Do androids dream of electric shit?
Do androids dream of electric shit?
Texts Политика Протест Свобода информации

Правила информационной безопасности, часть первая

Опубликовано |7 комментариев

В ближайшие дни это станет брошюрой, так что вносите свои коррективы, замечания и конструктивную критику.
Сегодня опубликую общие принципы безопасности, завтра будет текст с описанием конкретных программ и инструментов.

Для кого важна информационная безопасность?
Информационная безопасность важна для всех. Если вы не активист, дыры в вашей защите могут нанести ущерб вашей репутации или финансам, они могут испортить ваши отношения с друзьями или расстроить личную жизнь. Ваши аккаунты в социальных сетях могут быть использованы мошенниками, чтобы вымогать деньги у ваших друзей и близких, ваши банковские счета могут оказаться в чужих руках. Да и банальная безобидная рассылка спама от имени вашего аккаунта нанесёт ущерб репутации.
Даже для человека не занятого протестной активностью отсутствие элементарных представлений об информационной гигиене является непростительным. Не нужно быть хирургом, чтобы мыть руки перед едой.
Но если вы политический активист, то небрежное отношение к безопасности может нести угрозу вашей жизни и свободе, а также жизни и свободе ваших товарищей. Менты, спецслужбы или недоброжелатели из числа неонаци все на свой лад могут использовать содержимое вашего почтового ящика или аккаунта в социальной сети.

Слабая защита системы может привести не только к утечке информации, но и к тому, что вам “подбросят” файлы, содержащие запрещённую информацию или же подделают историю активности в интернете. Помните, что информация может стать причиной для ареста и возбуждения уголовного дела – подкинуть файл с порнографией или “экстремистским призывом” ещё проще чем наркотики или оружие.

Проанализируем основные источники уязвимостей.

security1 Человеческий фактор
Самая слабая составляющая любой системы – это человек. Человека можно напугать, его можно завербовать, его можно перехитрить.
Если в вашем кругу общения или почтовой рассылке есть сознательная “крыса”, от неё не защитит никакая конспирация. Поэтому не говорите лишнего и, что важно, не стремитесь узнать лишнего. Ни один человек не может полностью ручаться за своё молчание, поэтому иногда лучше не знать, чем выдать.

Помните, что дурак подчас хуже предателя. Если информация передаётся многим людям, то её секретность будет зависить от уровня защиты самого уязвимого элемента. Один человек без антивируса, со слабым паролем или же с длинным языком может подставить десятки. Приучите себя и товарищей делать друг другу замечания за нарушение культуры безопасности – ошибки допускают все и это не стыдно, действительно стыдно не работать над ошибками и не пытаться их предотвратить.

Не хвастайтесь без нужды ни в интернете, ни в личных разговорах. Красивая фотография с коктейлем Молотова (даже постановочная) сможет стать доказательством в суде.

Технический фактор
Сложнее всего перехватить то, что было сказано тихим голосом с глазу на глаз. Если при обсуждении важных вопросов можно не использовать интернет и телефон – не используйте их.
При использовании текстовых средств связи будьте уверены, что вы действительно говорите со своим собеседником, заготовьте на этот случай несколько проверочных вопросов.

Публичные места и перехват данных
Если пользователь забывает выйти из своего аккаунта на работе/в университете/в интернет кафе/в гостях – есть шанс, что его коллеги-недоброжелатели этим воспользуются. Шанс быть “взломанным” таким образом больше, чем может показаться. Особенно это касается государственных служащих и студентов, но и в офисе вполне могут найтись крысы, особенно если вы занимаетесь профсоюзным активизмом и вступаете в конфликты на рабочем месте. Приучите себя использовать на чужих компьютерах анонимный режим браузеров (есть, например, в Chrome и Firefox), таким образом вся ваша информация будет удалена из компьютера после окончания работы. Если есть вероятность лишиться своего ноутбука или домашнего компьютера – используйте этот режим и там, лучше лишний раз ввести пароль, чем отдать его в руки милиции.

Есть небольшая вероятность того, что на общественных компьютерах в интернет кафе могут стоять программы “кейлоггеры”, записывающие всю введенную информацию включая пароли. Поэтому не доверяйте им критически-важную информацию, измените пароли сразу как только попадёте за надёжный компьютер.

Будьте осторожны с публичным вайфаем, особенно во время массовых протестов, когда милиция и спецслужбы активно отслеживают неугодных. Помните, что любые не зашифрованные данные могут легко быть перехвачены. Используйте WPA2 шифрование со сложным паролем [о паролях – ниже]* в своей домашней сети. Смысл этого не столько в том, чтобы уберечься от соседей ворующих траффик, сколько в защите от перехвата данных. Если вы заслужили персональное внимание спецслужб, то считывание сигнала вашей вайфай точки – вполне реальный сценарий.

Почта
Защита электронной почты должна быть одним из главных приоритетов. При регистрации на сайтах вы указываете свой почтовый адрес, так что взломщик, получив доступ к нему, автоматически получает доступ не только к вашей переписке, но и к вашим страницам в социальных сетях, сайтам, а в самых запущенных случаях – электронным кошелькам.

Как защититься от взлома почты?

  • Не кладите все яйца в одну корзину. Заведите отдельные почтовые ящики для регистрации в социальных сетях, отдельные – для всяких сомнительных форумов, отдельный – для переписки с людьми, отдельный для рассылок. Разделяйте политику, работу и личную жизнь. По возможности удаляйте письма после прочтения, это расстроит виртуальных археологов будущего, но может спасти вашу репутацию или свободу.
  • Используйте защищённые пароли [о паролях – ниже]*. Помните, что “секретный вопрос” – это всё тот же пароль, он не должен угадываться или подбираться грубой силой (девичью фамилию вашей мамы можно узнать по старым телефонным книгам, номер паспорта – узнать при обыске, а имя первого домашнего животного – найти просматривая фотографии вконтакте, будьте непредсказуемы).
  • Не открывайте писем сомнительного содержания, не запускайте программ из приложений к письму, не скачивайте и не открывайте файлов, если не уверены на 100% в их предназначении. Не верьте собщениям, которые просят повторно ввести ваш пароль.
  • Используйте защищённые почтовые сервисы. Gmail несовершенен, но он подойдёт для работы, безобидной личной переписки и политических вопросов не противоречащих букве закона. Для более рискованных задач используйте активистские сервисы. Забудьте об отечественных провайдерах, получить у них вашу личную информацию на порядки проще, чем у зарубежных. По возможности используйте двухэтапную аутентификацию с использованием смс, но используйте для этих целей отдельную симкарту, не следует пользоваться ей же для звонков.

d6yd4_jv6MQ
Социальные сети
Как правило, социальные сети взламываются вслед за почтой. Но иногда бывают и исключения. Вконтакте, Фейсбук, Твиттер содержат возможность подключения приложений, иногда за этими приложениями стоят спаммеры или хакеры. Большая часть взломов в социальных сетях не имеют отношения к спецслужбам или проискам врагов, это чистая коммерция, аккаунты жертв используются для рассылки навязчивой рекламы. Но подумайте – если вас может обмануть безмозглый робот, то у специально-обученного человека гораздо больше шансов.

  • Никогда не выкладывайте в социальные сети то, что вы не хотели бы сказать громко и публично в присутствии милиционера. Приватность и режим “только для друзей” в социальных сетях – не защита, вспомните, что защита системы равна защите её самого слабого звена. Даже если у вас лишь 12 друзей, среди них может оказаться один, который станет причиной утечки.
  • Не злоупотребляйте играми в социальных сетях, не открывайте приложения, предназначение которых вам не ясно, никогда не указывайте в приложениях свой пароль.
  • Будьте аккуратны с переходом по ссылкам, которые вы получили в приватных сообщениях. Если ссылка ведет на незнакомый сайт и не сопровождается поясняющим сообщением, или же сопровождается чем-то невнятным наподобие (“ПОСМОТРИ КАКОЕ ФОТО Я НАШЕЛ”), игнорируйте её или переспросите собеседника, что он имеет ввиду. Убедитесь, что говорите именно с настоящим человеком и лишь тогда идите по ссылке. Если в процессе перехода по ссылке вам предлагают ввести пароль – скорее всего это попытка взлома.
  • Берегите свою почту, связанную с социальной сетью. В идеале никто не должен знать вашего почтового адреса, привязанного к аккаунту.
  • Помните о паролях, они должны быть сложными и непредсказуемыми.
  • В случае, если социальная сеть просит телефонную активацию, соглашайтесь, но не используйте свой основной номер.

Мобильные устройства
Как правило, на многих современных мобильных устройствах социальные сети и почта подключены всегда. Таким образом, если у вас “отожмут мобилу” – вам не поможет ни сложный пароль, ни многоэтапная авторизация. Блокировка экрана и защита от угона может защитить вашу информацию от туповатого гопника, но не от милиции и тем более не от спецслужб.
Можно дать несколько советов:

  • Телефоны легко прослушиваются, смс читаются. Не доверяйте телефонной связи ничего действительно важного.
  • Не используйте смартфоны там, где их использование не нужно. Обзаведитесь простеньким телефоном, поддерживающим долговременный заряд и ходите на акции с ним.
  • Если вам важно постоянно писать в социальные сети, фотографировать и т.д. – убедитесь, что с вашего смартфона нет автоматического доступа к приватной информации, захватив его менты не должны узнать больше, чем и так написано в вашем блоге/на странице в соцсетях.
  • Не используйте излишних приложений. Чем меньше у вас программ – тем лучше. Там где просачивается спам и навязчивая реклама, может просочиться и что-то более серьёзное.
  • Отключите геолокацию, она не только разряжает аккумулятор, но и упрощает ваше отслеживание. Впрочем, даже с отключенной геолокацией вас легко могут выследить при участии оператора мобильной связи, так что если нужно быть незамеченным – просто выключайте телефон.
  • Продумайте способ быстрого уничтожения информации на смартфоне. Иногда лучше разбить телефон о камень, чем дать сесть другу, которого вы сфотографировали в момент стычек с милицией. Но случае, если у вас есть несколько минут – есть возможность сбросить настройки устройства до заводских с одновременным удалением всей информации – не стесняйтесь читать инструкции к своим гаджетам.
    При разбивании телефона озаботьтесь судьбой карты памяти.
  • Помните, что вас могут идентифицировать не только по номеру телефона, но и по уникальному номеру IMEI телефона. Если вы использовали одну и ту же симкарту с двумя телефонами, оба телефона при желании можно отождествить с вами. То же самое – если вы вставляли две симкарты в один телефон. Когда нужна конспирация (например, следует скрыть своё местонахождение в определённом месте) следует завести отдельный телефон для отдельной симкарты, и ни в коем случае не переставлять их. При этом, ваш “активистский” телефон не должен включаться если находится рядом с обыкновенным.

Вирусы, трояны, кейлоггеры
Вирус – это размножающаяся автоматически компьютерная программа, которая может совершать вредоносные действия или управлять вашим компьютером. Троян – это вирус, который маскируется под что-то полезное. Кейлоггер – программа, записывающая нажатия клавиш в системе, может быть разновидностью трояна.

  • Опасность заражения вирусом многократно сокращается при переходе на Linux или подобную основанную на Unix операционную систему.
  • Пользуйтесь антивирусами, не открывайте незнакомых файлов, отключите автозапуск компакт дисков и флешек, будьте аккуратны с тем, что скачиваете.
  • Помните о вирусах, пользуясь чужими компьютерами, вы можете быть защищены дома, но один заход с другого компьютера может закончиться плачевно.
  • Ваш смартфон также может быть заражен вирусом. Проверяйте его так же, как и компьютер.

    • image35
    Взлом паролей

    • Самый очевидный и простой способ взлома до сих пор иногда бывает актуальным. Это подбор паролей. Он может в равной мере быть применен к любому социальным сетям и почте. Это работает лишь с простыми паролями. Поэтому пароль должен быть длинным и непредсказуемым – он не должен быть словом или датой, он не должен быть даже простой фразой. Русское слово набранное латиницей и наоборот – это давно уже не оригинальный пароль.
    • Используйте длинные случайные сочетания (не менее 8, лучше более 10 символов) из букв, цифр и знаков препинания. Пароль не должен включать в себя слова, имена, даты из вашей жизни.
    • Пароли в разных аккаунтах ни в коем случае не должны совпадать.
    • Если паролей много и вы рискуете их забыть, используйте программу-менеджер паролей наподобие KeePas. Эта программа позволит хранить ваши пароли в зашифрованном виде, защитив их единым “мастер паролем”. Мастер пароль забывать нельзя ни в коем случае. Впрочем, вы можете его забыть, если ваш компьютер конфискуют, и тогда ментам не будет никакого проку от файла с базой, без мастер пароля расшифровать её не удастся.
    • Не храните пароли в письмах, не храните их в текстовых файлах, не храните их в переписке, не сохраняйте их в браузере.
    • Не записывайте пароли на бумажке – один из частых способов “взлома” – это прочтение пароля записанного в неудачном месте.
    • Помните, что “секретный вопрос” подбирается так же просто и даже проще, чем пароль. Так что он должен быть таким же сложным и непредсказуемым.
    • Помните о социальной инженерии. Пароль можно узнать обманом. Не верьте “письмам из службы поддержке” спрашивающих у вас пароль, не верьте фальшивым почтовым сообщениям о взломе “вашу почту взломали, введите пароль чтобы её вернуть”.
      Всегда будьте уверены, что вы вводите пароль на правильном сайте, а не на подделке (смотрите строку браузера, вместо mail.google.com там может оказаться, например mail.gooogle.com или mail.gooqle.com). Есть плагины для браузеров защищающие от фишинга, но ничто не является панацеей. И вообще, не открывайте сомнительных писем.

    Во второй части мы сконцентрируемся на подробном описании программ и сервисов, которые улучшат вашу защиту.

    Join @ShiitmanNinja on Telegram

    Добавить комментарий

    7 комментариев “Правила информационной безопасности, часть первая”