Не попадай на взлом!
(присутствует ненормативная лексика)
Последние пару недель я менял всю логистику хранения своих личных данных, чтобы максимально обезопасить возможность их взлома (были причины) и вот, как будто в подтверждение того, что не зря, сегодня на работе произошла война. Имело место быть DdoS нападение китайцев на нашу компьютерную сеть в Африке, а это реальная война, когда офис превращается в военный бункер и все сетевые системные инженеры ищут дырку откуда атакуют, чтобы по быстрому ее отрубить.
Attention!
We observing DdoS Attack on your IP addresses, and working on blocking it.
Все же видели Голливудские фильмы, когда плохие дяди отрубают белый дом от управления его же ядерными ракетами и спутниками. Типа полукруглый зал центра управления, чуваки в белых рубашках и черных костюмах от напряжения вытирающие капли пота с лысины и расслабляющие узелок галстука, огромные экраны во всю стену, показывающие как боеголовка приближается к эмпайр стейт билдинг и т.д. Вот так это собственно и выглядит, только ты в роли того чувака, которому говорят: «Брюс, у нас есть 7 минут, ты можешь найти и отключить ублюдков»? И тогда, Брюс, быстро начинает клацать по клавиатуре, и на черном терминале с пингвином Linux-a появляются никому непонятные команды, выглядящие умно, правдиво и убедительно.
В общем, атаку китайцев мы сегодня отбили, но я собственно хотел написать совсем про другое, про то, как тебе, мой читатель, проснувшись в один прекрасный день, не обнаружить, что ты в полной ЖОПЕ. А именно о бытовой компьютерной безопасности.
Итак, год 2017-й. Информационные технологии опутали нас с головы до ног. Даже тот, кто наивно думает, что в домике потому, что гаджетами не пользуется, деньги держит под подушкой, кредиток не имеет, в магазине платит наличными и ест только органические продукты, тоже под прицелом. Да, шанс его попадалова конечно меньше, но таких динозавров уже почти не осталось и как выясняется, даже они умудряются попасть и запутаться в цепких сетях прогресса. (музыка и заставка начала из фильма звездные войны с желтым текстом в перспективе уходящим в темную галактику)
У всех нас есть счета в банке, кредитные карточки, компьютер дома или на работе, смартфон. Этот набор сегодня есть почти у любого человека, живущего в странах первого и второго миров, если пользоваться определением Мао Цзэдуна. У многих есть смарт-телевизоры, плей стейшены, разнообразные ай-пэды, таблеты и т.д. ̶а̶ ̶т̶е̶п̶е̶р̶ь̶ ̶с̶о̶ ̶в̶с̶е̶м̶ ̶э̶т̶и̶м̶ ̶д̶е̶р̶ь̶м̶о̶м̶ ̶м̶ы̶ ̶п̶о̶п̶ы̶т̶а̶е̶м̶с̶я̶ ̶в̶з̶л̶е̶т̶е̶т̶ь̶ ̶
Любой из вышеперечисленных гаджетов может быть причиной серьезного попадалова, как финансового, так и личностного, в случае если вы неаккуратно обращаетесь со своими личными данными. Начнем с самого простого и всем знакомого – смартфон.
Если вы наивно думаете, что когда вы им только звоните, смотрите фейсбук, листаете картинки, слушаете музыку и ездите по навигатору, вы ТОЛЬКО звоните, смотрите фейсбук, листаете картинки, слушаете музыку и ездите по навигатору, то спешу вас разочаровать - ЭТО НЕ ТАК.
В тот момент, когда вы купили новенький блестящий и приятно лежащий в руке смартфончик и включили его в инет, вашей приватности пришел пиздец. Это надо хорошо понимать и вести себя соответственно.
Когда вы в первый раз включаете новый телефон он начинает задавать кучу вопросов, так сказать пытается с вами получше познакомиться, что бы давать вам более интересный контент, впихивать вам более подходящую рекламу, оптимизировать написание текста, предлагая вам готовые слова по первым буквам или контексту и т.д. Телефон хочет определять ваше местоположение, что бы выучить обычные маршруты вашего передвижения, выучить ваш голос, что бы дать вам возможность управлять собой голосом, он знает отпечатки ваших пальцев, сканирует радужную оболочку глаза и многое-многое другое. В результате, телефон знает вас намного лучше, чем ваши друзья, родственники и даже родители. Уверен, моя мама вообще не в курсах как выглядит моя радужная оболочка.
Сейчас все конечно скажут, что все это можно отменить и не пользоваться. Верно, можно отменить или не разрешать, но в реальности все мы знаем, что этого не происходит. Мы да хотим всем этим пользоваться потому, что это нам удобно. Но при всем удобстве, важно понимать, где может быть прокол в безопасности ваших данных и стараться его не допускать.
Тут блондинка (у них обычно монолог) конечно скажет: "Ну и что, да пожалуйста, мне что жалко?! За-то, теперь мой Ай-Фончик понимает мой голос. Круто же! Я ему - АйФооончик, КУ-КУ, раб мой! А он отзывается, спрашивает: кому желаешь позвонить, душа моя? А вот Маринке не отзывается, только мне. Воот! Это я его так научила. Кто молодец? Я молодец!" (у любителей андройда «Ok Google»)
И действительно, что с того? На первый взгляд совершенно безобидная вещь – голос. А нет, совсем не безобидная. В букете со всеми остальными данными, которые о вас знает телефон, с этой информацией можно сделать такое, что в страшном сне не приснится. Знает телефон, значит знает та фирма, которая поставляет вам контент: Гугель, Самсунг, Эпел и т.д., а так же фирмы сделавшие аппликации, которыми вы пользуетесь.
Простой пример: Когда вы звоните в свой банк, можно не набирать код цифрами, а сказать номер паспорта и код доступа словами (во всех банках это по разному, но в моем так). Банк анализирует частотные характеристики вашего голоса, впускает вас в свою систему и вы уже можете делать операции.
Кажется, настал тот самый момент, когда читатель должен сказать, что у меня паранойя. Чувак, да ты не доверяешь Гуглю, который записывает твой голос для голосовых команд?!
Я то? Гуглю, Самсунгу, Apple и многим-многим другим я искренне доверяю. В контексте IT я не доверяю людям, да-да именно людям. Человеческий фактор в IT все портит. Конечно я не имею в виду то, что работники этих фирм какие-то плохие люди )) Единственное что я говорю, люди есть люди, вне зависимости от того, где они работают или живут. Всегда будет кто-то, кто прихватит с собой базу данных и коды ее ключей и это будет не Google или Apple или Facebook, а именно люди.
В общем, я придерживаюсь аксиомы, что любой замок, сделанный одним человеком, может быть взломан другим. Так кому же можно доверять?
Тут мы приходим к более философским вопросам, что есть вообще доверие и насколько оно может быть абсолютным. К примеру, мы же доверяем своему банку, поэтому держим в нем деньги и не боимся, что завтра он с ними убежит. То есть мы понимаем, что банк, как организация, у нас не украдет. Уже неплохо. Но доверяем ли мы всем техническим системам банка в том, что они настолько хороши, что наши деньги никто плохой не возьмет и не украдет? Ответ на этот вопрос уже не так однозначен. Разве не грабят банки? Но тут мы себя успокаиваем тем, что даже если кто-то и взломает компьютерную систему банка, то ВСЕ бабло у банка конечно не сопрут т.к. в банке тоже сидят не дураки и банк не держит все в одной корзине. То есть банк по любому отдаст нам наши деньги по многим причинам, в частности по той, что серьезные банки обычно застрахованы государством.
Уфф! Ну наконец-то все встало на свои места и банку можно доверять и вопросов больше нет. Приятно же когда нет вопросов, все ясно, чувствуется земля под ногами и есть на что опереться. Секундочку! А насколько вы доверяете государству, которое страхует ваши деньги в банке, которые могут украсть? То есть если банк обокрали чуть-чуть :) то все будет в порядке и вам точно все возвратят, а вот если чисто гипотетически представить, что из банка сперли ВСЕ под чистую и теперь государство должно вам возместить деньги, которые вы последние 20 лет копили на квартиру, и предположим таких как вы 1/3 страны (банк был большой). Вы до сих пор абсолютно уверены в государстве?
Так кому же можно абсолютно доверять? Друзьям, родственникам, коллегам? Вот я обычно доверяю собутыльникам (пока они пьянЫ).
Уважаемые финансисты, не тычте в меня незнанием устройства банковской системы. Этот пример технически может быть и неправильный, но он только для того чтоб немного разобраться, что такое абсолютное доверие.
Так вот, абсолютного доверия нет никому, так же как нет абсолютно чистого золота. Поэтому есть диверсификация, а именно распределение финансовых ресурсов по разным местам и уменьшение шансов их потери. Так же, как и банк диверсифицирует свои деньги, что бы уменьшить риски, мы (обычные смертные) можем делать то же самое. Но большинство этим конечно не занимается, так как взяли банк и государство за точку отсчета их личного абсолютного доверия. Ну а некоторым просто не охота всем этим заниматься, ведь у каждого свой потолок затрат энергии на поднятие жопы со стула ;)
Мы тут немного отклонились от темы. Разговор собственно вообще не о банках и финансовых системах, а о личной IT безопасности на бытовом уровне. О том, как бы сделать так, чтоб PlayStation не снимала с PayPal-а столько, сколько мы не хотим и как бы сделать так, чтоб никто не спиздил username и password от вебсайта твоего банка и не перевел оттуда чего-нить на другой счет. И о том, как и где хранить все эти пасворды от многочисленных веб сайтов на которых мы с вами зарегистрированы?
Пример с банком и государством был не просто так. Мне он был нужен для того, чтобы определить понятие абсолютного доверия, которого к сожалению не существует.
Вернемся к данным, которые лежат у Гуглей, Самсунгов, Эпэлов, Фейсбуков и других фирм, которым мы почти абсолютно доверяем. Как уже было сказано выше, в базах данных этих фирм может быть практически все что мы пишем клавиатурой в телефоне, наши файлы обычно хранятся на их дисках в облаке, частоты нашего голоса, отпечатки пальцев, глаза и т.д. и т.п. При желании, правильно используя эти данные, можно сделать вашего клона, который даже будет говорить вашим голосом. Идея про клона не моя, она была в одном из сезонов «зеркала», но она полностью реальна.
Значит, мы уже поняли, что если кто-то плохой спиздит и взломает базы данных этих фирм гигантов, то нам может быть очень-очень больно. Да, сразу отвечаю всем програмерам, которые долго будут распинаться по поводу того, что это практически невозможно, что там все зашифровано, а ключ в яйце, а яйцо в сундуке, а его унесла лягушка… И даже если спиздят, то возьмет 300 тысяч лет, что бы это декриптировать и т.д. Избавьте меня от этих технических обсуждений, они скучны и неинтересны.
Аксиома гласит: Если есть данные, которые может прочитать один человек, то как бы хорошо они не были защищены, другой человек может их спиздить и прочитать. Остальное дело техники.
Че-т пост получился какой-то ужасно длинный, поэтому начну укорачивать марш советами по бытовой безопасности. Остальное что хотел сказать допишу может как-нить потом.
Куда мы идем?
Так как смартфон становиться основным прибором в нашей жизни, все наши связки перекачали в него. Само собой контакты, мейлы, записные книжки, календари это уже давно там. Что дальше?
Лично я считаю, что дальше деньги. Именно деньги в ближайшем будущем перекачают из «кармана широких штанов» в мобильные телефоны. На самом деле они уже туда перекачивают, просто не все об этом знают, а некоторые слышали звон, но еще не предают ему значения. Да-да, я имею в виду крипто валюты.
По бытовухе с телефонами.
Все фирмы пытаются собирать о вас данные и естественно из лучших побуждений. К слову, самые большие несчастья миру приносились тоже из лучших побуждений.
Надо думать и понимать, какие данные можно давать, а какие нет, а не тупо жать на кнопку «ОК». Например, в смартфоне, аппликации которые мы устанавливаем иногда просят разрешение на пользование тем или иным девайсом, камерой например или календарем, или просят доступ к вашим контактам. Что это значит? А то и значит, что если вы дали какой-то аппликации доступ к вашей галерее фотографий на телефоне, то эта аппликация может делать с вашими фотографиями все что ей заблагорассудиться. Захочет и нахер все сотрет. Правда обычно такого не бывает потому как не за чем такое делать, бесцельное пустое хулиганство.
Более распространенные случаи, когда аппликация просит доступ к вашим контактам и если она смотрелка для картинок, то я бы 10 раз подумал давать ей это или нет. Ну подумайте сами, если вы установили какую-то прикольную аппликацию, которая умеет приделывать уши зайца к вашей селфи, то зачем ей доступ к вашей телефонной книге? Или зачем ей доступ к фейсбуку? Разрешите ей доступ, потом не удивляйтесь, что ваше фото с заячими ушами попадет в фейсбучную ленту и коллеги в офисе над вами поржут.
Еще есть аппликации, которые просят полный доступ к Google Drive. Для меня это как мигающая красная лампочка и полицейская сирена. Для вас это тоже должна быть сирена, в особенности если на Google Drive вы храните важную личную информацию. К примеру на Google Drive у вас как раз храниться база данных со всеми пасвордами, а так же справка от врача, о том, что в прошлом вы были Семен, а теперь, после операции вы Снежанна, но ваш муж не знает об этом интереснейшем факте вашей жизни. А тут какая-то аппликация просит полный доступ к вашей сокровенной справке. Вы вообще понимаете чего она (аппликация) с этой вашей справкой может сделать и куда послать… Уж хер с ней с базой данных пасвордов, она хоть закодирована и хакеру возьмет 500 тысяч лет ее раскодировать, так что у вас будет немного времени изменить пасворды на всех сайтах, но справка-то не закодирована, а лежит тупо как фотка в JPG файле, как вы ее туда 5 лет назад и положили.
Суммируя вышесказанное, разрешать полный доступ к Google Drive, это то же самое, что дать ключи от квартиры незнакомцу с улицы и уехать в Париж на недельку.
Про пасворды в интернете.
Регистрация на сайте больничной кассы (у нас в Израиле через них работаед мед. страховка) или какого-нить гос. учреждения:
Так, имя ребенка + год его рождения, ааа… Блин, не принимает, пишут, что надо одну заглавную букву… Так хорошо, меняем первую на заглавную, получается пароль: Marina2014
Остальные пасворды мамы Марины такие:
Amazon password: Marina2014&!
Bank password: Marina2014
PayPal password: Marina2014Marina
Facebook password: m2014
Узнали себя? ))) Все видят, что достаточно хакеру взломать только одну базу данных в хуево защищенной сети больничной кассы или гос. учреждения (хуево, потому, что там все делается хуево по определению), и он уже у вас в банке переводит ваши деньги на свой счет в Гватемале?
Дальше, к PayPal он находит ваш пасворд примерно за 5 минут. 4 минуты на попить кофе и 1 минуту на то, что бы запустить программу комбинирующую пасворды из уже известных. Программа знает что 90% людей комбинируют все свои пасворды из трех-четырех слов которые они всегда помнят. Например MashaIvanova1973, masha73, masha1973, &masha73 и т.д. Если у меня есть MashaIvanova1973, то сгенерировать все остальное, это как два пальца под кран подставить.
Дальше хакер Вася запускает программу которая пробует один за другим сгенерированные ранее ключи на разных широко используемых сайтах и методом подбора находит нужный.
Да, с большинством банков так уже не пройдет т.к. почти все банки перешли на систему, когда вход блокируется после 3-5 неудачных попыток входа. Да и банки скоро начнут переходить на 2-х ступенчатую авторизацию, когда только пасворда недостаточно и тебе на телефон посылается код, который надо вписать, что бы войти. Но в общих чертах, с другим сайтом, который не блокируется после нескольких неудачных попыток, эта система пройдет на ура. В любом случае помните, что на каждый болт всегда найдется гайка, а на каждый замок отмычка. Система поменялась, отмычка тоже изменится.
Значит с пасвордами понятно, да? Не просто так на многих сайтах вас просят сделать «сильный» пасворд с большими и маленькими буквами, всякими значками и циферками.
Далее про пасворды.
Если у вас в компе поселился вирус-червь, назовем его скажем троянский конь И-Го-Го, который просто тихо так сидит, ничего плохого вашему компу не делает, только копирует все, что вы пишете на клавиатуре, а затем втихаря посылает это хакеру Васе, который уже как месяц лежит на пляже в Гватемале с вашими деньгами из банка, из предыдущего абзаца. То есть хрен с тем, что Вася прочитает вашу переписку с любовницей Юлей в фейсбуке и может тупо ради поржать послать ее вашей жене. Проблема в том, что Вася так же прочитает все ваши пароли, которые вы после случая с банком, конечно же изменили на хорошие, длинные и разные, но это вам не помогло потому что какой бы сложный пароль не был, его же все равно надо как-то набрать на клавиатуре, а все, что вы набираете идет к Васе.
Хм. Вся история еще усугубляется тем, что про коня И-Го-Го в вашем ноутбуке, вы даже не догадываетесь, а догадаетесь тогда, когда жена спросит вас: «А кто такая Юля»? Но тогда уже будет поздняк форматировать диски ))
Что же делать? Ну с любовницами все понятно, спать надо дома с женой, а вот как быть с троянскими конями? Как же писать пароли и явки если кто-то может их подслушивать?
Тут все просто. Продвинутые чуваки уже давно не придумывают пароли сами и не пишут их вручную в вебсайтах, а пользуются рандомальными генераторами паролей, которые сами их (пароли) придумывают и автоматически вписывают их на нужном сайте. То есть тут решаются сразу две проблемы: во-первых, вам больше не надо ничего запоминать, кроме только одного мастер пароля, который собственно и открывает все остальные. Во-вторых, его больше не надо набирать на клавиатуре, которую кто-то может подслушивать. Естественно, все эти пароли хранятся в закодированной базе данных на вашем компе, телефоне или Google Drive или DropBox. Таких пасворд генераторов достаточно много, мне например нравиться KeePass http://keepass.info/
На худой конец можно пользоваться браузером Chrome в котором есть Smart Lock, который тоже запоминает пасворды, но если кто-то другой будет пользоваться вашим компом, или андройдом, то он тоже сможет ими воспользоваться если вы забыли выйти из своего гугель акаунта, а обычно из него никто не выходит если это не интернет кафе в Амстердаме.
Так вроде не загрузил ) На самом деле это легко и SmartLock все делает сам, только опять же важно понимать, что и где хранится, что бы хотя бы примерно понимать риски. Chrome SmartLock хранит ваши пароли на серверах Гугля и естественно в зашифрованном виде, и как утверждает сам Гугель, даже его работники не могут их увидеть. Верить ему или нет, решение ваше.
Моя мама кстати, эталон кибер безопасности, она записывает все пароли в тетрадку, но периодически не может их в этой тетрадке найти и поэтому, самые важные наклеивает на бумажках рядом с компом.