Bubble собрал 7 простых привычек кибербезопасности, приучиться к которым в 2023 году мы точно попробуем. Гайд помог составить Иван — специалист по кибербезопасности. Он рассказал об основных рисках в диджитале и о том, как их уменьшить.
Bubble собрал 7 простых привычек кибербезопасности, приучиться к которым в 2023 году мы точно попробуем. Гайд помог составить Иван — специалист по кибербезопасности. Он рассказал об основных рисках в диджитале и о том, как их уменьшить.
Антивирус — пожалуй, первое средство, которое многим придет на ум в разговоре о цифровой безопасности. Кажется, что с установленной защитой можно скачивать что угодно и не оглядываться — программа за всем проследит. Этим пользуются розничные продавцы и предлагают нам купить защиту вместе с ноутбуком или компьютером.
Только вот антивирус нужен не всегда, иногда он даже создает больше угроз. Чтобы решить, нужен ли он вам, прежде всего, отталкивайтесь от операционной системы.
— Под Mac и Linux вирусов не так много, в этих случаях антивирус я бы не стал устанавливать. С Windows другая история, рисков гораздо больше, поэтому есть смысл дополнительно защитить систему. Лучше потратиться на лицензионный антивирус, а не скачивать пиратскую версию. Переупаковщик может вложить в программу что угодно, тогда антивирус тоже может только навредить.
Если без антивируса все-таки не обойтись, помните, что любая программа имеет доступ к вашим данным, антивирус — не исключение. В этом случае выбор зависит только от того, кому вы доверяете. Иван считает, что важно изучить, кто производитель, откуда происходит антивирус.
— Закрытый крупный бизнес всегда сотрудничает с властями своей страны. Поэтому здесь выбор за пользователем — кому он хочет предоставить доступ к своим данным. Нужно обращать внимание на вендора — у кого мы покупаем защиту, из какой страны происходит антивирус. Условный Microsoft может предоставлять данные спецслужбам США. Если человеку это подходит, то пускай покупает защиту у Microsoft.
В случаях, когда важно знать происхождение антивируса, смотрите не на страну, в которой зарегистрирован бизнес, а откуда работают сотрудники. Например, Яндекс зарегистрирован в Нидерландах, но главные офисы находятся в Москве.
— Я бы не стал полагаться на антивирус полностью, а фильтровал программы и приложения, которые устанавливаю. Лучше полчаса потратить на изучение софта, чем потом мучиться с вирусами.
Bubble советует
Bitdefender — международная компания родом из Румынии. Предлагает разные варианты защиты: от обычного антивируса до полного пакета безопасности с файрволом, отслеживанием спама и родительским контролем. Год пользования антивирусом обойдется вам от $25 до $150 — в зависимости от тарифа.
Многофакторная аутентификация поможет усложнить вход в любой сервис, будь то почта или Facebook, чтобы злоумышленники не могли получить доступ к вашим данным, даже если им удастся подобрать пароль. Обычно для этого нужно ввести код безопасности — он приходит по номеру телефона или в приложение на смартфоне, доступ к которым только у пользователя. Однако так же как в случае с антивирусом — многофакторная аутентификация не всегда гарантирует стопроцентную защиту.
— Имеет значение сам способ авторизации. Самый небезопасный — получать коды через SMS. Дело в том, что трафик сотовой связи проходит через мобильных операторов. Спецслужбы, а иногда и мошенники могут получить доступ к вашим SMS и ввести код за вас, безопасность здесь сомнительная. Лучше использовать аутентификатор, которые генерируют коды безопасности. На вход в такое приложение тоже стоит установить пароль и записать его на другом устройстве или вообще на бумажку. Так, даже если у вас украдут смартфон, никто не сможет воспользоваться аутентификатором.
Bubble советует
Google Authentificator — мобильное приложение, которое генерирует коды для двухфакторной аутентификации. Можно настроить как для своих Google-аккаунтов, так и для сторонних приложений и сайтов. На вход в сам аутентификатор необходимо установить пароль, чтобы дополнительно усложнить доступ.
Велик соблазн установить пароль, который не нужно запоминать — дату рождения или имя собаки. Но злоумышленники взломают его простым перебором или через словари с наиболее типичными паролями. Если вы хотите защитить важные данные, с паролем придется заморочиться. Вот способ:
— Хороший пароль состоит из больших, маленьких букв, спецсимволов и чисел. Можно взять длинную фразу из нескольких слов, которую помним наизусть — строчка стихотворения или афоризм. Придумываем, как мы из нее сгенерируем пароль: например, пишем первую и последнюю букву каждого слова, комбинируем строчные и заглавные буквы. Затем добавляем спецсимволы — допустим, все «а» заменяем на @. Если еще и числа добавить — вообще идеально.
Еще одна частая ошибка — одинаковые пароли в нескольких местах. Удобно, когда пароль от Facebook, почты и мобильного банка один и тот же. Но если вы выбираете этот путь, помните о рисках.
— Если случится утечка одного из паролей, злоумышленники могут получить доступ сразу к нескольким вашим аккаунтами в разных местах. По этой же причине лучше не сохранять пароли в браузерах — это снова о выборе между безопасностью и удобством.
Сложные пароли запоминать необязательно. Для этого существуют менеджеры паролей, которые держат все в одном месте. Главное помнить, что доступ к таким приложениям тоже нужно защищать несколькими факторами.
Bubble советует
NordРass — менеджер паролей с удобным приложением для смартфона. Все пароли хранятся в облаке, что позволяет синхронизировать сервис между несколькими устройствами — эта функция доступна в премиум-версии, которая обойдется в €1,99 в месяц.
Использовать сервис VPN — само по себе еще одно правило кибербезопасности. Он полезен, когда пользователь, например, хочет скрыть свой настоящий IP-адрес. Однако стоит быть аккуратным — как и в случае с любой программой, подозрительный VPN может навредить. Дело снова в возможной утечке ваших данных.
— VPN — это еще один провайдер поверх основного, поэтому у него есть доступ к нашему трафику. Через VPN можно выловить картинки, которые мы отправляем, или пароли. Это как река — любой может посмотреть, что там плывет. Поэтому при выборе VPN, как и с антивирусом, стоит смотреть на производителя — с кем мы хотим поделиться данными.
Не факт, что все VPN-сервисы продают ваши данные. Но важно понимать — бесплатные VPN тоже хотят на вас заработать, а не дарят услугу по своей доброте.
— В лучшем случае данные утекут рекламщикам, в худшем — их могут выловить злоумышленники или спецслужбы. Бесплатные VPN в основном на продаже данных и зарабатывают, поэтому надежнее выбирать VPN с подпиской. Так вы хотя бы будете знать, на чем компания зарабатывает. Риск, что ваши данные продадут, здесь меньше.
Bubble советует
Proton VPN — швейцарский сервис передает данные по шифрованному трафику, поэтому даже если вы подключитесь к публичному Wi-Fi на улице, ваши пароли вряд ли утекут третьим лицам. Месячная подписка обойдется в €9,99.
Почту, как и любой другой сервис, по которому мы передаем важные документы и данные, тоже нужно защищать. И здесь двухфакторной аутентификации может быть недостаточно. Все дело в том, что чаще всего почтовики, которыми мы пользуемся, не шифруют письма — прочитать их злоумышленникам или правительству труда не составит.
— Почему-то многие думают, что письма в электронной почте шифруются и их никто не может прочитать кроме отправителя и адресата. Это не так — письмо течет по всем сетям: по Wi-Fi, мобильным сетям, достигает провайдера и только потом доходит до получателя. На любом из этих этапов письмо можно выловить из трафика и прочитать.
Если после этой цитаты желание отправлять по e-mail сканы паспортов и других важных бумаг поубавилось — не спешите покупать почтового голубя. Просто поищите зашифрованный почтовый сервис. Обычно это преимущество указано на сайте производителя.
Bubble советует
Proton Mail — бесплатный зашифрованный почтовый сервис, через который ваши письма увидите только вы и адресат. Также есть дополнение Proton Mail Bridge, которое шифрует почту, установленную на ваш компьютер — Outlook или Apple Mail. Если активно пользуетесь этими почтовыми клиентами, новый ящик с нуля можно не создавать, а просто установить шифрование на существующий.
Если шифрование почты не подходит, а документы защитить все еще нужно, попробуйте шифровать отдельные важные файлы — тогда для доступа к ним потребуется пароль. Зашифрованные файлы гораздо безопаснее загружать в облачное хранилище, отправлять по почте или в мессенджерах.
Для полной безопасности, можно зашифровать весь диск целиком — так обезопасите свои данные в случае потери или кражи устройства.
— Этот вариант радикальный, но им можно пользоваться по двум причинам — политические преследования или банальное воровство. Например, вы сдадите ноутбук в ремонт или его украдут — а у вас там важные файлы, да еще и пароли в браузере сохранены. Зашифрованный диск никто кроме вас прочитать не сможет.
Шифрование может звучать трудно, но вообще-то много усилий для этого не требуется. Чтобы зашифровать весь диск даже не нужно ничего скачивать — все уже есть в настройках компьютера. Для шифрования отдельных файлов существуют специальные программы, которые могут упаковать нужные файлы в архив и зашифровать целые папки.
Bubble советует
Encrypto — шифровальщик, который подходит для пользователей Windows и MacOS. Программа с дружелюбным интерфейсом, в котором не нужно долго разбираться. Помимо пароля для файлов, папок и архивов здесь можно установить вопрос для получателя, ответ на который будет паролем. Например: «Где мы отмечали Рождество в прошлом году?».
Чтобы стереть файл или программу с устройства, удалить его нажатием одной кнопки недостаточно. На самом деле удаленные нами файлы все еще записаны на жестком диске и при желании их даже можно восстановить. Такой мусор не только тормозит процессы, но и может сыграть против пользователи, если компьютер окажется не в тех руках.
— Многие думают, что если удалить файл из корзины, то он удалится окончательно и безвозвратно. На самом деле данные о нем останутся на диске, а мы удаляем только ссылку на файл. Как избавиться от любой информации совсем? Либо уничтожить жесткий диск, либо перешифровать удаленный файл, чтобы его нельзя было найти, восстановить и прочитать. Вот как раз такие программы — клинеры или эрейзеры, перешифровывают удаленные данные.
Клинеры глубоко очищают устройство от недоудаленных программ, дубликатов, иногда даже вредоносных файлов и вирусов. Выбор здесь как и всегда за вами — подробно изучайте производителя и откуда работает команда, чтобы понимать, кому вы предоставляете свои данные.
Bubble советует
Для MacOS и Wndows есть клинеры от MacPaw. Они защищены шифрованием, чтобы сократить риск кражи данных пользователя. Для обеих систем единоразовая покупка обойдется примерно в €40.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.
Если почта не шифруется летая по Wi-Fi, мобильным сетям, то зачем мы тогда используем всякие TLS и прочие настройки шифрования, без которых ни один провайдер почты сейчас не работает.
Какая глупость. TLS со всем для другого, прилетая на сервер твоя почта храниться в не зашифрованном виде. Хочешь зашифровать почту, пользуй pgp
Но ведь ценность почты в том, что её может прочитать адресат.
Если вся почта будет зашифрована - кто ж её прочитает-то?
Как правило, PGP используется не для шифрования, а для удостоверения источника, ну то есть как цифровая подпись.
Но в новом дивном мире есть DKIM, который в общем-то подтверждает происхождение письма, и включен везде и всюду. Именно поэтому PGP в обиходе вымер (но остался в тех местах, где делегировать айдентити не принято - например, в репозитариях Ubuntu\Debian).
MTA вообще-то.
А PGP изначально разрабатывалось для асиметричного шифрования. Подпись появилась потом
Пользователь отредактировал комментарий 7 февраля 2023, 19:06
MTA это мейл трансфер агент, какое отношение вообще он имеет к аутентификации отправителя?
underlying криптопримитивами в PGP чаще всего являются тривиальные по нынешним меркам RSA+DH. Ровно этот же чиферсьют до сих пор остаётся актуальным в TLS, различия там исключительно в формате передачи данных.
Прежде чем спорить с сырком (и другими людьми) о криптографии - настоятельно рекомендую изучить матчасть в течении как минимум пары-тройки лет.
А в коком месте у тебя DKIM привязался к конкретному отправителю? Отправляющий сервер, который и есть MTA - да.
Т.е. по сути это dns запись которая позволяет подтвердить что почта идёт дейтсвительно с того домена с которого заявлено. Где там непосредственно отправитель?
DKIM allows the receiver to check that an email claimed to have come from a specific domain was indeed authorized by the owner of that domain.
Т.е. ни о какой проверке именно отправителя речи не идёт. О домене - да.
Я как раз и пишу о принципе делегирования доверия.
DKIM подтверждает, что это письмо было отправлено через определенный почтовый сервис с соблюдением его внутренней политики ААА.
А уж доверять ли политике этого сервиса - вопрос совершенно открытый. Сервисы типа o365\gmail\proton обеспечивают достаточную защищенность процесса sign-in для того, чтобы имелись основания доверять письму с совпадающим from и валидным DKIM.
Да, но это не подтверждает что именно этот человек отправил именно это письмо. В этом плане PGP даёт эту дополнительную возможность. Если не ошибаюсь proton именно его и использует в какой-то вариации. Но не уверен, не пользовал.
Как это делает gmail я вообще затрудняюсь сказать да и как он может это делать. Я имею в виду подтвердить что именно этот человек. Достаточно ли доверять паролю на акаунт учитывая что можно взять телефон жертвы, разблокировать который куда проще.
Здесь я разумеется имею в виду что пользователь PGP в состоянии защитить свой секретный ключ и пароль к нему.
Ровно как и подпись ключом PGP не гарантирует, что подписал этот же человек. Подписать подписью может любой, имеющий закрытую её часть, залогиниться в гугль может любой, имеющий логин, пароль и второй фактор аутентификации. С позиции подтверждения айдентити - это практически эквивалентные вещи.
А гарантировать личность подписавшего может только нотариус. Ну и квалифицированная ЭЦП, и то с оговорками.
Я писал именно про полёт по сетям и вайфаям. Естественно, что получатель (сервер куда ты её отправил) может её расшифровать. Но причём тут мошенники, наше правительство и тем более провайдер интернета. Как эти ребята могут читать передаваемые письма? Сама передача идёт в зашифрованном виде.
Тот tls который бежит через твоего провайдера могут подменить теоретически.
Так что защита наверняка это PGP. Тогда читаешь только ты и твой получатель наверняка.
Подмена сертификата провайдером не останется незамеченной и отправка письма просто зафейлится.
Не совсем, может и остаться если подмена идёт на обе стороны. Сначала для тебя чтобы прочитать, потом обратно чтобы вернуть всё в норму
TLS нельзя подменить до тех пор, пока пользователь сам себе не поставит паленые корневые сертификаты или сам не согласится с тем, что соединение не конфиденциально.
А ты уверен что их, корневые нельзя подменить? Я бы не был так уверен ;)
И я не говорил что это легко, я лишь сказал что теоретически возможно, всё это много раз описано.
Конечно если ты пользуешь официальный gmail клиент где это вшито железобетонно, то да, тут шанс можно сказать 0
Уверен, что сложно.
На большинстве Android и Apple устройств это вообще нельзя сделать без рутования\джейлбрейка.
На окошках - проще, но всё равно нужны права локального администратора.
Сделать это незаметно и глобально - невозможно.
И что самое важное - это потребует совершенно эквивалентный объем компрометации конечной точки.
Ну то есть если у Вас есть возможность подсунуть эндпоинту рутсерт - то ничего не мешает поменять в адресбуке pgp на правильный ключик или подменить проверяющий бинарь\библиотеку.
Безопасность скомпрометированных точек равна нулю, вы можете хоть обложиться шифрами всех видов.
А погуглите про историю толи с казахстаном толи что-то такое, там был полный разбор палётов и большой скандал
так там эта история стала общеизвестной именно потому, что государство обязало владельцев устройств устанавливать этот сертификат.
и выяснилось, что далеко не всюду его можно всунуть. В компьютер-телефон ещё ладно, а вот в телевизор там или в умную лампочку\пылесос - вообще нужно сильно постараться.
А потом они ещё и ключ закрытый от него продолбали, но это совсем другая история
и ни слова об общественных WIFI