Специалисты по безопасности обожают свою мистику. Они говорят аббревиатурами, ссылаются на малоизвестные уязвимости и делают вид, что для защиты электронной почты нужна докторская степень. Это обеспечение рабочих мест через сложность. Но вот что они не рекламируют: большая часть того, что вас защищает, до неприличия проста.
Ваш ИТ-отдел не защищает вас от элитных хакеров на госслужбе. Он защищает вас от вас самих. От повторного использования паролей. От кликов по ссылкам в письмах. От оставленного незаблокированным ноутбука в кафе. Подавляющее большинство взломов - это не технические шедевры; это преступления возможности против людей, которые не сделали базовых вещей.
Давайте прорубим мистику. Вот всё, что вам реально нужно знать - без жаргона, с практическими шагами, которые можно внедрить сегодня.
Грязный секрет «хакерства»
Каждый раз, когда происходит крупный взлом, новости представляют это так, будто цифровые ниндзя проникли через непробиваемую защиту. Обычно реальность гораздо глупее. Кто-то использовал «Password123», а этот пароль утёк три года назад. Кто-то нажал на ссылку в письме от «ИТ-поддержки», которое на самом деле было от «[email protected]». У чьего-то умного дверного звонка стоял пароль по умолчанию «admin», и он был подключён к той же сети, что и рабочий ноутбук.
Отчёт Verizon по расследованию утечек данных стабильно показывает, что около 80% взломов связаны с украденными или слабыми учётными данными. Не уязвимости нулевого дня. Не сложные вредоносные программы. Пароли.
Password123 - это не хитро. P@ssw0rd123 тоже. И прежде чем проявите креативность: qwerty, 123456 и кличка вашей собаки плюс год рождения - всё это в списке, который атакующие проверяют первым делом.
Это на самом деле хорошая новость. Это значит, что не нужны дорогие инструменты безопасности или степень по информатике, чтобы резко улучшить свою защиту. Нужно просто перестать делать глупые вещи.
Ваша система паролей сломана (но поправима)
Обратимся к слону в комнате. У вас, вероятно, есть «система» для паролей. Может, это базовый пароль с вариациями, типа «BasePassword1!» для почты и «BasePassword2!» для банка. Может, вы запомнили один действительно хороший пароль и используете его везде. Оба подхода ужасны.
Вот почему: когда компания подвергается взлому (а это произойдёт, потому что вопрос не «если», а «когда»), ваш пароль оказывается в базе данных, которая продаётся в даркнете. Атакующие затем пробуют этот пароль на всех остальных сервисах. Если ваш «действительно хороший пароль» защищает и ваш случайный аккаунт на форуме, И ваш банк, поздравляем - слабая безопасность форума только что скомпрометировала ваш банк.
Реальное решение: менеджеры паролей
Менеджер паролей генерирует уникальные, случайные пароли для каждого аккаунта и запоминает их за вас. Вам нужно помнить только один мастер-пароль (сделайте его длинной фразой, поскольку «правильная лошадь батарейка скрепка» знаменито надёжнее, чем «Tr0ub4dor&3»).
Хорошие менеджеры паролей
- 1Password: Лучший общий опыт, отличные семейные планы
- Bitwarden: Открытый исходный код, бесплатный тариф, превосходная безопасность
- Apple Keychain: Уже есть на вашем iPhone/Mac, достаточно для большинства
«Но что если менеджер паролей взломают?» Хороший вопрос. Ваши пароли шифруются вашим мастер-паролем до того, как покинут ваше устройство. Даже если атакующие украдут зашифрованное хранилище, они не смогут прочитать его без мастер-пароля. Это бесконечно надёжнее, чем повторное использование паролей на разных сайтах.
Проверьте, не скомпрометированы ли вы уже
Зайдите на haveibeenpwned.com прямо сейчас. Введите свой email. Этот сайт, созданный исследователем безопасности Троем Хантом, проверяет, не фигурировал ли ваш email в известных утечках данных. Если да (а для большинства людей это так), вы знаете, какие пароли нужно менять немедленно.
Ваш браузер доносит на вас
Даже если вы никогда не нажимаете подозрительные ссылки, ваш браузер постоянно сообщает сайтам о вас больше, чем вы осознаёте. Давайте разберёмся, что происходит и что с этим реально можно сделать.
Отпечаток браузера
Куки получают всё внимание, но они не единственный способ отслеживания. Отпечаток браузера собирает данные о вашей системе (разрешение экрана, установленные шрифты, плагины браузера, часовой пояс, языковые настройки) и объединяет их в уникальный идентификатор. Даже без куки сайты часто могут идентифицировать вас с точностью 90%+.
Идеального решения нет, но использование Firefox с расширенной защитой от отслеживания или браузера Brave (который блокирует отпечаток по умолчанию) значительно снижает риск. Chrome хуже всех для конфиденциальности. Google зарабатывает на рекламе, поэтому их браузер разработан для облегчения отслеживания, а не его предотвращения.
Ваш провайдер видит всё
Каждый сайт, который вы посещаете, начинается с DNS-запроса - ваш компьютер спрашивает «какой IP-адрес у google.com?» По умолчанию эти запросы идут к вашему интернет-провайдеру, а значит, у него есть журнал каждого сайта, который вы когда-либо посещали. Они могут (и делают) продавать эти данные.
Включите DNS через HTTPS
Это шифрует ваши DNS-запросы, чтобы провайдер не мог подглядывать. Занимает 2 минуты:
- Firefox: Настройки - Приватность и безопасность - Включить DNS через HTTPS - Выбрать Cloudflare
- Chrome: Настройки - Конфиденциальность и безопасность - Безопасность - Использовать безопасный DNS - Выбрать провайдера
- На уровне системы: Смените DNS роутера на 1.1.1.1 (Cloudflare) или 9.9.9.9 (Quad9)
Ваши расширения - вероятно, шпионы
То расширение для поиска купонов? Читает каждую страницу, которую вы посещаете. Та «полезная» панель инструментов? То же самое. Расширения браузера имеют огромный доступ к вашим данным просмотра, и бизнес-модель бесплатных расширений часто заключается в продаже этих данных.
Зайдите на страницу расширений вашего браузера прямо сейчас. Для каждого расширения спросите: Использую ли я это на самом деле? Доверяю ли я компании-создателю? Удалите всё ненужное. Для оставшихся проверьте разрешения и отключите всё, что кажется чрезмерным.
Режим инкогнито делает не то, что вы думаете
Режим инкогнито скрывает ваш просмотр от домочадцев, а не от Google.
Режимы приватного просмотра не делают вас анонимными. Они просто не сохраняют историю локально. Ваш провайдер, работодатель (если вы в его сети) и посещаемые сайты по-прежнему видят всё. Это полезно для входа в аккаунты на общих компьютерах или покупки подарков-сюрпризов, а не для реальной конфиденциальности.
Вопрос о VPN
VPN полезны в конкретных ситуациях: в публичных Wi-Fi, когда хотите выглядеть как пользователь из другой страны или когда не доверяете своему провайдеру. Но они не магические щиты конфиденциальности. Использование VPN просто означает доверие VPN-компании вместо провайдера. Многие «бесплатные» VPN хуже, чем отсутствие VPN, потому что они существуют для сбора и продажи ваших данных.
Если хотите VPN, платите за надёжный (Mullvad, ProtonVPN или IVPN - хорошие варианты). Но не думайте, что это делает вас невидимыми. Ваш отпечаток браузера, паттерны входа и поведение по-прежнему вас идентифицируют.
Ваш телефон знает слишком много
Ваш телефон - самое интимное устройство наблюдения из когда-либо созданных. Он знает, где вы спите, с кем разговариваете, что покупаете и куда ходите в течение дня. Вот как вернуть немного конфиденциальности.
Разрешения приложений вышли из-под контроля
Зачем приложению-фонарику доступ к вашим контактам? Зачем калькулятору ваша геолокация? Эти разрешения существуют потому, что данные ценны, а большинство людей просто нажимают «Разрешить», не задумываясь.
Аудит разрешений (5 минут)
- iPhone: Настройки - Конфиденциальность и безопасность - Просмотрите каждую категорию
- Android: Настройки - Конфиденциальность - Менеджер разрешений - Просмотрите каждый тип
- Для геолокации: Большинство приложений должны иметь «Никогда» или «При использовании». Очень немногим нужно «Всегда».
- Для камеры/микрофона: Запретите, если приложению это явно не нужно
Отключите рекламное отслеживание
И iOS, и Android имеют настройки, ограничивающие, насколько приложения могут отслеживать вас в рекламных целях. Они не панацея, но помогают.
iPhone: Настройки - Конфиденциальность и безопасность - Отслеживание - Выключите «Разрешить приложениям запрашивать отслеживание»
Android: Настройки - Конфиденциальность - Реклама - Удалить рекламный идентификатор (или отказаться от персонализации)
Проверьте историю местоположений
Хотите испугаться? Google и Apple годами записывали вашу геолокацию. Посмотрите, что у них есть на вас:
Google: Посетите timeline.google.com. Вы увидите все места, где были с Android-телефоном или при входе в Google.
Apple: Настройки - Конфиденциальность и безопасность - Службы геолокации - Системные службы - Важные геопозиции. Доступ сложнее, но детализация такая же.
Вы можете удалить эту историю и отключить будущее отслеживание. Стоит ли - решать вам. Некоторым людям временная шкала полезна, чтобы вспомнить, где они парковались или какой ресторан понравился. Но как минимум знайте, что это существует.
Электронная почта: по-прежнему самое слабое звено
Большинство захватов аккаунтов начинаются с почты. Получи контроль над чьей-то почтой - и можно сбросить пароли ко всему остальному. Фишинг пугающе эффективен, потому что эксплуатирует человеческую психологию, а не технические уязвимости.
Как реально распознать фишинг
Письма от «нигерийского принца» очевидны. Современный фишинг - нет. Вы получите письма, идеально похожие на сообщения от вашего банка, с логотипами и правильным форматированием. Вот что проверять:
- Адрес отправителя: «[email protected]» отличается от «[email protected]» или «[email protected]»
- Наведите на ссылки: Перед кликом наведите курсор, чтобы увидеть реальный URL. Если он ведёт не туда, куда ожидаете - не нажимайте
- Срочность - красный флаг: «Ваш аккаунт будет закрыт через 24 часа!» создано для паники и обхода проверки
- При сомнениях - идите напрямую: Не нажимайте ссылки в письмах. Откройте новую вкладку и зайдите на сайт напрямую
Псевдонимы почты: разделите свой ящик
Используйте разные email-адреса для разных целей. Ваш банковский email не должен быть тем же, на который вы подписываетесь на случайные рассылки. Когда сервис будет взломан, вы точно будете знать, какой email скомпрометирован, и это не затронет важные аккаунты.
Сервисы псевдонимов почты
- SimpleLogin: Создание неограниченных псевдонимов, которые перенаправляются на ваш реальный email
- Firefox Relay: Версия от Mozilla, интегрирована с Firefox
- Apple Hide My Email: Встроено в iCloud+, работает бесшовно на устройствах Apple
- Plus-адресация: Gmail позволяет добавить «+что-угодно» перед @. [email protected] приходит в обычный ящик
Для конфиденциальной переписки: шифрованная почта
Обычная электронная почта - как открытка: любой, кто её обрабатывает, может прочитать. Для действительно конфиденциальной переписки рассмотрите Proton Mail. Он имеет сквозное шифрование, базируется в Швейцарии (строгие законы о конфиденциальности) и бесплатный тариф вполне пригоден.
Социальная инженерия: флиртующее сообщение, которое крадёт ваши аккаунты
Вот о чём говорят недостаточно: тот милый незнакомец, пишущий вам в директ Instagram, Snapchat или Tinder? Возможно, он использует сценарий старше самого интернета.
Подумайте о вопросах «для знакомства», которые люди задают при флирте:
- «Как зовут твоего питомца? Обожаю животных!»
- «Где ты вырос?»
- «Какая была твоя первая машина? Спорим, с ней связана классная история.»
- «На какой улице ты вырос?»
- «Какая девичья фамилия твоей мамы? У моей такая странная.»
- «В какую школу ты ходил?»
Теперь посмотрите на контрольные вопросы для восстановления пароля в банке, почте и соцсетях. Замечаете что-нибудь?
Эти флиртующие вопросы - буквально ответы на ваши контрольные вопросы безопасности. Тот, кто «узнаёт вас поближе», собирает ключи от вашей цифровой жизни.
Это не паранойя. Это задокументированная техника социальной инженерии. Мошенники создают поддельные профили, выстраивают доверие днями или неделями и непринуждённо извлекают всю информацию, необходимую для сброса ваших паролей. К тому моменту, когда они пропадают, они уже заблокировали вас в ваших собственных аккаунтах.
Как защитить себя
- Врите в контрольных вопросах. Девичья фамилия вашей мамы не обязана быть её настоящей. Выберите что-нибудь случайное и сохраните в менеджере паролей. «Кто был ваш первый питомец?» Ответ: «ТурбоЛазер3000». Удачи в угадывании.
- С подозрением относитесь к быстрой близости. Настоящие отношения требуют времени. Если кто-то задаёт много личных вопросов в первых беседах, особенно конкретных - возможно, он не тот, за кого себя выдаёт.
- Обратный поиск по изображениям. Нажмите правой кнопкой на фото профиля и поищите в Google Картинках. Если это лицо появляется на стоковых фото-сайтах или принадлежит другому человеку - у вас есть ответ.
- Видеозвонок перед шарингом. Мошенники избегают видео. Если у кого-то бесконечные отговорки, почему он не может выйти на видеозвонок - это красный флаг.
Конвейер романтического мошенничества
Всё начинается с вопросов «для знакомства». Потом им нужна небольшая услуга: подарочные карты, криптовалюта, деньги на экстренный случай. Сбор личной информации и финансовое мошенничество часто идут параллельно. Если вы поделились ответами на контрольные вопросы с кем-то, кого ни разу не видели лично - измените эти ответы сейчас.
Ваша домашняя сеть (да, серьёзно)
Если пароль роутера по-прежнему «admin», поздравляем - вы расстелили приветственный коврик для всех, кто хочет подключиться к вашей сети. Большинство людей настраивают роутер один раз и больше никогда о нём не думают. Это ошибка.
Смените пароль по умолчанию
Каждый роутер поставляется с именем пользователя и паролем по умолчанию (часто «admin/admin» или «admin/password»). Эти данные по умолчанию опубликованы в интернете. Любой, кто подключится к вашему Wi-Fi, может зайти в панель управления роутера и делать что угодно: перенаправлять трафик, шпионить за устройствами, использовать ваше подключение для незаконной деятельности.
Войдите в роутер (обычно 192.168.1.1 или 192.168.0.1 в браузере) и смените и пароль администратора, и пароль Wi-Fi на что-то надёжное.
Обновите прошивку роутера
Никто этого не делает. Ваш роутер - компьютер, на котором работает программное обеспечение, и в этом ПО есть ошибки. Производители выпускают обновления для исправления уязвимостей безопасности. Проверьте панель управления роутера на наличие опции обновления прошивки и запустите его.
Создайте гостевую сеть для IoT-устройств
Ваш умный телевизор, умный дверной звонок и умный холодильник - всё это потенциальные точки входа для атакующих. Эти устройства часто имеют ужасную безопасность и редко обновляются. Поместите их в отдельную гостевую сеть, чтобы при компрометации атакующие не могли легко перейти на ваш ноутбук или телефон.
Большинство современных роутеров имеют опцию «Гостевая сеть». Включите её, задайте другой пароль и подключите все умные домашние устройства к ней.
Правильный образ мышления
Идеальной безопасности не существует. Цель не в том, чтобы стать невзламываемым; а в том, чтобы не быть самой лёгкой целью. Атакующие, как воры, идут за лёгкой добычей. Если у вашего дома заперта дверь, а у соседа она нараспашку - угадайте, кого ограбят?
Исходите из взлома
Каждая компания, которой вы даёте данные, в конечном счёте будет взломана. Планируйте соответственно. Используйте уникальные пароли, чтобы один взлом не повлёк за собой каскад. Используйте кредитные карты (с защитой от мошенничества) вместо дебетовых для онлайн-покупок. Храните конфиденциальную информацию вне облачных сервисов, когда возможно.
Разделяйте
Не используйте один email для банка и аккаунтов на форумах. Не связывайте все аккаунты ради «удобства». Каждая связь, которую вы создаёте - потенциальный путь для атакующих перейти от одного аккаунта к другому.
Заморозьте кредитную историю (США)
Этот совет специфичен для американцев, но он один из самых эффективных. Заморозка кредитной истории не позволяет никому открывать новые счета от вашего имени. Это бесплатно, занимает 15 минут на настройку во всех трёх бюро (Equifax, Experian, TransUnion), и вы можете временно разморозить, когда нужно подать заявку на кредит.
Регулярные аудиты
Установите ежеквартальное напоминание для проверки аккаунтов. Какими сервисами вы ещё пользуетесь? У каких есть доступ к вашим данным? Какие можно удалить? Чем меньше поверхность атаки, тем безопаснее вы.
Итог
Ничего из этого не сложно. Используйте менеджер паролей. Включите двухфакторную аутентификацию (я писал об аппаратных ключах безопасности, если хотите пойти дальше). Не нажимайте ссылки в письмах. Обновляйте программное обеспечение. Проверяйте разрешения.
Этих основ достаточно, чтобы обогнать 90% людей онлайн. Оставшиеся 10% снижения рисков требуют экспоненциально больше усилий, и для большинства людей основ более чем достаточно.
Безопасность - это не продукт, который вы покупаете, и не разовая настройка. Это привычки. Но привычки не сложные. Нужно просто начать их соблюдать.
Ваш ИТ-отдел - не волшебники. Они просто гуглят быстрее вас. Теперь вы знаете то же, что и они. Используйте это.
