Чёрный ход в вашу жизнь. Правила самозащиты в интернете
Угроза № 1: мессенджеры и соцсети
Передача данных в интернете стала хоть как-то защищена сравнительно недавно. Ещё в 2010–2012 годах сообщения мессенджеров Skype и WhatsApp отправлялись в открытом виде. Примерно с середины 2010-х началось повальное шифрование всех передаваемых данных. Сейчас большинство мессенджеров в том или ином виде поддерживают технологии peer-to-peer (каждое устройство действует как сервер для файлов, хранящихся на нём, не используя посредников), но до сих пор не угасают дебаты между Павлом Дуровым и командой мессенджера WhatsApp. С одной стороны, Telegram имеет доступ практически ко всем сообщениям, передающимся через платформу. Павел Дуров парирует, что приложение WhatsApp предоставляет доступ ко всем сообщениям пользователей таким компаниям, как Google или Apple. Ситуация особенно усугубляется последними изменениями в пользовательском соглашении — теперь Facebook получит данные пользователей мессенджера WhatsApp и предоставит их в распоряжение всех семейств приложений компании Марка Цукерберга.
В сентябре 2020 года пользователь Instagram из Нью-Джерси Бриттани Кондити подала в суд на Facebook, утверждая, что приложение использует камеру с целью сбора данных о своих пользователях.
Выяснилось, что Instagram получал доступ к камере её iPhone, даже когда само приложение не использовалось. По сообщению Facebook, это была ошибка программного обеспечения: приложение разрабатывается активными темпами, и с качеством тестирования исходного кода возникают проблемы.
Это в очередной раз поднимает вопрос о том, насколько мы можем доверять даже компаниям со сложившейся репутацией, которые хорошо знаем.
Угроза № 2: Wi-Fi
Ещё 10 лет назад администратор Wi-Fi-точки в какой-нибудь кофейне действительно мог получить доступ к логинам и паролям пользователей. Однако на данный момент порядка 85% трафика, проходящего через Сеть, зашифровано. Таким образом, если человек пользуется с телефона браузером или приложениями с надёжной репутацией, он может подключаться абсолютно к любой точке Wi-Fi.
Угроза от публичных сетей преувеличена, но всё же местами сохраняется. Лучше не скачивать и не устанавливать программы через публичный Wi-Fi на свой ноутбук. Если при скачивании или попытке установить приложение всплывает уведомление об ошибке сертификата безопасности, то лучше не открывать сайт в обход этого сообщения (если вы не на 100% доверяете сети). Лучше поменять сеть на другую, например, переключиться с Wi-Fi на 4G-модем и посмотреть, как изменится ситуация.
Угрозы № 3 и № 4: устаревшие девайсы, пиратские и вредоносные приложения
Ещё один очень важный аспект цифровой гигиены — это установка приложений на телефон, ноутбук, домашний компьютер, телевизор и чуть ли не холодильник.
При установке приложений из ненадёжных источников или от ненадёжных разработчиков могут возникнуть серьёзные угрозы безопасности. В таких программах данные иногда до сих пор передаются в открытом тексте, т. е. в незашифрованном виде.
Проблемы могут возникнуть и при использовании умных устройств. Самый главный пункт в своде правил безопасности в таком случае — не пользоваться устройствами, которые больше не поддерживаются производителем или производитель вовсе изначально не заботился об их безопасности.
Сегодня на рынке очень много смарт-устройств от всевозможных фирм-однодневок, у некоторых из них названия отличаются на одну-две буквы от названий лидеров рынка. Этих производителей не было на рынке, условно, три года назад, и через три года их не станет. О своей репутации и безопасности продукции такие компании не заботятся. В итоге под ударом оказываются данные пользователей, а порой даже их финансы.
Эта ситуация примерно аналогична той, что была 10 лет назад на автомобильном рынке. В то время была всего пара брендов китайских автомобилей, на которых более-менее можно было ездить, но в ситуации минимального ДТП они превращались в груду металла. С защитой информации и домашними, а также портативными устройствами история такая же, за исключением того, что физического ущерба этим устройствам никто не причиняет. Но защита своего владельца у устройства тоже находится на минимальном уровне.
Стоит убедиться, что производитель будет поддерживать устройство, своевременно его обновлять и что на девайс не установлены всевозможные приложения по сбору аналитики от производителя. Эти приложения в экспертной среде называются бэкдорами — чёрными ходами в вашу жизнь.
В этой же связи крайне не рекомендуется использовать пиратские сайты для установки программ, в особенности на устройства, которые имеют доступ к личной информации пользователя. Здесь, надо признать, есть исключения. Если у пользователя есть, например, игровая консоль — Xbox или PlayStation — без микрофона и камеры, и он не собирается покупать легальные игры и потому не привязал к своему аккаунту банковскую карту, то установка пиратской программы лично ему в плане приватности никак не повредит.
Следует, однако, учитывать, что с помощью таких устройств недоброжелатели могут взламывать аккаунты организации и пользователей, организовывать DDoS-атаки. Реального ущерба сам владелец устройства не получит, за исключением, возможно, визита Следственного комитета в случае обнаружения угрозы.
Но если человек устанавливает пиратские или взломанные программы на свой домашний компьютер, к которому у него привязаны все данные и пароли, или на свой телефон, камера которого имеет прямой доступ к происходящему в жизни, а микрофон может записывать всё что человек говорит, то сетевая гигиена в таком случае должна быть максимальной. Выбор самого устройства, установка на него надёжных программ из надёжных источников и своевременное обновление — ни один пункт нельзя упускать из виду.
Пользователям также следует иметь как минимум две банковские карты: зарплатную (на которой хранятся основные средства) и дополнительную. Расплачиваться в магазинах зарплатной картой нежелательно: для проведения повседневных операций следует использовать вторую карту, на которую нужно переводить ровно столько средств, сколько надо для оплаты покупок.
Угроза № 5: почта
Все, кто когда-либо имел опыт работы с западными компаниями или их российскими филиалами, в конце каждого сообщения электронной почты могли видеть длинное полотно текста — уведомление о конфиденциальности. В нём указывается, что электронное сообщение содержит конфиденциальную информацию и в случае получения этого письма по ошибке необходимо сообщить об этом отправителю, а само сообщение удалить.
Вот вопрос: с какой целью юристы западных компаний настаивают на добавлении такого текста к подписи каждого сотрудника? Ведь, казалось бы, рабочая переписка и так носит конфиденциальный характер для тех, кто подписал с работодателем соглашение о неразглашении (Non-disclosure agreement, NDA).
Дело в том, что письма, например, отправленные через веб-интерфейс на адреса Gmail, будут передаваться даже между серверами Google в зашифрованном виде, что исключает вероятность попадания информации к третьим лицам. Письмо с Gmail, отправленное на «Яндекс.Почту», скорее всего, будет в безопасности, хотя гарантий никто не даст. А вот при отправке писем с Google на адрес другой компании, с которой работает пользователь, надежд на конфиденциальность практически нет. Целый ряд компаний, в частности, интернет-магазинов, высылает в письмах своим клиентам пароли в открытом тексте. Неудивительно, что они становятся видны всем, кто получает доступ к проходящему мимо транзитному интернет-трафику.
Угроза № 5: ненадёжные пароли
По сей день человеку не до конца понятно, какой пароль можно считать стойким, каков уровень угрозы и, самое главное, как без головной боли установить надёжные пароли на каждый сервис и каждое приложение.
Для этого можно обратиться к «рецепту» Национального института стандартов и технологий США (англ. The National Institute of Standards and Technology, NIST), выпустившего рекомендации по подбору паролей. Они ориентированы на коммерческие компании, но физическим лицам тоже стоит принять во внимание эти советы.
В первую очередь NIST крайне не рекомендует заставлять пользователей запоминать пароли. Все мы по большому счёту должны держать в голове один, два, максимум три пароля. Один — к электронной почте, через которую в случае необходимости можно восстановить доступ к остальным аккаунтам. Второй — к специальной программе, либо встроенной в браузер, либо поставляющейся отдельно, в которой будут сохраняться все остальные пароли.
Есть и третий пароль, который можно запомнить, — к основному банковскому счёту. На всякий случай, поскольку у ряда банков такой пароль нельзя восстановить без личной явки в отделение, а деньги могут понадобиться в любой момент.
А вот запоминать все пароли бессмысленно поскольку человеческий мозг плохо приспособлен для хранения специальным образом закодированных фраз. Зачастую пользователи придумывают общее слово для пароля и для разных аккаунтов добавляют к нему дополнительные символы. Однако подобные пароли легко вскрываются злоумышленниками. Некоторые вообще используют один и тот же пароль, что может привести к потере аккаунтов социальных сетей, электронной почты и даже в некоторых случаях финансовых сервисов.
Чтобы максимально себя обезопасить, NIST рекомендует создавать пароли длиной от 20 символов.
Согласно NIST, пароль — это больше не слово. Это либо произвольным образом сгенерированная последовательность символов, либо — в том редком случае, когда пароль нужно держать в голове, — длинная фраза. Их ещё называют пассфразами ( от англ. Pass phrase — парольная фраза).
Хороший вариант — закодировать в пароль пару-тройку строк из малоизвестного стихотворения, которое человек хорошо помнит с детства или даже написал когда-то сам. Это также могут быть и отрывки из любимых романов или просто фразы, которые человек знает наизусть.
Все остальные пароли должны быть автоматически сгенерированы менеджером паролей. Они будут чрезвычайно стойкими, а помнить их нет никакого смысла. Самое главное, что в случае взлома одного сервиса доступа к другим аккаунтам и сайтам пользователя злоумышленники не получат.
Все сгенерированные пароли стоит доверить компьютеру, а самому держать резервную копию данных. Даже в случае потери резервной копии единственное, что может грозить пользователю, — это восстановление доступа к аккаунтам через электронную почту. Конечно, это неприятно, но подобные инциденты случаются редко, и, если человек делает резервную зашифрованную копию данных даже в облако, с ним это не произойдёт никогда.
Важным аспектом цифровой гигиены является и многофакторная аутентификация во всех сервисах, где находятся финансовые или личные данные человека. Двухфакторная аутентификация подразумевает проверку кода, отправленного либо в СМС, либо в push-сообщении или иным способом. Как правило, это не приносит больших неудобств пользователю, но повышает уровень безопасности.
Говоря о цифровой гигиене, можно легко провести параллель с личной гигиеной человека. Её требования необходимо соблюдать, но ограничиваться они должны разумными рамками. Гигиена и дисциплина могут потребовать от человека мыть руки с мылом в течение 20 секунд, чтобы избавиться от следов коронавируса, но они не требуют (пока) принимать душ каждый раз по возвращении домой.
Цифровая гигиена подразумевает повседневные меры примерно такого же порядка. Это не означает, что нужно тут же перестать пользоваться приложениями Facebook, Instagram, Twitter и т. д. из-за того, что они могут использовать личные данные пользователей, но в то же время понятие «гигиена» подразумевает некоторую осведомлённость. Пользуясь цифровыми устройствами и «зависая» в социальных сетях, не забывайте изучать, какие сейчас существуют угрозы и как от них можно защититься, — чтобы не оказаться под ударом в тот момент, когда прилетит очередной «чёрный лебедь».
Коллаж: «Секрет Фирмы», depositphotos.com