Безопасность в интернетах #2

Dmitriy Suslov
Jan 23 · 8 min read

Всем привет! В прошлом посте я начал развивать такую важную, на мой взгляд, тему как безопасность в сети. Сразу скажу, что я изучил достаточно много источников и отметил более 10 моментов, которые могут угрожать вам в сети. Поэтому материал получился достаточно объемным, но надеюсь, интересным и полезным с практической точки зрения.

Масштабная хакерская атака привела к тому, что сейчас в сети в свободном (бесплатном) доступе гуляют более 730 миллионов email адресов и паролей от них.

Вы можете сказать, что а) это вас не коснулось; б) нет так это страшно, можно почту в два счета сменить.

Но помимо утечек данных в нашем с вами интернете есть такие угрозы как:

  • вирусная атака. Как правило после установки или открытия файла-носителя.
  • фишинговые атаки.
  • раздражающая реклама. В основном ретаргетинг и банерная, реклама в различных медиа.
  • DDoS атаки. Бомбардировка принимающих серверов целевого сайта огромным количеством запросов с целью довести инфраструктуру до отказа.
  • Сетевой трекинг — отслеживание поведения пользователей на сайтах, путей передвижения с помощью геолокационного отслеживания и хранение историй сессий.
  • Социальная инженерия. Метод получения несанкционируемого доступа к файлам человека без использования технических средств. В основном в ход идет знание слабых мест психологии людей.

В этом посте я поставил своей целью разобраться с тем какие угрозы приватности и безопасности пользователей есть и как от них эффективно защититься. Основная наша задача на этом этапе, — понять и уяснить три момента.

  1. какие есть угрозы в интернете (компрометирование данных, фишинг, кража средств).
  2. какие правильные инструменты защиты использовать.
  3. узнать и начать применять хорошие интернет привычки.

Повествование я построю пос следующей схеме — от наиболее (на мой взгляд) важного и по нисходящей. Погнали разбираться вместе!


Так как я занимаюсь email маркетингом эта тема мне особенно близка. Тут нет особых сложностей, надо лишь использовать основные меры предосторожности. Как я писал в первой части статьи, для всех своих ящиков не поленитесь сделать сложный мультисимвольный (вроде Fe~7%E9j8SWxa)и уникальный пароль. Храните пароли в зашифрованных менеджерах паролей.

Почтовые фильтры работают достаточно хорошо и если зайти в папку “Спам” , то можно вдоволь насладиться письмами из серии “Получите свой биткоин” или “Дмитрий, у меня есть для вас беспроигрышная схема заработка”. Тем не менее, стоит остерегаться писем от незнакомых людей и НИ В КОЕМ СЛУЧАЕ не открывать в таких письмах различные документы, таблицы и не скачивать установочные файлы в формате exe.

И напоследок, фишинг. Решил отдельно не рассматривать эту угрозу, потому что злоумышленники в основном используют ее с помощью email канала. Обычно они посылают жертве email под видом официального письма (например от банка или платежного сервиса), из которого переводят на подделанную страницу для ввода данных. А там просят подтвердить реквизиты под каким-то предлогом. Трудно поверить, но на наивных людей это может подействовать.


Из этого пункта исходит также и другой — показ интернет рекламы. Зачастую надоедливой и не всегда релевантной. Как человек, работающий в интернет-маркетинге, с уверенностью могу сказать, — владельцы сайтов, на которые вы заходите знают о вас больше, чем вам кажется. Абсолютное большинство сайтов, как коммерческих, так и образовательных (развлекательных) присваивают вам после старта сессии уникальный идентификатор и начинают собирать данные.

Такие вещи как рекламные пиксели, кукис и суперкукис. Кукис (cookies) это кусок JavaScript кода, который при заходе на сайт сохраняется в вашем браузере. Далее он выступает посредником между сайтом и браузером и собирает много разной информации. Вы можете установить расширение для браузера, вроде Cookie Inspector , которое покажет какие кукис есть на посещаемом вами сайте. Некоторые нужны для улучшения пользовательского опыта, некоторые для изучения вашего поведения и для последующего использования в рекламных целях.

Вам выбирать, хотите ли вы, чтобы ваше поведение в интернете отслеживали. Для кого-то это не имеет никакого значения, но лично меня волнует что обо мне знают сайты и IT компании. Особенно те, для которых монетизация пользователей — основная цель. Говорю о таких гигантах как Google, Amazon, Яндекс, Mail.ru и прочих.

Для того чтобы сделать свой интернет-серфинг более приватным есть несколько способов. Я насчитал 3 основных:

  • Блокировщики рекламы. Браузерные расширения, которые отслеживают рекламные скрипты и блокируют их. Есть следующие решения: https://adblockplus.org/ , https://noscript.net/ , https://disconnect.me/ . Можете поискать сами, используя запросы ad blockers или advertising blockers.
  • Начинать сессию в режиме инкогнито (incognito mode). Основная задача этого режима, — сделать так, чтобы браузер не сохранял вашу историю активности и не собирал кукис. Запустить его очень просто — нажимаем правой кнопкой мыши на ярлык браузеры и выбираем “Новое окно в режиме инкогнито” в Google Chrome и “Новое приватное окно” в Mozilla Firefox. Браузеры не сохраняют историю сессий, но это без сомнения делают сами сайты и ваш интернет провайдер. Поэтому данный способ не самый надежный.
  • Самостоятельно чистить кукис. Просто берем и периодически сами чистим историю браузеры и кукис. В хроме это делаем в:

Настройки — Дополнительные — Очистить историю — Файлы cookie и другие данные сайтов.

В Mozilla Firefox это делаем в:

Настройки — Приватность и защита — Куки и данные сайтов — Удалить данные.


Здесь все не так очевидно, как в разделах выше. Конечно же, сложно представить современного интернет пользователя совсем аскетом, которые не использует Facebook, Instagram, VK, не общается в мессенджерах вроде WhatsApp, Viber и Telegram и не ищет информацию в поисковиках Google или Яндекс.

Конечно, от этого нам уже не уйти, но можно попробовать сделать использования этих сервисов более приватным. Начнем с мессенджеров. Честно говоря, среди самых популярных нет достаточно безопасного решения; у всех есть и плюсы и минусы.

В последние пару лет было много хайпа вокруг его протокола MTProto. Несмотря на то, что Павел Дуров не идет на диалог с очень умными людьми из РКН и не соглашается хранить логи сессий и историю чатов пользователей на серверах в РФ, к мессенджеру есть вопросы.

Такой важной фичи как анонимная регистрация нет. Серверы централизованы поэтому вот уже больше года мы наблюдаем батл телеги с “сами-знаете-кем”. Переписка из обычных чатов не шифруется и хранится на серверах компании. Это делается для того, чтобы при смене девайса пользователь имел доступ к прошлой переписке. Шифруются только сообщения из специально созданных секретных чатов. Также можно настроить на определенное время самоуничтожение сообщений.

На самом деле является более безопасным, чем Telegram потому что в нем сквозное (end-to-end) шифрование включено по умолчанию. Это значит что само содержание сообщений не видит даже WhatsApp (получает на серверах лишь зашифрованые пакеты данных), а видит лишь ваш собеседник и вы.

Из минусов — отсутствие анонимной регистрации и бэкап сообщений в облако (iCloud или Google Drive) по умолчанию. Но это можно отключить в настройках. Ну и слив пользовательских данных Facebook. Не будем забывать, что WhatsApp это дочерняя компания фейсбука и много чем делится.

Хоть это и страшное убожество, но не могу не включить его в обзор. Только потому что по аудитории на 2018 год Viber занимал второе место, немного отставая от вотсапа и сильно опережая Telegram. Как и у WhatsApp включено сквозное шифрование по умолчанию, но при этом в компании говорят (правду ли?), что они удаляют сообщения с серверов сразу после получения. Из других ништяков — есть функция создания секретных чатов и автоматического удаления сообщений.

Это ТОП-3 в России. Да, они не идеальны, но в целом со своими задачами справляются. Никто не отменял личной ответственности юзеров — нужно не оставлять смартфон без присмотра и (если хочется) установить надежный пароль для входа в мессенджер. Кроме того, для параноиков есть такие решения как Signal (фаворит Эдварда Сноудена), Thereema, Confide и Riot . Попробуйте уговорить ваших друзей перейти на один из них.


Теперь перейдем к внимательному рассмотрению соцсетей и приложений. Когда вы скачиваете новое приложение в AppStore или Google Play оно спрашивает разрешение на обработку той или иной информации. Чаще всего идет связывание с другими аккаунтами, просьба разрешить отслеживание геопозиции, доступ к медиатеке (тоже доступны геотеги у фоток и видео) и просьба об отправке уведомлений.

Самое важное тут это доступ к геолокации. Если сервисам карт это конечно же нужно, то всякие фейсбуки и твиторы делают вот что. Они собирают в базах данных ваши гео точки в тот или иной день, строят маршруты (где вы чаще всего и дольше всего бываете) и продают рекламодателям. Очень подробно об этом написано в статье NY Times. Далее поговорим про соцсети.

Наш замечательный VK я бы вообще удалил, если бы не огромное количество отличной музыки и несколько полезных образовательных пабликов. Ребята из вконтактика тщательно собирают в свою базу такие данные как:

  • местоположение (IP-адреса всех устройств);
  • все отправленные и полученные сообщения;
  • всю информацию из профиля пользователя;
  • всю информацию, передаваемую сторонним сервисам;
  • историю публикаций, подписок, лайков, репостов;
  • да вообще практически все. Можно запросить архив собранных данных за все время на этой странице .

У фейсбука есть в первую очередь одна цель — заработать на своих пользователях больше зеленых. Именно поэтому они скупают другие популярные социальные сервисы (WhatsApp, Instagram). Они по умолчанию собирают о вас очень много информации для того чтобы сформировать рекламный портрет. Но настройки показа рекламы внутри сети можно выключить тут .

В разделе настроек “Безопасность и вход” собирают всю информацию о входах в соцсеть (IP, город, браузер, устройство). В том же разделе можно сменить пароль на более надежный и настроить двухфакторную аутентификацию . Это минимальный джентельменский набор настроек. Все остальное вы сможете легко загуглить.


Перехожу к завершающим разделам статьи. Тут есть лишь две важные рекомендации:

  • использовать privacy-first браузер для работы и серфинга. Google Chrome и Яндекс.Браузер крутые продукты с большим количеством плюсов. Но они, опять же, собирают о вас столько данных, о которых вы не задумываетесь, что волосы могут дыбом встать. Например, Chrome хранит всю историю ваших переходов внутри сайтов (не только из поиска), ваши вкладки, сохраненные в браузере пароли и установленные расширения. Полный список смотрите здесь. Какие есть альтернативы?
  1. Brave ;
  2. Firefox ;
  3. TOR (очень медленный).

Считаю что на этом можно завершить. Мне было приятно провести такую работу с источниками и писать достаточно длинный и непростой материал. Хочу лишь подытожить написанное, в том числе и для своего закрепления материала:

  • при работе с почтой используйте несколько email адресов с разными мультисимвольными паролями.
  • пароли от приложений и соцсетей храните в менеджерах паролей вроде 1Password .
  • использовать блокировщики рекламы в браузерах.
  • пользоваться VPN сервисами для перенаправления трафика.
  • периодически чистить cookies и историю браузера.
  • использовать любой из топовых мессенджеров, если сильно нужно — создавайте секретные чаты.
  • изучите и измените (если нужно) настройки приватности соцсетей.
  • если нужно, скачайте и установите надежный браузер.
  • регулярно обновляйте операционные системы на девайсах и приложения.

На этом тему считаю раскрытой. Если знаете еще полезные советы, то пожалуйста пишите и обсудим. Счастливо! 😉

Dmitriy Suslov

Written by

Email marketer, direct communications. Writing about digital marketing, tech, continuous learning and interesting books. To know more — https://dimasuslov.ru