Значення безпеки в інтернеті у сьогоднішньому суспільстві різко зростає й майже прирівнюється до фізичної. Чи не кожен з нас володіє цифровим пристроєм з якого щоденно виходимо в мережу Інтернет, користуємося різними онлайн-сервісами, соцмережами, месенджерами, додатками. Як захистити свій цифровий слід в інтернеті? Як залишити недоторканими свої персональні дані і метадані? Ми проаналізувати різні способи обходу антифрод систем та підготували експертні поради з інформаційної та операційної безпеки, які стануть в пригоді не лише любителям кібебербезпеки, а й кожному користувачу.
У 2020 році 80% усіх зламів та кібератак ставалися через слабкі паролі, типу: admin, qwerty, ivan1989 або 12345670.
За статистикою, пароль з 4-х цифр з допомогою спеціалізованого програмного забезпечення (брутфорсера) підбирається всього за кілька секунд.
Генеруючи пароль, не використовуйте особисту чи загальнодоступну інформацію, яку можна підібрати:
Надійними вважаються паролі:
Пам’ятайте: чим вища ентропія (заплутаність) вашого пароля – тим більша його надійність.
Якщо ж вам складно створити складний пароль самотужки, скористайтесь онлайн-генераторами паролів:
Ще кілька важливих порад як убезпечитися від зламу паролів:
Не даремно кажуть: “Хто володіє інформацією – той володіє світом”.
Сьогодні у вік цифрових технологій за інформацією полюють усі:
Такі транскорпорації як Google, Microsoft, Meta вже давно застосовують потужні системи штучного інтелекту, різноманітні ADINT, Threat Intelligence та Anti Fraud платформи, які можуть визначити навіть місцезнаходження користувача з точністю до метра, вибудувати нейромережу з ваших звичок та знайомств, створити голосовий зліпок, спрогнозувати майбутні дії та багато-багато іншого.
Хтось колись сказав: “Гугл про вас знає більше, ніж ви самі”. І це справді так!
Але все це стає можливим завдяки даним, які ви добровільно надаєте у незашифрованому вигляді.
1. Зашифрувати коротке текстове повідомлення можна з допомогою онлайн-сервісів шифраторів:
Абонент, отримавши такий зашифрований текст, зможе там же і розшифрувати його, наприклад:
2. Для миттєвого обміну онлайн-повідомленнями (аудіо, відео, текст) користуйтеся безпечними месенджерами з підтримкою наскрізного End-to-End шифрування (E2EE):
👉 Про них читайте в нашому спецпроєкті “У пошуках безпечного месенджера”.
3. Якщо пересилаєте або звантажуєте конфіденційні файли і документи, використовуйте інструменти для створення/перевірки hash-сум:
Ці інструменти дають переконатися, що файли які надійшли вам – не були перехоплені, змінені або підроблені. Достатньо звірити контрольну хеш-суму з оригінальною:
4. Cервіси, які допоможуть зашифрувати файли:
5. Для любителів листуватися електронною поштою – застосовуйте шифрування PGP.
Поштовий сервіс Protonmail містить вбудовану підтримку PGP-ключів і є найбільш ефективним, якщо використовується з обох боків:
Для GMAIL та інших поштових сервісів/клієнтів, де відсутнє шифрування PGP, можна використати плагін Mailvelope.
6. До речі, електронні листи теж можуть містити трекери. Їх часто використовують, щоби дізнатись коли одержувач відкриває листа. Щоб заблокувати їх можна скористатись спеціальними розширеннями для браузера:
7. Альтернативою шифрувальникам текстових повідомлень можуть стати сервіси одноразових онлайн-записок, які самознищуються після прочитання, наприклад Privnote:
8. Подбайте також про шифрування даних на жорстких дисках.
У Windows-системах можна скористатися вбудованим шифрувальником файлової системи – BitLocker. Однак, рекомендуємо встановлювати VeraCrypt – це широковідомий і надійний додаток, який дозволяє створити окремий віртуальний диск для зберігання даних і налаштувати доступ по паролю. Усе що потраплятиме туди – буде шифруватись. Програма підтримує більше 10-ти технологій шифрування.
В ОС Linux можна використовувати LUKS або FDE-шифрування. Також існують додатки типу Cryptomator. В Android шифрування даних можна увімкнути в налаштуваннях системи.
9. І звісно ж, під час інтернет-серфінгу не забувайте використовувати VPN (Virtual Private Network) – він зашифрує ваш трафік та захистить від потенційного перехоплення.
👉 Огляд найнадійніших читайте у матеріалі Який VPN обрати?
Виробіть собі звичку завжди вмикати двоетапну (2FA Authorization) або мультифакторну авторизацію (MFA). Це суттєво застрахує вас, адже 90% хакерських атак є успішними саме завдяки відсутності 2FA.
Для того аби включити 2FA на смартфоні необхідно встановити спеціальний додаток – Google Authentificator.
Однак, можна скористатися й програмою для операційних систем, наприклад менеджер паролів KeePassXC. Він дозволяє генерувати одноразові TOTP-коди двофакторної авторизації і інтегрується у популярні браузери:
Ще одним способом захистити свої акаунти додатковою авторизацією є фізичний ключ доступу YubiKey – це апаратний пристрій автентифікації, який працює через USB і гарантує, що ніхто без вашого ключа не отримає доступу до вашого облікового запису, комп’ютера, мережі.
⚡Анонімність – це таємниця персональних даних. Тобто інкогніто, безіменність. Коли ваша особа і ваші дані невідомі нікому крім вас.
⚡Приватність – це обмеження доступу. Лише обмежене коло осіб має доступ до ваших даних. Здійснюється налаштуваннями приватності.
Підказка: Головне правило, якого слід дотримуватись – це дбати про інформаційну гігієну завжди, відділяти приватне/особисте від віртуального. Щоб ці дві “особистості” ніколи не пересікалися між собою.
1. Створити цифрового двійника можна з допомогою генераторів випадкової особистості (random user generator):
2. Використовуйте різні юзернейми у соцмережах (юзернейм – це нік, за яким формується URL-адреса сторінки). Однаковий нік для всіх акаунтів – погана ідея.
Ось сервіси які знайдуть всі сторінки в інтернеті з однаковим юзернеймом:
3. Використовуйте аватарки для своїх сторінок у соцмережах або робіть постобробку фото.
Ось хороші сервіси для анонімізації зображень:
4. Обмежуйте коло осіб, які мають доступ до ваших сторінок у соцмережах. Не долучайте у друзі всіх підряд.
Приховуйте сенситивну інформацію:
На замітку: Часто, щоб зламати акаунт професійному зловмиснику достатньо надіслати всього лиш один файл, або просто зателефонувати. Сучасні шпигунські системи володіють надзвичайно широкими можливостями та функціоналом і можуть перехоплювати інформацію з ваших пристроїх і навіть дистанційно ним керувати. Так були зламані користувачі месенджера WhatsApp шкідницьким програмним забезпеченням Pegasus.
5. Якщо ви продаєте чи купуєте щось в інтернеті й часто стикаєтесь із шахрайством – перевіряйте контрагентів/клієнтів/продавців.
Ось список онлайн-сервісів які допоможуть провести пробив особи за номером телефону чи електронною адресою:
6. Час-від-часу перевіряйте своїх номери телефонів і електронні адреси на публічний витік даних (Data Breach/Leak):
6. Додаткові поради:
👉 Корисні статті по соцмережам:
Перевіряйте будь-які файли чи посилання, які приходять вам в онлайн-повідомленнях або на електронну пошту від незнайомих осіб.
Ось декілька сценаріїв, як різні типи файлів можуть бути замасковані під шкідливе ПЗ:
1. Не встановлюйте додатки з невідомих джерел.
2. Не користуйтесь зламаними програмами чи іграми з допомогою креків (crack) та кейгенів (keygen).
3. Не завантажуйте піратський софт з Даркнету, Телеграму чи Торентів.
Основний ризик полягає у тому, що разом з неліцензійним програмним забезпеченням можна підхопити зараження комп’ютерними вірусами:
4. Користуйтеся безкоштовним програмним забезпеченням за ліцензією GNU/OpenSource.
Встановіть собі безкоштовну операційну систему Linux, яка містить величезну кількість вбудованих безкоштовних додатків.
Користуйтесь альтернативними версіями відомих програм. Наприклад, ми писали про 5 безкоштовних замін Microsoft Office.
5. Регулярно та вчасно оновлюйте своє програмне забезпечення: прошивки, додатки, застосунки, розширення.
Розробники постійно знаходять нові вразливості та випускають патчі і доповнення, котрі містять допрацювання і покращують безпеку.
6. Вилучайте програми і додатки, якими не користуєтесь. Не назбируйте “сміття”. Регулярно проводьте очищення файлової системи від застарілих кешу, папок, файлів, записів у реєстрі. Шпигунські програми люблять ховатися у безпорядку та хаосі.
Для OS Windows стануть в пригоді утиліти ССleaner та Revo Uninstaller Tool.
⚡DNS (Domain Name System) – це система серверів, яка пов’язує IP-адреси з доменами, така собі “адресна книжка” інтернету.
По замовчуванню, використовується DNS-сервер вашого інтернет-провайдера, що дозволяє йому за потреби фільтрувати трафік, аналізувати та обмежувати доступ до ресурсів, які ви переглядаєте.
Зупинити це можна просто змінивши DNS-сервер в налаштуваннях свого інтернет-з’єднання.
Список анонімних безкоштовних Public DNS:
Деякі з цих рішень поєднують у собі ще й функції фаєрвола, так що захищатимуть від шкідливих ресурсів.
Сервіси, які допоможуть перевірити витік даних через DNS:
Саме у веб-браузері користувачі проводять найбільше часу в інтернеті. Від нього залежить якість, швидкість та безпека вашого інтернет-перегляду.
Вразливий, нестабільний браузер може привести до численних ризиків, витоків та збитків інформаційної безпеки. Тож варто приділити йому особливу увагу.
На сьогодні, з точки зору безпеки, найнадійнішими інтернет-браузерами для Desktop ПК є:
Для Android можемо запропонувати наступні браузери:
👉 Ознайомитись з детальними характеристиками і порівнянням усіх популярних браузерів для десктопних і мобільних платформ можна на сайті: https://privacytests.org/
👉Додаткові матеріали по безпеці популярних браузерів:
Поради та рекомендації щодо встановлення додатків та налаштування приватності браузера:
Сервіси, які допоможуть перевірити витік даних через браузер (Browser Fingerprint):
На завершення рекомендуємо переглянути корисний доклад Дмитра Момота на конференції HackIT-2017 у Харкові “Системи унікалізації і ідентифікації користувачів в мережі. Методи захисту від них”:
Для операційних систем Windows рекомендуємо програмне рішення від компанії Malwarebytes. Особливо сподобався безкоштовний Windows Firewall Control, який дозволяє створювати шаблони політик безпеки і контролює будь-які вхідні/вихідні з’єднання.
Ще одним готовим рішенням може стати Portmaster – це безкоштовний брандмауер з відкритим вихідним кодом та чудовим графічним веб-інтерфейсом. З його допомогою можна моніторити мережеву активність в системі, аналізувати інтернет-з’єднання, створювані додатками, блокувати шкідливі ресурси, трекери. Підтримувані платформи – OS Windows/Linux.
На Android-смартфонах рекомендуємо встановити такі додатки:
На операційних системах сімейства Linux додатково бажано налаштувати мережевий екран.
Пропонуємо наступні рішення:
Ретельно перевіряйте будь-яку інформацію, яку знаходите і читаєте в інтернеті, яку вам пропонують чи надсилають. Сюди також відноситься інформація в різних договорах, правилах, політиках. В еру інформаційних війн і соціальної інженерії можуть підсунути та опублікувати що завгодно, однак не треба відразу всьому вірити. Виробіть звичку для кожного факту шукати два-три, а то й більше джерела.
Якщо побачили “гарячу новину” чи “шок-контент” – не спішіть поширювати, зачекайте кілька годин. Часто буває, коли навіть перевірені видання спершу публікують, а потім самі ж спростовують, заперечують або просто видаляють інформацію.
Буває й так, що навмисно вкидається якась “затравка”, щоби викликати чи перевірити реакцію суспільства. Завжди майте власну голову на плечах – довіряйте лише фактам.
Непогана інфографіка по цій темі:
Особливо дотримуйтесь правил інформаційної гігієни у соцмережах, де плідно працюють інтернет-тролі та ботоферми – фальшиві акаунти, які ведуть інформаційну війну та ворожу пропаганду. Не публікуйте домисли чи докори на вразливі теми, наприклад політичного чи релігійного характеру. Лінгвістичний аналіз і алгоритми соцмереж можуть оцінити це як порушення і заблокувати ваш акаунт без права на поновлення, а ваші дані будуть знищені.
У час воєнного або надзвичайного стану утримайтесь від поширення будь-якої інформації, у якій не впевнені і не переконані на всі 100%. Не фотографуйте і не викладайте у соцмережах переміщення військової техніки, військові і стратегічні об’єкти, наслідки ворожих ударів – це тільки допомагає ворогу. Посилайтесь лише на перевірені офіційні джерела.
Онлайн-сервіси для факт-чекінгу:
ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:
Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!
Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!