Основы менеджмента для сына, часть пятая: безопасность и приватность

Поговорим о том, на что большинство плюёт, не обращает внимания, насчёт чего не хочет заморачиваться и что игнорирует, — о безопасности и приватности.

Статистика примерно такая: 50% об этом не слышало, 40% слышало, но это к ним не относится, 5% интересуется, 4% что-то предпринимает для своей безопасности, 1% — Джулиан Пол Ассанж и его кореша.

Содержание:

Безопасность и приватность

Первое, что нужно понять, — зачем и какие усилия стоит прилагать. Очевидно, что законопослушному гражданину, который платит налоги, и торговцу наркотиками нужен совершенно разный уровень приватности и анонимности.

Гражданину вообще анонимность не нужна. На этой мажорной ноте гражданин расслабляет булки, становится спокоен и радостен и больше не заботится ни о своей безопасности, ни о приватности. А зря.

О чём мы вообще? Давайте разберёмся с терминами:

  • Анонимность — никто не знает кто ты, нет связи с физическим лицом.
  • Приватность — мы знаем, что это Олег, но не можем почитать его почту и подзамочные записи в соцсетях, пока он нам не разрешит.
  • Безопасность в интернете — злоумышленникам или спецслужбам очень трудно, дорого или невозможно получить доступ к вашей приватной информации.

Что может случиться с честным, законопослушным гражданином, если не заботиться о безопасности и приватности?

  1. Его обокрадут.
  2. Он потеряет аккаунты.
  3. Слив чувствительной информации. Травля, потеря репутации. Знаю женщину, которая теперь судится за детей, «доброжелатели» решили «помочь».
  4. Вирусы и блокировщики. В том числе и распространение запрещённых файлов.
  5. Станет частью ботнета.
  6. Устройство начнёт майнить криптовалюту.
  7. В РФ можно получить уголовное дело за неосторожные слова или перепосты.

Да ещё массу всего неприятного можно получить. Если вы не заботитесь о своей безопасности и приватности, не мелочитесь, поставьте везде пароль 123456, дверь в квартиру не закрывайте, раздавайте друзьям интимные фото и видео, а деньги лучше всего носить в заднем кармане брюк, чтобы торчали.

Хорошо, угрозы неприятные, хотим безопасности, что же делать? Вот тут очень важно выбрать, от чего и как защищаемся. Ведь можно же сделать абсолютно анонимную систему?

Конечно, можно, я даже экспериментировал, ставил себе Whonix, всё приватно до ужаса и... очень неудобно, медленно, половина привычных вещей не работает (выбрать себе защищённую систему можно на DistroWatch).

Если вы занимаетесь поставками оружия повстанцам, будете это терпеть, в ином случае, конечно, нет. Ещё одна мысль: если ко мне придут бандиты и вставят в одно местечко паяльник, я сам расскажу все свои пароли, 100%.

Поэтому каждый должен определить нужный ему уровень безопасности. Мой такой:

  1. Мне нужна защита в сети, мои почты и другие аккаунты не должны взламываться.
  2. Мне не нужны вирусы и майнеры, не хочу быть частью ботнета.
  3. Если я словлю шифровальщик, хочу, чтобы важные документы не пострадали (и фотографии!).
  4. Российские силовые структуры не должны иметь доступа к моим приватным сведениям. Наверное, этот пункт требует пояснения: уголовные дела заводят за слова, мнения и по совсем странным поводам, мне этого не надо. Кроме того, доступ силовых структур к приватной информации стал слишком лёгким, какому криминалу и что сольёт недобросовестный сотрудник, неизвестно.
  5. Я не должен тратить на это время, мне должно быть удобно, в идеале — не должен этого замечать.

Попробуем получить такой результат.

Выбор сервисов

Не пользуемся российскими сервисами: пятый пункт нашего списка. Потому, что законодательство обязывает сервисы хранить информацию в РФ, выдавать информацию, вести запись разговоров и переписок за три года. Потому, что «ВКонтакте» выдаёт всё и вся «товарищу майору» (есть ощущение, что он там просто сразу всё видит), а «Яндекс» делает вид, что не выдаёт, но тоже выдаёт. В России стало плохо с законодательством о приватности. И постоянно всё становится хуже.

Облачные хранилища

Это вещь! Очень хорошо вписывается в концепцию того, что рабочее место должно быть в онлайне, а не на компьютере. Неплохо защищает от шифровальщиков.

Облачные хранилища сейчас шифруются, и даже их создатели не могут посмотреть, что там лежит. У некоторых есть специальная область, которая не обновляется при синхронизации вроде сейфа, положил туда что-нибудь важное, и оно неприкосновенно.

Большинство дают некоторое количество места бесплатно: Google Drive — 15 ГБ, Mega — 50 ГБ, Sync — 6 ГБ (список облачных хранилищ разной степени надёжности).

На что обращать внимание при выборе:

  • Есть ли двухфакторная аутентификация.
  • Шифруются ли данные в хранилище.
  • В какой юрисдикции компания.
  • Большой ли сервис? Маленькие частенько закрываются.

Хранилище паролей

У многих просто конкретная проблема с паролями, они используют «девичью фамилию мамы + кличку кота + год рождения» в разных комбинациях, через год пароль забывают, так как на самом деле нужно было «имя папиного друга + фамилию первой девушки + номер машины».

Это всё полная чушь! Хороший пароль выглядит так: U3tq1x3&&NC^fn5C5TK99U

Вы его не должны помнить. Хотя можно и попробовать выучить, это, наверное, разовьёт отделы мозга, которые люди не используют.

В каждом сервисе пароль должен быть уникальным.

Теперь вопрос: у меня больше 2000 логинов и паролей, как же мне их запомнить? Тут нам и поможет продвинутая система тренировки памяти Фёдорова-Гройсмана! Шучу. Помогут нам системы хранения паролей.

Как это работает? Регистрируемся, придумываем один по-настоящему сложный пароль (мастер-пароль), ставим плагин для браузера и сервис генерирует, запоминает и заполняет пароли за нас.

На мой взгляд, есть два сервиса достойных внимания: LastPass и Bitwarden. Они очень похожи по функциям, но Bitwarden — открытое ПО, работает побыстрее и интерфейс попроще.

Некоторые предпочитают локальные хранилища паролей, хозяин-барин, но мне нравится всё онлайновое и таскать за собой базу паролей не хочется.

Будьте внимательны, если вы забудете мастер-пароль, то потеряете все пароли сразу! (Системы хранения паролей.)

Двухфакторная аутентификация

Что это и как работает? Вы скачиваете приложение, которое генерирует одноразовые коды для сайта с привязкой ко времени; каждый код действует 30 секунд. При входе на сайт спрашивает не только логин и пароль, но ещё и одноразовый код.

Зачем это нужно? Украли у вас логин или пароль, а войти не могут, кода нет. Система достаточно надёжная и безопасности добавляет ощутимо.

Лучшее приложение для генерации кодов — Authy.

Где использовать двухфакторную аутентификацию (2FA)? Да везде, где предлагают, код ввести не сложно, а поддерживают её, обычно, сайты, которые хранят личные данные или деньги. (Cписок сайтов, где можно настроить 2FA.)

Антивирусы

Практически все популярные современные антивирусы весьма эффективны. Отличнейший ресурс с обзорами, бесплатными раздачами программ, помощью при заражении и прочими плюшками — COMSS.

На что смотреть при выборе антивируса? Лично я смотрел, есть или нет защищённая папка, это от шифровальщиков. Указываешь папку на компьютере, и антивирус не даёт туда писать сторонним программам. На момент выбора такое было у двух антивирусов: Bitdefender и TrendMicro , один из них я и выбрал.

Отдельные мысли по поводу безопасности и приватности

SMS — всегда дырка в безопасности, номер переоформляют, SMS приходят не туда. Если есть возможность, отвяжите телефон в сервисе.

Телефон легко потерять, лучше не держать там критичной информации, настроить удалённый поиск и управление, блокировать экран. На заставке оставить контактные данные и просьбу вернуть за вознаграждение.

Практические задания

  1. Подобрать себе облачное хранилище и настроить синхронизацию. Может даже не одно.
  2. Настроить в Gmail двухфакторную авторизацию и отвязать телефон.
  3. Установить и настроить хранилище для паролей.
  4. Поделиться с помощью хранилища для паролей логином или паролем с другом.
  5. Установить и настроить антивирус. Защитить папку с документами от шифровальщиков.

Предыдущие материалы:

Следующая, шестая часть: этика и этикет

4545
115 комментариев

"Облачные хранилища сейчас шифруются и даже их создатели не могут посмотреть, что там лежит" - ахахахах

"Помогут нам системы хранения паролей" - автор тут пишет как он боится что "товарищ сержант" его данные полученные от яндекса сольет на черный рынок, при этом предлагает совершенно левым сервисам доверить пароли от ключевых аккаунтов. Гениальный совет!

Автор, читал другие статьи вашего цикла - есть полезные мысли, но тут явно пишете о вещах в которых не понимаете даже на любительском уровне.

25

https://habr.com/ru/post/434314/

Вот директор по IT безопасности пишет про облачные сервисы паролей. На Хабре. И ничего, народ вполне нормально относится. А вот персонажа с мнением про: «мне они кажутся очагом уязвимости» минусуют. Почему?

И да, где примеры, как пароли утекали из облаков?

Ну и заодно примеры утечек из шифрованных хранилищ?

Если примеров нет — заканчиваем дискуссию.

3

А KeePass + бэкапы зашифрованной базы на Google Drive безопасно? 🤔

1

1 Нет принципиальной разницы, каким сервисом пользоваться. Все что нужно прочитать на вашем ПК, смартфоне и тп будет прочитано. Не хотите чтобы вас прочитали - не пользуйтесь ПК, смарфоном и т.п.

2 Облачные хранилища нужны для хранения данных, они условно приватны, а их содержимое почти всегда используются в big data исследованиях владельцев;) Так что см. п.1

3 Все равно какой сложности вы используете пароль, если система аутентификации использует его без шифрования или с шифрованием ключом недостаточной длины, или вы ходите на сайты, не имеющие надежных, нескомпрометированных сертификатов или и тд и тп... В общем, см. п.1

4 Двухфакторная аутентификация на каждый чих? Круто, чо. Особенно в мире, где все сервисы привязаны к профилю твоей любимой соц.сети, а при входе с нетипичного ip будет ор на все указанные контакты, а вошедшего задолбают подтверждением номера телефона и электропочты. См.п.1

5 Антивирус. Штука прикольная, экономит нервы опам при обслуживании офисного парка, детям при обслуживании родительских устройств. Антивирусы работают в основном с базами сигнатур, эвристика также заточена на отстрел известных вирусов. Поэтому только православный бекап. И поэтому см. п. 1.

Если ударится в паранойю, то симки тоже подделывают, а раз уж на то пошло, то  интеллектуальную собственность нужно конспектировать тайнописью, а материальную - переводить в золото и хранить под обшивкой гостиного гарнитура.

12

2. Sync.com ничего не знает из-за отсутствия у них ключа 

Используя сервисы, типа gmail.com нужно быть готовым к тому, что ваш аккаунт может быть в любой момент заблокирован роботом Гугла без объяснения причин. Замучаетесь потом писать ему просьбы разблокировать. Если же у вас на эту почту завязаны другие сервисы и авторизация, то вы автоматически и к ним потеряете доступ. Поэтому лучше использовать свой домен для почты (200 рублей в год).

7

Да, может, как и любой другой сервис.