Нестыдные вопросы о безопасности в интернете

Сколько стоят личные данные, можно ли «замести» цифровой след и нужно ли заклеивать камеру на ноутбуке

Материал подготовлен при поддержке Гёте-Института в Москве

Практически каждый месяц хакеры сливают в сеть информацию о пользователях интернета — за последние пару лет в даркнете появлялись базы данных держателей банковских карт, автовладельцев и стримеров. Эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов рассказывает, как следить за сохранностью своей личной информации.

Один из наиболее популярных вопросов к безопасникам: заклеивают ли они свои камеры? У шпионского ПО и правда есть техническая возможность получать запись с камеры, слушать микрофон. Но это скорее частные, но не массовые случаи.

Бороться со слежкой через заклеивание веб-камеры не самый мудрый способ. К тому же, на мобильном устройстве это сделать сложнее, ведь у него есть две камеры — спереди и сзади. Действенный способ — следить, каким приложениям вы даёте доступы на камеру и микрофон. Если условный «Фонарик» просит у вас доступ к микрофону — это повод насторожиться. Однако эти советы не помогут защититься от шпионских троянцев. Против них хорошо работает защитное ПО, которое подмечает несанкционированные попытки доступа и либо сразу их блокирует, либо уведомляет об этом пользователя.

Классическое «инкогнито» в браузерах можно назвать защитой приватности с большой натяжкой. В режиме инкогнито браузер не сохраняет историю посещения веб-сайтов, cookie, историю загрузок и данные авторизации. Фактически это защита от получивших физический доступ к вашему устройству шпионов, но не от вредоносного ПО, которое следит за открытыми окнами и приложениями.

Похожий вопрос: стоит ли использовать сохранение паролей в браузере? Это допустимо, но не полностью безопасно. Лучше использовать решения для хранения паролей, для входа в которые используется мастер-пароль. Например, если речь идет о macOS и iOS, сохранять их в Keychain с доступом по паролю, отпечатку пальца или Face ID. Или использовать другие менеджеры — их на рынке много.

Менеджер паролей теоретически тоже можно скомпрометировать (взломщик получает доступ к учётной записи), но это намного менее вероятно, чем ошибка самого пользователя. Менеджер паролей — это устойчивая криптосистема: пароли хранятся там в зашифрованном виде, их нельзя расшифровать без мастер-пароля.

Цифровой след — набор определённых действий или данных пользователя в интернете. В онлайн-сервисах и соцсетях вы можете обратиться в службу поддержки и запросить полный список данных о себе, также можете попросить эти данные удалить. Даже не оглядываясь на юридические детали, многие сервисы эту функциональность поддерживают, заботясь о своём имидже.

Всегда ли это эффективно? Не всегда.

Право на забвение в интернете действует немного иначе. Ведь существуют сервисы кеширования, которые сохраняют все интернет-страницы, «серые сайты» или мёртвые ресурсы, с которых действительно ничего не удалишь.

Многие пользователи считают, что VPN обеспечивают анонимность, но это не всегда так. Есть случаи, когда данные пользователей VPN-сервисов оказывались в открытом доступе. Лучше ориентироваться на репутацию сервиса и его создателей.

Любые технические средства по достижению анонимности могут содержать недочёты и уязвимости, а следовательно, у третьих лиц есть возможность получить доступ к вашим данным. Но, как правило, крупные сервисы внимательней следят за безопасностью своих приложений.

Смотря где. Очевидно, что не везде можно указать псевдоним. Например, на некоторых концертах могут попросить предъявить документы на входе. А уж купить билет на самолет на ненастоящее имя просто невозможно.

Защита от злоумышленников с помощью фейковой фамилии относительна. Если при этом везде использовать один и тот же электронный адрес, сопоставить псевдоним с настоящей фамилией будет нетрудно. Использовать дополнительную почту или отдельный номер телефона для регистрации в сомнительных сервисах — более оправдано с точки зрения персональной безопасности.

Есть мнение, что пользователи как личности никому не интересны: им нечего скрывать, а значит, злоумышленники не будут их данные воровать. Это миф. Рынок покупки-продажи персональных данных огромный — по некоторым данным, только за 2020 год в сеть утекли 100 млн единиц персональных данных россиян. Среди них, например, были сведения клиентов каршеринга — при регистрации сервис просит сделать селфи с паспортом или водительскими правами.

В начале 2021 года данные паспорта и номера телефона продавались на чёрном рынке примерно за 100 рублей, а полный комплект документов, включая ИНН, СНИЛС, скан паспортов и удостоверений стоил около 300 рублей.

Геолокация — одно, а разрешение доступа — другое: есть риск предоставить доступ к ценным данным приложению, которое не будет гарантировать их сохранность или будет делиться ими с третьими лицами. А есть вероятность и вовсе столкнуться со зловредными программами. Как правило, злоумышленники создают приложение с простыми функциями, которое при установке будет просить доступ к контактам, геолокации, микрофону и камере. Не самый внимательный пользователь может случайно дать разрешение.

Производители приложений и мобильных операционных систем эту проблему понимают: в каждой новой версии iOS пользователям всё проще настраивать передачу персональных данных в каждом приложении. А вот запрещать всем приложениям использовать геолокацию — сомнительно, ведь без неё, например, нельзя будет найти потерянный смартфон.

Имея пароли к страницам чужих соцсетей, можно получить доступ и к другим приложениям и сервисам, где пользователь авторизовался через соцсеть. И таким образом вести скрытую слежку или получить доступ к личной информации.

Способов использования, монетизации и паразитирования на персональных данных много. При получении доступа к чужой странице в социальной сети можно попробовать обмануть друзей пользователя, украсть данные переписки, фотографии, документы. Возможен шантаж, вымогание денег или просто слив данных в открытый доступ.

Важно рационально подходить к вопросам безопасности аккаунтов: следить за паролями — они должны быть длиннее 12 символов, с заглавными и строчными буквами, спецсимволами и цифрами. А ещё — использовать двухфакторную авторизацию и рассчитывать на собственную сознательность — не переходить по ссылкам с сомнительным URL и не передавать, например, данные карт через незащищённое соединение.

Если информация оказалась слита в сеть третьими лицами, её практически невозможно удалить. К примеру, если скан паспорта попал в даркнет, изъять его оттуда не получится. Поэтому не следует облегчать злоумышленникам жизнь и выкладывать свои данные и личные фотографии в общедоступные файлообменники. При передаче документов стоит хотя бы минимально их обезопасить. Например, отправить в запароленном архиве.

Предложить свои решения проблемы безопасности в сети и цифрового баланса можно на хакатоне Datatanz. Он пройдёт с 4 по 6 ноября в онлайн-формате.

Хакатон проводит Гёте-Институт в Москве и «Теплица социальных технологий».

В программе два трека. Первый — для проектов по контролю и защите личных данных. Второй посвящён цифровизации будущего: от участников ждут арт-презентации, AR- и VR-проекты.

Две команды-призёра и команда-победитель получат по 110 тысяч рублей для реализации своего проекта. Принять участие могут люди от 17 до 35 лет — хакатон рассчитан не только на дизайнеров и программистов, но и на дата-аналитиков, диджитал-художников или журналистов.

Для участия нужно подать заявку на сайте хакатона. Можно зарегистрироваться командой до 5 человек или соло — организаторы подберут вам тиммейтов. Менторы и наставники из разных профессиональных областей будут консультировать команды при выполнении конкурсного задания.