вопросы, но собрали ответы эксперта в отдельных материалах. Часть 1: https://journal.tinkoff.ru/cyber-security/. Часть 2: https://journal.tinkoff.ru/cyber-security-2/0