Советы по кибербезопасности
Угрозы
Миф
У спецслужб не хватит места для хранения моих данных за много лет.
Реальность
К сожалению, у них хватит места, чтобы сохранить информацию о каждом человеке на планете много лет.
Не питайте иллюзий, что зашифрованные данные никогда не расшифруют. Возможно, уже через пару лет используемое сегодня шифрование перестанет быть надежным.
Миф
Смена компьютера, переустановка системы, установка антивируса или вызов специалиста по обнаружению вредоносного программного обепспечения поможет избавиться от профессионального ПО для кибершпионажа.
Реальность
Профессиональные программы для кибершпионажа прекрасно адаптированы к ситуации смены физического компьютера или переустановки системы − разумеется, ни у антивируса, ни у специалиста почти нет шансов обнаружить их.
Не стоит отправлять СМС через сайты. Не стоит в принципе отправлять ценную информацию посредством СМС.
Если вы выкладываете где-либо файл или документ, убедитесь в отсутствие к нему общего доступа.
Не переоценивайте приватность приватных чатов Telegram.
Удаляйте важную информацию из приватного чата, когда в ее публикации уже нет ценности для участников.
Вместо доступа по ссылке открывайте доступ к файлу для аккаунта адресата.
Проведите ревизию своих файлов в облачных хранилищах, если есть важные документы с открытым доступом по ссылке, отключите его.
В целях безопасности разделите игровой и рабочий компьютеры.
Храните резервные копии параллельно в облаке и на внешнем носителе.
Если вам добавился коллега по работе в социальной сети, обязательно верифицируйте его, так как за его аккаунтом может скрываться мошенник.
Легче предотвратить кражу личности, чем разбираться с последствиями. Познакомьтесь с нашими рекомендациями по предотвращению кражи личности.
Как ловят хакеров
Миф
Хакеров губят ошибки в коде или использование против них суперсовременных технологий.
Реальность
К аресту большинства хакеров приводили всем нам знакомые лень, потеря концентрации, наивность и глупость.
Общаясь в сети, пишите так, как будто вашу переписку уже читают представители спецслужб. Пожалуй, это лучший совет по защите электронных переписок.
Не используйте при создании паролей девичью фамилию матери, имя, свой адрес, название любимой команды, номер телефона, клички своих домашних животных. Либо они должны быть частью какого-нибудь очень сложного пароля, где вся нагрузка ляжет на остальную часть.
Анонимность и безопасность в сети начинаются с головы.
Не пользуйтесь ICQ, этот мессенджер не обеспечивает должную защиту ваших переписок.
Всегда шифруйте свой интернет-трафик, например, используя VPN. Это защитит вас от глубокого анализа интернет-трафика.
Выбирайте надежные VPN-сервисы или еще лучше поднимайте персональный VPN.
Открытие файлов и документов − один из самых популярных путей деанонимизации. При наличии у атакующего 0day уязвимости вас не спасут ни Tor, ни VPN, ни proxy.
Если за вашими данными охотятся, они имеют коммерческую или государственную ценность, не садитесь спиной к людям, чтобы успеть закрыть ПК при попытке получить к нему доступ.
Не храните все яйца в одной корзине. Шифруя основной диск, не храните в открытом доступе пароли и важные документы, зашифруйте их в отдельном месте, помните ошибку Росса Ульбрихта.
Выпишите советы из данной книги, регулярно повторяйте их и ежедневно применяйте в своей работе. И так до тех пор, пока советы не превратятся в привычки.
Основные заблуждения
Заклейте камеру на ноутбуке. Если она вам регулярно нужна, сделайте треугольную шапочку для временного закрытия.
Виртуальные машины
Не питайте иллюзий по поводу абсолютной защиты при открытии файлов или ссылок в виртуальной среде.
Настройте основную виртуальную машину и затем клонируйте ее для использования.
Откажитесь от общей папки, общего буфера обмена и Drag’n’Drop.
Для передачи данных между гостевой и хостовой системой используйте облачное хранилище или мессенджер.
Не забывайте удалять логи, оставляемые системой виртуализации VirtualBox.
Смените место хранения логов в VirtualBox с папки по умолчанию на зашифрованный криптоконтейнер.
Позаботьтесь о безопасности своего Wi-Fi роутера.
Если вы опасаетесь атак высококвалифицированных хакеров, используйте только аппаратную изоляцию.
Своевременно обновляйте все компоненты виртуальной машины от браузера до операционной системы.
Отсутствие вредоносной активности в виртуальной среде не означает безопасность основной системы.
Пароль
Самые важные пароли должны быть максимально надежными и храниться только у вас в голове.
Добавьте в свои пароли знак нулевой ширины.
При наборе важного пароля прикрывайте вводимые данные каким-нибудь предметом либо второй рукой, чтобы их невозможно было подсмотреть.
Добавьте в особо важные пароли два-три ложных нажатия клавиш.
При вводе важных паролей наклоняйте экран ноутбука к клавиатуре.
Научитесь вводить свои пароли максимально быстро.
Добавьте ко всем вашим записанным и сохраненным паролям тайную часть.
При передаче пароля пересылайте только его часть.
Сохраняя пароли в облаке, вы передаете их в третьи руки. Ваши пароли, логины или как минимум список используемых сайтов могут быть выданы третьей стороне, ваш IP-адрес может логгироваться при каждом обращении к облаку.
Даже если вы решите хранить пароли в облаке, делайте резервную копию.
Сервисы облачного хранения паролей могут собирать информацию о вас для дальнейшей ее продажи.
Добавьте к хранимому в голове паролю секрет, содержащий символы из названия сайта.
Установите Panic Button для защиты паролей от физического доступа к устройству.
Если вы храните пароли в браузере, убедитесь, что у вас отключена облачная синхронизация.
Настройте автоматическое отключение файлов с паролями.
Разделите пароли на несколько баз данных, не храните все пароли в одной базе.
Включите опцию активирования автоматического очищения буфера обмена.
Не забывайте своевременно делать резервные копии файлов с паролями.
Обязательно используйте файл-ключ в качестве дополнительного инструмента защиты.
Задайте в менеджере паролей KeePassXC смену пароля.
Настройте автоматическую блокировку базы с паролями в случае отсутствия активности.
Обязательно делайте резервные копии ценных данных и храните их в надежном месте.
Настройте логическую бомбу, защитите свои ценные данные от доступа третьих лиц.
Хорошо спрячьте файл деактивации.
Операционные системы
Отключите iCloud, если на телефоне у вас хранятся ценные данные.
Отключите Siri.
Отключите FaceTime.
Ограничьте список приложений с возможностью доступа при блокировке экрана до необходимого минимума.
Откажитесь от авторизации по отпечатку пальца или идентификатору сетчатки глаза.
Прикрывайте вводимый на телефоне пароль свободной рукой.
Шифрование
Создавайте как можно больше криптоконтейнеров. Хранить все данные в одном криптоконтейнере небезопасно.
Храните всю информацию только в криптоконтейнерах.
Называйте криптоконтейнеры так, чтобы название не выдавало криптоконтейнер. Указывайте у криптоконтейнеров расширение *.dat и размещайте в папке с другими файлами с расширением *.dat.
Скачивайте программное обеспечение только из официальных или очень надежных источников.
Антивирус не поможет вам, если вы установили у себя профессиональное шпионское программное обеспечение.
Обязательно установите время автоматического демонтирования криптоконтейнеров. Для обычных пользователей мы рекомендуем устанавливать таймер на 60 минут, для работающих с особо ценной информацией - на 2 минуты.
Все съемные носители: USB-флешки/SD-карты/переносные жесткие диски и др. должны быть зашифрованы.
Извлекайте шифрованные внешние носители информации правильно. Выберите в программе монтированный диск и нажмите Dismount, только после того, как диск размонтируется, извлекайте внешний носитель.
Оградите содержимое вашего криптоконтейнера от антивируса.
Для важных документов создавайте названия, не выдающие их содержание и важность.
Очищайте информацию о просмотренных документах, особенно если речь идет о важных документах.
Очищайте информацию о просмотренных изображениях.
Никогда не предоставляйте приложениям больше прав, чем это требуется. Если приложению достаточно чтения файла, не надо давать ему право редактировать или удалять файл.
Демонтируйте криптоконтейнер сразу после завершения его использования.
Демонтируйте все криптоконтейнеры, когда оставляете свой компьютер.
Удаляйте файлы из криптоконтейнеров только при помощи шредера.
Перемещение файла в корзину и очистка последней не означает полное удаление файла. Удалять файлы надо строго с помощью специального софта, которому посвящена отдельная глава данного курса.
Используйте для защиты криптоконтейнера связку надежного пароля и файла ключа.
Всегда используйте несколько алгоритмов шифрования один поверх другого.
Для защиты от терморектального криптоанализа установите Panic Button, добавьте криптоконтейнеры или файлы-ключи в список экстренного уничтожения, используйте крипктоконтейнеры с двойным дном.
Настройте комплексную безопасность вашей системы для защиты от взлома криптоконтейнеров при помощи вредоносного программного обеспечения.
Активируйте опцию автоматического демонтирования криптоконтейнеров при отсутствии активности в течение двух минут.
Не храните ключи шифрования в облачном хранилище.
Шифрование операционной системы
Криптография – это крайнее выражение ненасильственного прямого действия. Государство, располагающее ядерным оружием, может подвергнуть неограниченному принуждению миллионы людей, однако даже в этом случае оно окажется не в состоянии сломить волю индивидов, желающих утаить от него свои секреты и использующих сильную криптографию.Сильная криптография способна противостоять любому насилию.
Социальные сети
Отключите на вашем компьютере использование файла гибернации.
Проверьте систему на наличие уязвимостей, способных привести к получению прямого доступа к оперативной памяти.
Зашифруйте операционную систему + полножисковое шифрование.
Вспомните все свои старые странички в социальных сетях, восстановите к ним доступ и удалите их.
Заходите в социальные сети только через VPN или proxy.
Перенесите всю ценную информацию в криптоконтейнеры, а сами криптоконтейнеры замаскируйте.
Настройте систему резервного копирования, создайте для резервных копий тайное хранилище.
Настройте безопасность своих криптоконтейнеров.
Tails и Whonix
Операционная система Tails не ориентирована на анонимность в сети.
Используйте флешки со скоростью чтения от 150 МБ/с. и выше.
Попробуйте Libre Office как альтернативу MS Office.
Закажите хакерам взлом своей почты.
Используйте проверенные почтовые сервисы, имеющие квалифицированный юридический отдел.
Ограничьте логирование, если ваш почтовый сервис позволяет управлять сохранением логов.
Любые получаемые по почте файлы и ссылки открывайте в песочнице либо в виртуальной среде.
Деанонимизация
При настройке максимальной анонимности отключите динамики, и лучше на уровне проводов.
Откажитесь от смартфона либо используйте специальные модели устройств, ориентированные на безопасность.
Настройте ограничение воспроизведения звуков в браузере.
Если в вашем мессенджере возможно скрыть данные о вашем статусе, скройте эту информацию.
Для защиты от атаки методом сопоставления соединений используйте связки серверов VPN и proxy.
Браузер
Не читайте сомнительные веб-сайты и блоги, посвященные вопросам оптимизации компьютера и сетевой безопасности.
Кибершпионаж
Во время важных переговоров ваш телефон должен находиться в другом помещении.
Если вы опасаетесь, что телефоны ваших партнеров могут быть скомпрометированы и использоваться для кибершпионажа, применяйте подавитель диктофонов.
Используйте только чистый Android и, разумеется, последние обновления.
Незаметно скомпрометировать Android на пути к конечному пользователю несравнимо проще, чем iOS.
Отслеживайте изменения в скорости разрядки аккумулятора телефона.
Отслеживайте объем передаваемых вашим мобильным устройством данных.
Обязательно зашифруйте свое устройство.
Если вы лицо, в шпионаже за которым может быть заинтересовано государство, вам не стоит сдавать свою технику в ремонт.
Рекомендуется использовать удаленные клавиатуры и мышки, работающие через интерфейс Bluetooth, а не радиосигнал.
Перед покупкой узнайте, используется ли на ваших беспроводных устройствах шифрование.
Взлом аккаунтов
Не надо использовать один email в качестве логина на разных сайтах и ни в коем случае не стоит использовать для этого личный или рабочий email.
Для регистрации аккаунтов заведите отдельный электронный почтовый ящик.
Используйте знак «+» для создания уникальных логинов на сайтах.
Не стоит использовать большие файлы в качестве файла-ключа – это бессмысленно.
Маскируйте файлы-ключи под обычные файлы.
По возможности откажитесь от СМС в пользу более надежных методов двойной аутентификации.
Не принимайте email коды на том же устройстве, с которого осуществляется авторизация.
Распечатайте таблицу с кодами и никогда не храните ее в электронном виде.
Везде, где это возможно, используйте для авторизации пароль в связке с файлом-ключом или иные способы усиленной авторизации (смс-коды, таблица переменных кодов и др.).
Внешние носители информации
Заряжать чужой смартфон от своего компьютера или ноутбука очень опасно – это может привести к краже информации и заражению вашего устройства. А потому единственным разумным решением будет не вставлять чужие USB-устройства в свой компьютер.
Не подключайте чужие USB-флешки и любые другие USB-устройства к своему компьютеру.
Кража данных
Ссылки от непроверенных лиц открывайте только в песочнице.
IP-адрес
Если вы когда-нибудь решите воспользоваться публичным сервисом VPN или прокси, до начала использования проверьте IP-адрес на наличие в черных списках.
Мессенджеры. Безопасное общение в сети.
Разрывайте целостность информации с помощью одноразовых заметок Privnote или аналогичных сервисов.
Правильный домен Privnote - privnote.com.
Bitmessage позволяет отправлять сообщения без адресата и отправителя. При этом его прочтет только получатель, которому вы его отправляете.
После прочтения удаляйте полученные письма и сообщения. Пусть это войдет у вас в привычку.
Проверьте при помощи ловушки, не читает ли ваши переписки кто-то третий.
Установите Panic Button и проверьте, не имеет ли кто-то третий доступ к вашему компьютеру.
Проверяйте ссылки, на которые переходите. Помните о возможности подмены ссылок.
Стеганография и тайное хранение данных
Просто шифровать информацию недостаточно, нужно еще и скрывать зашифрованные данные так, чтобы доказать их существование было невозможно.
Даже удаленные письма из черновика могут быть сохранены на серверах почтового сервиса и выданы по запросу.
Многие почтовые веб-клиенты отправляют на свои сервера любой текст, вводимый в форму отправки, либо сохраняют любые вводимые данные через определенные промежутки времени. Тем самым на серверах сохраняется и история изменений в процессе написания письма, даже если само письмо никогда не будет отправлено.
Не используйте Yahoo.
Wi-Fi
Регулярно (раз в неделю и чаще) проводите сканирование Wi-Fi сети на предмет незваных гостей.
Программное обеспечение
Если вам по-настоящему важна безопасность, приложения банков не стоит устанавливать на свои устройства.
Проведите аудит устройств и удалите ненужные и редко используемые программы.
Утечки данных
Вспомните свои электронные адреса и проверьте их в агрегаторе утечек.
Have I Been Pwned
Пройдитесь по списку крупных утечек и взломов сайтов последних лет и вспомните, не было ли у вас там аккаунта.
Введите в поиске название сайта и добавьте к запросу слова вроде «взлом» или «утечка» для проверки информации о возможной утечке персональных данных.
Если ваш аккаунт поучаствовал в утечке, его лучше всего удалить.
Вспомните и удалите все неиспользуемые аккаунты сайтов знакомств, социальных сетей, форумов, электронной почты
Кража личности
Настройте комплексную безопасность всех своих устройств.
Используйте для передачи почту (или мессенджеры) с возможностью удалить данные у получателя или ограничить его действия с ними.
Удаляйте документы, которые вы отправляете по почте или через мессенджер.
Сопровождайте передачу персональных данных просьбой ответственно относиться к их безопасности.
Не называйте ксерокопии документов ключевыми словами.
Используйте только файлообменники с шифрованием на уровне клиента.
Везде, где это возможно, используйте watermark.
Ограничьте доступ к аккаунтам в социальных сетях.
Не используйте аккаунты в социальных сетях с персональной информацией для авторизации на сайтах.
Добавляйте данные в EXIF передаваемых документов.
Удалите с сайтов аккаунты, которыми вы не пользуетесь.
Используйте бирки с данными для ксерокопий и фотографий документов.
Проверьте свои аккаунты на предмет утечек.
Будьте в курсе новостей об утечках данных и взломе сайтов.
Проверьте, не используют ли ваши публичные фотографии третьи лица.
Проведите поиск на предмет кражи личности по имени и фамилии.
Криминалистика
Информация о просмотренных изображениях и видеороликах сохраняется на вашем устройстве в виде миниатюр и названий открытых файлов.
Поисковые системы
Используйте DuckDuckGo в качестве основного поискового сервиса. Откажитесь от Google, Яндекс, mail.ru, Yahoo, Bing и других поисковых систем.
Сделайте DuckDuckGo основной поисковой системой вашего браузера.
VPN
Я не устану повторять: всегда и везде используйте VPN.
Настройте защиту всех устройств в вашем помещении, например в квартире.
Если вдруг ваш VPN перестал работать при исправном интернете, это может быть целенаправленная атака на вас.
Если публичный Wi-Fi блокирует ваш VPN, ни в коем случае не используйте данный Wi-Fi.
СМС
Не используйте СМС для передачи значимой информации.
Защитите свои СМС от перехвата.
Создавайте разрыв целостности информации.
Проверьте, не читают ли ваши СМС.
Если вы не меняете отпечатки браузера, вы не анонимны.