Пять нестыдных вопросов про кибербезопасность

Что делать/не делать, чтобы не увели деньги, не шантажировали и не взламывали аккаунты

23 мая, 2019 12:00

4 мин

С тех пор, как ловкачи с наперстками сменились на наглецов у экранов компьютеров, всем, кто держит в руках телефон с выходом в интернет нужно как азбуку знать правила кибербезопасности. Эксперт Алексей Дрозд, директор учебного центра «СёрчИнформ» (разработчик ПО для защиты информации), выделил четыре главные ошибки, приводящие к проблемам с кибербезопасностью и дал ответы на самые частые вопросы.

С началом цифровой эры главные опасности – от банального воровства до буллинга и шантажа исходят из Сети. Кажется, что правил кибербезопасности слишком много, чтобы вообще ею заморачиваться. На самом деле есть всего 4 главные ошибки, которых нужно избегать:

Установка слабых паролей – взламываются в считанные секунды.
Использование одной и той же пары логин/пароль на разных ресурсах, что при компрометации одного сервиса ведет к компрометации и всех остальных.
Игнорирование возможностей двухфакторной аутентификации для доступа к сервисам.
Излишнее доверие к сайтам и приложениям.

Но обо всем по порядку в вопросах и ответах.

1) В Сети слишком много советов о паролях. Все-таки: какой пароль безопасный, как часто его менять, позволять ли браузеру его запоминать?

Принято считать, что нужно менять пароль раз в месяц. Но это требование хорошо, если предположить, что каждый раз человек меняет пароль на новый криптостойкий. Но человеческий мозг устроен так, что при необходимости постоянно удерживать в голове новые коды, начинает выкручиваться. Как выяснили киберэксперты, каждый новый пароль пользователя в этой ситуации становится слабее предыдущего. Один из выходов – использовать сложные пароли, менять их раз в месяц, но использовать для хранения специальное приложение, использовать двухфакторную аутентификацию везде, где это возможно. Но я сам придерживаюсь другого правила. У меня три пароля. Один уникальный, который я использую только для защиты финансового сервиса, он больше нигде и никогда не фигурирует. Второй – для других важных сервисов вроде почты. Третий пароль – для аккаунтов, взлом которых будет не столь критичен, например, Facebook.

Самыми надежными сейчас считают парольные фразы. Это какое-то относительно бессмысленное, но легко запоминающееся предложение, которое набирается в другой раскладке. Наличие в ней цифр, символов и прописных букв, конечно, только усилит пароль.

Что касается запоминания в браузере – это, действительно, не лучший выход. Как только человек нажимает кнопку «запомнить пароль», он забывает свой пароль сам. Но самое главное, если браузер будет скомпрометирован, к злоумышленнику попадет не один пароль, который вы вбиваете руками (в этом нет ничего страшного при условии двухфакторной аутентификации), а все пароли, которые вы когда-то сохранили.

2) Как не создать себе проблемы, устанавливая приложения на телефон? Чего нельзя разрешать приложениям?

Скачивать приложение только из официальных магазинов – это главное требование безопасности. AppStore и GooglePlay не гарантируют полной безопасности, но они все-таки проводят минимальную проверку производителя и приложения. Вероятность скачать из неофициальных источников вредоносное или фальшивое приложение гораздо выше.

При установке обращайте внимание на разрешения, которые хочет получить приложение. Они должны быть обоснованы тем, что предполагает функционал приложения. Понятно, что для Instagram нужен доступ к фотографиям, а вот для приложения «фонарик» – нет. Если можно отказаться от разрешений, и это не повлияет на функциональность сервиса, лучше это сделать. Если нет, и приложение хочет слишком много – лучше отказаться от него вовсе. Следует также обращать внимание, какие новые права получает приложение при обновлении.

Отключите автосинхронизацию с облачными сервисами, кроме случаев, когда она действительно необходима.

Используйте антивирус и задействуйте системные средства повышения безопасности. Они есть как в виде отдельного ПО, так и в виде эксклюзивного контента для отдельных моделей телефонов (например, DTEK для Blackberry).

Выбор в пользу платных приложений – тоже хороший вариант повысить уровень безопасности. Разработчики таких сервисов мотивированы лучше их защищать и имеют меньше соблазнов монетизироваться за счет ваших данных, то есть продавать данные на сторону.

3) Говорят, если не ставить на телефон приложение банка, вероятность, что мошенники доберутся до счета, меньше. Так ли это?

Да, сам придерживаюсь этого мнения. Хотя бы потому, что чем меньше «точек доступа» к вашим деньгам, тем лучше. Да, удобнее контролировать финансы прямо с телефона, но я исхожу из того, что если мой телефон будет скомпрометирован, злоумышленник получит доступ и к приложению, и к смс-сообщениям, которые используются для двухфакторной аутентификации для подтверждения легитимности платежа. Поэтому я сам для управления счетом использую онлайн-банкинг на компьютере, даже если браузер окажется скомпрометирован, остается второй канал – смс.

Что касается безопасности самого банковского приложения, этот вопрос целиком и полностью на совести банка. Как правило, банки очень серьезны относительно безопасности своих сервисов, так как это и их риски тоже, они совершенствуют их. Приложения проходят тщательный анализ безопасности кода, зачастую привлекаются внешние именитые эксперты. Банк может заблокировать доступ к приложению, если вы сменили симку или даже переставили ее в соседний слот смартфона. Некоторые, самые защищенные приложения, даже не запускаются, пока не выполнены требования безопасности, например, если телефон не запаролен.

Конечно, это не означает, что приложения защищены на 100%. Даже в лучших обнаруживаются уязвимости, поэтому необходимо регулярное обновление, которые закрывают периодически открывающиеся уязвимости. О самых крупных пишут xakep.ru, anti-malware.ru, securitylab.ru и тому подобные специализированные СМИ.

4) Можно ли подключаться к открытым вайфай-точкам в торговых центрах, аэропортах, кафе?

Общественные WiFi-точки – источник опасности. Можно долго расписывать, какие риски несет в себе использование подобных точек, но я ограничусь лишь одной фразой: MITM-атака. Но риск сводится к минимуму, если соблюдать простые правила безопасности:

убедиться, что точка доступа принадлежит кафе/аэропорту/ТЦ, а не хакеру. Легальная просит ввести номер телефона и высылает смс для входа;
использовать VPN-подключение для доступа в сеть. Он, собственно, и был придуман для того, чтобы безопасно выходить в интернет через небезопасные точки доступа;
если не знаете, как выполнить п. 1 и п. 2, лучше через такое соединение не передавать данные, а использовать интернет только «в режиме чтения» - для посещения сайтов и сервисов, где сообщать о себе ничего не требуется.

5) Для регистрации в игре или тесте нас просят оставить свои персональные данные. Кто их собирает и для чего использует?

Разработчика теста «какая вы принцесса», конечно, мало интересует, вы принцесса Белль или Ариэль. Их интересует та информация из социальной сети, к которой вы даете доступ приложению: личные данные, списки друзей и так далее. Собственно, данные – это и есть ваша плата за комфорт и возможность этим приложением/сервисом пользоваться.

Самые крупные «игроки» белого рынка и одновременно крупнейшие сборщики данных – это не разработчики тестов и игр, а корпорации вроде Apple и Google. У них скапливаются данные практически обо всех ваших движениях в интернете. Это неприятно, но не смертельно. Гораздо хуже, когда данные попадают и вовсе непонятно кому. В этом случае спектр применения данных может быть огромным. Чаще всего они используются в маркетинговых целях: какую рекламу предложить, как заставить совершить дополнительную покупку и так далее. И все же разглашение определенных личных данных может быть вполне чувствительным. Важно помнить: все, что ушло в интернет, там и останется. Даже мессенджеры синхронизируют данные с облачными хранилищами. Поэтому я бы советовал не оставлять в Сети информацию, которая может дискредитировать вас, вызвать проблемы при обнародовании, давать возможность для шантажа.