Privacy - насколько вы можете контролировать какими данными вы делитесь (защиты личности пользователя). В целом есть ощущение, что мир всё менее приватен, так как даже по Вашим запросам в Google можно достаточно точно описать, кто Вы как личность.
На чём корпорации вертели вашу приватность
Security - насколько вы можете не бояться за сохранность ваших данных (защита данных). А вот безопасность растёт и возможна. Хранить секреты текущие технологии умеют достаточно хорошо.
Open
Если рассматривать односторонние пароли, то самое важное понятие, которым надо руководствоваться — сколько злоумышленнику потребуется времени, чтобы его перебрать. Математическое понятие — энтропия. Фактически, логарифм количества вариантов. На этот счёт есть хороший комикс (энтропия в нем приведена для примера):
Здесь можно проверить свой крутой пароль, не засветился ли он в слитых базах. А тут можно посмотреть сколько сервисов было взломано, где фигурировал ваш email, и, соответственно, выяснить, не скомпрометирован ли ваш пароль.
Энтропия пароля - сложность пароля, измеряемая в битах. С точки зрения взлома методом полного перебора (брутфорс (brute-force) или метод грубой силы) устойчивость пароля к хакерским атакам сильно зависит как от его длины, так и от используемого набора знаков.
H(пароль) = L*(lnN/ln2)
где:
- L – длина символов в пароле - можно посмотреть длину (Length) здесь;
- N – количество используемых символов - можно посмотреть количество вариаций символов (Charset Size);
- ln – натуральный логарифм, т.е. логарифм по основанию е = 2,71828
В частности, энтропия самого легкого для взлома пароля 123456 находится следующим образом:
H(123456) = 6*(ln10/ln2) = 19,9 Таким образом, хакеру нужно 2^19,9 = 524288 вариантов перебрать все пароли с заданными параметрами ~ 0.05 секунды, - пароль слишком легкий.
!!! Стремитесь как минимум к 70 битам !!!
Подсчет энтропии онлайн.
Почти любой может перебрать пароли с энтропией 25-30. Это всего какие-то жалкие миллиарды операций. Уже намного сложнее с энтропией 50-60, для этого потребуется много мощностей. Представим, что злоумышленник может перебирать 100 миллиардов в секунду — это где-то 30-50 мощных комп станций или 10-20 приличных серверов. Пароли из больших и маленьких букв + цифр, алфавит 62 символа:
- 6 символов - энтропия 35, 0.5 секунд
- 8 символов - энтропия 47, 37 минут;
- 9 символов - энтропия 53, 1.5 дня;
- 10 символов - энтропия 59, 3.25 месяцев;
- 11 символов - энтропия 65, 17 лет;
- 12 символов - энтропия 71, 10.5 столетий;
Дальше экспоненциально, понятное дело. Де факто даже энтропию 40-50 уже сложно перебирать, особенно в онлайне, но оно находится на грани текущих возможностей, желаний и эффективности. Если не рассматривать квантовые компьютеры (с их суперпозицией), перебор пароля с энтропией 60-70 занимает огромное количество ресурсов и практически невозможен, если не задействует десятки миллионы долларов вычислений.
Есть VPN, Tor, первый пытается использовать proxy, чтобы Ваш IP адрес невозможно было отследить, но Вы должны сильно доверять VPN провайдеру. Tor создаёт отдельную сеть, где через каждого участника можно "прыгать" и тем самым путать свои пути к точке выхода. Оба увеличивают Вашу анонимность, но даже они уязвимы к атакам sniff: когда отслеживают выход и вход и пытаются провести корреляцию. Такие атаки вполне успешны и с ними фундаментально ничего не поделать.
Основная суть двухфакторной аутентификации — спросить другой ресурс, а точно ли это Вы. Самый простой пример: "Вы говорите маме, что гуляете с друзьями, она просит дать телефон другу, чтобы подтвердить, что это так".
Используйте 2Auth только с Auth apps, которые перегенерируют коды раз в несколько секунд и достаточно сложны для взламывания. SMS и телефоны менее безопасны и вполне могут подделываться.
YubiKey предотвращает вход на определенные сети (по факту, любые действия, даже заход по ssh или чтение файла можно настроить) без подтверждения, что Вы дотронулись до нужного ключа. Протокол открыт и всем понятен, подделать реальное нажатие на ключ крайне сложно. Например, количество фишинговых атак на Google после перевода всех сотрудников на YubiKey снизилось до нуля.
-
Для хранения паролей можно использовать password manager: KeePassXC, LastPass, 1Password. Можно к ним подсоединяться и с телефона, для этого всего лишь базу данных сохранить в облаке и скачать в телефон -> импортировать в приложение.
Я использую KeePassXC:
- Переходим по ссылке
- Скачиваем на мак с помощью
brew install --cask keepassxcи устанавливаем без каких-либо изменений - Создаем базу данных и вписываем пароли
- Сохраняем полученную базу данных -> сохранить как
*.kdbx - Отправляем себе на почту или в облако
- Скачиваем на любом другом устройстве (в том числе на телефоне) и импортируем нашу базу данных
- ✅ Пользуемся
- Норм бесплатный VPN - nordVPN.
- !!! Старайтесь не подключаться к публичным точкам WiFi, они сделаны так, что запоминание идёт по именам точек и их легко подделать. Приватные WiFi точки достаточно безопасны.
- KeePassXC для хранения паролей
- UBlock Origin (антифишинг) - расширение для Chrome для блокирования рекламы и блокирования входа на сайты c плохой репутацией.
- Yubikey для предотвращения фишинговых атак на себя
- Протокол для wi-fi, который безопасный - VPA2
- Двух-факторная аутентификация только вместе с Authentificator App, никаких SMS
Если Вы хотите ультимативный гайд, то можете прочитать эту заметку для журналистов в США, которые ездят в ближний восток для репортажей. Если кратко: всё выше перечисленное + Chromebook + Signal вместо WhatsApp + Windows Defender и никаких антивирусов + только IPhone и закленные веб камеры.
Open
❗ Сеть wi-fi можно сравнить с Ethernet-HUB, где сигнал передается сразу на все порты. Чтобы этого избежать, в идеале каждая пара устройств должна общаться на своем частотном канале, в который не должен встревать никто другой.
❗❗❗ Не пользуйтесь публичным Wi-Fi — это зло. Дома станция шифрует данные, публичная нет. Хакер может перенаправить ваши пакеты данных на настоящий сайт, но при этом перехватывать трафик или изменять его (например, внедряя вредоносный код для клавиатурного шпионажа).
Пункты для повышения безопасности:
- Самое главное это скачать новейшую прошивку (последнюю версию программы на устройстве). Если пренебрегать обновлениями, преступники смогут заходить в вашу локальную сеть, как к себе домой, даже если вы защитите ее самыми надежными паролями. Узнать, как обновить ПО вашего устройства, можно на сайте производителя.
- Измените логин и пароль администратора (входа в настройки самого роутера).
- Отключите удаленное администрирование.
- Создайте "белый список" (отказ всем, кроме избранных).
- Измените Имя сети (SSID) — зная модель, её легче взломать.
- ❗ Скройте SSID (Service Set Identifier), который позволяет устройствам находить точку доступа, скрытие сети - не будет отображаться в списке для общего доступа. Вам придется прописывать имя wi-fi вручную при подключении нового устройства.
- Проверьте, чтобы в настройках маршрутизатора было включено шифрование WPA2/ WPA3, оно защитит ваши данные от перехвата (не используйте сеть с WEP).
- Создайте гостевую подсеть (для всех IоT-умных устройств и гостей). По сути, это отдельная точка доступа на вашем роутере, из которой можно получить доступ к Интернету, но невозможно попасть в вашу домашнюю сеть.
Даже если кто-то взломает какое-то из IoT-устройств, он не сможет проникнуть в вашу основную сеть и скомпрометировать компьютеры и смартфоны в ней. Да, «умная» стиральная машина, подключенная к гостевой сети, все равно станет частью ботнета и будет участвовать в DDoS-атаках или майнить криптовалюту (к этому в целом надо быть готовым, когда покупаешь «умные» вещи). Но зато компьютер со всеми банковскими данными и прочей чувствительной информацией будет в безопасности. Многие эксперты при упоминании «умных» устройств говорят не просто о вероятности атаки на IoT-устройства, а о том, что их ну просто наверняка атакуют.
- Проверьте, снята ли галочка «Разрешить гостям доступ к ресурсам локальной сети» или ей подобные. Такой галочки в настройках может и не быть, но если она есть, то ее лучше снять — тогда гости не смогут увидеть ваши файлы и другую информацию, сохраненную на компьютерах. А в этом, собственно, и смысл гостевой сети. Иногда в настройках может быть другая галка — «Изолировать». У нее ровно обратный смысл — она изолирует гостевую сеть от вашей локальной, и, соответственно, ее нужно поставить.
- Снимите галочку «Разрешить доступ к настройкам» или аналогичную, если она есть. Когда такая галочка поставлена, это означает, что пользователи из гостевой сети могут получить доступ к настройкам роутера и перенастроить там что-то, в том числе свои же права доступа.
Злоумышленникам давно доступны специальные средства для взлома сетей, основывающихся на стандарте шифрования WEP (см риск 4). Эти инструменты широко освещены в Интернет и не требуют особых навыков для применения. Они используют уязвимости алгоритма WEP, пассивно собирая статистику трафика в беспроводной сети до тех пор, пока собранных данных не окажется достаточно для восстановления ключа шифрования. С использованием последнего поколения средств взлома WEP, использующих специальные методы инъекции трафика, срок «до тех пор» колеблется от 15 мин до 15 сек. Аналогично, есть уязвимости разной степени опасности и сложности, позволяющие ломать TKIP и даже WPA2. Единственным «непробиваемым» методом пока что остается использование WPA2-Enterprise (802.1x) с хотя бы серверными сертификатами.
Open
Стивен Леви описал этику хакера: этичекий императив хакера заявляет о том, что каждый уважающий себя хакер должен улучшить мир при помощи своих скиллов и новых технологий.
В MIT зародилось мемное слово to whack (рубить/разбираться в чем-то) именно оно стало базо для новой культы: белые и темные хакеры.
Как попробовать себя в роли хакера? Для этого воспользуемся Seeker Kali (пошаговый ютуб ролик, также medium ресурс Get Anyone’s Location Using Seeker), который позволяет создавать ссылки-ловушки и перенаправлять их на обычный сайты (телега, гугл диск и тп) при этом воруя информацию о вас.
Эдвард Сноуден - в начале июня 2013 года Сноуден передал газетам The Guardian и The Washington Post секретную информацию АНБ, касающуюся тотальной слежки американскими спецслужбами за информационными коммуникациями между гражданами многих государств по всему миру. Раскрыл факт всеобъемлющего слежения в 60 странах за более чем миллиардом человек правительствами 35 стран
Я готов пожертвовать всем этим, потому что не могу со спокойной совестью
позволить правительству США нарушать приватность, свободу Интернета и основные свободы людей во всём мире
с помощью этой громадной системы слежки, которую они втайне разрабатывают.
У любых стен в США есть уши.
Объявлен американскими властями в международный розыск и в США ему грозит до 30 лет тюрьмы. Сноуден направил запросы на предоставление убежище во многие страны, но положительно ответила только страна Эквадор. При транзите через Москву, Эдварда не пропустили, потому что его паспорт аннулирован. По словам В. Путина в июле 2013, американцы знали, что делали, когда аннулировали удостоверение личности Сноудена: «Как только он, находясь в воздухе, заявил о том, что летит транзитом, это стало всем известно, и американская сторона, по сути, заблокировала его дальнейший перелёт». Сейчас имеет бессрочный вид на жительство в РФ.
Кевин Митник - "самое слабое звено в системе безопасности не технологии, а человек". Его книга "Искусство обмана" - в ней он подробно описал насколько уязвимы системы безопасности крупнейших компаний, несмотря на их степень защиты.