Безопасность в интернетах #2

Dmitriy Suslov
Jan 23, 2019 · 8 min read
Image for post
Image for post

Всем привет! В прошлом посте я начал развивать такую важную, на мой взгляд, тему как безопасность в сети. Сразу скажу, что я изучил достаточно много источников и отметил более 10 моментов, которые могут угрожать вам в сети. Поэтому материал получился достаточно объемным, но надеюсь, интересным и полезным с практической точки зрения.

Масштабная хакерская атака привела к тому, что сейчас в сети в свободном (бесплатном) доступе гуляют более 730 миллионов email адресов и паролей от них.

Вы можете сказать, что а) это вас не коснулось; б) нет так это страшно, можно почту в два счета сменить.

Но помимо утечек данных в нашем с вами интернете есть такие угрозы как:

  • вирусная атака. Как правило после установки или открытия файла-носителя.
  • фишинговые атаки.
  • раздражающая реклама. В основном ретаргетинг и банерная, реклама в различных медиа.
  • DDoS атаки. Бомбардировка принимающих серверов целевого сайта огромным количеством запросов с целью довести инфраструктуру до отказа.
  • Сетевой трекинг — отслеживание поведения пользователей на сайтах, путей передвижения с помощью геолокационного отслеживания и хранение историй сессий.
  • Социальная инженерия. Метод получения несанкционируемого доступа к файлам человека без использования технических средств. В основном в ход идет знание слабых мест психологии людей.

В этом посте я поставил своей целью разобраться с тем какие угрозы приватности и безопасности пользователей есть и как от них эффективно защититься. Основная наша задача на этом этапе, — понять и уяснить три момента.

  1. какие есть угрозы в интернете (компрометирование данных, фишинг, кража средств).
  2. какие правильные инструменты защиты использовать.
  3. узнать и начать применять хорошие интернет привычки.

Повествование я построю пос следующей схеме — от наиболее (на мой взгляд) важного и по нисходящей. Погнали разбираться вместе!

Image for post
Image for post

Угрозы при работе с почтой

Так как я занимаюсь email маркетингом эта тема мне особенно близка. Тут нет особых сложностей, надо лишь использовать основные меры предосторожности. Как я писал в первой части статьи, для всех своих ящиков не поленитесь сделать сложный мультисимвольный (вроде Fe~7%E9j8SWxa)и уникальный пароль. Храните пароли в зашифрованных менеджерах паролей.

Почтовые фильтры работают достаточно хорошо и если зайти в папку “Спам” , то можно вдоволь насладиться письмами из серии “Получите свой биткоин” или “Дмитрий, у меня есть для вас беспроигрышная схема заработка”. Тем не менее, стоит остерегаться писем от незнакомых людей и НИ В КОЕМ СЛУЧАЕ не открывать в таких письмах различные документы, таблицы и не скачивать установочные файлы в формате exe.

И напоследок, фишинг. Решил отдельно не рассматривать эту угрозу, потому что злоумышленники в основном используют ее с помощью email канала. Обычно они посылают жертве email под видом официального письма (например от банка или платежного сервиса), из которого переводят на подделанную страницу для ввода данных. А там просят подтвердить реквизиты под каким-то предлогом. Трудно поверить, но на наивных людей это может подействовать.

Трекинг и сбор пользовательских данных

Из этого пункта исходит также и другой — показ интернет рекламы. Зачастую надоедливой и не всегда релевантной. Как человек, работающий в интернет-маркетинге, с уверенностью могу сказать, — владельцы сайтов, на которые вы заходите знают о вас больше, чем вам кажется. Абсолютное большинство сайтов, как коммерческих, так и образовательных (развлекательных) присваивают вам после старта сессии уникальный идентификатор и начинают собирать данные.

Image for post
Image for post

Такие вещи как рекламные пиксели, кукис и суперкукис. Кукис (cookies) это кусок JavaScript кода, который при заходе на сайт сохраняется в вашем браузере. Далее он выступает посредником между сайтом и браузером и собирает много разной информации. Вы можете установить расширение для браузера, вроде Cookie Inspector , которое покажет какие кукис есть на посещаемом вами сайте. Некоторые нужны для улучшения пользовательского опыта, некоторые для изучения вашего поведения и для последующего использования в рекламных целях.

Вам выбирать, хотите ли вы, чтобы ваше поведение в интернете отслеживали. Для кого-то это не имеет никакого значения, но лично меня волнует что обо мне знают сайты и IT компании. Особенно те, для которых монетизация пользователей — основная цель. Говорю о таких гигантах как Google, Amazon, Яндекс, Mail.ru и прочих.

Для того чтобы сделать свой интернет-серфинг более приватным есть несколько способов. Я насчитал 3 основных:

  • Блокировщики рекламы. Браузерные расширения, которые отслеживают рекламные скрипты и блокируют их. Есть следующие решения: https://adblockplus.org/ , https://noscript.net/ , https://disconnect.me/ . Можете поискать сами, используя запросы ad blockers или advertising blockers.
  • Начинать сессию в режиме инкогнито (incognito mode). Основная задача этого режима, — сделать так, чтобы браузер не сохранял вашу историю активности и не собирал кукис. Запустить его очень просто — нажимаем правой кнопкой мыши на ярлык браузеры и выбираем “Новое окно в режиме инкогнито” в Google Chrome и “Новое приватное окно” в Mozilla Firefox. Браузеры не сохраняют историю сессий, но это без сомнения делают сами сайты и ваш интернет провайдер. Поэтому данный способ не самый надежный.
  • Самостоятельно чистить кукис. Просто берем и периодически сами чистим историю браузеры и кукис. В хроме это делаем в:

Настройки — Дополнительные — Очистить историю — Файлы cookie и другие данные сайтов.

В Mozilla Firefox это делаем в:

Настройки — Приватность и защита — Куки и данные сайтов — Удалить данные.

Image for post
Image for post

С умом подходить к выбору и настройке соцсетей, мессенджеров, приложений и браузеров

Здесь все не так очевидно, как в разделах выше. Конечно же, сложно представить современного интернет пользователя совсем аскетом, которые не использует Facebook, Instagram, VK, не общается в мессенджерах вроде WhatsApp, Viber и Telegram и не ищет информацию в поисковиках Google или Яндекс.

Конечно, от этого нам уже не уйти, но можно попробовать сделать использования этих сервисов более приватным. Начнем с мессенджеров. Честно говоря, среди самых популярных нет достаточно безопасного решения; у всех есть и плюсы и минусы.

Telegram

В последние пару лет было много хайпа вокруг его протокола MTProto. Несмотря на то, что Павел Дуров не идет на диалог с очень умными людьми из РКН и не соглашается хранить логи сессий и историю чатов пользователей на серверах в РФ, к мессенджеру есть вопросы.

Такой важной фичи как анонимная регистрация нет. Серверы централизованы поэтому вот уже больше года мы наблюдаем батл телеги с “сами-знаете-кем”. Переписка из обычных чатов не шифруется и хранится на серверах компании. Это делается для того, чтобы при смене девайса пользователь имел доступ к прошлой переписке. Шифруются только сообщения из специально созданных секретных чатов. Также можно настроить на определенное время самоуничтожение сообщений.

WhatsApp

На самом деле является более безопасным, чем Telegram потому что в нем сквозное (end-to-end) шифрование включено по умолчанию. Это значит что само содержание сообщений не видит даже WhatsApp (получает на серверах лишь зашифрованые пакеты данных), а видит лишь ваш собеседник и вы.

Из минусов — отсутствие анонимной регистрации и бэкап сообщений в облако (iCloud или Google Drive) по умолчанию. Но это можно отключить в настройках. Ну и слив пользовательских данных Facebook. Не будем забывать, что WhatsApp это дочерняя компания фейсбука и много чем делится.

Viber

Хоть это и страшное убожество, но не могу не включить его в обзор. Только потому что по аудитории на 2018 год Viber занимал второе место, немного отставая от вотсапа и сильно опережая Telegram. Как и у WhatsApp включено сквозное шифрование по умолчанию, но при этом в компании говорят (правду ли?), что они удаляют сообщения с серверов сразу после получения. Из других ништяков — есть функция создания секретных чатов и автоматического удаления сообщений.

Это ТОП-3 в России. Да, они не идеальны, но в целом со своими задачами справляются. Никто не отменял личной ответственности юзеров — нужно не оставлять смартфон без присмотра и (если хочется) установить надежный пароль для входа в мессенджер. Кроме того, для параноиков есть такие решения как Signal (фаворит Эдварда Сноудена), Thereema, Confide и Riot . Попробуйте уговорить ваших друзей перейти на один из них.

Image for post
Image for post

Настройки приватности соцсетей и приложений

Теперь перейдем к внимательному рассмотрению соцсетей и приложений. Когда вы скачиваете новое приложение в AppStore или Google Play оно спрашивает разрешение на обработку той или иной информации. Чаще всего идет связывание с другими аккаунтами, просьба разрешить отслеживание геопозиции, доступ к медиатеке (тоже доступны геотеги у фоток и видео) и просьба об отправке уведомлений.

Самое важное тут это доступ к геолокации. Если сервисам карт это конечно же нужно, то всякие фейсбуки и твиторы делают вот что. Они собирают в базах данных ваши гео точки в тот или иной день, строят маршруты (где вы чаще всего и дольше всего бываете) и продают рекламодателям. Очень подробно об этом написано в статье NY Times. Далее поговорим про соцсети.

vk.com

Наш замечательный VK я бы вообще удалил, если бы не огромное количество отличной музыки и несколько полезных образовательных пабликов. Ребята из вконтактика тщательно собирают в свою базу такие данные как:

  • местоположение (IP-адреса всех устройств);
  • все отправленные и полученные сообщения;
  • всю информацию из профиля пользователя;
  • всю информацию, передаваемую сторонним сервисам;
  • историю публикаций, подписок, лайков, репостов;
  • да вообще практически все. Можно запросить архив собранных данных за все время на этой странице .

Facebook

У фейсбука есть в первую очередь одна цель — заработать на своих пользователях больше зеленых. Именно поэтому они скупают другие популярные социальные сервисы (WhatsApp, Instagram). Они по умолчанию собирают о вас очень много информации для того чтобы сформировать рекламный портрет. Но настройки показа рекламы внутри сети можно выключить тут .

В разделе настроек “Безопасность и вход” собирают всю информацию о входах в соцсеть (IP, город, браузер, устройство). В том же разделе можно сменить пароль на более надежный и настроить двухфакторную аутентификацию . Это минимальный джентельменский набор настроек. Все остальное вы сможете легко загуглить.

Выбор браузера

Перехожу к завершающим разделам статьи. Тут есть лишь две важные рекомендации:

  • использовать privacy-first браузер для работы и серфинга. Google Chrome и Яндекс.Браузер крутые продукты с большим количеством плюсов. Но они, опять же, собирают о вас столько данных, о которых вы не задумываетесь, что волосы могут дыбом встать. Например, Chrome хранит всю историю ваших переходов внутри сайтов (не только из поиска), ваши вкладки, сохраненные в браузере пароли и установленные расширения. Полный список смотрите здесь. Какие есть альтернативы?
  1. Brave ;
  2. Firefox ;
  3. TOR (очень медленный).

Считаю что на этом можно завершить. Мне было приятно провести такую работу с источниками и писать достаточно длинный и непростой материал. Хочу лишь подытожить написанное, в том числе и для своего закрепления материала:

  • при работе с почтой используйте несколько email адресов с разными мультисимвольными паролями.
  • пароли от приложений и соцсетей храните в менеджерах паролей вроде 1Password .
  • использовать блокировщики рекламы в браузерах.
  • пользоваться VPN сервисами для перенаправления трафика.
  • периодически чистить cookies и историю браузера.
  • использовать любой из топовых мессенджеров, если сильно нужно — создавайте секретные чаты.
  • изучите и измените (если нужно) настройки приватности соцсетей.
  • если нужно, скачайте и установите надежный браузер.
  • регулярно обновляйте операционные системы на девайсах и приложения.

На этом тему считаю раскрытой. Если знаете еще полезные советы, то пожалуйста пишите и обсудим. Счастливо! 😉

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch

Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore

Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store