«Хороший пароль – это строчка из песни»

Базовые правила кибербезопасности от спецкора BBC

Как спецслужбы крадут информацию из вашего телефона? Можно ли проверить, что произошла утечка? И как защитить свои гаджеты? Записали советы специального корреспондента Русской службы BBC Андрея Захарова.

Андрей Захаров – журналист, пятикратный лауреат премии «Редколлегия», стипендиат Фонда Пола Хлебникова.

Изображение – Markus Spiske (Unsplash.com)

Телефон

  • Все без исключения сим-карты уязвимы, если вы находитесь в несвободной стране и у вас симка местного оператора. Можно сделать дубликат вашей карты, и с помощью него получить код верификации. К тому же, оператор может попросту раскрыть ваши данные, если от него это потребуют.
  • Но даже если вы в безопасной стране, лучше скрывать свой номер в мессенджерах, потому что спецслужбы всё-таки могут (хоть это и нелегко) перехватить смс любого оператора в любой стране.
  • В приложения банков и госучреждений лучше заходить через браузер, а не приложение на телефоне. По той же причине.
  • Если у спецслужб есть физический доступ к вам, избавьтесь от FaceID и Touch ID. Ваш телефон приблизят к пальцу или зрачку и откроют.

Компьютер

  • Должен быть запаролен.
  • Лучше хранить важные пароли в облаке. Пример: файлообменник Mega.io, где пользователи могут передавать друг другу файлы в зашифрованном виде. Ключи доступа к файлам не публикуются в открытом доступе, а распространяются по схеме Friend-to-Friend – между доверяющими друг другу пользователями.
  • Ещё пример: VeraCrypt. Это программа для шифрования данных, которая позволяет создавать файлы-контейнеры и защищать целые диски и разделы, где все файлы будут зашифрованы. Для доступа к данным нужен будет пароль.
  • Не стоит класть все яйца в одну корзину. Поэтому несколько хранилищ лучше, чем одно.

Пароль

  • Идеальный подход – надеяться на собственную память.
  • Нестандартное решение: использовать в качестве пароля строчку из песни или стихотворения. Её легче выучить и вспомнить. Разными строчками одной песни можно скрыть сразу несколько видов данных. А если забудешь пароль, то найти нужный вариант можно будет методом перебора.
  • Известные программы для хранения паролей: 1password, Bitwarden, LastPass.

Telegram

  • Обязательно включите двухфакторную аутентификацию – метод защиты аккаунтов, требующий двух разных способов подтверждения вашей личности, например, пароль и код из смс. Как включить: настройки – конфиденциальность и безопасность – облачный пароль.
  • Регулярно чистите чаты.
  • Поставьте автоудаление сообщений в чатах с особенно важной информацией. Как включить: нужный чат – иконка собеседника – больше – включить автоудаление.
  • Отключите peer-to-peer в звонках (но это ухудшит их качество). Как это сделать: настройки – конфиденциальность и безопасность – звонки – peer-to-peer – никогда.
  • Используйте ненастоящие или неполные имена и фамилии для рабочего аккаунта.

Мессенджеры

  • Бывают двух типов:
  • Мессенджер, который привязан к телефону. Если перехватят смс с кодом активации, есть шанс утечки данных. А ещё в мессенджерах вроде WhatsApp, Telegram, Messenger учётная запись со всей содержащейся в ней информацией подгружается на гаджет пользователя. Получив доступ к устройству, взломщик получает доступ к данным.
  • Не привязанные к гаджетам мессенджеры. Пример: Element, Threema, Session. Чтобы начать общаться, пользователи должны ввести специальный код.

Как проверить, что данные утекли

  • @isight_bot показывает информацию о ваших действиях в публичных чатах. Чтобы проверить человека, нужно ввести имя пользователя или id;
  • @yBUa_dataBot показывает информацию электронной почты: данные юзера и пароли, которые утекли в сеть. Кстати, силовики тоже им пользуются.
  • Чтобы проверить собственные данные, НЕ используйте ботов в своём аккаунте и НЕ оплачивайте дополнительные функции бота банковской картой страны, которая представляет для вас угрозу.

Полезные ссылки

  • Jitsi Meet – программа с открытым кодом для безопасных онлайн-встреч. Альтернатива куда менее надёжному Zoom.
  • Партизанский Телеграм — приложение, созданное беларусскими разработчиками. Внешне похоже на обычный Telegram. При установке (только на Android) в него переносятся все чаты и каналы. Однако П-Телеграм позволяет установить не только обычный код-пароль, но и ложный. Этот второй код можно ввести, если пользователя вынуждают открыть приложение. При этом автоматически выполняются заранее заданные действия. Например, скрываются определённые чаты, каналы или даже сам аккаунт.
  • Secure Chat Guide – практическое применение руководства международной некоммерческой группы EFF (Electronic Frontier Foundation (Фонд Электронных Рубежей) по выбору мессенджера.

Градация операционных платформ по безопасности

  • Windows – самая популярная, поэтому самая уязвимая.
  • MacOs безопаснее, но из-за защиты функционал ограничен.
  • Linux – самая безопасная с самыми большими возможностями для работы.

Что такое Pegasus?

  • Одна из самых популярных шпионских программ, которую можно незаметно установить на мобильные телефоны и другие устройства. Оптимизм внушает лишь то, что это дорогое удовольствие. Одна установка стоит 500$ тыс.

Актуальное

Лучшее на Соли