Информационная безопасность? Нет, не слышали

    Один мой друг спросил меня сегодня про гигиену цифрового поведения. Постараюсь кратко изложить принципы, следуя которым, вы повысите уровень своей безопасности в сети.

    В этой статье я постарался идти от совсем банальных советов до довольно сложно реализуемых. Каждый должен решить самостоятельно, какой уровень безопасности приемлем лично для него. Тут все точно так же, как с сейфами: есть сейф за сто долларов, есть сейф за сто тысяч долларов. Глупо хранить миллионы долларов в первом, и горстку мелочи — во втором.

    Если у вас есть важная информация, и вы боитесь ее потерять, а одна мысль о том, что эти сведения могут попасть к вашим недругам, вас пугает, то вам стоит задуматься об информационной безопасности.



    Ну, а серьезно подходить к защите данных, когда данные ничего не стоят — это просто потеря времени.

    Принципы безопасности


    Если вы хотите обезопасить свою информацию, то первое, что вам нужно сделать — понять основные принципы.

    Если у вас есть опыт в ИБ, то смело пролистывайте до следующей главы.

    В наиболее полном объеме про это можно почитать в книге от Кевина Митника, которая называется «Искусство обмана» (The Art of Deception). Там огромное количество историй о том, в какие проблемы попадали компании из-за того, что не обучали своих сотрудников базовым принципам защиты своей информации.

    Но если все-таки дать пару универсальных советов, то они будут такими:

    • Не используйте легкие пароли: пароли, которые могут быть связаны с вами или найдены в словаре.
    • Не используйте одинаковые пароли для различных сервисов.
    • Не храните пароли в открытом виде (недавняя история с google-документами, которые были проиндексированы яндексом, это показала).
    • Никому не говорите пароль. Даже сотрудникам службы поддержки.
    • Не используйте бесплатные Wi-Fi сети. А если используете, будьте аккуратны и старайтесь не работать на сайтах без https-соединения.

    Больше вы узнаете из книги. Там описано много интересных историй, и хотя некоторые из них уже устарели из-за прогресса, но сама суть вряд ли когда-либо перестанет быть актуальной.

    «Да кому я нужен?»


    Люди часто задают такой вопрос, когда речь заходит о защите данных. Что-то вроде: «Да зачем компании мои данные?» или «Для чего хакеру меня взламывать?» Не понимая, что взламывать могут не их. Могут взломать сам сервис, и пострадают все пользователи, зарегистрированные в системе. То есть важно не только самому соблюдать правила информационной безопасности, но и правильно выбрать инструменты, которые вы используете. Для того, чтобы было понятнее, я приведу несколько примеров:

    Когда немного обострился

    Буквально пару дней назад мы все узнали о том, что приложение Бургер Кинг, которое находится в Google Play и Apple Store записывает все, что делает пользователь. И там совсем не обезличенные данные, как нам говорят представители Бургер Кинга. Записывается буквально все: как пользователь вводит свое имя, фамилию, адрес, и даже данные кредитной карты. Видео записывается всегда.

    Вы думаете, что это единственное приложение, которое фиксирует все, что вы в нем делаете?

    AppSee

    Я работаю в компании, которая занимается созданием ПО. И у нас была парочка случаев.

    В феврале 2016 к нам пришел клиент с мобильным приложением и попросил добавить туда некоторый функционал.

    Мы посмотрели код и увидели, что используется штука для аналитики, которая называется AppSee. Попросили у заказчика доступ к ней, а он ответил, что и сам не знает откуда она там взялась, и что доступа к ней нет. Мы долго общались с поддержкой и потратили много времени на то, чтобы восстановить доступ. 

И увидели, что предыдущий разработчик настроил AppSee так, чтобы записывать видео с некоторых экранов. И некоторыми экранами были те, где пользователь вводил данные кредитки или пейпала.

    Шифруй пароли

    Второй случай был, когда к нам пришел заказчик с довольно большим проектом, на котором было примерно два миллиона зарегистрированных пользователей. Мы начали работу, заказчик предоставил нам доступ к коду и базе. А в базе все пароли пользователей в незашифрованном виде.

    Я думаю вы понимаете, какие могли бы быть последствия, если бы база попала в плохие руки.

    А вы уверены, что все сервисы, которыми вы пользуетесь, очень трепетно относятся к безопасности, не сливают ваши данные, и никогда не будут использовать ваши данные против вас? Я вот не уверен.

    И самое страшное: а что если сервисы для хранения паролей, такие как 1password, LastPass не смогут безопасно хранить ваши пароли? Что если они утекут? Лично я даже боюсь про это думать.

    Возможное решение


    Какой я вижу выход? На мой взгляд, это Open Source.

    Используя Open Source приложения вы получаете один большой плюс и один большой минус. Минус — в отсутствии поддержки, все риски — только на вас. Плюс в том, что тут нет еще одного звена, которое хранит ваши данные: вы исключаете вероятность того, что это звено потеряет, продаст или скомпрометирует ваши данные. Само собой, Open Source сам по себе — это не панацея, и не дает гарантии того, что разработчик не засунет в код что-нибудь плохое. Доверять стоит только тем проектам, в которых большое комьюнити.

    Дальше я расскажу о том, что использую лично я.

    Я знаю, что любая тема, в которой начинаются разговоры о том, что лучше: mac или win, win или linux, скатывается в безрезультатный спор. Пожалуйста, не делайте так.

    Операционная система – это всего лишь инструмент. И вряд ли профессионалы будут спорить о том, что им лучше использовать — отвертку или молоток. Для каждого случая они найдут наиболее подходящий инструмент. Давайте к операционным системам и другому ПО относиться точно так же.

    Менеджер паролей


    Не случайно на первом месте. Ведь это — самая важная часть в вашей безопасности. Тут хранится все. И, потеряв доступ к менеджеру паролей, можно получить огромную кипу проблем.

    Как я уже сказал ранее, я не представляю, что случится, если все мои пароли утекут. Поэтому я использую pass. Это терминальная программа, в которой вы можете хранить свои пароли в зашифрованном виде.

    Она есть для всех операционных систем
. Есть приложения для iOS и Android. И так же есть плагины для Chrome и Firefox.

    Программа полностью открытая и свободная, использует свободную библиотеку GPG. Она шифрует каждую запись вашим ключом GPG. На мой взгляд, это наиболее безопасный вариант.









    Операционная система


    На мой взгляд, наиболее безопасными являются свободные ОС с открытым кодом. Их довольно много. Можно начать с самой простой в установке и использовании – Ubuntu. Но лично мне она не очень нравится тем, что в ней есть различные сервисы, вроде popularity-contest, которые отправляют какие-то данные разработчикам.

    Кроме того, убунта уже немного подорвала репутацию, использовав так называемый «шпионящий поиск» до версии 16.04.

    Лично я свой выбор сделал в пользу arch linux, хотя он сложнее в установке. Хотя аналогов довольно большое количество, и не могу сказать, что они хуже.

    Смартфон


    На мой взгляд отличная ОС с открытым кодом – LineageOS. Она очень стабильная и довольно часто обновляется. Сейчас это очень свежий Android 8.1.0, который работает отлично. Не забудьте после установки залочить bootloader.

    Вместе со свободной ОС рекомендую использовать магазин со свободным ПО, который называется F-Droid.

    Задумайтесь о том, как вы разблокируете ваш смартфон.

    На мой взгляд, разблокировка по лицу — не очень надежный метод, существует огромное количество проблем.

    Отпечаток пальца — тоже довольно спорный метод. Фактически, если вы не доверяете Гуглу или Эпплу и используете не их операционные системы, но при этом разблокировали телефоны своим отпечатком, то можете считать, что ваш отпечаток уже скомпрометирован. И вам уже нельзя использовать отпечаток пальца для защиты чего-то важного.



    Хранение файлов


    Вместо Google Drive или Dropbox я использую NextCloud на своем сервере. Плюсов есть несколько.

    • Безопасность. Я уверен, что ни у кого больше нет доступа к моим данным. И даже если он появится, то все данные на NextCloud зашифрованы. Так же, как и Дропбокс, он имеет клиенты для всех операционных систем, включая мобильные.
    • Гибкость. Я могу использовать такой объем хранилища, который мне нужен. Я легко могу сделать как 100Гб, так и 20Тб.
    • Плагины. NextCloud предлагает довольно удобные дополнения. Такие как заметки, календарь, таск-менеджер. И все это синхронизируется и так же работает на смартфоне.

    Browser


    Наверное, точно так же, как с предыдущими пунктами. Лучше всего использовать браузеры с открытым исходным кодом: Firefox, Chromium, Brave, Icecat. По удобству использования и другим характеристикам они не уступают тому же хрому.

    Поисковик


    Мне не очень нравится то, что поисковик знает про меня слишком много. Вот примеры того, что Гугл знает про вас.

    myactivity.google.com/myactivity
    maps.google.com/locationhistory
    adssettings.google.com/authenticated?hl=en

    Надо сказать, что Гугл действительно хорошо ищет. Бесплатных аналогов, которые уважают вашу приватность довольно мало. Фактически есть только DuckDuckGo, который ищет не идеально.

    Шифрование на лету


    Есть такие программы, как TrueCrypt, которые позволяют вам шифровать на лету вашу информацию.

    Сама программа TrueCrypt считалась самой надежной для полного шифрования диска или создания контейнеров. Но вот только разработчики опубликовали сообщение, в котором посоветовали всем пользователям перейти на Bitlocker. В этом сообщении сообщество увидело так называемое «свидетельство канарейки», то есть попытку сказать что-то, ничего не сказав и предоставив намек на свою неискренность. Так как разработчики всегда высмеивали Bitlocker.

    Кроме того, некоторые пользователи захотели сделать форк проекта. Но автор TrueCrypt ответил кратко и емко: «Очень жаль, но я думаю, что вы просите невозможного. Мне не кажется форк TrueCrypt хорошей идеей».

    Исходя из этого, я считаю, что TrueCrypt, и все его аналоги вроде VeraCrypt, — не являются безопасными.

    Других аналогов я не знаю. Хотя я слышал про Tomb, всегда хотел его попробовать, но никак не доходили руки. Если вы можете что-то посоветовать, то напишите в комментариях.

    Важные дополнения


    Шифруйте весь диск

    Знаете, что будет, если вы потеряете свой ноутбук, и его найдет плохой человек? 

Он включит его с любой загрузочной флешкой и спокойно получит доступ ко всем вашим данным.

    Поэтому очень важно зашифровать весь диск. Чтобы при потере вашего девайса человек не смог получить к нему доступ.

    Делайте бекапы (и шифруйте их)

    Точно так же важно не потерять самому все ваши данные. По этому делайте бекапы. И обязательно шифруйте их. Ну и, само собой, не храните бекапы на том же носителе.

    Следите за доступом

    Когда вы продаете свои девайсы, то не забывайте удалять их из ваших учетных записей. Это очень важно.

    myaccount.google.com/device-activity
    www.dropbox.com/account/security
    www.icloud.com/#settings

    Следите за тем, какой уровень доступа требуют у вас приложения и плагины.

    Бывают ситуации, когда поставишь какое-либо приложение, а оно требует полный доступ к папке Дропбокса. Хотя казалось бы, этому приложению совершенно не нужен такой доступ. Ну, на крайний случай, ему хватило бы Access type: «App folder». Такие вещи для Дропбокса можно проверить тут:

    www.dropbox.com/account/connected_apps

    А некоторые приложения требуют доступ к Google Drive. Я не очень понимаю, для чего им доступ к моим документам. Это можно проверить по этой ссылке:

    myaccount.google.com/permissions

    Двухфакторная аутентификация

    Используйте двухфакторную аутентификация везде, где только можно. Этот очень эффективный дополнительный уровень безопасности. Их существует несколько видов.

    • Синхронизированные по времени пароли. На мой взгляд, один из самых распространенных, безопасных и самых удачных вариантов двухфакторной аутентификации. Вам показывается QR-код, который вам нужно сфотографировать приложением, и у вас появится строка с вашим одноразовым паролем, который меняется каждые 30 сек. Рекомендую вам каким-то образом хранить картинки этих QR-кодов или использовать приложения, которые могут экспортировать базу с вашими записями.
    • Аппаратный ключ FIDO U2F. На мой взгляд, это тоже довольно удачный вариант, но меня смущают некоторые моменты. Например, не понятно, что делать, если этот ключ сломается и просто перестанет работать. Все-таки это техника, а любая техника когда-нибудь, да ломается. Так же мне не понятно, что делать, если я его просто потеряю.
    • Список одноразовых паролей – сносный вариант, если нет ничего другого. Проблема с этим вариантом в том, что пользователь чаще всего будет хранить пароль и список одноразовых паролей в одном месте.
    • SMS-аутентификация. Мне совершенно не нравится данный способ, и я стараюсь его не использовать, хотя иногда не получается, так как некоторые сервисы предлагают только его. Проблема в том, что есть огромное количество способов завладеть вашим номером телефона.
    Lodoss Team 58,07
    Сложные системы, мобильные приложения, дизайн и AR
    Поделиться публикацией
    Комментарии 105
      +8
      Open Source не является решением проблем информационной безопасности. Достаточно посмотреть на критические уязвимости в OpenSource программных продуктах.

      «очень важно зашифровать весь диск» и «серьезно подходить к защите данных, когда данные ничего не стоят» — взаимоисключающие параграфы
        0
        Я имел в виду, что не стоит серьезно подходить к защите данных если эти данные для вас не важны. В этом случае можно даже пароль на компьютер не ставить.

        Но если данные очень важны, то само собой очень важно зашифровать весь диск.

        Про Open Source я так же сказал, что надо смотреть на комьюнити.
          0
          На диске C у меня 16 важных файлов. Все еще надо шифровать весь диск?

          Почитайте про Dirty Cow, посмотрите на размер коммьюнити, подумайте…
            0
            Зависит от уровня важности этих файлов лично для вас. От того, что будет в случае потери или кражи этих файлов. От уровня вашей паранойи.

            В общем, как я уже сказал, выбирать то, насколько дорогой сейф вам нужен и нужен ли вообще можете только вы.

            Никто не говорил, что в Open Source отсутствуют уязвимости.
              +1
              Дайте я вам подскажу: можно шифровать отдельные файлы.

              Раз в OpenSource также есть уязвимости, оное OSS не является ни «решением», ни «выходом», оно является лишь альтернативой.

              Странно, кстати, что еще не набежали красноглазые и не рассказали, что Ubuntu — дистрибутив, а не операционная система.
                –1
                Так я не говорил о том, что OpenSource не имеет уязвимостей. Я говорил о том, что в некоторых случаях плюсом является то, что у вас нет дополнительного звена, которое может потерять ваши данные.

                Например, используя dropbox вы можете потерять данные по вине dropbox.

                А используя что-то вроде nextcloud этого звена нет.
                  +2
                  Используя ПО для хранения данных вы считаете что по вине этого ПО нельзя потерять данные только на основании того, что исходных код ПО открыт? Или на каком-то другом?
                    –1
                    На том основании, что доступ к серверу, где лежат все мои данные только у меня. И ключи, которыми шифруются мои данные тоже только у меня.
                      +1
                      То есть, дело не в ПО, а в физическом ограничении доступа к важным данным. Странно, что вы об этом в статье не пишете…
                        +2
                        Это только в случае, если сервер дома и не имеет подключения к Интернет. Иначе доступ к нему есть ещё у кого-то.
                +1
                Я бы советовал, все же шифровать весь диск, так как например notepad++ у меня делает бекапы открытых файлов (.bac) на диске C: в своей директории, и можно просто попасть в такую ситуацию когда вроде свой секретный текстовый файл хранишь в шифрованном контейнере, а notepad++ тебе сделал копию на не зашифрованном диске!
                  0

                  В старых версиях windows было так, что ветка реестра в которой хранились все данные о пользователях (хэши паролей) была как надёжная крепость. Чего нельзя было сказать о резервной копии файла этой ветки.

                  +1
                  В этом случае можно даже пароль на компьютер не ставить.
                  Правда при пустом или простом пароле — есть риск, что компьютер с ненужными данными станет членом ботнета)

                  Про Open Source я так же сказал, что надо смотреть на комьюнити.
                  На фоне нескольких нашумевших поросших мхом дыр — это чем-то созвучно сентенции про мух)
                0
                Мне кажется, главное преимущество open source не в том, что эти проекты менее уязвимы, а в том, что в них нет скрытого функционала и back door'ов)
                +1
                но при этом разблокировали телефоны своим отпечатком, то можете считать, что ваш отпечаток уже скомпрометирован. И вам уже нельзя использовать отпечаток пальца для защиты чего-то важного.


                не знаю как у andoid, а у apple iphone 7 и больше отпечаток дальше кнопки-сканера не идет. более того, чужеродная кнопка с прошитыми отпечатками отторгается девайсом, из-за чего замена кнопки-сканера возможно только в родном сервисе с перепривязкой кнопки к материнке.
                  +1
                  А Вы уверены, что дальше сканера не идёт?
                  В конце-концов отпечаток должен с чем-то сравниваться.
                    0
                    Сравниваются, наверно, хэши.
                      0
                      А как же алгоритмы самообучения? Больше данных — больше возможностей для анализа.
                        +1
                        Ступаю на тонкий лед предположений. Возможно, копка это закрытое отдельное устройство. На вход подаются данные об отпечатках, внутри они хранятся и обрабатываются, а на выход подается только true/false — подходит отпечаток или нет.
                          +1
                          Это не тонкий лёд, это так и есть. Собственно, такая же ситуация и у samsung, например. В частности, поэтому разные модели их телефонов с одинаковым ПО отличаются разным количеством сохраняемых отпечатков.
                    0
                    Вы ведь можете добавить отпечаток с телефона, а потом залогиниться с помощью отпечатка в макбук.
                      0
                      Я нашёл два варианта:
                      1)Вы можете залогиниться, приложив палец к телефонному сканеру. При этом на компьютер просто отправляется команда при успешной проверке. Данные наружу не выходят.
                      2)Возможен логин на новых макбуках со встроенным сканером. Но никакой синхронизации отпечатков между устройствами нет. Данные наружу не выходят.
                      Или я не прав?
                        0
                        Нет, прикладываете вы палец не к телефонному сканеру, а к сканеру в самом макбуке.

                        Синхронизация, конечно же, есть. Я ведь говорю, вы добавляете отпечаток в телефон, а входить можете с ноутбука или с планшета. Это и есть синхронизация. Разве нет?
                          0
                          Тогда прошу прощения. Пытался найти данные о синхронизации — но нашёл только патент трёхлетней давности и никакой информации о синхронизации сейчас.

                          *добавлено*
                          Можете попробовать удалить данные отпечатка с пары устройств, добавить отпечаток на одном и проверить, что на втором тоже появились? Повторно попытался найти информацию на эту тему — но гугл молчит.
                            0
                            Но хранится не сам отпечаток, а условный хеш. Это, по идее, должно быть точно также безопасно, как хранить хеши паролей для валидации. Злоумышленнику такие данные не нужны, либо нужны в очень редком случае — для перебора паролей на подконтрольной машине и использовании найденного пароля на машине жертвы. В случае с отпечатком нужны очень серьезные мощности для такого брутфорса. На мой взгляд есть более дешевые способы получить доступ к данным, чем подбирать рисунок отпечатка под хеш, который ещё надо выкрасть с устройства или из облака аппла.
                      +2
                      наилучший уровень безопасности в сети может обеспечить одно простое правило. не выходить в сеть :)
                        0
                        А чем KeePass не угодил? Он ничего не синхронизирует, правда, насчёт стойкости шифрования у меня нет информации. Но ведь для pass, я так понимаю, нужно везде копировать свой ключ? Это тоже не добавляет безопасности.
                          0

                          KeePass использует стандартные и стойкие алгоритмы (обычно 256 битный AES для БД, Argon2 для хеширования пароля). Его база, насколько я помню, обычный XML-файл, зашифрованный AES — что легко проверяется т.к. есть альтернативные утилиты на питоне которые умеют его читать.

                          0

                          Я видел базы с production, в которых хранились полные номера карт, имена владельцев, и cvv. Эти базы компания давала разработчикам для того, чтобы можно было развернуть локальную версию приложения для разработки и отладки. Справедливости ради, это было несколько лет назад, но я уверен, что это далеко не единичный случай.


                          Ну а уж тех, кто до сих пор пароль в открытом виде хранит… Думаю, таких приложений и сайтов все миллионы.

                            0
                            Прошу ссылку на pass. www.passwordstore.org — оно?
                              0
                              да
                                0

                                как вы решаете проблему шифрования имен сервисов для pass? (по именам файлов можно понять, на каких сервисах вы зарегистрированы).

                                  0
                                  Можно решить с помощью Tomb. Но лично я никак не решаю.
                                    0

                                    Спасибо. Он, к сожалению, не кроссплатформенный.

                              +2
                              На мой взгляд отличная ОС с открытым кодом – LineageOS
                              На мой взгляд смелое решение утверждать о безусловной безопасности данной ОС, хотя сам сижу на ней. Залочить бутлоадер — да, всегда. Ошибка новичков.

                              F-droid. Не забываем, что рано или поздно вам понадобится нечто большее, чем opensource, так что это временно.

                              Хранение файлов. Любое облако безопасно, если шифровать до отправки. Хранить в облаке секюрные данные безумие. Советуете плагины? Кто их проверял, Вы? Я? Они? Тема не раскрыта ибо достойна отдельной статьи, понимаю.

                              И да, я устал слушать о том, как открытый исходный код повышает безопасность, я не успеваю версии хрома считать, кто там копаться будет, уж не знаю. Вы про движок хромиума имели ввиду, никак не конечный продукт гугла и еще сто пятсот броузеров, будь они неладны. Ладно.

                              Поисковик. Да пусть тот же гугл знает обо мне все, так он лучше ищет, ну правда.

                              TrueCrypt. Вот тут действительно тема не раскрыта. Даже скомпроментированному TrueCrypt я доверяю больше, чем тому же MS bitlocker. Тем более хэши его старого доброго TrueCrypt 7.1a есть и на хабре. Вот он SHA1:7689D038C76BD1DF695D295C026961E50E4A62EA.

                              Шифруйте диски (если не жалко батареи), делайте бэкапы (Ваш КЭП), А главное — везде двухфакторная авторизация. Никогда SMS.

                              Свой лайфхак. Keepass (о да, опенсорс) с плагином TOTP. Синхать с облаком любым удобным для вас способом, умеет генерить одноразовые ключи TOTP (aka google authentificator) — не нужен интернет впринципе для генерации. Почему в статье нет такой важной инфрмации, ибо все остальное и так КЭП надиктовал.
                                0
                                Вы про движок хромиума имели ввиду, никак не конечный продукт гугла

                                Как браузер, вполне конечный.
                                  0
                                  Шифруйте диски

                                  А британскую таможню как проходите?
                                  Там же за зашифрованный диск — реально сесть на немаленький срок.
                                    0
                                    Британские ученые таможенники проверяют каждое проходящее мимо них устройство на наличие шифрованных данных внутри?
                                      0
                                      Не знаю не проверял. Но тенденция стрёмная.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                      0
                                      база паролей и генератор одноразовых паролей для двухфакторной авторизации находятся на одном устройстве
                                      Есть такой момент. Создайте две базы. Одну тупо для ТОТP. Разнесите их на разные устройства, если все так плохо. В чем параноя, то что вы не можете нормальный пароль придумать для базы или Вы боитесь квантовых компьютеров, которые поломают вашу безопасность. Можете ключ (любой файл, берется первые 1024 байт) до кучи к паролю добавить и вынести его на третье устройство/облако. KeePass'у выход в инет вообще зарубить, синхать родными клиентами облаков, раз уж вы им доверяете. Другие способы еще паче, тот же гугл аунтификатор вообще не спрашивает никаких паролей. Лочьте свое «одно устройство» и шифруйте диск на нем в таком случае. Я не понимаю, что еще надо сделать, чтобы нормально пользоваться двухфакторной авторизацией и при этом ни один котёнок не пострадал.
                                      бесполезная вещь [...] вредный совет
                                      У вас есть свой секрет, откройте его, пожалуйста. Пока что Вы предлагаете вообще не пользоваться двухфакторкой ибо небезопасно. Ну или чё, SMS-ками? Ага, угу.

                                      Еще один лайфхак. В дропбоксе базу добавляете в избранное и открываете базу через UI дропбокса, она синхается тут же при любых изменениях без сторонних утилит. Это на мобилке. Сам keepass в инет даже не хочет ибо незачем. Да и зарубили мы ему.
                                    +1
                                    Включить Bitlocker одно из основных
                                      0
                                      Напомню Вам, что битлокер — это прерогатива избранных, читай ентерпрайз. Если Вы не пират. Бабушка у вас на ентерпрайз сидит? Сами Вы как? Если Вы не купили в корпоративе софтваре ашшуренс (дома можно дублировать) то Вы пират. Короче битлокер для битлокеров. Очень сомнительный плюс — как минимум неудобный, не то что перед ребятами не удобно, а вообще неудобный UX в целом.
                                        0
                                        Битлокер есть и в Pro версии. Вполне валидная лицензия покупается на ебее за 300р
                                          0
                                          Чем лицензия с ебея принципиально отличается от классического пиратства? В юридическим плане.
                                            0
                                            Ну Вы должны понимать, что лицензию на вторичном рынке не купишь, не подаришь и не перепродашь, какой ебей по-дешёвке. EULA читали, я нет, но готов поспорить, там все описано.
                                            0
                                            Bitlocker не доступен только в Home версии, в остальных он есть и хорошо работает
                                            www.zdnet.com/article/which-windows-10-editions-get-which-features
                                              0
                                              Ну может я стрый пердун, в 7-ке было именно так, в 10-ке всё могло поменяться, конечно же, MS готовы доплачивать, лишь бы ты был с ними. Спорить не буду.
                                          0

                                          Как-то странно читать сначала совет установить Ubuntu, а потом — TrueCrypt для шифровании всего диска… Разве Ubuntu при установке не предлагает зашифровать весь диск (риторический вопрос)? Разве нет более Linux-way альтернатив, например, encfs?

                                            +2
                                            Вы говорите о разных вещах.

                                            Ubuntu предлагает зашифровать весь диск целиком (или домашнюю папку) где стоит система.

                                            TrueCrypt нужен не для этого. Он нужен, например, для того чтобы полностью зашифровать флешку или создать контейнер размером 200мб, который будет представлять из себя файл, который подключается как диск. А этот файл хранить на флешке или в облаке.
                                              0
                                              А, тогда согласен. Использование кроссплатформенной утилиты вроде TrueCrypt для шифрования внешних дисков позволит при необходимости использовать их и в других операционных системах.
                                                0
                                                Ubuntu предлагает зашифровать весь диск целиком (или домашнюю папку)

                                                Домашнюю больше уже не предлагает шифровать (с 18.04).
                                                  0

                                                  Я вполне себе шифрую внешний жесткий диск и флешки средствами Ubuntu/dm-crypt. Правда, для этого требуется совершать действия вручную в командой строке (при создании), но это небольшой недостаток, так как вспоминать необходимые команды требуется не чаще одного раза в год (при покупке новой флешки).

                                                    0
                                                    Жесткий диск — это еще понятно, но флешки-то зачем? Обычно они предназначены для использования вне родного компьютера. Неужто этот кейс вас не интересует?
                                                      0

                                                      Не все флешки, конечно, а только флешки для резервных копий. Да и открыться они должны на любом компьютере с Linux.

                                                        0
                                                        например хранить бекапы каких-то конфигов, документов и тд. которые не большие по размеру
                                                  +2
                                                  Тема TrueCrypt не раскрыта. «Я им (и всем дальнейшим форкам) не доверяю, потому что вот когда-то что-то такое сомнительное было» — это, мягко говоря, полнейший субъективизм, основанный на вере без даже примеси фактов. Не стоит так делать, если уж быть последовательным.

                                                  Менеджер паролей

                                                  Не случайно на первом месте. Ведь это — самая важная часть в вашей безопасности.

                                                  Самый безопасный менеджер паролей — это отсутствие менеджера паролей.
                                                    +1
                                                    Возможно вы правы и это просто мой субьективизм.

                                                    Но при этом есть и факты. Например, проект закрыт и больше не развивается. Сам разработчик посоветовал использовать другой софт. И разработчик сказал, что форк – плохая идея. Лично для меня это уже факты, а не просто домыслы основанные на вере.
                                                      0
                                                      Самый безопасный менеджер паролей — это отсутствие менеджера паролей.
                                                      Поддерживаю!
                                                      Сам наваял себе расширение и приложение под Андроид: addons.mozilla.org/firefox/addon/art-password, руководствуясь идеями товарища с хабра: habr.com/post/149934 и habr.com/post/169445, но пофиксил самые важные недочёты.
                                                      0
                                                      Второй случай был, когда к нам пришел заказчик с довольно большим проектом, на котором было примерно два миллиона зарегистрированных пользователей. Мы начали работу, заказчик предоставил нам доступ к коду и базе. А в базе все пароли пользователей в незашифрованном виде.

                                                      Не то, чтобы я придираюсь к словам, но если речь идёт о паролях аккаунтов, то в базе должны быть достаточно трудоёмкие хэши паролей + соль. Если вы имели ввиду как раз это, то хэширование — не шифрование.
                                                        –1

                                                        Пособие для начинающего параноика.

                                                          +1
                                                          Хз, какая-то мешанина дельных вещей с домыслами и откровенным аутизмом.
                                                            +1
                                                            И самое страшное: а что если сервисы для хранения паролей, такие как 1password, LastPass, KeePass не смогут безопасно хранить ваши пароли? Что если они утекут? Лично я даже боюсь про это думать.

                                                            Поэтому я и не пользуюсь этими вещами. Даже оффлайн-программы для хранения паролей ничего не гарантируют: устоит криптография — утечёт через кейлоггер.
                                                            Я уже не первый раз говорю, что считаю лучшим решением для хранения паролей — карандаш + небольшой блокнотик, хранимый и носимый в бумажнике/барсетке и т.п. вместе с ключами и документами. Я не вижу слабых мест у этого решения, разве что при вводе пароля из-за спины кто-то подсмотрит, но это всё можно проконтролировать. Ну не уверен я во всяких прочих электронных способах хранения паролей. Разумеется, везде пароли должны быть разными, и логины, желательно, тоже. Везде, где это не требуется «позарез», я при регистрации выбираю левые ФИО, левую дату рождения, левый ник и т.д., если требуется почта — обычно не ленюсь зарегить и новый ящик, и лучше не на мэйле-яндексе-рамблере, а где-нибудь в зоне com и т.д. Если есть вероятность, что этот акаунт мне ещё понадобится — записываю во всё тот же блокнотик. В худшем случае сольётся доступ к чему-то одному (какой-нибудь почтовый ящик или акаунт), и по нему будет непросто или невозможно найти остальные мои акаунты и тем более зайти в них. А наиболее часто требующиеся логины-пароли и вовсе вскоре запоминаются, и блокнитик доставать не нужно.

                                                            А вот когда пройдёт эпидемия какого-нибудь хитрого трояна, ворующего пароли из всяких электронных хранилок, или взломают какой-нибудь условный KeePass, я поглажу свой блокнотик и улыбнусь))
                                                            Но почему-то за эту точку зрения меня порой минусуют без внятного объяснения. Может, кому-то это кажется до ужаса неудобным и несовременным? Мне — нет.
                                                              +4
                                                              Я не вижу слабых мест у этого решения

                                                              Потерять, забыть, испортить. Как и любой физический предмет. От кейлогера так же не защищает.
                                                                +1
                                                                а что мешает сфоткать ваш блокнотик пока вы отойдете на минуту? Или вы в туалет с ним ходите тоже?
                                                                  +1
                                                                  Перестановка символов в пароле местами. Главное об этом никому не говорить. Или один недописанный символ. Украдут, попробуют — не подходит, выкинут бумажку. Никто не будет перебирать разные варианты паролей если они честно написаны на бумажке, кроме очень плотной социнженерии и когда ведут конкретно вас. Но тут не поможет даже запоминание всех паролей, в худшем случае — сами скажете пароль. То же касается и менеджеров паролей. Врятли при массовой краже пароли будут проверять вручную — прогонят через скрипт который проверит валидность паролей и откинут неподошедшие. А они и не подойдут, если изначально хранился неполный пароль.
                                                                  0
                                                                  Решение отличное по уровню надежности и 50/50 в плане удобства.
                                                                  А вот про разные логины-пароли для разных сервисов я не согласен.
                                                                  Естественно, что интернет банки не должны иметь одинаковые пароли, но что еще требует такого уровня надёжности? В личной среде разумеется, пишущиеся годами рабочие проекты трогать не будем.
                                                                  Что получит злоумышленник, узнав мой пароль от steam? Сможет бесплатно поиграть в десяток игрушек за 10$? Пфф, пусть попросит вежливо, я и так доступ дам. И что с того, что этот пароль совпадет с паролем на камри-клубе и на рено-клубе? Там напишут пару матерных постов и меня поблочат? Да кому это надо…
                                                                  Хотя эти измышления как раз и идут в тему соотношения стоимости сейфа и содержимого.
                                                                    +1
                                                                    Казалось бы… но эти сервисы могут дать информацию/возможность для социнженерной атаки на более недоступные сервисы. Например, попросить знакомых по аккаунту перечислить денюжку на счет т.к. ты попал в неприятную ситуацию и всё такое… и причем срочно. Даже если один из сотни выполнит, вам потом долго объяснять что это было сделано не от вашего имени.
                                                                      0
                                                                      В данном случае в том-то и прелесть, что «стоимость сейфа» почти не возрастает. Ну, чуть больше телодвижений при регистрации нового акаунта, ну и что.
                                                                      Зато потом это может сильно помочь.
                                                                      Вы знаете, всякое бывает. Может, ненароком кого-то в жизни придётся обидеть, и он захочет «пробить и вычислить». Может, случайно оброненная фраза сделает Вас знаменитым и Вас начнут доставать тролли (почитайте историю такого известного в пранкерской среде человека, как Дед ИВЦ), используя все доступные уловки чисто из спортивного интереса, чтобы найти Вас, вычислить Ваши новые контакты и т.д.
                                                                      Может, придётся перейти дорогу какому-то человеку при деньгах и власти (ну вот не пропустили Вы его на перекрёстке), который воспримет это как личную обиду и попросит своих людей «найти и проучить этого козла». Может, завтра сменятся политики у власти и устроят охоту на ведьм, поднимая 20-летние сообщения на форумах и притягивая к ним статьи УК.
                                                                      Ситуации бывают разные. И заранее раскрываться на весь интернет считаю неправильным (или хотя бы так: личным делом каждого), право на анонимность должно уважаться. Поэтому чем меньше похожи друг на друга мои акаунты, чем меньше я пишу достоверных сведений, чем больше в «бигдате» противоречий, мешающих слить воедино сведения обо мне из разных источников, тем лучше.

                                                                      Хорошо, когда человек это понимает и старается придерживаться подобной «информационной гигиены». Но увы, большинству всё равно.
                                                                        0
                                                                        Если уж на то пошло, то «одинаковые логин-пароль» вовсе не означает «явно указывающие на конкретного анонимуса», не так ли? ;)
                                                                        Но секьюрность страдает, не поспорить. Просто для себя считаю её достаточной.

                                                                        Если уж обзаведусь надёжным менеджером паролей, с автовводом во все формы и удобным носимым функционалом, без необходимости вручную синхронизировать каждое новое устройство — тогда уже буду делать разнообразные логины.
                                                                          0
                                                                          Увы, всё это сводится на ноль аналитикой от гугла/яндекса если для выхода и регистрации аккаунтов вы пользуетесь одним и тем же компьютером/операционной системой. Даже по особенностям ответа браузера можно отслеживать связи между аккаунтами, не говоря уже о кукисах и прочих мелочах. Чтобы и правда не оставлять следов нужно быть нереальным параноиком, изучать каждый символ всех скриптов загружаемых со страницами, все связи на внешние ресурсы и т.д.
                                                                            0
                                                                            Так-то да. Но я сейчас имею в виду не стратегию «спрятаться абсолютно от всех, в т.ч. спецслужб и мегакорпораций», а только вышеприведённые кейсы попроще. Когда условный тролль хочет насолить. Понятно, что если требуется сделать что-то типа как сделал Сноуден, и тем более пользоваться интернетом в таком стиле годами, нужен куда как более основательный подход.
                                                                              0
                                                                              И еще как-то затереть следы, оставленные до приступа паранойи.
                                                                      +1
                                                                      Отличная статья. От простого до навороченного.

                                                                      Лично хоть и не шифрую диски полностью и вполне доволен KeePass—ом. Но с «духом « статьи полностью согласен.

                                                                        +1
                                                                        Фактически есть только DuckDuckGo, который ищет не идеально.

                                                                        Можно еще попробовать startpage.com, тот же гугл, просто запросы проксируются. Правда последний раз когда его пробовал (без сохраня кук) не было быстрого способа искать без региона (аналог /ncr гугла), нужно было через интерфейс тыкать.
                                                                          0
                                                                          способа искать без региона (аналог /ncr гугла)
                                                                          А /ncr, кстати, работает сейчас? Вообще меня всегда раздражало, что и гугл, и яндекс учитывают регион/язык при поиске (переводят названия фильмов, например), и непонятно, как раз и навсегда их от этого отучить.
                                                                            0
                                                                            Да, сейчас /ncr работает, был небольшой период времени когда не работало. Чтобы отучить навсегда сразу переходите по google.com/ncr и, даже если у вас сохранены куки с регионом, откроется глобальный поиск. Если предпочитаете гуглить через строку адреса/поиска браузера, есть плагины которые добавляют поиск с /ncr.

                                                                            Лично мне сложно перейти на другие поисковики после удобного поиска гугла по регионам. Нужен глобальный — открываем с /ncr, хочется поискать тот же запрос в каком то регионе — прямо к адресу уже выполненного запроса добавляем, к примеру, "&lr=lang_ru", "&lr=lang_us", "&lr=lang_zh-CN" для России/США/Китая соответственно. У других поисковиков обычно через интерфейс надо долго кликать или вообще нет такой возможности.
                                                                              0
                                                                              исправляюсь
                                                                              lang_us кода нет, только lang_en
                                                                          0
                                                                          сервисы для хранения паролей, такие как 1password, LastPass, KeePass не смогут безопасно хранить ваши пароли

                                                                          KeePass не сервис, так что это мимо.

                                                                            0
                                                                            Справедливое замечание. Поправил.
                                                                            0

                                                                            А почему "open source" для вас означает "нет поддержки"? Вы, кажется, путаете три сущности: открытое, свободное и бесплатное.

                                                                              0
                                                                              Может быть я не правильно выразился, написав «поддержка». Но я имел в виду не ту поддержку, когда ты можешь позвонить и задать интересующий тебя вопрос.

                                                                              Я больше имел в виду, что когда ты используешь проприетарный софт, например, тот же дропбокс и у тебя как-то пропали данные ты можешь предьявлять претензии, судиться и требовать компенсации. Когда ты используешь свободный софт, то идти с претензиями не к кому.
                                                                                0

                                                                                Не-не-не! Это проблема не свободного софта, а бесплатного.
                                                                                Грубо говоря, чтобы было, кому предъявлять претензии — надо кому-то платить деньги. И, afaik, такое в open source практикуется.


                                                                                P.S. Я, когда читал текст, думал, что вы в качестве недостатка назовёте более лёгкий поиск дыр в коде (он же — достоинство...)

                                                                                  0
                                                                                  Вот, например, вы можете не платить за дропбокс и использовать его бесплатные 2гб. Но если вдруг дропбокс потеряет/продаст ваши данные, то вы явно будете возмущены их поведением и пойдете в суд. Так что не в бесплатности дело, на мой взгляд.
                                                                                    +2
                                                                                    Каждый раз, когда я ставлю галочку «I accept» под EULA, чувствую себя так, будто продаю душу за шоколадку, причём никто не гарантирует, что шоколадка свежая. Это я к чему: если дропбокс что-то сделает с моими данными, судиться у буду долго, дорого и неэффективно, а скорее — вовсе не буду, так что закрытый продукт/сервис от открытого для меня почти не отличается в плане поддержки и ответственности.
                                                                              0

                                                                              Фразу

                                                                              Если у вас есть важная информация, и вы боитесь ее потерять, а одна мысль о том, что эти сведения могут попасть к вашим недругам, вас пугает, то вам стоит задуматься об информационной безопасности

                                                                              IMHO, стоит сократить до Если у вас есть важная любая информация, то вам стоит задуматься об информационной безопасности
                                                                              Потому что информация может быть неважна а)для вас и б)в данный момент времени, но пострадать может через пару лет и кто-то другой. Конечно, затраты на безопасность должны быть соразмерными угрозам, но думать нужно всегда.

                                                                              В первом предложении вы говорите о цифровой гигиене, однако потом идут советы про пароли и шифрование. Это очень, очень малая часть гигиены. Все равно что советовать не есть сырое мясо и не рассказать зачем мыть руки перед едой. (исключения есть в каждой из этих ситуаций, но не хочу углубляться).
                                                                              К цифровой гигиене я бы отнес


                                                                              • Не распространять контактную информацию другого человека без его явного согласия.
                                                                              • Уметь различать вредную информацию и игнорировать ее
                                                                                • Не открывать спам или письма, пришедшие "по ошибке"
                                                                                • Не ходить по ссылкам с кликбейт-заголовками
                                                                              • Иметь и пользоваться пассивными средствами защиты: антивирусом, бекапом, запросом авторизации

                                                                              Это то, что вспомнил в час ночи, думаю список можно дополнить.


                                                                              С одной стороны, для многих IT-шников эти меры так же обыденны, как есть из чистой посуды. Они настолько банальны, что мы про них забываем, но для условного марсианина из Нигерии именно такие базовые вещи принесут больше пользы, чем сравнение зеленки и йода хранителей паролей.

                                                                                0
                                                                                Добавил бы: держать песочницу с чистым образом (виртуалку или недобитый комп) для открытия подозрительных писем и носителей.
                                                                                0
                                                                                

И увидели, что предыдущий разработчик настроил AppSee так, чтобы записывать видео с некоторых экранов. И некоторыми экранами были те, где пользователь вводил данные кредитки или пейпала.

                                                                                Упс, не разраб для БК то был это?
                                                                                  0
                                                                                  Эта история уже набила оскомину, всё давно уже выяснили, насколько смогли. Не надоело на вентилятор кидать, извините уж.
                                                                                  0
                                                                                  На мой взгляд, наиболее безопасными являются свободные ОС с открытым кодом. Их довольно много. Можно начать с самой простой в установке и использовании – Ubuntu.


                                                                                  Где можно поставить себе майнер прямо из официального репозитория. Вообще совет использовать Linux для безопасности это частный случай security by obscurity. То же касается и opensource, многочисленные уязвимости, подчас даже в широко распространённых продуктах (Shellshock, Heartbleed, etc) уже доказали, что Линусовые «миллионы глаз» часто смотрят не в ту сторону.
                                                                                    0
                                                                                    Добавлю свои два копейки, я шифрую исходники спомощью бесплатной программы winrar и храню исходники на yandex диск.
                                                                                    Про двухфакторную аутентификацию хочется сказать, что она очень сильно мешает… Пользовался в facebook и gmail, за полгода так устал постоянно подтверждать права, что снес нафиг. Теперь живу без двухфаторной. Жизнь прекрасна.
                                                                                      +1
                                                                                      я шифрую исходники с помощью бесплатной программы winrar
                                                                                      бесплатной программы winrar?
                                                                                      image
                                                                                        0
                                                                                        Де-юро она не бесплатная, а по факту… вечная демка без каких-либо существенных ограничений для рядовых пользователей. Просто каждое использование будет выскакивать этот диалог, и в автономных скриптах для бэкапов не используешь.
                                                                                          +1
                                                                                          Де-факто да, конечно.
                                                                                          Просто называть ее бесплатной, когда она каждый раз напоминает об обратном… неаккуратненько как-то.
                                                                                        +1
                                                                                        Попробуйте доказать что шифрование в винраре реализовано без бэкдоров? В таком распространённом архиваторе, чтобы не встроили бэкдор… мне очень сильно не верится.
                                                                                          +1

                                                                                          Winrar не бесплатный. Используйте 7-zip.

                                                                                            0
                                                                                            Я вот не помню приснилось ли мне это, но точно помню бегал по всему отделу и показывал как то-ли в личном кабинете майкрософта, толи на msdn, не важно — важно что на сайте MS. Мне предлагали скачивать файлы в формате RAR, карл! Я думал, кто кого опять купил и за чей счет банкет.
                                                                                          0
                                                                                          Набор рэндомных рекомендаций и инструментов имхо.
                                                                                          Информационная безопасность это прежде всего четкое понимание рисков и модели угроз.
                                                                                          В противном случае можно построить вокруг себя огромный забор с вышками и автоматчиками, но оставить дыры размером со слона, о которых можно даже не догадываться.

                                                                                          У разных людей/компаний разные риски, разные угрозы и разный бюджет.
                                                                                          Любые, даже бесплатные системы безопасности — это затраты. Это и затраты времени на изучение инструмента и затраты на усложнившуюся жизнь после введения дополнительного уровня защиты.

                                                                                          А в качеств общих правил гигиены можно предложить следующее:
                                                                                          — Не выкладывать персональную информацию в публичный доступ (соц. сети — зло)
                                                                                          — Не запускать недоверенные приложения, не использовать файло-помойки, и левые апп-сторы, все грузить с официальных страниц
                                                                                          — На все вопросы «согласны ли вы» отвечать нет, пока нет четкого понимания под чем подписываешься
                                                                                          — не тыкать по сомнительным баннерам в интернете и вообще баннеры желательно резать
                                                                                          — при повышенном уровне паранои резать не только баннеры но и скрипты
                                                                                          — использовать длинные не словарные пароли, сложные не обязательно — любых два слова написанных с ошибкой и разделенных пробелом решат проблему подбора пароля по словарю раз и на всегда
                                                                                            0
                                                                                            любых два слова написанных с ошибкой и разделенных пробелом решат проблему подбора пароля по словарю раз и на всегда


                                                                                            До момента, когда кто-то не сгенерирует словарь обычных слов (их не так много) с ошибкой (вариантов ошибок тоже не так много, как кажется).
                                                                                              0
                                                                                              Ну давайте возьмем элементарный случай. Словарь John the Ripper (он же password.lst), даром что он на английском. В словаре 3545 слов, что дает 12.5М возможных сочетаний, добавляем к этому ошибки, даже такие типичные как замена О на А или замена О на 0 или замена A на @ и т.п. — получим увеличение этого числа на количество возможных замен на каждую букву.
                                                                                              Поверьте, подбор пароля в таких условиях фактически не возможен, даже имея на руках хэш пароля и имея представление об алгоритме — это не тривиальная задача.
                                                                                                0
                                                                                                https://www.securitylab.ru/analytics/485097.php
                                                                                                Рассмотрим комбинационную атаку с использованием словаря, состоящим из 10 тысяч наиболее употребительных слов в порядке убывания популярности. Анализ проводился при помощи N-грамм и частотного анализа на базе триллионного сборника, собранного поисковой системой Google.

                                                                                                Рассмотрим пример двух случайно выбранных слов, соединенных в пароль длиной 16 символов, например shippingnovember и осуществляем комбинационную атаку на данный пароль, если бы использовался алгоритм MD5:

                                                                                                Пример
                                                                                                hashcat -a 1 -m 0 hash.txt google-10000.txt google-10000.txt

                                                                                                При переборе всех комбинаций, состоящих из слов, соединенных друг с другом, при помощи современных аппаратных средств пароль взламывается менее чем за одну секунду.
                                                                                                  0
                                                                                                  Ну во первых — вы берете взлом хэша, а не брутфорс пароля на вебе :))
                                                                                                  Во вторых — это верно только для каких-нибудь MD5, плюс данный пример не учитывает ошибки в словах. Возьмите посоленный sha256 или sha512 для примера и попробуйте, не забудьте использовать мутации слов, для организации ошибок, и посмотрите сколько лет у вас займет взлом. Плюс вы считаете что ваше слово находится в словаре, что далеко не факт.
                                                                                                    0
                                                                                                    Если бы все взломщики действовали строго по написанным правилам, не было бы никаких взломов, ибо наша защита — верх совершенства. А, к примеру, через пару лет админ по ошибке выгрузит backup базы с хешами не туда, или другой админ случайно промахнется с настройкой rsync, или старый винчестер с копией базы сдадут в утиль, или заинтересованные люди утырят доступ к админскому рабочему месту, или еще чего… Фермы для быстрого перебора хешей уже существуют.
                                                                                                    К чему это я? Хороший пароль, конечно, лучше чем плохой. Но 146% гарантии, что его не взломают, нет.
                                                                                                      0
                                                                                                      Что-то я ваш ответ пропустил.
                                                                                                      Давайте договоримся о том что абсолютной защиты не бывает, бывают методы защиты которые делют дальнейший взлом не целесообразным (либо слишком дорогим, либо слишком долгим). Но при этом гарантии отстутсвия взлома вам никто никогда не даст.
                                                                                                      Вариант с двумя достаточно длинными словами написанными с ошибками очень эффективно отобьет 90% атак (если не 99%), даже при сливе базы, даже если используется какой-нибудь МД5.
                                                                                                        0
                                                                                                        От слива MD5 не спасёт, ибо там всеравно не раскрывается реальный пароль а любая первая попавшаяся коллизия.

                                                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                          Самое читаемое