Персональная безопасность

2023-03-06 18:13:25 Используйте виртуальные карты при оплате в Интернете

Только ленивый сейчас не принимает платежи с помощью банковских карт в своем интернет-магазине. Как это обычно бывает, чем легче что-то использовать, тем больше дилетантов разводится в этой области. Онлайн-платежи не исключение.

Скажу по опыту, что залезть в базу данных новоиспеченного магазина не составляет большого труда для хакеров уровня "выше среднего". Многие из таких магазинов по неопытности (или из-за пофигизма) своих разработчиков хранят данные вашей карты в своей уязвимой базе данных. О том, как просто можно пробраться с святую-святых малого и среднего бизнеса - его базу данных - уже было написано чуть выше в посте о ресторане Burak.

Ежедневно десятки если не сотни сайтов допускают утечки данных своих пользователей, среди которых часто оказываются данные их банковских карт.

Если хотите что-то купить в интернете, не доверяйте свои данные дилетантам. Вместо своих настоящих карт везде используйте виртуальные карты с лимитом трат. Если данные такой карты утекут (а это лишь вопрос времени), много денег у вас не заберут. О том, как создать виртуальную карту, читайте на сайте своего банка (вот для примера как это сделать в Тинькофф и Сбербанк). И для надежности нужно перевыпускать свои виртуальные карты 1 раз в месяц, уничтожая старые.

Вопросы по постам и частные консультации по безопасности - @personal_security_consulting

Повышайте свою личную безопасность Открыть/Комментировать

2023-03-05 12:51:02 При удалении файлов, данные на самом деле не удаляются.

Современные девайсы обманывают вас, что приводит к снижению вашей безопасности. Вместо удаления данных девайсы лишь удаляют запись из своей базы данных о том, что такой файл существует. Данные на самом деле остаются нетронутыми, благодаря чему их можно легко восстановить. Этой брешью пользуются многочисленные средства восстановления.

В большинстве случаев на вашем жестком диске никто кроме вас копаться не будет, только если вы не совершили какое-то преступление, и ваш девайс не попал в руки криминалистов. В любом случае, если вы хотите надежно удалить какие-то данные, которые нельзя будет восстановить ни завтра, ни через год и вообще никогда, просто перетрите данные любым "мусором".

Например:

- если нужно надежно удалить текстовые данные, запишите в файл любой случайный текст и сохраните его - старые данные будут в большинстве случаев перетерты (зависит от вашего редактора, который может кэшировать старые данные), после чего файл можно спокойно удалять
- если нужно надежно удалить картинку, вставьте из буфера обмена поверх картинки другую случайную картинку - от старой не останется и следа, затем удалить файл

Когда "внешние силы" начинают "копать" под некую персону, целью №1 для них становится жесткий диск. Вы даже не представляете, какие порой данные можно восстановить - из темного прошлого персоны, о котором сама персона уже давно и благополучно позабыла :)

Вопросы по постам и частные консультации по безопасности - @personal_security_consulting

Повышайте свою личную безопасность Открыть/Комментировать

2023-03-04 13:24:41 Пользуйтесь готовыми IT-решениями для своего бизнеса

Я часто вижу, как небольшие компании, чей профиль бесконечно далек от IT, пытаются сами строить свои информационные системы, вместо использования готовых решений. Они забывают, что их неопытность в сфере IT только на руку ленивому хакеру!

Вот отличный пример из недавнего: сидели мы как-то с друзьями в довольно популярном ресторане Burak в центре Дубая и изучали меню на сайте ресторана. На уме у меня в тот момент была еда, но никак не "хакерство". Угораздило меня вместо прокрутки меню начать вводить имя блюда в строку поиска - сервер вместо блюд выдал ошибку, по которой сразу стало понятно, что на сайте есть уязвимость, через которую можно залезть в их базу данных.

Казалось бы, популярная сеть ресторанов с оборотом в десятки миллионов $$$ в год может быть взломана любым случайным проходимцем с базовым уровнем подготовки в сфере информационной безопасности.
А что, если ресторан станет целью экспертов? Например, если конкуренты захотят узнать побольше - кто и сколько инвестирует в сеть, кто там работает и какова выручка каждой из точек сети. Я уверен, что если разработчики, нанятые Burak и принявшие решение делать свой "велосипед" вместо использования хотя бы конструкторов сайтов, допустили такую базовую ошибку в безопасности, нарыть экспертам получится ох как много.

Я уже не в первый раз натыкаюсь на такие вот простые уязвимости в довольно серьезных бизнесах, которые могут одним днем уничтожить либо сильно навредить дальнейшему ведению бизнеса. В будущем покажу еще такие "ситуации из жизни".

Вопросы по постам и частные консультации по безопасности - @personal_security_consulting

Повышайте свою личную безопасность Открыть/Комментировать

2023-03-03 18:23:37 Не подключайте к своим девайсам чужие USB-провода

Как-то мне понадобилось стащить у одного знакомого файлы с рабочего компьютера. Проблема была в том, что он неплохо разбирался в основах информационной безопасности и не доверял работать за своим компьютером без пристально присмотра. Удаленно подключиться к этому компьютеру возможности не было.

Я мог легко найти предлог, под которым можно было бы получить физический доступ к его компьютеру, но что делать дальше, если он пристально наблюдает за всеми действиями? Казалось бы, тупик...но нет!

Существуют такие USB-провода, в который встроен микро-компьютер. Когда к компьютеру подключают такой неприметный с первого взгляда провод, микро-компьютер внутри провода выполняет на вашем компьютере программу хакера, позволяющую ему своровать ваши данные. Купить такой провод может любой желающий на Alibaba и прочих площадках за 10$, поэтому будьте предельно осторожны, подключая левые устройства (USB, флешки, клавиатуры) к своему рабочему компьютеру.

Вопросы по постам и частные консультации по безопасности - @personal_security_consulting

Повышайте свою личную безопасность Открыть/Комментировать

2023-03-02 18:40:10 Используйте полнодисковое шифрование

Ваши данные с жесткого диска можно прочитать, не включая компьютер. Если простыми словами, то для этого достаточно вынуть жесткий диск из вашего компьютера и подключить к другому компьютеру. Не потребуется даже вводить пароль входа в систему. Этим могут воспользоваться пограничники, воры и любые другие персонажи, которые могут заполучить физический доступ к вашему компьютеру.

Чтобы избежать этой проблемы безопасности, необходимо начать пользоваться полнодисковым шифрованием. Эта функция встроена во все популярные операционные системы и при её использовании все ваши данные находятся в зашифрованом виде при выключенном состоянии компьютера.

Официальные инструкции, как начать пользоваться:

1. Windows - BitLocker
2. macOS - FileVault
3. Linux - зависит от дистрибутива

Вопросы по постам и частные консультации по безопасности - @personal_security_consulting

Повышайте свою личную безопасность Открыть/Комментировать

2023-03-01 10:32:35 Антивирусы дают вам лишь иллюзию защиты

Годы маркетинга сделали свое дело, и большинство привыкло полагать, что, установив антивирус, они получают гарантию неуязвимости от вирусов и хакеров. Это, конечно же, не так.

Единственное, что вам гарантированно дает антивирус - это стабильно повышенную нагрузку на процессор и слив ваших персональных данных компании-разработчику. Антивирусы ничего не знают про уязвимости, через которые хакеры проникают к вам и плохо обнаруживают новые вирусы. Даже защиту от старых вирусов антивирусы не могут обеспечить на 100%!

Простыми словами, если вы скачиваете и запускаете у себя что попало, совершенно не следите за своей "цифровой чистоплотностью", доверившись автоматизированным средствам вроде антивируса, то лучше удалить антивирус вовсе - избавьте от лишней работы свой процессор и себя от лишних денежных трат.

Простые шаги для защиты себя без антивируса:

1. Не запускайте у себя в рабочей системе всякий мусор с левых сайтов и торрентов. Заведите себе виртуальную операционную систему специально для запуска мусора там (это не затронет вашу основную систему). Собственно, на этот пункт антивирусы и рассчитаны в своем роде. Через мусор к вам в систему проникает 95% гадости.
2. Не оставляйте свой компьютер без присмотра. Не давайте на нем работать всем подряд. Поставьте пароль и каждый раз, когда отходите - блокируйте сеанс. Через физический доступ к вам в систему проникает 4.5% гадости.
3. Хакеры не проникнут в вашу систему, если вы "оффлайн". Отключайте bluetooth, wifi, если они вам не нужны. Удалите все ненужные приложения, передающие данные по сети. Через уязвимости к вам в систему проникает 0.5% гадости.

Вопросы по постам и частные консультации по безопасности - @personal_security_consulting

Повышайте свою личную безопасность Открыть/Комментировать

2023-02-28 09:08:49 Привяжите свои банковские счета к номеру телефона, о котором никто не знает

Когда хакеры начинают "копать" под человека, в первую очередь они собирают данные о жертве из публичных источников - социальных сетей, досок объявлений и форумов. Если ваша банковская карта привязана к тому же номеру телефона, что и указан странице в социальной сети, у меня для вас плохие новости!

Теперь, если вы условный Иван Иванов, и кто-то однажды узнает, что у Ивана на банковском счете скопилась приличная сумма денег (бизнес пошел в гору или годовую получил премию на работе), под Ивана Иванова очень легко начать копать, используя разные методы из хакерского арсенала. Например, восстановить его SIM-карту без его ведома - такая услуга доступна любому смертному не только в даркнете, но и в "белом" Интернете, смотрите сами - https://bdfclub.com/threads/servis-1-po-vosstanovleniju-sim-kart-rf.149897/ (а о том, какие услуги вообще существуют в даркнете и сколько они стоят, будет написано в будущих статьях).

Поэтому прямо сейчас, или хотя бы завтра направляйтесь в ближайший салон сотовой связи и зарегистрируйте SIM-карту, о которой никто кроме вас не будет знать. Привяжите к ней все свои банковские счета и важные аккаунты в интернете и никогда, нигде её не "светите"! Это существенно повысит вашу безопасность.

Частные консультации по безопасности - @personal_security_consulting

Подписывайтесь, чтобы повысить свою личную безопасность Открыть/Комментировать

2023-02-27 09:15:02 Чем занимается ваш компьютер, когда он включен всю ночь?

Я проанализировал сетевую активность Windows-ноутбука, который всю ночь был во включённом состоянии (на этом ноутбуке никто не работал). Были установлены только основные популярные приложения, используемые большинством из нас для повседневной работы. Итак, что ноутбук делал всю ночь?

Получилась такая хронология:

1:02 : 140 КБ данных утекли на сервера Google
1:22 : 80 КБ данных утекли на сервера Microsoft
2:41 : 35 КБ данных просочились на сервера Microsoft (снова)
4:45 : 400 КБ данных просочились на сервера Google (снова)
5:48 : 800 КБ данных утекли на сервера Dropbox

Как видите, популярные приложения постоянно собирают данные о нас. Dropbox собирал данные о файлах в системе, а вот Google и Microsoft собирали телеметрию для своего рекламного движка. Проверка IP-адресов, на которые передавались данные за ночь показала, что все они принадлежат центрам обработки данных(ЦОДам) крупных технологических компаний.

Что мы можем сделать, чтобы помешать крупным компаниям собирать данные о нас? Вот простые шаги, чтобы значительно сократить сбор данных:

1. Отключить сбор телеметрии в операционной системе (инструкция для windows - https://club.dns-shop.ru/blog/t-328-prilojeniya/20001-windows-10-shpionit-za-polzovatelyami-otkluchaem-telemetriu-i-sbo/
2. Установить AdBlock (https://getadblock.com/ru), чтобы защититься от веб-сайтов, отправляющих телеметрию для таргетированной рекламы в Google и Facebook
3. Всегда выключать галочку "Отправлять статистику" в настройках каждой программы, которую используете.

Частные консультации по безопасности - @personal_security_consulting

Подписывайтесь, чтобы повысить свою личную безопасность Открыть/Комментировать

2023-02-26 13:24:10 Есть ли у вас план восстановления данных на "черный" день?

Представьте, что в один день вы лишились всех своих гаджетов по непредвиденной причине. Как вы теперь восстановите доступ к своим социальным сетям, фотографиям, документам и банковским счетам?

Чтобы такая ситуация не настигла вас однажды врасплох, рекомендую использовать подход, который уже не раз выручал меня:

1. На свои девайсы установите программу iDrive (https://www.idrive.com) для регулярного копирования файлов в облако (программа безопасная, так как хранит все данные в зашифрованном виде, никто не сможет их прочитать)
2. Перенесите все свои пароли (в том числе доступ к iDrive) в менеджер паролей (о нем в предыдущем посте)
3. Файл менеджера паролей храните в Dropbox (файл также зашифрован, это безопасно)
3. Для Dropbox заведите отдельный пароль и запомните его

Теперь, если в один день случится землетрясение/наводнение/пожар, вы сможете легко восстановить все свои данные:

1. Зайти в свой аккаунт Dropbox, скачать файл с паролями
2. Из файла с паролями восстановить доступы во все свои аккаунты
3. Из аккаунта iDrive восстановить резервные копии всех своих файлов и документов

Частные консультации по безопасности - @personal_security_consulting

Подписывайтесь, чтобы повысить свою личную безопасность Открыть/Комментировать

2023-02-25 18:22:24 Используйте менеджер паролей

Если вы используете одинаковый пароль более чем на одном сайте, у меня для вас плохие новости: возможно, ваши пароли утекли на одном сайте и используются хакерами на другом сайте! Вы можете легко проверить утекшие данные о себе с помощью Telegram-бота "Глаз Бога" - https://eyeofgod.vision/. Если он знает о ваших паролях, то хакеры - подавно.

Вместо одного пароля на всех сайтах используйте один пароль для доступа к программе-менеджеру паролей, а на каждом отдельном сайте используйте уникальный пароль, который не придется даже запоминать. Наиболее безопасное приложение для управления своими паролями - Keepass (https://keepass.info/).

Подписывайтесь, чтобы повысить свою личную безопасность Открыть/Комментировать