Приватность. Часть 1 — начало

Приветствую читателей моего блога! В силу недавних событий, происходящих с известным мессенджером Telegram, с участием Роскомнадзора, которые я начал ежедневно освещать на своем канале в том же Telegram, я начал вести рубрику «#приватность», в рамках которой я хочу постепенно, простыми и понятными словами, на таких же примерах рассказать об основах сетевой безопасности, необходимости и средствах сохранения приватности Ваших данных. 

Эти посты рассчитаны на простых людей, не на профессиональную IT аудиторию (вообще идея создать «просветительские» рубрики у меня возникла давно), поэтому коллегам по цеху я думаю они будут слабо интересны. Тем не менее, у каждого из Вас есть близкие, друзья, знакомые, кто не знаком с азами личной информационной безопасности и я считаю что мой материал смог бы статья для вас хорошим подспорьем в решении этого вопроса.

Итак, в этой статье я сведу воедино первые три поста из Telegram канала, а в дальнейшем постараюсь на более регулярной основе синхронизировать их.

Если у Вас возникнут замечания, предложения или вопросы — задать их можно мне в личных сообщениях в Telegram или по электронной почте. Актуальные контакты всегда можно найти на этой странице.

Далее я привожу текст из постов на канале дословно, с небольшими правками в виде форматирования.


Пост 1 (19.04.2018)

Итак друзья мои, вводим небольшую рубрику — #приватность . Небольшая преамбула к ней. Я не раз и не два (и даже не сотню раз ) слышал фразу — «пусть читают/слушают/пишут/смотрят, мне нечего скрывать». Простите за прямоту но это полный bulsheet. Вы никогда не задумывались почему конституции и законов всех стран так или иначе содержат статьи о тайне личной переписки, о конфиденциальности данных? Наверное нет. И очень плохо. Наш современный мир оказался в пучине «цифрового нудизма». Люди, привыкшие к тому что «без трусов» их видят только дома, а на улице/работе/в гостях только в одежде (равное относится не только к вашему телу но и мыслям, словам), ошибочно переносят этот шаблон на сеть. Это в корне не верно. То, что в сети может попасть в руки к третьему лицу (за исключением вас и собеседника/получателя), в равной степени может стать доступным (и станет) для всех пользователей сети. Нельзя контролировать информацию, перемещающуюся в свободном пространстве.

Именно поэтому возникают скандалы с тем, что у актёров и звёзд шоу бизнеса в сеть «утекли» приватные фото, стала известна чья то переписка…. Если защита ваших данных строится просто на самом факте их сокрытия — мол ну никто же не знает что я в Dropbox фото голышом храню, так вот это не работает! ( Security through obscurity — Безопасность через неясность).

Ваши данные в сети, любые — это ваша душа, ваше тело, ваши мысли. И то что вы считаете безопасным и ненужным, хакер Смит украдёт, использует, продаст, а гражданин майор Громов (все совпадения случайны, никого ввиду не имею), рассмотрит и может подшить к делу).

Итак, резюме из вышесказанного — данные надо защищать. Как- я постепенно постараюсь вам рассказать. Зачем — см выше. Какие — решайте сами.

Резюме номер два — для тех, кого я не убедил, кто по прежнему считает что ему нечего скрывать. Просто посмотрите этот ролик и спроецируйте ситуации на действие в сети.


Пост 2 (21.04.2018)

Новая заметка про #приватность .
Итак, в прошлый раз мы с вами обсудили зачем же нужно защищать свою информацию, свои данные, переписку и прочее. Заметьте — мы не ставим целью скрыть, то есть анонимизировать их. Хотя и это тоже обсудим) Оставаться в нашем мире анонимным крайне сложно-у вас куча идентификаторов. Это номер вашего телефона под которым вы зарегистрированы в куче мессенджеров, соц сетей и прочего, равно как и выходите вы в интернет часто с этой симки, это ID ваших аккаунтов, это адреса ваших электронных почтовых ящиков, это ещё огромная куча других идентификаторов, которые можно долго вспоминать и перечислять. И так или иначе в сети они светятся, а при должном желании и наличии определенных технических возможностей свести их воедино в один так называемый «цифровой профиль» не так уж и сложно. И потом, используя этот профиль, отслеживать вашу активность — посты в социальных сетях, преданные email, публикации в Instagram и прочее лишь дело времени и техники. Короче — об синонимизации передаваемых вами данных, равно как и хранимых, мы не говорим. Захотят — найдут хозяина.

Я хочу поговорить с вами о сохранении приватности этой информации, то есть о том, как не допустить ее раскрытие для третьих лиц, кому доступ вы давать не хотите.
Так вот, сохранить приватность ваших данных не сложно, в отличии от анонимности. Нужно лишь ваше желание это сделать, понимание что и от кого вы хотите скрыть (это очень важно, чтобы не попасть в положение неуловимого Джо, который скачет по прериям чтобы его не поймали и считает себя неуловимым, а он просто нафиг никому не сдался) и хотя бы общее представление как это можно сделать, чтобы в итоге вы выбрали наиболее подходящий вариант.
Кстати про неуловимого Джо — наверняка у кого-то из тех, кто читал предыдущий пост на эту тематику в голове возник вопрос — ты же так агитировал что это прям всем надо, почему же сейчас начинаешь так говорить? Ну во первых я не могу вас убедить в необходимости этого. Привести примеры и аргументы — пожалуйста. Если они вас не убедили — жаль, но это ваше право. Для тех, кто все таки воспринял их, я скажу так — одно дело когда вы скрываете данные от своей мамы, чтобы она не спалила историю вашего браузера, немного другое — защищаетесь от слежки на работе или от пристального Ока вашего домашнего провайдера и совсем другой разговор, когда вы хотите, чтобы никто (желательно) не получил доступ к вашей информации. Конечно эту градацию можно улучшить и дополнить, но это я так, на коленке и для примера).
Итак, данные скрыть можно, нужно и это не очень сложно. Если эта тема вас интересует — присядьте, подумайте и ответьте вначале себе, а потом можете прислать мне в ЛС в виде списка вопросов:

  1. Что вы хотите защитить?
  2. От кого вы это хотите защитить?
  3. Почему? Чего вы опасаетесь?
  4. На сколько сложную и многоуровневую защиту вы хотите получить и / или можете себе позволить?

По поводу последнего вопроса приведу пример — кому то пароль Test.123 уже кажется сложным и длинным и он не хочет ничего сложней подобных решений. А для кого-то использование принципа » 1 сайт — 1 пароль» это комфортно. Оцениваете свои силы с такой точки зрения.
Всем спасибо, на сегодня это все!))


Пост 3 (22.04.2018)

Продолжаем тему #приватность .
Итак, в прошлый раз мы решили, что мы хотим бороться за приватность ваших данных. Приватность подразумевает что мы стараемся не допустить к нашим данным сторонних пользователей, кому бы мы не хотели их раскрывать. Другими словами мы не хотим давать доступ доступ не авторизованным пользователям.

Базовый элемент безопасности любых ваших данных это пароль. Именно пароль защищает локальный вход на ваш компьютер, именно он предотвращает доступ стороннему лицу к вашему почтовому ящику, именно он, в комбинации с логином закрывает доступ к вашей учётной записи в любой социальной сети.

Основная характеристика пароля — его стойкость. То есть возможность противостоять его подбору за счёт сложности угадывания. Стойкость пароля обеспечена его длинной и сложностью. Сложность в свою очередь это число возможных комбинаций на еленицу длинны пароля.
Таким образом пароль Ws$adF1G будет сложней и следовательно куда более стойким чем 83459201, при том что их длинна одинакова. Почему? Потому что во втором случае, для каждого элемента число комбинаций = 10, от 0 до 9, в то время как в первом случае сложность = 26*2+10+14 (десять цифр, два набора латинского алфавита — строчные и заглавные буквы и набор знаков препинания, которые мы чаще всего используем). Итого 76. То есть в 7,5 раз больше комбинаций!))

Существует достаточно большое число идей или паттернов (шаблонов) для создания пароля, например «готовить» его в виде случайной цифро- буквенной строки (Whg75-&fvh8:;+h) или набора не очень связанных между собой слов (maria.star.open.unicorn) или строки из известных вам цитат, произведений, стихотворений, набранные в транслитерации (другой раскладке), с добавлением каких-либо специальных символов (*,&,$,@,#). Приемов и вариантов может быть довольно большое число. Есть две основные рекомендации:
1. Минимальная длинна пароля — сейчас считается что для достижения минимально необходимой стойкости, ваш пароль должен быть не менее 8 символов. Со временем эта цифра растет в результате анализа и статистических оценок.
2. Ваш пароль не должен быть «словарным», то есть быть легко находим в каком-либо словаре в виде отдельного слова, его производной формы или словосочетания.

В остальном — положитесь на свою лень и фантазию. Я подкину вам две интересные на мой взгляд статьи, касающиеся паролей:

Теперь поговорим про такой важный момент, как эксплуатация паролей. Эксплуатация паролей — это то, как вы их создаете, применяете и храните. Типичный вариант — «у меня есть один не сложный пароль, чтобы я его точно не забыл(а), я использую его на всех сайтах и никогда не меняю». Такой пароль является максимально не надежным ибо в случае компрометации вашего пароля страдают все ваши учетные записи. А с учетом того, что вы его никогда не меняете, шанс его утечки растет прямо пропорционально времени его существования — ведь вы могли использовать его в гостях у друзей, в интернет кафе, на компьютере у родственников — забыли разлогиниться, случайно нажали «сохранить пароль», в конце концов вам попался компьютер, зараженный вирусом с функцией кейлогера. Таким образом вы разом открываете доступ ко всему.
Я рекомендую вам следующую стратегию: индивидуальный пароль для каждого сайта / информационного ресурса, длинной не менее 8-10 символов, представляющий собой случайную комбинацию букв, цифр и спец символов.

— Какой ужас — закричите вы. Как же это запоминать и использовать? Это ведь неудобно!!!!
На самом деле сложно только в самом начале, пока вы преодолеваете некоторый психологический барьер что это «сложно». Вам просто нужно найти для себя достаточно удобный инструмент и привыкнуть к такому подходу.

В качестве инструмента я рекомендую вам программу — менеджер паролей KeePass2 или KeePassX. Они есть под все операционные системы и имеют мобильные версии, позволяют создавать красивую и упорядоченную базу паролей, которая хранится в виде зашифрованного файла. Таким образом вам нужно помнить только 1 свой самый любимый пароль и не использовать его в интернете. Это будет тот самый пароль от базы. А дальше вы будете заходить в нее и в один клик мышкой копировать нужный пароль. Более того, есть дополнения для браузеров которые позволяют автоматически подставлять пароли из базы на сайтах. Между своими устройствами базу можно синхронизировать с помощью облачных хранилищ типа DropBox или YandexDisk. В силу того что база зашифрована это достаточно безопасно.
Если применения специализированной программы кажется вам сложным — для начала можете попробовать обычный текстовый файл или даже бумажный блокнот. Блокнот будет правда предпочтительней- его нельзя выкрасть с вашего компьютера с помощью вредоносной программы.
Помните — если вам стало в 2 раза неудобней использовать свои пароли, злоумышленнику это сдало неудобней в 20 раз. Если вам в 3 раза — ему раз в 90. Зависимость нелинейная и в конечном итоге на 7-10 пароле, для вас уже не будет играть никакой роли 10 у вас разных паролей в базе или 100. То есть сложность использования станет равномерной. А вот для злоумышленника она с каждым разом будет расти нелинейно пока не уйдет просто в вертикаль. Графики экспоненты и обратной экспоненты на мой взгляд хорошо это демонстрируют:

График — сложность взлома для злоумышленника

График — сложность хранения паролей для Вас


Пост 4 (22.04.2018)

Маленький апдейт к предыдущему посту в рубрике #приватность . Меня попросили уточнить по поводу менеджеров паролей — на самом деле их существует довольно много. Есть как отдельно устанавливаемые программы типа KeePass, так и сетевые облачные сервисы вроде LastPass. Их я правда считаю менее безопасными ибо вы доверяете свои пароли стороннему сервису. Оффлайн программа в этом вопросе на мой взгляд надежней. Есть неплохие решения от компаний, специализирующихся на информационной безопасности типа Kasptersky Lab с их продуктом Kaspersky Password Manager.
Однако я все равно предпочитаю KeePass — бесплатность, открытость исходного кода и наличие клиента под все платформы являются для меня решающими. Ни в коем случае не агитирую вас выбирать только его!

По мимо функции хранения пароля, менеджеры паролей позволяют задать срок жизни пароля — по истечению которого вы получите уведомление что пароль от ресурса ХХХ пора менять. Так же присутствует анализатор сложности пароля и генератор паролей для которого уже есть несколько преднастроенных шаблонов с разной степенью сложности, плюс вы можете определить свой шаблон. Наконец помимо пароля можно хранить логин, ссылку на ресурс и море другой вспомогательной информации вплоть до прикрепления файлов. Я например храню там копию SSH и PGP ключей.
В совокупности с простым и приятным интерфейсом и возможностью строить иерархическую базу с группировокой записи любой сложности KeePass и его аналоги представляют из себя крайне удобный инструмент для хранения и работы с паролями.

Дополню эту рекомендацию еще парой моментов — помимо всех вышеописанных достоинств KeePass позволяет настроить автоблокировку доступа к открытой базе по времени бездействия, горячие сочетания клавиш, авто удаление пароля из оперативной памяти компьютера через задаваемый промежуток времени (защита от программ-воров, сканирующих память на предмет размещения там важных данных). Плюс обилие различных плагинов и шифрование базы с помощью алгоритма AES с ключом 256 и как итог — великолепный инструмент.