Время от времени мне напоминают об огромной машине мошенничества в Интернете, что вновь оживляет мое стремление к базовой цифровой гигиене в отношении конфиденциальности/безопасности повседневной работе с цифровыми устройствами. Сомнения начинаются с крупных технологических компаний, которые заинтересованы в создании всеобъемлющих профилей о вас, чтобы монетизировать их напрямую для рекламы или продать их профессиональным брокерам данных, которые дополнительно обогащают полученные данные, деанонимизируют нас, перекрестно ссылаются на различные источники информации, и перепродают все эти данные дальше. Неизбежные и регулярные утечки данных сливают нашу информацию в архивы даркнета, питая целую подпольную индустрию спамеров/мошенников, занимающихся взломом, фишингом, вымогательством, мошенничеством с кредитными картами, кражей личных данных и т. д. Это руководство представляет собой сборник самых базовых советов по цифровой гигиене, начиная с самых простых и заканчивая немного более узкоспециализированными.
Менеджер паролей. Ваши пароли — это ваш «первый фактор», то есть «то, что вы знаете». Не будьте дилетантом и создавайте новые, уникальные, сложные пароли для каждого веб-сайта или сервиса, на котором вы регистрируетесь. Объедините это с расширением браузера, чтобы создавать и автоматически заполнять их очень быстро. Например, я использую (и мне нравится) 1Password. Это предотвращает 1) легкость угадывания или взлома ваших паролей и 2) единовременную утечку, которая открывает двери для многих других сервисов. Взамен у нас теперь есть центральное расположение для всех ваших первых факторов (паролей), поэтому мы должны убедиться, что надежно защитили его, что приводит нас к следующему пункту.
Аппаратный ключ безопасности. Самые важные сервисы в вашей жизни (например, Google или 1Password) должны быть дополнительно защищены «вторым фактором», т. е. «чем-то, что у вас есть». Злоумышленнику нужно будет обладать обоими факторами, чтобы получить доступ к этим сервисам. Наиболее распространенным вторым фактором, реализованным многими сервисами, является номер телефона. Идея заключается в том, что вы получаете текстовое сообщение с пин-кодом для ввода в дополнение к вашему паролю. Очевидно, что это намного лучше, чем вообще не иметь второго фактора, но использование номера телефона, как известно, крайне небезопасно из-за атаки с подменой SIM-карты. По сути, злоумышленнику оказывается на удивление легко позвонить в вашу телефонную компанию, выдать себя за вас и заставить их переключить ваш номер телефона на новый телефон, который они контролируют. Я знаю, это звучит совершенно безумно, но это правда, и у меня много друзей, которые стали жертвами этой атаки. Поэтому приобретите и настройте аппаратные ключи безопасности - это промышленный стандарт защиты. В частности, мне нравится (и я использую) YubiKey. Эти устройства генерируют и хранят закрытый ключ на элементе безопасности самого устройства, поэтому закрытый приватный ключ никогда не копируется на универсальное вычислительное устройство, такое как ваш ноутбук. После того, как вы их настроите, злоумышленнику понадобится не только знать ваш пароль, но и физически обладать вашим ключом безопасности, чтобы войти в защищенную службу. Ваш риск быть взломанным только что снизился примерно в 1000 раз. Приобретите и настройте 2-3 ключа и храните их в разных местах, чтобы предотвратить блокировку в случае физической потери одного из ключей. Ключи безопасности поддерживают несколько методов аутентификации. Ищите U2F в настройках второго фактора вашей службы как самую надежную защиту. Например, Google и 1Password поддерживают его. При необходимости используйте TOTP, и имейте в виду, что ваши YubiKey могут хранить закрытые ключи TOTP, поэтому вы можете использовать приложение YubiKey Authenticator для легкого доступа к ним через NFC, приложив ключ к телефону, чтобы получить свой PIN-код при входе в систему. Это значительно лучше, чем хранить закрытые ключи TOTP в других (программных) приложениях-аутентификаторах, потому что, опять же, вам не следует доверять универсальным вычислительным устройствам. Подробное описание выходит за рамки этой статьи, но в целом я настоятельно рекомендую использовать 2-3 YubiKey, чтобы значительно усилить вашу цифровую безопасность.
Биометрия. Биометрия — это третий распространенный фактор аутентификации («то, чем вы являетесь»). Например, если вы используете iOS, я рекомендую настроить FaceID практически везде, например, для доступа к приложению 1Password и т. д.
Контрольные вопросы. Компании-динозавры одержимы идеей контрольных вопросов, таких как «как фамилия вашей матери?», и заставляют вас время от времени их задавать. Очевидно, что они относятся к категории «то, что вы знаете», поэтому они по сути пароли, но для удобства мошенников их легко найти в открытом интернете, и вам следует отказаться от любых предложений принять участие в этом нелепом упражнении по «безопасности». Вместо этого относитесь к контрольным вопросам как к паролям, генерируйте случайные ответы на случайные вопросы и храните их в своем 1Password вместе с паролями.
Шифрование диска. Всегда проверяйте, чтобы ваши компьютеры использовали шифрование диска. Например, на компьютерах Mac эта совершенно простая функция называется File Vault. Эта функция гарантирует, что если ваш компьютер будет украден, то злоумышленник не сможет получить жесткий диск и поживиться всеми вашими данными.
Интернет вещей. Больше похоже на @internetofshit. По возможности избегайте «умных» устройств, которые, по сути, крайне небезопасны. Эти подключенные к интернету компьютеры, которые собирают тонны данных, постоянно взламываются и которые люди охотно размещают у себя дома. У этих штук есть микрофоны, и они регулярно отправляют данные обратно на материнские сервера для аналитики и «улучшения качества обслуживания клиентов» (lol ok). Например, когда я был наивен и молод, я однажды купил в Китае монитор CO2, который требовал знать все обо мне и моем точном местоположении, прежде чем он скажет мне количество CO2 в моей комнате. Эти устройства представляют собой обширную и очень распространенную поверхность атаки на вашу конфиденциальность и безопасность, и их следует избегать.
Сообщения. Я рекомендую Signal вместо текстовых сообщений, потому что он сквозным образом шифрует все ваши сообщения. Кроме того, он не хранит метаданные, как многие другие приложения (например, iMessage, WhatsApp). Включите исчезающие сообщения (например, 90 дней по умолчанию — это хорошо). По моему опыту, они представляют собой информационную уязвимость без существенных преимуществ.
Браузер. Я рекомендую браузер Brave, который является браузером, ориентированным на конфиденциальность, на основе Chromium. Это означает, что в основном все расширения Chrome работают из коробки, и браузер ощущается как Chrome, но без Google, занимающего первые места во всей вашей цифровой жизни.
Поисковая система. Я рекомендую Brave Search, который вы можете установить в качестве поиска по умолчанию в настройках браузера. Brave Search — это поисковая система, ориентированная на конфиденциальность, со своим собственным индексом, в отличие, например, от DuckDuckGo, который по сути является приятной оболочкой для Bing и вынужден вступать в странные партнерства с Microsoft, которые ставят под угрозу конфиденциальность пользователей. Как и со всеми сервисами в этом списке, я плачу 3 доллара в месяц за Brave Premium, потому что я предпочитаю быть клиентом, а не продуктом в своей цифровой жизни. Я обнаружил, что эмпирически около 95% моих поисковых запросов — это очень простые поиски на веб-сайтах, при этом поисковая система в основном действует как крошечный DNS. А если вы не нашли то, что искали, вернитесь к Google, просто добавив "!g" к вашему поисковому запросу, который перенаправит его в Google.
Кредитные карты. Создавайте новые, уникальные кредитные карты для каждого продавца. Нет необходимости использовать одну кредитную карту для многих сервисов. Это позволяет им "связывать" ваши покупки в разных сервисах, и, кроме того, это открывает путь для мошенников к вашим кредитным картам, поскольку сервисы могут слить (или быть взломанными) номер кредитной карты. Мне нравится (и я использую) privacy.com для создания новых кредитных карт для каждой отдельной транзакции или продавца. Вы получаете удобный интерфейс для всех ваших расходов и уведомлений для каждого использования. Вы также можете установить лимиты для каждой кредитной карты (например, 50 долларов в месяц и т. д.), что значительно снижает риск того, что с вас снимут больше, чем вы ожидаете. Кроме того, с картой privacy.com вы можете ввести совершенно случайную информацию о своем имени и адресе при заполнении платежной информации. Это очень важно, потому что просто нет необходимости и это совершенно безумно, что случайные интернет-продавцы должны узнавать ваш физический адрес.
Адрес. Нет необходимости сообщать свой физический адрес большинству случайных служб и продавцов в Интернете. Используйте виртуальную почтовую службу. Сейчас я пользуюсь Earth Class Mail, но, честно говоря, мне это немного неловко, и я собираюсь перейти на Virtual Post Mail из-за его строгих обязательств в отношении конфиденциальности, безопасности, а также его структуры собственности и репутации. В любом случае, вы получаете адрес, который можете предоставить, они получают вашу почту, сканируют ее и оцифровывают, у них есть приложение, чтобы вы могли быстро ее увидеть, и вы можете решить, что с ней делать (например, уничтожить, переслать и т. д.). Вы получаете не только безопасность и конфиденциальность, но и довольно много удобства.
Электронная почта. Я все еще пользуюсь gmail просто из-за удобства, но я начал частично использовать Proton Mail. И пока мы говорим об электронной почте, еще несколько мыслей. Никогда не нажимайте ни на одну ссылку внутри любого полученного вами электронного письма. Адреса электронной почты очень легко подделать, и вы никогда не можете быть уверены, что полученное вами письмо не является фишинговым письмом от мошенника. Вместо этого я вручную перехожу на любой интересующий меня сервис и вхожу в систему оттуда. Кроме того, отключите загрузку изображений по умолчанию в настройках вашей электронной почты. Если вы получаете письмо, требующее от вас просмотра изображений, вы можете нажать «показать изображения», чтобы увидеть их, и это совсем не проблема. Это важно, потому что многие сервисы используют встроенные изображения, чтобы отслеживать вас — они скрывают информацию внутри URL-адреса изображения, который вы получаете, поэтому, когда ваш почтовый клиент загружает изображение, они могут видеть, что вы открыли письмо. В этом просто нет необходимости. Кроме того, запутанные изображения — это один из способов, с помощью которых мошенники скрывают информацию, чтобы избежать фильтрации почтовыми серверами как мошенничество / спам.
VPN. Если вы хотите скрыть свой IP/местоположение для сервисов, вы можете сделать это с помощью косвенного VPN. Я рекомендую Mullvad VPN. Я отключаю VPN по умолчанию, но включаю его выборочно, когда имею дело с сервисами, которым я доверяю меньше и от которых хочу большей защиты.
Блокировщик на основе DNS. Вы можете блокировать рекламу, блокируя целые домены на уровне DNS. Мне нравится и я использую NextDNS, который блокирует все виды рекламы и трекеров. Для более продвинутых пользователей, которые любят возиться, pi-hole — это физическая альтернатива.
Сетевой монитор. Мне нравится (и я использую) The Little Snitch, который я установил и запустил на своем MacBook. Он позволяет вам видеть, какие приложения обмениваются данными, сколько данных и когда, поэтому вы можете отслеживать, какие приложения на вашем компьютере «звонят домой» и как часто. Любое приложение, которое слишком много обменивается данными, является подозрительным и его следует удалить, если вы не ожидаете трафика.
Разделение работы и личной жизни. В идеале не входите в систему и не пользуйтесь никакими личными службами на рабочих компьютерах. На большинстве из них установлено шпионское ПО компании для защиты интеллектуальной собственности компании. Это все хорошо и разумно, но вы должны знать, что любая активность на компьютере, скорее всего, тщательно регистрируется (сетевое взаимодействие, кейлоггеры, снимки экрана и т. д.) и, возможно, активно отслеживается отделом безопасности.
Я просто хочу жить безопасной цифровой жизнью и устанавливать гармоничные отношения с продуктами и услугами, которые получают только необходимую информацию. И я хочу платить за используемое мной программное обеспечение, чтобы стимулы были согласованы, и чтобы я был клиентом. Это не тривиально, но к этому можно подойти с некоторой решимостью и дисциплиной.
Наконец, чего нет в списке. Я в основном все еще использую Gmail + Gsuite, потому что это слишком удобно и всепроникающе. Я также использую 𝕏 вместо чего-то экзотического (например, Mastodon), жертвуя суверенитетом ради удобства. Я не использую сервис VoIP-телефонии (например, MySudo), но мне это интересно. Я на самом деле не создаю новые/уникальные адреса электронной почты (например, SimpleLogin), но хочу. Путешествие продолжается. Дайте мне знать, если есть другие советы и рекомендации, которые должны быть в этом списке, например, вы можете написать мне (автору оригинального поста – прим. переводчика) в 𝕏 на @karpathy.
От переводчика. Советы немного наивны, и должны восприниматься скорее как затравка к размышлению о цифровой гигиене, тем более, что многие указанные сервисы недоступны из-за геоблокировок, поэтому можете (ответственно) порекомендовать альтернативы в комментариях, что будет полезно для широкой аудитории.