книги хакеры / Как_защитить_себя_в_цифровом_мире_

же есть, так как злоумышленник может перевыпустить SIM-карту и перехватывать сообщения с одноразовыми паролями [481].

КЕЙС Эксперт по кибербезопасности Лаксман Мутийя обнаружил способ, позволяющий взломать любую систему, для восстановления доступа в которую следует указать одноразовый цифровой код, отправляемый в SMS-сообщении или генерируемый в приложенииаутентификаторе. Лаксману удалось сделать это на примере сайта Instagram. После ввода телефонного номера жертвы для восстановления доступа на данный номер высылается шестизначный цифровой код. Система была защищена от брутфорс-атак: скорость передачи данных ограничивалась после 250 попыток авторизации с использованием одноразовых кодов. Но она была бессильна против ротации IP-адресов [482] (когда адреса отправителя запроса циклически меняются сервером для усложнения обнаружения атаки) и зависела от порядка исполнения фрагментов кода (была в состоянии гонки). Кроме того, одноразовый код действовал только 10 минут. В своем исследовании Лаксман привлек 1000 разных IP-адресов, чтобы отправить с каждого по 200 запросов до срабатывания защиты от перебора. Для перебора миллиона всех возможных комбинаций потребовалось ли 5000 IP-адресов, которые легко получить, используя облачный сервис, например Amazon или Google. Затраты на атаку Лаксман оценил в 150 долларов [483]. Злоумышленник, получив доступ к аккаунту жертвы, может сменить привязанные к нему номер телефона и адрес электронной почты и дальше от имени владельца взломанного профиля публиковать любой контент, например порнографические (как в случае Селены Гомес [484], Виктории Якубовской [485] и многих других) или политические материалы, дискредитируя имя настоящего владельца; писать друзьям пользователя личные сообщения с просьбой одолжить денег либо требовать у настоящего владельца выкуп за возвращение доступа и т.п. Если же злоумышленник скрывает факт взлома и имеет одновременный с владельцем доступ к его аккаунту, он может просматривать скрытый от посторонних глаз контент (например, с меткой «Только я») и получать информацию о местонахождении владельца: в некоторых социальных сетях указывается, с каких IP-адресов заходит пользователь. Учитывая, что для некоторых пользователей аккаунты в социальных сетях — это их «лицо», основа бизнеса или иной важный фактор жизни, необходимо очень тщательно защищать доступ к своим профилям и следить за тем, с каких устройств (IP-адресов) происходит авторизация.

Внимание! Тщательно выбирайте контрольные вопросы и ответы для восстановления доступа, так как, подобрав ответы на них,

аккаунтам. Как правило, пользователи указывают в качестве ответов ту же самую информацию, что и в профиле социальной сети. Использование устройств с общим доступом (или чужих компьютеров либо мобильников в гостях и т.п.) создает угрозу утечки персональных данных. Две самые явные опасности: пользователи заходят в свои профили и либо забывают выйти из них по завершении сеанса работы, либо не обращают внимания на флажок «Запомнить меня» и не снимают его при авторизации. В первом случае посторонний может сесть за компьютер сразу после вас и войти в ваш профиль автоматически, так как сеанс еще не истек, даже если вы закрыли вкладку или завершили работу браузера. Вы, конечно, через некоторое время можете спохватиться и завершить сеанс с другого устройства, но за это время злоумышленник успеет просмотреть весь ваш профиль или даже перехватить доступ к нему, сменив учетные данные (если нет многофакторной аутентификации). Во втором случае, даже если сеанс истек и для входа в ваш профиль система требует логин и пароль, браузер автоматически подставит его из базы данных, где он сохранен, так как вы не сняли флажок «Запомнить меня». На таких устройствах нельзя не только устанавливать этот флажок, но и сохранять свои учетные данные, включив автозаполнение логина/пароля в настройках браузера. Последняя функция, избавляя от необходимости запоминать пароль, сводит на нет все ваши стратегии безопасности, даже если в качестве пароля используется 50-символьная кодовая фраза.

Вы можете использовать приватные режимы в браузерах. В этом случае логин и пароль, кеш и история посещений не сохранятся (если, конечно, вы завершили работу браузера), но, так как это чужое устройство, вы не можете быть уверены в отсутствии камер наблюдения, а также кейлогеров и прочих вредоносных утилит, перехватывающих учетные данные, да и вообще фиксирующих ввод данных в компьютер.

Безопасность при общении в социальной сети

Наиболее важной причиной утечки персональных данных в социальных сетях, помимо ненадлежащей защиты данных администрацией таких сервисов, остается неосведомленность и безалаберность пользователей. Они необдуманно публикуют лишнюю информацию о себе; оставляют без внимания настройки конфиденциальности и недостаточно надежно защищают свои профили (используют слабые пароли, не применяют средства многофакторной аутентификации; авторизуются на сайтах, используя посторонние устройства и недоверенные сети и т.п.).

себе или фотографию, пишете о личных предпочтениях или политических взглядах, лайкаете понравившийся пост или оставляете эмоциональный комментарий, нужно помнить, что любая социальная сеть уже по своему предназначению является общественной, т.е. здесь нет ничего «личного». Любые записи, опубликованные вами даже в закрытых от глаз посторонних пользователей аккаунтах и сообществах (или с пометкой «Вижу только я»), доступны как минимум администрации социальной сети, а также сторонним компаниям, анализирующим переданные сетью персональные данные пользователей для изучения общественного мнения, таргетирования рекламы и т.п. Представители социальных сетей утверждают, что данные, передаваемые сторонним компаниям, обезличены. Но эти утверждения спорны: с помощью своих алгоритмов соцсеть связывает личность каждого пользователя с обозначенным соответствующим идентификатором набором его обезличенных данных. Поэтому сведения о пользователе могут попасть к посторонним. Кроме того, даже относительно небольшой объем обезличенной информации о человеке позволяет с довольно большой вероятностью деанонимизировать его (путем сопоставления с конкретным профилем в этой или другой сети, где тот зарегистрирован).

В целом при использовании социальных сетей следует учитывать все те правила безопасности, которые мы уже обсудили в книге. Необходимо надежно защищать доступ в аккаунт, блокировать спам и фишинговые сообщения, защищаться от вредоносных объектов, учитывать возможность прослушивания голосовых вызовов и чтения сообщений (в том числе и личных) третьими лицами, соблюдать осторожность при публикации фотографий и видеозаписей. Пользователи необдуманно доверяют колоссальные объемы личных данных прежде всего социальным сетям. Следовательно, именно эти сайты в первую очередь интересуют хакеров и государства при сборе информации о конкретном человеке.

Какие данные собирают социальные сети

На примере трех наиболее популярных в России социальных сетей — Facebook, Instagram и «ВКонтакте» — рассмотрим вопрос о том, какими персональными данными и с кем делится каждый пользователь таких сетей. Каждая социальная сеть придерживается своей политики использования персональных данных, о чем можно узнать на соответствующих страницах их сайтов, но различия между соцсетями не очень велики.

английская компания Cambridge Analytica, имевшая доступ к данным 87 млн пользователей Facebook, использовала их для агитации за кандидата в президенты США Дональда Трампа [486]. Глава Facebook Марк Цукерберг признал утечку данных, компания Cambridge Analytica начала процедуру банкротства, а разгневанные пользователи запустили акцию с хештегом #DeleteFacebook.

Facebook и Instagram

делятся фотографиями с ними или комментируют такие фото, отправляют сообщения, загружают, синхронизируют или импортируют информацию о контактах (т.е. выстраивают связи пользователей и не зарегистрированных в Facebook людей с помощью списков контактов).

Информация с устройств. Собирается информация с компьютеров, смартфонов, смарт-ТВ и других подключенных к интернету устройств, на которых используются продукты Facebook, а также информация об этих устройствах. Такие данные с разных устройств одного пользователя объединяются. Извлекается следующая информация:

o Об атрибутах устройства: операционной системе, версиях аппаратного и программного обеспечения, уровне заряда аккумулятора, силе сигнала сотовой связи и Wi-Fi, объеме доступной памяти, типе браузера, названиях и типах приложений и файлов, а также установленных плагинах.

o О действиях на устройстве. Учитываются: расположение окна (на переднем или заднем плане), движения указателя мыши. Все это помогает отличить ботов от людей.

o Об идентификаторах. Существуют уникальные идентификаторы, идентификаторы устройств и т.д., например идентификаторы игр, приложений или используемых аккаунтов, а также общие идентификаторы устройств (или другие идентификаторы, уникальные для продуктов компании Facebook, связанные с тем же устройством или аккаунтом).

o О сигналах, принимаемых устройством. Это данные о сигналах Bluetooth и о расположенных поблизости точках доступа Wi-Fi, маячках [490] и вышках сотовой связи.

o О настройках устройства. Пользователи могут разрешить Facebook доступ к данным о местоположении (GPS), камере или фото.

o О сети и подключениях. Это название мобильного оператора или провайдера, данные о языке, часовом поясе, номере мобильного телефона, IP-адресе, скорости соединения и в некоторых случаях информация о других устройствах, расположенных поблизости или подключенных к сети пользователя для выполнения таких операций, как потоковая передача видео с телефона на телевизор.

o О cookie-файлах. Это данные из cookie-файлов, хранящихся на устройстве, в том числе идентификаторы и настройки cookie-файлов [491], [492].

Информация от партнеров. Рекламодатели, разработчики приложений и издатели могут отправлять в Facebook информацию с помощью инструментов этой соцсети для бизнеса, в том числе социальных плагинов (таких как кнопка «Нравится»), функции «Вход через Facebook», специальных API [[60]] и SDK либо пикселей [493] Facebook. Партнеры предоставляют информацию о действиях пользователей вне Facebook — в том числе сведения об их устройствах, посещаемых сайтах, совершаемых покупках, просматриваемой рекламе и использовании ими партнерских сервисов, независимо от наличия у пользователей аккаунта Facebook и аутентификации в нем. Например, разработчик игр может использовать API, чтобы сообщать Facebook, в какие игры играют пользователи, а ритейлер — о покупках, совершенных

пользователей в интернете и офлайновых магазинах от сторонних поставщиков данных, имеющих право предоставлять Facebook такую информацию.

Информация из различных продуктов Facebook и с различных устройств.

Компания Facebook объединяет информацию о действиях пользователя в различных ее продуктах и на различных устройствах для удобства ее использования.

Информация о местоположении. Facebook использует геолокационную информацию — например, о местоположении пользователя, месте его проживания, посещаемых им местах, а также компаниях и людях, рядом с которыми он находится, — для предоставления, персонализации и улучшения продуктов Facebook, в том числе рекламы. Информация о местоположении пользователя может быть получена на основе таких сведений, как точная геолокация устройства (если это разрешено пользователем), IP-адреса и данные, собираемые при использовании продуктов Facebook им и другими лицами (например, отметки о мероприятиях, которые посещает пользователь).

Распознавание лиц. Если эта функция включена, Facebook применяет технологию распознавания лиц, чтобы узнавать пользователей в видеороликах, на фото и изображениях с камеры.

Реклама и другой спонсорский контент. Facebook использует имеющуюся у него информацию о пользователях, в том числе сведения об их интересах, действиях и связях, для подбора и персонализации рекламы, предложений и другого спонсорского контента.

устройствах, с которых пользователи получают доступ к сервисам «ВКонтакте» (данные об IP-адресе устройства, операционной системе, браузере, географическом положении, установленных приложениях; название интернетпровайдера; контакты из телефонной книги; данные, получаемые с камеры, микрофона и аналогичных устройств).

Информация, получаемая автоматически во время доступа к «ВКонтакте» или сторонним сайтам с использованием cookie-файлов и таких технологий, как «Пиксель для динамического ретаргетинга» и «Виджеты для сайтов». Она необходима соцсети, чтобы пользователи могли авторизовываться или делиться материалами на сторонних сайтах, а также чтобы улучшать рекламные инструменты и собирать статистику.

Публикации. В частности, статусы, записи на сайте, в том числе на «Стене», изображения, аудиозаписи, видеозаписи, комментарии, записи в групповых обсуждениях.

Обращения в службу поддержки. Собирается информация, которую пользователи добровольно предоставляют при направлении запроса в службу поддержки, и информация для определения их личности пользователя.

Информация, получаемая в результате поведения и действий пользователя на сайте. В частности, данные о присоединении к группе или выходе из нее, добавлении пользователей в список друзей, публикации фотографий, участии во встречах или отказе от участия, добавлении видеозаписей и лайках постов; метаданные звонков.

Информация о пользователе, получаемая в результате поведения и действий других пользователей на сайте. В частности, заметки, сделанные на видеозаписях и изображениях другими пользователями.

Платежные данные. Если использовались платежные сервисы «ВКонтакте» или денежные переводы, соцсеть сохраняет первые и последние четыре цифры номеров банковских карт, чтобы ассоциировать их с соответствующими профилями.

Информация от третьих лиц. Данные, собранные третьими сторонами, включая информацию о друзьях из Facebook.

Правила безопасного общения

При публикации информации о себе в социальных сетях следует строго соблюдать принцип контролируемых зон, а точнее, представлять себе такую сеть зоной нулевого доверия (об этом мы говорили в главе 1). Нет никакой гарантии, что публикуемый вами контент (личные данные, посты, комментарии, лайки, фото, музыка и видео, данные о геолокации) и любые действия в социальной сети видны только обозначенному вами кругу лиц. Проще говоря, все, что вы пишете в социальной сети, включая личные сообщения [496], может видеть не только целевая аудитория (скажем, несколько избранных «друзей»), но и администрация социальной сети, провайдеры интернета, операторы комплексов анализа трафика, а также сторонние компании, такие как

привычках своих потенциальных клиентов. Даже если вы постите контент в секретных и закрытых группах, никогда нельзя быть уверенным, что его не увидят посторонние. Среди ваших виртуальных «друзей» могут быть инсайдеры, добавленные вами по незнанию, и злоумышленники, которые взломали профили ваших «друзей» и действуют от их имени. Пользователи могут републиковать даже тот контент, доступ к которому вы ограничили, например заблокировали функцию репоста. В целях распространения контента посетители сайта могут делать снимки таких постов и публиковать их в виде изображений.

КЕЙС В 2017 г. пользователи интернета травили сотрудника университета Арканзаса Кайла Куинна за то, что на некой фотографии он якобы был запечатлен с факелом в руке на митинге ультраправых. Его завалили гневными сообщениями и угрозами в социальных сетях, по электронной почте, а кто-то даже отыскал и обнародовал его домашний адрес. Незнакомые люди требовали, чтобы «расиста» Куинна немедленно уволили из университета. Опасаясь за свои жизни, семья Куинна на время переехала к друзьям.

На самом деле Кайл Куинн занимался проблемами диагностики и лечения осложнений диабета и не имел никакого отношения к расистам и не участвовал в митинге. Доксеры не знали этого; они сопоставили фотографию с митинга с фотографиями Куинна, опубликованными в интернете. Но на митинге был другой человек, похожий на него по комплекции, цвету волос и бороды, в такой же футболке с надписью «Арканзас». Куинн стал жертвой травли из-за ошибки доксинга [497].

Следуя принципу нулевого доверия, не публикуйте в социальной сети (и вообще в интернете) любую информацию, огласка которой может повредить вам, вашей репутации (например, руководство компании может уволить сотрудника за критику) или угрожать вашей жизни либо жизни ваших близких. Как и в реальной жизни, не следует рассказывать всем посторонним об отъезде в отпуск на неделю или о роскошной обстановке своей дачи, явно или неявно упоминая ее адрес.

Публикации, которые свидетельствуют о вашем среднем или высоком достатке (особенно в странах, где много бедных); ваших интересах, привычках или мнениях, которые не приемлет большинство людей, могут приводить к негативным последствиям: злобным комментариям, доксингу с последующей травлей и т.п. Правительственные и правоохранительные организации могут использовать публикуемый в соцсетях контент с целью отслеживания действий граждан, например, соблюдения мер самоизоляции в период пандемий или совершения правонарушений [498].

человека, которая открыто публикуется им в социальных сетях, может быть использована злоумышленниками в преступных целях, например, вымогательства или оформления кредитов в микрофинансовых организациях. Собрав (или приобретя на хакерских площадках) такую информацию о человеке из открытых публикаций в Сети и слитых баз данных, злоумышленник формирует анкеты для различных микрофинансовых организаций, которые готовы выдавать кредиты по онлайн-заявкам. Потенциальной жертве начинают приходить SMSсообщения c кодами подтверждения регистраций и прочих действий, которые этот человек не запрашивал. Злоумышленник связывается с жертвой от имени сотрудника технической поддержки и предлагает прислать несколько снимков экрана с SMS, якобы для того чтобы помочь разобраться в ситуации. После получения снимков, злоумышленник завершает оформление онлайн-кредита. Жертва перестает получать SMS и успокаивается, а через некоторое время получает претензию от микрофинансовой организации по поводу возврата кредита. Схема срабатывает, потому что жертва, считая, что раз не выполняла никаких действий в Сети, то и SMS-сообщения с кодами отправлены не ею, т.е. ненастоящие, а значит угрозы безопасности нет, если показать сообщения службе поддержки [499].

Запрещенные публикации

Любые публикации (текст, рисунки, музыка, видео и даже перепосты), нарушающие правила социальной сети и/или законодательство, могут быть обнаружены (и удалены) администрацией (модераторами) сети, информация о них может быть передана правоохранительным органам; профиль автора (или даже человека, перепостившего контент другого автора) может быть заблокирован, а сам пользователь — привлечен к административной или уголовной ответственности. В некоторых странах особенно опасно публиковать и републиковать материалы, критикующие и осуждающие государственную власть, выражающие оппозиционные взгляды, касающиеся религиозных течений и вероисповеданий, запрещенных группировок и сект. Как правило, в социальных сетях нельзя публиковать порнографический и экстремистский [[61]], [[62]] контент, разжигать вражду и призывать к насилию. Более подробно о запретах, существующих в разных социальных сетях, можно прочитать на

странице https://altapress.ru/zhizn/story/chego-nelzya-delat-v- sotssetyah-225475.