День защиты персональных данных: как обезопасить себя
Всегда заходите в интернет из-под VPN — и с телефона, и с компьютера
Не пугайтесь аббревиатуры VPN. Пользоваться такими сервисами очень просто: достаточно скачать приложение и залогиниться, дальше оно все сделает само. VPN создает своеобразную прослойку между вашим устройством и интернетом и делает соединение безопасным — почти наверняка трафик не смогут перехватить. Бесплатными сервисами пользоваться рискованно, поскольку они могут продавать ваши данные, поэтому купите подписку. Выбирать стоит из тех, кто обещает не делиться вашими данными и проходит независимый аудит. Например, Private Internet Access или NordVPN.
Практически все VPN-провайдеры используют в своих приложениях OpenVPN-протокол. Но если он не работает, в качестве альтернативы можно попробовать новый перспективный протокол WireGuard. Он, к сожалению, пока не способен обеспечить тот же уровень приватности: VPN-провайдеры должны запоминать, какие IP-адреса присвоены клиентам. Но некоторые компании придумывают разные обходные пути. Учтите, что, несмотря на включенный VPN, ваш исходный IP-адрес все равно может «утечь». Например, из-за неправильно настроенного DNS или включенной функции WebRTC в браузере. Проверить, есть ли у вас эти «утечки», обычно можно на сайте VPN-провайдера. Или используйте сторонние сервисы.
Откажитесь от биометрии
Отключите на своем Android разблокировку по отпечатку пальца, распознанному лицу или радужной оболочке глаза, а на iPhone, соответственно, — Touch ID и Face ID. В противном случае, если телефон окажется в чужих руках, его можно будет разблокировать против вашей воли — достаточно будет поднести экран к лицу или приложить палец к сканеру. ПИН-код или пасс-код куда надежнее, особенно если включить блокировку доступа после нескольких неудачных попыток входа. На айфоне по умолчанию нельзя долго подбирать ПИН-код.
Используйте надежные и разные пароли. Их не нужно запоминать!
Забудьте свой любимый и единственный пароль, который у вас стоит и на компьютере, и на почте, и на Facebook, и везде. Вам нужен менеджер паролей: например, 1Password, KeePassXC или Firefox Lockwise. С ними вам нужно будет запомнить только один (но длинный!) пароль, а все остальные пароли для разных сервисов будут разными. Если кто-то узнает ваш пароль для Facebook, он хотя бы не сможет зайти к вам в почту. Надежный пароль сложно подобрать перебором — желательно, чтобы в нем были не только буквы, но и цифры (а еще лучше пара запятых или еще какие-нибудь символы). Существует множество советов по созданию и запоминанию таких паролей.
Включите двухфакторную аутентификацию везде, где только можно
Это ваш второй уровень защиты. Первый фактор — это пароль, второй — устройство. Даже если злоумышленник сумеет удаленно взломать ваш пароль (например, от почты), он все равно не сможет им воспользоваться, не имея доступа к устройству. Это сильно усложняет задачу взлома. Самый популярный способ двухфакторной аутентификации — специальное приложение на телефоне, которое генерирует одноразовые пароли. Таким приложением может быть бесплатный Google Authenticator или тот же 1Password. Обычно при включении двухфакторной аутентификации вас попросят навести камеру на QR-код или вручную ввести последовательность символов. Приложение сохранит эту секретную последовательность и с ее помощью будет генерировать одноразовые коды. Не используйте СМС в качестве второго фактора. Перехват СМС — хорошо известный и популярный способ взлома, и именно с помощью СМС спецслужбы в соседней стране взламывали Telegram-аккаунты оппозиционных активистов.
Откажитесь от СМС и обычных звонков по телефону
Используйте вместо них защищенные мессенджеры с поддержкой сквозного шифрования: WhatsApp, Signal, Telegram. Их же можно использовать для совершения звонков. В противном случае есть вариант, что операторы смогут получить доступ к разговорам и переписке. Поэтому лучше все сообщения поддавать дополнительному шифрованию. Однако также осторожно нужно подходить и к выбору самого мессенджера - например, Павел Дуров считает, что пользоваться мессенджером WhatsApp небезопасно.
Научитесь проверять, что вас никто не прослушивает
Сделать это довольно просто. Собеседникам нужно сверить так называемые отпечатки ключей, которые используются в процессе шифрования. Только в этом случае вы можете быть уверены, что сообщения от вас получит именно тот, кому вы пишете. В WhatsApp собеседники могут отсканировать друг у друга QR-код с экранов телефонов или обменяться 60-значными номерами. Пользователям секретных чатов Telegram предлагает сравнить специальную картинку или последовательность 64 символов, а при звонке достаточно сверить голосом четыре эмодзи, которые каждый раз генерируются случайным образом и отображаются в правом верхнем углу экрана (а вы думали, они там просто так?).
Включите шифрование файловой системы
И на iPhone, и на телефонах с ОС Android шифрование данных обычно включено по умолчанию. Обычно этот пункт находится в настройках безопасности и так и называется — «Шифрование данных» или «Шифрование карты SD» — на карточке данные тоже должны быть зашифрованы. В противном случае вас не спасет даже сквозное шифрование переписки. Телефон может попасть в чужие руки вместе с архивом всех расшифрованных сообщений. На компьютере тоже важно включить шифрование данных. На Windows это называется Bitlocker, инструкцию по включению которого можно найти здесь. Она на русском языке. На Mac та же функция называется FileVault. Инструкция на русском есть на официальном сайте.
Отключите отображение сообщений на заблокированном экране
Это может спасти не только тайну ваших сообщений, но и неприкосновенность банковского счета. Вы можете потерять деньги, если у вас сначала выведают логин и пароль к интернет-банку, который использует в качестве второго фактора СМС с одноразовыми паролями. По той же причине важно установить ПИН-код на сим-карту. Иначе ваш телефон могут украсть, переставить сим-карту в свой и получить код подтверждения для интернет-банка. Также на айфоне имеет смысл запретить Siri зачитывать сообщения вслух.
Всегда устанавливайте все обновления
Это хорошая привычка. Обновления в первую очередь нужны, чтобы закрывать уязвимости — и только потом для улучшений сервиса. Правда, теоретически программы можно взломать как раз через установку обновления с вредоносным кодом. Иногда это происходит на практике, но это не то, о чем следует переживать.
Привыкайте обращать внимание на необычное поведение собеседников
Сообщение пришло рано утром, а ваш знакомый — «сова». Обычно вы переписываетесь в WhatsApp, а тут он решил завести себе Telegram. Вы никогда не обсуждали в почтовой переписке деловые вопросы, а тут вас просят скачать и посмотреть какой-то документ. Все это может быть признаками атаки. Будьте бдительны.
Что делать, если я параноик?
Забудьте обо всем, что мы писали выше, и как можно скорее избавьтесь от мобильного телефона. Телефон оставляет слишком много следов. Ваши перемещения можно отслеживать через мобильные базовые станции, точки Wi-Fi или Bluetooth-маяки. В некоторых современных телефонах нельзя полностью отключить беспроводные модули связи. В вашем телефоне может оказаться бэкдор, то есть возможность получить к нему удаленный доступ. Тогда под угрозой окажутся переписка и поисковые запросы, а встроенный микрофон и видеокамеры рискуют превратиться в подслушивающее и подсматривающие устройства. Иногда вредоносные программы находят даже в только что купленных телефонах, на которые пользователи еще ничего не успели установить. Единственный достойный компромисс — телефон с опенсорсным железом, возможностью механического отключения беспроводных модулей связи, микрофона, камеры и установки произвольной свободной операционной системы. Под это описание подпадает пока только Librem 5, да и он пока еще не продается.
Вы готовы рискнуть?
- Подготовьте свой Android. Установите на свой телефон альтернативную прошивку, заточенную на приватность и безопасность. Например, LineageOS или Replicant. Пользуйтесь свободными «магазинами» приложений вроде F-Droid. По возможности избегайте сервисов Google. Купите пару токенов для двухфакторной аутентификации.
- Купите пару токенов для двухфакторной аутентификации. Основной и запасной на случай потери первого, чтобы не остаться без доступа к своим аккаунтам. Возьмите, к примеру, токены производства Yubico или SoloKeys. Они выглядят как небольшие брелоки и могут подключаться к телефону по USB или NFC. Tокены, которые поддерживают протокол FIDO U2F, надежнее приложений-аутентификаторов. Они гарантированно защищают пользователя от фишинговых атак. К сожалению, еще не все сервисы поддерживают U2F-аутентификацию, так что полностью без TOTP-аутентификатора пока не обойтись. В качестве приятного бонуса ваши токены могут поддерживать стандарт FIDO2 — ваш пропуск в беспарольное будущее.
- Заведите себе OpenPGP-ключ. Он пригодится для шифрования электронной почты и переписки в XMPP-мессенджере, работы со специальным менеджером паролей, защиты бэкапов вашего TOTP-аутентификатора и других приложений. Если ваш телефон взломают, злоумышленник не сможет расшифровать эти данные. В идеале тут тоже использовать специальный токен. Даже если у вас его украдут, у похитителя будет лишь несколько попыток угадать пин-коды — после этого устройство будет заблокировано. Только не забудьте сохранить файл с копией ключа, иначе у вас не получится ничего расшифровать в случае потери или кражи токена. Для пущей надежности эксперты советуют воспользоваться схемой с разделением основного ключа и подключей. В токене будут храниться только подключи. Основной ключ можно записать на диск или флешку или распечатать секретную часть ключа и спрятать в надежном месте.
- Остались без интернета? Обменивайтесь шифрованными СМС. Silence заменит вам стандартное приложение для обмена SMS- и MMS-сообщениями. А СМС можно передавать даже в том случае, если отключен мобильный интернет и осталась только голосовая связь. Silence будет работать в обычном режиме, пока вы не обменяетесь ключами для шифрования с собеседником. Сервис работает только на Android.
- Научите ваших собеседников всему, что вы прочитали. В противном случае существенная часть ваших мер предосторожности может оказаться бесполезной. Вы вынуждены будете продолжить переписываться СМС-сообщениями, или ваш приятель однажды потеряет незапароленный телефон со всем архивом электронных писем.
