книги хакеры / Как_защитить_себя_в_цифровом_мире_

На мобильных устройствах, особенно если велика вероятность их кражи, не следует хранить фотографии и личные данные, которые не должны попасть в чужие руки. Периодически следует переписывать такие данные на более защищенные устройства, хранящиеся дома, — стационарные и прочие. То же касается карт памяти и прочих носителей в фото- и видеокамерах. После того как вы скопировали особо важную информацию с отдельного или находящегося в камере накопителя, отформатируйте его (используйте полное форматирование вместо быстрого — в таком случае злоумышленник в большинстве случаев не сможет восстановить информацию, если завладеет накопителем или устройством). Более подробно о предотвращении несанкционированного доступа к информации в памяти устройств или на накопителях мы поговорим в главе, посвященной компьютерам.

Безопасна ли «умная» игрушка для ребенка? Помните, что многие

«продвинутые» игрушки — Hello Kitty, Hello Barbie, My Friend Cayla и т.п. —

уязвимы. С их помощью злоумышленники могут не только следить за вашим ребенком, но и общаться с ним и выуживать необходимую им информацию. Стоит ли вообще покупать игрушку, которая подключается к интернету?

Если да, то выясните, какую информацию собирает игрушка. Это может быть: имя ребенка, фамилия, дата рождения, адрес, имена родителей или братьев/сестер, данные о геопозиции. В крайнем случае можно указать недостоверные данные.

Можно ли поменять настройки безопасности устройства — установить более сложный пароль, скрывать персональные данные и т.п.?

Надежно ли защищены каналы связи между игрушкой и устройством, где установлено связанное с ней приложение, с одной стороны, и сервером разработчика — с другой, если тот собирает персональные данные?

Тот же вопрос касается любых других IoT-устройств.

Самое главное — не публиковать информацию, которую можно использовать вам во вред, и не хранить ее на устройствах, которые с

1.Проверьте настройки конфиденциальности на сайтах, которыми вы пользуетесь для публикации фотографий и видеозаписей. Все ли личные снимки и видеозаписи защищены от посторонних глаз?

2.Проверьте настройки автоматических репостов в своих профилях в социальных сетях.

3.Проверьте, какие приложения имеют разрешения на доступ к фотографиям и к камере на ваших устройствах. Для компьютера инструкция по проверке доступности камеры приложениям опубликована на

странице https://club.esetnod32.ru/articles/analitika/glaz-da-glaz/.

4.Проверьте список «друзей» и настройки конфиденциальности в профилях детей. Можете ли вы подтвердить личность всех виртуальных «друзей», все ли знакомы вам в реальности?

5.Научитесь работать с приложениями для удаления метаданных на компьютере и мобильных устройствах.

6.Найдите информацию о шифровании данных, касающуюся вашего устройства,

изашифруйте их при необходимости.

7.Создайте защищенные резервные хранилища своих фотографий и других особо важных персональных данных. Не храните эти данные на устройствах, которые вы носите с собой.

8.Изучите каждое устройство в вашем доме, имеющее доступ к интернету. Есть ли необходимость в постоянном соединении с Сетью? Отключите соединение, если такой необходимости нет.

9.Проверьте настройки IoT-устройств. Закрыты ли неиспользуемые порты и протоколы, изменены ли дефолтные логины и пароли? Особенно тщательно проверьте устройства, с которыми взаимодействуют дети.

10.Перед покупкой проверяйте, нет ли уязвимостей в выбранных вами IoTустройствах. Возможно, в интернете уже есть информация о проблемах в защите данных устройств. Особенно тщательно следите за конфиденциальностью на девайсах, которые приобретаете своим детям.

11.Поговорите со своими детьми о кибербезопасности и обсудите такие вопросы:

— Какие материалы о себе и своей семье можно и нельзя публиковать в интернете?

—Почему нельзя публиковать или пересылать фотографии и видеоматериалы, в том числе интимного характера?

—Почему нельзя общаться с незнакомыми в Сети?

В настоящее время профиль в социальной сети — практически полное цифровое отображение жизни его владельца. Из профилей можно узнать контактные данные пользователя, информацию о его интересах и привычках, друзьях, коллегах и близких, о месте работы/службы/учебы, общественно-политических и религиозных воззрениях, сексуальной ориентации, культурных предпочтениях, уровне благосостояния… — т.е. практически все. Вся эта информация необязательно должна быть указана явно, многое можно определить по фотографиям (в частности, по их фону), публикациям, комментариям, лайкам, списку посещаемых групп (сообществ) и просмотренных видео или даже по выбору фильтров для фотографий в Instagram.

При регистрации предоставляйте только необходимую информацию, не указывайте лишние данные (это явление называется овершерингом). Используйте адрес электронной почты, не предназначенный для личной или корпоративной переписки. Если надо указать номер телефона (например, для многофакторной аутентификации), учитывайте то, что его могут украсть и связать с именем, указанном в вашем профиле в социальной сети.

Примечание. Некоторые социальные сети требуют указать номер телефона при первичной регистрации, но впоследствии разрешают его удалить. В случае многофакторной аутентификации такие сервисы допускают применение приложений-аутентификаторов вместо SMSсообщений. Тем не менее нет гарантии того, что сведения о номере удаляются с серверов социальной сети.

Категорически не рекомендуется указывать домашний адрес (если очень хочется, можно ограничиться указанием страны и города (и никакого названия улиц и номера дома, а тем более — квартиры)). Примечание. Кроме того, зарегистрировавшись в социальной сети, например «ВКонтакте» или Facebook, злоумышленник может найти профиль любого пользователя по указанному им номеру телефона, даже если тот использовался лишь для регистрации и не отображается на странице профиля [473]. Злоумышленнику достаточно добавить в список своих контактов номер пользователя, чей профиль он пытается найти, а затем произвести синхронизацию. Алгоритмы социальной сети сами отобразят профили пользователей, чьи номера телефонов будут обнаружены в списке контактов злоумышленника.

Тщательно выбирайте фотографию для профиля. Учитывайте сказанное в предыдущей главе: анализ метаданных места и даты съемки, а также фона фотографий может помочь злоумышленникам деанонимизировать вас. Даже если социальная сеть и не показывает остальным ее пользователям метаданные при просмотре фотографии, они сохраняются на сервере сети. Если правила соцсети допускают, лучше использовать вместо фотографии абстрактный аватар: друзьям можно лично сообщить адрес странички, чтобы они поняли, что под аватаром скрываетесь именно вы, а посторонним в вашем виртуальном окружении делать нечего.

Примечание. Если вы создаете совершенно отдельный, анонимный профиль и не хотите, чтобы он был связан с вашей реальной личностью, загружайте фотографии, которые вы нигде не использовали и не публиковали. Для проверки использования одного и того же изображения в разных учетных записях используйте средства поиска Google по изображениям в интернете по

адресу https://www.google.ru/imghp.

Учитывайте, что при регистрации и посещении сайта социальной сети IPадрес вашего устройства фиксируется. Не посещайте один и тот же сайт с использованием своих разных профилей: того, где вы зарегистрированы под псевдонимом, и реального. Система зафиксирует оба IP-адреса и сопоставит их, деанонимизируя вас. Хотя и с некоторыми ограничениями, здесь могут помочь такие средства анонимизации, как VPN и пр.

При регистрации укажите надежный уникальный пароль (и меняйте его время от времени [[55]) и, если это позволяет сервис, обязательно включите многофакторную аутентификацию] (см. главу 2). Для многофакторной аутентификации лучше используйте специальное приложение-аутентификатор, а не передачу одноразовых кодов посредством SMS-сообщений или голосовых автоматизированных вызовов. Не используйте средства аутентификации на том же устройстве, с которого входите на сайт. К примеру, для входа в профиль на смартфоне запускайте утилиту-аутентификатор на компьютере или другом мобильном устройстве.

КЕЙС В 2016 г. в даркнете в продаже появилась база данных более чем 100 млн пользователей социальной сети «ВКонтакте» (Ф.И.О., адреса электронной почты, номера телефонов и пароли) [475].

Примечание. Сайты, особенно сайты социальных сетей, создаются для получения максимальной прибыли от их посещения и использования. Нередко они самовольно собирают конфиденциальную информацию о вас, не довольствуясь той, которую предоставили вы. Эти сайты стараются получить данные о вашем местонахождении и маршрутах, интересах и предпочтениях (об этом свидетельствуют лайки и прочая активность), об интересующей вас рекламе (какую рекламу вы открываете, досматриваете ли ее до конца или прерываете и т.п.), о посещаемых вами сайтах. Здесь поможет блокировка сторонних cookieфайлов и трекеров с помощью настроек браузера и специальных расширений браузера типа Privacy Badger.

Обязательно измените дефолтные настройки безопасности и конфиденциальности вашей учетной записи. Отдельное внимание уделите выбору тех, кто может просматривать ваш профиль (кто угодно, зарегистрированные пользователи этой социальной сети или только «друзья» [[56]]). Воспользуйтесь инструментами для проверки настроек безопасности и конфиденциальности учетной записи, предоставляемыми такими разработчиками, как Facebook и Google. Это понятные пошаговые руководства, помогающие подходящим для вас образом настроить аккаунт.

Примечание. Время от времени настройки безопасности и конфиденциальности на том или ином сайте могут меняться. Обращайте внимание на изменения, о которых оповещает администрация, и своевременно корректируйте настройки своего аккаунта.

Используйте проверенные браузеры и приложения. Авторизация в браузерах и приложениях (в том числе и мобильных) неизвестных разработчиков может привести к утечке ваших персональных данных и даже к перехвату посторонними контроля над вашим профилем.

Примечание. В Facebook настройки аккаунта находятся на странице https://www.facebook.com/settings; в сети «ВКонтакте» — https://vk.com/settings, в Instagram — https://www.instagram.com/accounts/edit/, в Twitter —

Проверяйте адрес социальной сети в адресной строке браузера или приложения, чтобы убедиться, что вы переходите на оригинальный сайт социальной сети. Злоумышленники могут использовать фишинговые сайты с целью выманить у вас персональные данные. Как правило, адреса фишинговых сайтов отличаются от оригинальных незначительно,

например https://faceb00k.com, myspace.com.com или https://vк.com [[57]], что может быть незаметно с первого взгляда. Для быстрого, надежного и удобного доступа к сайту можно создать ссылку в «Избранном» или на панели браузера.

Злоумышленники могут вмешиваться в работу службы DNS [476] —

подменять IP-адреса сайтов разными способами; в этом случае даже после ввода корректного адреса вручную браузер переходит на фишинговую страницу. Так происходит, если DNS-записи изменены в файле hosts [477], конфигурации уязвимого роутера [478], в локальном кеше DNS на компьютере пользователя или даже на DNS-сервере либо если DNS-запросы перехватываются. От взлома DNS-сервера пользователь защититься не может, а вот защитить от проникновений собственную локальную сеть вполне возможно. Нужно сменить в маршрутизаторе дефолтный аккаунт администратора и установить сложный пароль, запретить доступ к сетевым настройкам из интернета, закрыть уязвимые порты, защитить от проникновений компьютер или мобильное устройство, с которых осуществляется выход в интернет.

DNS

Если говорить коротко, DNS, Domain Name System, — это система доменных имен, которая преобразует адреса, вводимые пользователем, например, https://www.google.com, в IP-адрес, распознаваемый сетевыми устройствами, к примеру, 216.239.38.120. И первый, и второй адреса приведут вас на одну и ту же страницу. Так как человеку гораздо проще запомнить имя, чем последовательность цифр, была разработана система DNS, по сути, представляющая собой базу данных, в которой понятные человеку адреса сайтов сопоставлены с их IP-адресами. Существует несколько разновидностей атак на эту систему как на стороне клиента, так и на стороне сервера. Например, с помощью вируса злоумышленник может модифицировать локальный кеш DNS (он содержит сопоставления адресов сайтов, ранее посещенных пользователем), в этом случае на фишинговый сайт будет перенаправляться только этот конкретный пользователь. Или же вирус может атаковать сам DNS-сервер — тут пострадают все пользователи, чьи обращения идут через скомпрометированный DNS-сервер (в этом случае поиск руткитов и прочих вредоносных инъекций на

Без особой необходимости не допускайте синхронизации социальной сетью вашей адресной книги (контактов) с вашим профилем. При этом система также свяжет все контакты ваших друзей между собой и разошлет им приглашения с запросом: «Возможно, вы знакомы». Такая ситуация может угрожать вашей конфиденциальности и безопасности. Тем более вряд ли вы (и некоторые ваши респонденты, с которыми вы обменивались SMS-сообщениями или говорили по телефону) хотели бы раскрыть в социальной сети некие персональные данные о себе, например фото.