Вступление


Почему важно задуматься о безопасности в Интернете? Небольшой пример, если злоумышленник получит доступ к вашей учетной записи на каком-либо ресурсе, это может привести к ущербам разного вида, как материальным, так и моральным. Вот несколько примеров.

Злоумышленник получает учетную запись от социальных сетей. Это ведет к беспощадной рассылке всем друзьям порой не лучших новостей, на здоровье кого-нибудь из близких подобные сообщения могут отрицательно повлиять.

Злоумышленник получает учетную запись от сайтов бронирования гостиниц. Отменив бронирование, может испортить отпуск, а также нанести материальный ущерб.

Интернет-магазин, здесь злоумышленник также может сильно навредить, отменив покупку, которая уже оплачена.

Таких примеров может быть очень много и, более того, злоумышленник может мыслить куда более хитро и тонко, извлекая из этого свою выгоду. Ну а если злоумышленник получает учетную запись от почты, это дает и вовсе бескрайние просторы для вредительства. Никогда не знаешь, чем завтра сможет воспользоваться злоумышленник в Интернете, поэтому составил небольшой перечень пунктов, которые могут помочь стать более защищенным.

Почта


Типовое решение: бесплатный ресурсы с широким функционалом и рекламой

Безопасное решение: ограниченная по функционалу бесплатная почта или полноценная платная почта с возможностью шифрования и без рекламы

Подробности: Есть возможность шифрования почты (вдруг надо будет переслать что-то критичное, важный документ, данные банковской карты и пр.), конфиденциальная учетная запись (не требует при регистрации никаких персональных данных), открытый исходный код (я в этом ничего не понимаю, но хочется верить, что те, кто понимают, посмотрели и одобрили), отсутствие рекламы и сбора метаданных.

Здесь есть подробный обзор нескольких почтовых сервисов.

Как пример для рассмотрения, я остановил свой выбор на двух сервисах.
Posteo – стоит 1 евро в месяц, есть сервис календаря и контактов, поддержка IMAP, POP3. Все хорошо работает.

Protonmail – в бесплатной версии IMAP и POP3 не доступны. Есть приложение для смартфона. Порадовала такая функция, как время жизни сообщения, но предназначения этому пока не придумал.

Облачный диск


Типовое решение: бесплатные облачные диски из top-10

Безопасное решение: платный зашифрованный облачный диск

Подробности: Это переход на безопасное хранение данных, т.к. данные в облаке зашифрованы, как от потенциального злоумышленника, так и от создателей облачного диска.
Мне из всей линейки облачных дисков понравился сервис Mega, однако ж тут есть статья, где подробно расписано о недостатках безопасности этого сервиса. Все-же сервис понравился по ряду причин. Есть приложение для синхронизации данных между компьютером и облаком, таким образом резервное копирование в облако осуществляется «на лету». Так же есть возможность отслеживания версий файлов, т.к. хранится до 5 предыдущих версий. Если что-то случайно удалить из файла, то можно найти старую копию и восстановить утерянные данные. Открытый исходный код. Понятный интерфейс. Удобное приложение для смартфона.

Минусы: скорее всего захочется перейти на платную версию выбранного ресурса (бесплатная версия обычно до 20Гб). Нет возможности просмотра файлов при помощи приложений облачного диска, файл нужно скачивать для просмотра (это касается веб-версии).

Хранение паролей


Типовое решение: passwords.txt, 2-3 типовых пароля

Безопасное решение: Использование менеджера паролей, где нет повторяющихся паролей.

Подробности: Хранение паролей в защищенном виде, синхронизация между компьютером и смартфоном, авто-заполнение паролей для браузеров. Теперь браузер не хранит пароли. Здесь хорошая статья с обзором нескольких сервисов по хранению паролей.

Мне понравился Kaspersky password manager, однако там закрытый исходный код и плата 450руб в год.

Хранение данных на флеш диске или внешнем жестком диске


Типовое решение: данные на flash disk

Безопасное решение: зашифрованные данные на flash disk

Подробности: Данные зашифрованы программой от производителя, не достаточно безопасно, но лучше, чем ничего. В случае потери или хищения флешки, внешнего жесткого диска, можно переживать чуть меньше, чем если бы не было шифрования.

Минусы: Носители данных стали работать значительно медленнее.

Хранение данных на компьютере


Типовое решение: нешифрованные данные на диске компьютера

Безопасное решение: диск зашифрован встроенной в Windows системой шифрования BitLocket

Подробности: В случае потери или хищения компьютера, снижается вероятность того, что данные могут попасть в руки злоумышленника.

Социальные сети и прочие ресурсы в Интернете


Самое безопасное – не пользоваться. Самое удобное – пользоваться всем. Надо найти «золотую середину», чтобы можно было пользоваться, делиться фотографиями с друзьями, что-то обсуждать, но при этом не быть открытым всему миру.

Например, если обсуждение сделки покупки-продажи чего-либо часто содержат такие данные, как кто во сколько будет дома, злоумышленник может использовать эту информацию в своих целях. Открытые аккаунты в социальных сетях со стримом из отпуска так и говорят потенциальным грабителям: «Никого нет дома, you are welcome!».

Банки


Типовое решение: одна карта, один счет.

Безопасное решение: две карты, три счета. Основная карта+счет для оплаты картой в магазинах (там всегда мало). Отдельная карта+счет для покупок в Интернете (пополнять только на сумму покупки перед покупкой). Отдельный счет для зарплаты без привязки к карте.
Подробности: Основная карта может быть украдена, пин-код может быть подсмотрен/считан, при утере или краже нет риска потерять много. При оплате в Интернете данные карты могут быть скомпрометированы, выпуск виртуальной карты каждый раз перед оплатой процесс трудоемкий и дорогой, удобно иметь отдельную карту для этих целей.

Минусы: Перед покупкой надо пополнить соответствующую карту или счет.

Заключение


Кто знает, чем завтра воспользуется злоумышленник. Лучше быть чуть менее доступным, при этом не переступая порог здравого смысла и комфорта.

Комментарии (52)


  1. fessmage
    15.09.2019 12:59

    дополнения от меня:


    • несколько почтовых ящиков для разных целей (по принципу как с банковскими картами)
    • разделение цифровых личностей (разные устройства, разная почта, разные аккаунты)
    • BitLocker не является надежной системой, лучше использовать например VeraCrypt
    • встроенное шифрование накопителей не является надежным (часто там просто XOR с захардкоженным значением), лучше тот же VeraCrypt
    • использовать платный VPN сервис для подключений со всех устройств
    • в требующих особой анонимности случаях — заходить на ресурсы через Tor из виртуалки запускающей LiveCD (Tails, Whonix), виртуалку в сеть пускать через VPN страны, отлючающейся от обычно используемой

    И самое главное — следить за собой, т.к. никакие технические меры не помогут если вы сами выкладываете фото с геопозицией в exif данных или шарите свое местоположение в foursquare.


    1. pfemidi
      15.09.2019 13:35

      «Я не был параноиком до тех пор пока ОНИ ВСЕ НЕ НАЧАЛИ МЕНЯ ПРЕСЛЕДОВАТЬ!!!»


      1. fessmage
        15.09.2019 13:50
        +1

        На мой взгляд это обычные меры предосторожности, подобные тому как не говорить посторонним свой адрес или не диктовать пин код вслух. Всё это входит в моё понятие цифровой гигиены.
        И конечно для разных цифровых личностей будет разная степень применения. Главное не смешивать их и не оставлять пересечений.


        1. kinall
          15.09.2019 15:17

          В любом случае эти «личности» связаны между собой через finger-print вашего браузера. Или у вас для них всех разные устройства и разные каналы выхода в сеть?


          1. fessmage
            15.09.2019 17:39

            Да разумеется, как минимум разные браузеры, или чуть лучше — разные виртуалки, или еще лучше разные устройства. Канал связи — впн по-умолчанию, для разных личностей — разные серверы/страны.


            И речь не столько про меня, я как раз всеми мерами предосторожностей мне известными не пользуюсь постоянно — нет потребности.
            Но я о них в курсе, имею опыт использования и могу консультировать тех у кого потребность есть.
            На базовом уровне минимально достаточно шифрования устройств и впн. Остальное по мере потребностей, в безопасности можно применить тот же KISS.


          1. DGN
            16.09.2019 01:22

            Это не очень критично, куда как важнее чтобы зная одну вашу личность (хорошего программиста), заинтересованное частное лицо не смогло найти другие стороны (сторонника криптоанархизма и садомазохизма). Чтобы вас начали искать по фингерпринтам, вам придется как минимум убить президента.

            До кучи, к «две карты, три счета», я бы добавил три банка и три страны. Но это довольно накладно, куда как дешевле все хранить в одном банке. Тут параноидальность борется с практической целесообразностью и жабой.

            Облако хорошо бы иметь свое, на крайний случай — еще и для друзей и родных. Три сервера, в родной и еще двух странах.


  1. Exchan-ge
    15.09.2019 16:23

    Злоумышленник получает учетную запись от сайтов бронирования гостиниц. Отменив бронирование, может испортить отпуск, а также нанести материальный ущерб.


    Всего лишь однажды я забронировал номер в гостинице через Интернет, использовав один из своих рабочих адресов для получения ответа.
    Густой спам приходил на этот адрес не менее пяти лет.
    Для того что испортить отпуск — можно и не отменять бронирование )


  1. Exchan-ge
    15.09.2019 16:29

    Безопасное решение: диск зашифрован встроенной в Windows системой шифрования BitLocket


    Специфика ежедневной работы с BitLocker такова, что к зашифрованным дискам злоумышленник сможет без проблем получить полный доступ — если подсмотрит пин-код из четырех цифр.

    Потому как вводить пароль для BitLocker при каждом запуске компьютера для обычного пользователя слишком сложно — и он выбирает более легкий вариант, благо он вполне доступен.


    1. ibrin
      15.09.2019 17:35

      Bitlocker — это еще и проблемы с созданием резервной копии раздела. А вот монтировать контейнер Veracrypt и работать с ним как с диском довольно удобно. Плюс файл контейнера можно синхронизировать с серверным хранилищем.



  1. azudem
    15.09.2019 17:23
    +1

    Паранойя она такая. Как-то давно была сумбурная, но честная статья Джеймса Микенса, по-моему был и перевод на хабре, про безопасность в интернете и за его пределами. Реальность такова, что если твой враг Моссад, то ты умрешь и с этим ничего нельзя поделать, а если не Моссад, то достаточно выбирать пароли сложнее «12345» и не открывать письма с голой Анной Курниковой.


    1. fessmage
      15.09.2019 17:44

      Поможет, если твой враг — фирма-конкурент или обиженный человек с деньгами. Тем более сейчас в открытом доступе есть многие устройства и ПО, которые 10 лет назад были доступны только гос. агенствам.


      1. azudem
        15.09.2019 17:50

        Я же говорю, паранойя она такая. Вчера моссад, сегодная фирма-конкурент, а завтра все за тобой следят и хотят убить. И во всём виноват, конечно, Путин.


        1. fessmage
          15.09.2019 18:38

          Вам смешно, а крупные компании тратят сотни тысяч долларов на обеспечение безопасности своих ключевых фигур:



          И это не только физическая, но и информационная безопасность.


          Аналогично и владелец ООО "Рога и Копыта" занимается защитой своих активов от ООО "Копыта и Рога", на своем уровне необходимости и возможностей.


          1. stepik777
            16.09.2019 02:57

            Джефф Безос тратит полтора миллиона на безопасность, но саудиты всё равно взломали его телефон и скачали его дикпики.


  1. fessmage
    15.09.2019 17:50

    Еще во всех подобных обсуждениях стараюсь напоминать: смс — это плохой вариант второго фактора для любых систем. Старайтесь использовать MFA либо на TOTP, либо с пушем в приложение, либо никакую. Более защищен аккаунт с просто сложным паролем, чем аккаунт со сложным паролем и восстановлением по смс.
    Смс перехватят либо выпустив клон вашей сим карты в любой точке сотового оператора в магазине (за не очень большие деньги), либо перехватив через разверную собственную базовую станцию (что дороже).


  1. ashumkin
    15.09.2019 18:16

    выпуск виртуальной карты каждый раз перед оплатой процесс трудоемкий и дорогой

    Srsly? Это у вас какой банк? В моих двух это минутное дело. В одном — красном — платно (чуть больше полтинника) и с неизменяемым лимитом (по сути одноразово), в другом — жёлтом — бесплатно, и с изменяемым лимитом. На мой взгляд, это не подходит под определение "трудоёмко и дорого" :)


    1. mbps54 Автор
      15.09.2019 20:57

      Как раз таки в красном банке при открытии витруальной карты часть номера в приложении, а часть в смс, очень не удобно, и стоит 50руб, при частых онлайн покупках, это становится дейсвтительно не удобно и дорого (для меня)


  1. xdimquax
    15.09.2019 18:23

    Безопасное решение: платный зашифрованный облачный диск

    А как же бесплатный зашифрованный сервер "под кроватью"?


    1. mbps54 Автор
      15.09.2019 20:58

      Вчера приехал, скоро начну осваивать))


  1. Sabubu
    15.09.2019 22:48
    +1

    Хранить деньги в российском банке довольно глупо. У вас в любой момент власти могут заблокировать все деньги на счету.


    1. Abyss777
      16.09.2019 06:57

      Какие варианты? Точнее понятно, что за рубежом счета (по которым отчитываться в налоговой кстати надо)
      Но как их обратно вводить? Счета заблокированы, новые не можете открыть. Зарубежная фин. организация тоже контролируется на предмет отмывания денег и не себе вы едва ли сможете их перевести.


      1. AcckiyGerman
        16.09.2019 07:56

        Сделаете лоукостером за границу и снимете в твердой валюте.


        1. Abyss777
          16.09.2019 08:13

          — Все счета заблокированы, на какие шиши? :)
          — Если вам упала «платёжка на 7,5 млрд рублей», то велик риск, что вас не выпустят.
          — До некоторой суммы накоплений «комиссия за снятие наличных» получается великовата


      1. DarkWolf13
        16.09.2019 08:59

        деньги что тут, что там могут придумать как отнять (докажи что ты не верблюд, Гималайский… т.е. деньги заработаны законно). Только знания и умения можно сохранить все остальные материальные блага можно запросто экспроприировать на законных или не очень основаниях и почему то всегда стремятся выставить виноватым пострадавшую сторону, остается только усложнить возможность это сделать


  1. i86com
    16.09.2019 00:09

    В статье приведено три примера атаки:
    — Рассылка от вашего аккаунта в соцсетях
    — Отмена бронирования в отеле
    — Отмена покупки в интернет-магазине

    При этом два из них выглядят притянутыми за уши, и не встречаются в реальности, а первый обычно является результатом нецелевой атаки. А для защиты от нецелевых атак достаточно базовой сетевой гигиены.

    Поэтому, скажем так, если вы приехали в отель и на ресепшене заструдняются найти вашу бронь, и ваша первая мысль — что это результат работы злоумышленника… Вы знаете, что у вас.


  1. Abyss777
    16.09.2019 07:19

    Не раскрыта тема безопасности данных на персональных мобильных устройствах. Шифрование, knox-шмокс всякий.
    У большинства людей в телефоне находится всё: и почта и соц.сети и банковские приложения.
    Достаточно просто завладеть телефоном (или временно завладеть без ведома владельца) и все остальные мероприятия по защите насмарку.


    1. fessmage
      16.09.2019 08:11

      Что можно сделать с телефоном кроме использования встроенного шифрования?


      1. Abyss777
        16.09.2019 09:32

        Samsung knox
        Blackberry locker


      1. Ilyasyakubov
        16.09.2019 09:48

        Как вариант: iPhone с паролем / PIN


        1. Abyss777
          16.09.2019 10:51

          Просто чтоб не было иллюзий про iPhone
          googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html


          1. Ilyasyakubov
            16.09.2019 11:30

            Ни у кого нет иллюзий про iPhone, любая техника теоретически взламываема. Мы же тут вроде обсуждаем лучшие варианты из имеющихся?


            1. mbps54 Автор
              16.09.2019 15:22

              Да, эта статься не о том, как обеспечить лучшую в отрасли безопасность, а о нескольких простых шагах для рядового пользователя, которые добавят безопасности к повседневной жизни в Интернете.


    1. spax555
      17.09.2019 09:54

      Давайте представим, что вы завладели моим телефоном.
      Что вы можете сделать, учитывая что через 10 минут я заблокирую его удаленно?


      1. Abyss777
        17.09.2019 12:32

        Зависит от телефона…
        Как вы его за 10 минут заблокируете интересно если у вас телефона нет? :)

        Ну и кстати не забывать включать удалённую блокировку это хорошая рекомендация, теоретически это усложнит работу злоумышленников. Еще не забывать включать полную очистку при некотором количестве неудачных попыток.


        1. spax555
          17.09.2019 16:00

          Зависит от телефона…
          Например?
          Как вы его за 10 минут заблокируете интересно если у вас телефона нет? :)
          Обычно с собой бывает ноут или планшет.


          1. Abyss777
            18.09.2019 08:23

            Например?

            www.unlockboot.com/hack-iphone-via-lightning-port

            На Самсунг прошью какую-нибудь сервисную комбинацию (combination) и попробую сдампить /data. Может в z3x есть какие-то функции.


      1. isden
        19.09.2019 09:47

        > завладели моим телефоном
        > Обычно с собой бывает ноут или планшет
        > через 10 минут я заблокирую его удаленно

        История из жизни (знакомого).
        Завладели. А также всей наличкой и карточками. А чтобы не побежал сразу блокировать, легонько так чем-то не очень тяжелым по голове несколько раз, и знакомому было не до блокировок и заявлений в полицию некоторое время.


  1. third112
    16.09.2019 07:39

    ИМХО еще полезна ОС на RO диске.


  1. maldalik
    16.09.2019 07:51

    Типовое решение: passwords.txt, 2-3 типовых пароля
    Безопасное решение: Использование менеджера паролей, где нет повторяющихся паролей.
    ________________________________________________________________________________
    Ну ну да. И злоумышленник вскрыв менеджер паролей получает полный доступ ко всему.
    Я уж лучше в голове держать буду, и да 3-4 паролей достаточно…


    1. Skerrigan
      16.09.2019 09:48

      KeePass ЕМНИП не светился как «взломанный» — слабые мастер-пароли не рассматриваем.
      Да и в нем очень даже полезная опция есть по «пароль + спец.файл». Т.е. одного пароля будет уже мало, чтобы расшифровать базу.


      1. HenryPootle
        17.09.2019 11:29

        У KeePass, вроде бы, есть вопросы к защите записей в оперативной памяти, но это уже история про Моссад из комментария выше.


        1. Skerrigan
          17.09.2019 11:34

          «Партнер по бизнесу» не осилит (98% — цифра «с потолка»), «добрый коллега» тоже.
          На мой взгляд — вполне годится. Во всяком случае никаких облаков, проект «открытый».

          Так что да, остается условный MI6/FBI/Моссад/КГБФСБ


    1. Darth_Biomech
      18.09.2019 07:43

      Разница в том что для того чтобы вскрыть менеджер паролей, злоумышленник должен прежде всего получить доступ к вашему компьютеру и содержимому дисков (Идиотическое по своей наивности предложение «менеджер паролей как подписка на облачный сервис в интернете» вроде LastPass не рассматриваем), а на этом моменте пить боржоми уже всё равно как-то поздно, даже если контейнер с паролями хакер сломать не сможет.


      1. maldalik
        18.09.2019 12:34

        Простите, но в таком случае passwords.txt ничем не хуже. А пароли могут быт от сервисов не хранящихся в PC


  1. dyadyaSerezha
    16.09.2019 08:08

    А почему сразу злоумышленник? А вдруг это будет доброумышленник, и он получит доступ к твоему аккаутну в онлайн магазине и купит тебе что-нибудь за свой счет?)


    1. Diordna
      16.09.2019 22:52

      — например вазелин чтобы не было жёстких ощущений когда вас всё же взломает злоумышленник :)


  1. embden
    16.09.2019 12:15

    Хм, это точно статья на хабр? Даже для pikabu как-то слабовата. Где все эти шифрованные тома LVM, шифрование над ext4, Veracrypt, хардварные токены, распределение банковских счетов хотя бы по банкам в двух соседних странах, GnuPG для шифрования почты, tor для подозрительной активности, тот же vpn.


  1. spax555
    17.09.2019 08:49

    С таким параноидальным настроением решение только одно — не ходить в интернет.

    Мне понравился Kaspersky password manager
    и конечно же это ПО никакие данные в интернет не шлет?


    1. dyadyaSerezha
      17.09.2019 22:31

      Да и в туалет лучше тоже не ходить. А то вдруг в толчке тоже микрофон с камерой.


  1. Lopar
    17.09.2019 18:48

    Проблема всех описанных пунктов скорее всего в том, что они помогут защититься только от мамки-на-кухне. В реальности 95% информации человек сам рассказывает, если к нему придут с горячим паяльником. И все эти крутые пароли и прочие штуки просто теряют в цене. То есть защита от злоумышленника работает в том и только в том случае, если злоумышленник никоим образом не может получить доступ к жертве.

    И тут уже стоит задуматься: если злоумышленник и так не может подступиться, тогда паранойя неоправданна. Если он всё таки может, тогда паранойя не спасёт.

    Реально защитить может только та защита, принципы работы которой защищаемый не знает, и, как результат, не может ничего выдать, даже если очень захочет. Другой вопрос, как этого достичь комплексно.

    И это не значит, что вышеописанные советы — говно. Это значит, что их важность преувеличена. Та же ключница поможет максимум в случае компрометации одного пароля (if !masterpasswd). Шифрование дисков и флешек уже под вопросом: если информация жизненно важная, то в попытках получить данные могут и за тобой приехать, если информация некритична, то, как бы… а смысл вообще заморачиваться и шифровать? То же касается почт, дисков, виртуалок, облаков…

    Это не безопасность, а иллюзия безопасности, как револьвер выточенный из куска мыла и лежащий на тумбочке у кровати: ты его видишь и тебе спокойнее, одинокий вор может увидеть его в окне и передумать лезть (а может и рискнуть добежать до него быстрее, чем ты проснёшься), а вот если придут неприятности — он бесполезен.


    1. kinall
      17.09.2019 21:42

      Вы многажды правы) Основной источник любой утечки — человек. И чаще всего, кстати, добровольно: социнженерия не дремлет.
      А насчёт

      Реально защитить может только та защита, принципы работы которой защищаемый не знает, и, как результат, не может ничего выдать, даже если очень захочет.

      — годы идут, а тот старый коммент всё не устаревает=)
      Классика