Основные правила информационной безопасности

[Meggi]

Источник цитаты
Зарегистрируйтесь чтобы увидеть ссылку

А это для чего? Поясни. Я поняла, что ты умный, сделай скидку на мой возраст. Если сыну 40, мне явно не 35 Коротенькую пояснительную записку, please/

[WindRider]

Источник цитаты

Источник цитаты
Зарегистрируйтесь чтобы увидеть ссылку

А это для чего? Поясни. Я поняла, что ты умный, сделай скидку на мой возраст. Если сыну 40, мне явно не 35 Коротенькую пояснительную записку, please/

Для России : Загрузите последнюю версию со страницы релизов , распакуйте файл и запустите скрипт 1_russia_blacklist_dnsredir.cmd .
Для других стран: загрузите последнюю версию со страницы релизов , распакуйте файл и запустите 2_any_country_dnsredir.cmd .
Эти скрипты запускают GoodbyeDPI в рекомендуемом режиме с перенаправлением DNS-резолвера на DNS Яндекса на нестандартном порту (для предотвращения отравления DNS).
Если это сработало — поздравляю! Вы можете использовать его как есть или настроить дальше.
Страница релизов:https://github.com/ValdikSS/GoodbyeDPI/releases/download/0.2.2/goodbyedpi-0.2.2.zip
Распаковать и запустить файлы выше
Перед этим зайти по адресу: chrome://flags/
Найти TLS 1.3 hybridized Kyber support
Изменить параметр:default на
disabled
В правом нижнем углу будет кнопка перезапустить. Синего цвета. Окно с включенным antidpi не закрывать. Все Ютуб работает

[WindRider]

На какую тему вы хотите получить знания?)
В чем вам нужна помощь?)
Пишем , не стесняемся

[WindRider]

Как зашифровать данные на телефоне.
Все мы считаем себя умнее других и не задумываемся о том что посторонний человек может случайно или специально получить доступ к телефону.
Чем это грозит? Явно ничем хорошим. Чтобы этого не допустить необходимо защитить свои данные
Как защитить данные на Андроиде
Зайдите в Настройки.
Нажмите на Безопасность. Если ваш телефон зашифрован, вы увидите опцию Зашифровано. Если нет — начинайте шифрование, нажав на опцию Зашифровать телефон.
На следующем экране вы увидите предупреждение, что ожидать после того, как шифрование закончится. Если вы готовы, нажимайте кнопку Зашифровать телефон.
Снова увидите предупреждение о том, что не нужно прерывать процесс. Опять нажмите кнопку Зашифровать телефон.
Ваш телефон перезагрузится и начнет шифрование. Вы будете видеть индикатор выполнения и время окончания шифрования.
Как только шифрование закончится, телефон снова перезагрузится. Чтобы проверить, что шифрование включено, зайдите в Настройки > Безопасность. Вы увидите подтверждение Зашифровано под опцией Зашифровать телефон.
Как зашифровать карту памяти
Шифрование обычно применяется только к данным, которые хранятся в памяти телефона. Но хакер все равно может получить доступ к карте памяти, если вставит ее в другой телефон или устройство для считывания.

Но не волнуйтесь — карту памяти тоже можно зашифровать:

Зайдите в Настройки, выберите Безопасность > Зашифровать внешнюю SSD карту и нажмите Включить.
В отличие от шифрования устройства, которое можно отменить только при сбросе настроек до заводских, шифрование карты памяти можно легко отменить в меню Настроек.

Как зашифровать устройства на iOS
Apple внедрила шифрование на iOS 8 еще в 2014 году. Если вы используете пароль или Face ID для разблокировки вашего Apple-устройства и входа в приложения, то шифрование данных, скорее всего, уже включено.

Чтобы точно проверить, защищены ли ваши данные, зайдите в Settings > Face ID & Passcode или Touch ID & Passcode, прокрутите до конца экрана. Если вы увидите сообщение Data protection is enabled, ваши данные зашифрованы.

Включить шифрование в iOS несложно. Для этого нужен код безопасности или отпечаток пальца.

Откройте меню Settings.
Пролистайте вниз и выберите Face ID & Passcode.
Опция будет называться «Touch ID & Passcode» на телефонах Apple до модели «X».
Введите пароль, который вы установили, когда впервые активировали устройство.
Выберите Turn Passcode On и задайте пароль. Рекомендуется использовать длинный пароль из букв и цифр, но 6-значный PIN-код тоже подойдет. В зависимости от версии устройства, вы также можете настроить Touch ID или Face ID.
Проверьте, появилась ли надпись Data protection is enabled.

[Ergo]

WindRider, а в чем прикол шифрования то? Удаленно инфу не извлечь? При физическом то доступе к телефону ничего не изменится? Так же и галерея и контакты переписки откроются?

[WindRider]

Источник цитаты WindRider, а в чем прикол шифрования то? Удаленно инфу не извлечь? При физическом то доступе к телефону ничего не изменится? Так же и галерея и контакты переписки откроются?

Прикол в том что если твой телефон потеряется, никто твои данные вытащить не сможет. Ну либо украдут. Отделаешься лёгким испугом и максимум потерянным телефоном. Догнал ?
Физически так же все включается и выключается
Удаленно данные извлечь нельзя. Ты же не президент страны, чтобы конкретно под тебя вирус писали))

[WindRider]

Введение
Это руководство не про анонимность.

Анонимность - это полное скрытие информации о себе, вплоть до личности. Чтобы было невозможно понять, кто вы. Поддерживать анонимность в Сети трудно даже людям из организованных хакерских группировок. Начинать следует с приватности - скрытии информации о вашей личной жизни. Поддерживать приватность проще, это как гигиена.

Это руководство не про сопротивление большому брату и корпорациям.

У меня нет цели рассказать вам, как стать неуловимым и не дать заработать на себе большим компаниям. Вы уже в системе, вас уже используют, вы уже товар. А если вы уверенно возражаете и считаете себя анонимным - вероятно, вы находитесь в другой системе, может даже криминальной, и вряд ли почерпнёте здесь что-то новое.

✅ Это руководство про ценность личной информации.

Каждый волен сам решать, что ему скрывать. Мне лишь хочется показать, как используются данные, которые вы не скрыли, и как пресечь это использование. Как понять, насколько ценна информация, которую вы собираетесь ввести в окошко и нажать кнопку "Сохранить". Как не продать свои персональные данные по цене шавермы.

✅ Это руководство про приватность и counter-OSINT.

Вы узнаете о том, как мыслят люди, которые собирают информацию о вас. Чем они пользуются и руководствуются, какие данные для них важны. Что они с этой информацией могут сделать (и делают!).

И, конечно же, вы получите инструкции по тому, как свести риски потери вашей приватности к нулю. Фактически, это путеводитель для новичков в мир персональной контрразведки.

Добро пожаловать!
На страницах руководства вам также будут встречаться разделы " Продвинутый уровень".
Они описывают защиту от более серьёзных угроз, но и требуют больших сил и затрат.

Если вы посчитаете эти разделы более полезными для себя, то вам наверняка будет интересно великолепное руководство по анонимности в Сети "Автостопом по анонимности в Интернете".

Следовать ему довольно сложно (в реалиях России практически невозможно), но оно содержит много дополнительной информации, рекомендаций и ссылок, которые осознанно не включены в это руководство.
Почему это важно
Трудно оставаться вне зоны доступа в наше цифровое время. Отшельник может иметь телефон для экстренной связи, а собака, хоть и не каждая, — аккаунт в Инстаграме.

Проникновение социальных сетей и средств связи могло бы быть исключительно позитивным, если бы не приводило к массе печальных последствий. От звонков фальшивых сотрудников Сбербанка с просьбой продиктовать пароль из СМС, и до коллекторов, внезапно требующих вернуть кредит, взятый на ваш паспорт.

В последние годы появился тренд на приватность и защиту информации о пользователях: GDPR, CCPA, LGBD. Компании обязали заботиться о сохранности персональных данных и о предотвращении их утечек. Но стали они собирать о нас меньше информации? Никак нет. Для них наши данные — источник прибыли.

Но и ужесточения правовых норм для компаний недостаточно. Вы наверняка оставили много "хлебных крошек", потому что уже не первый год в Интернете. Старые аккаунты, объявления, публичные переписки, фотографии. По этим следам можно вплотную подойти к вам и использовать это в любых целях.

Интересный факт: в 2017 году журналистка нашла анонимные аккаунты директора ФБР всего за пару часов. Достаточно было наводки о его существовании, информации о сыне и о дипломной работе по теологии.

Огромный массив данных о людях, который возможно легко собрать подручными средствами, привёл к популярности OSINT — методологии сбора данных из открытых источников. Часто под этим термином сейчас подразумевают средства слежки за людьми, хотя изначально это методология разведки. Любое средство можно использовать как в благих, так и в плохих целях — об этом следует не забывать.

Поэтому важно иметь средства Counter-OSINT — инструменты для защиты своих данных и обеспечения приватности.

Что будет в следующих главах
Разберём простые, но эффективные шаги, которые сильно затруднят сбор информации о вас стороннему наблюдателю. С конкретными пунктами и действиями.

Руководство будет полезно самому широкому кругу заинтересованных — не только тем, кто что-то слышал про OSINT, но и друзьям, знакомым, родителям. Инвестиция в полчаса на вдумчивое чтение и осознанные действия принесёт спокойствие и защиту от мошенничества, слежки, преследования, шантажа.

При этом не будем пренебрегать удобством. Многие руководства концентрируются на том, чтобы обезопасить себя по максимуму (даже если это не оправданно). Мы же будем исходить из необходимости соблюдения баланса между приватностью и удобством, при котором пользование Интернетом не будет осложнено.

Напомню, что OSINT — это сбор информации из открытых источников. Но, к сожалению, часто в Сеть попадают такие чувствительные данные как базы номеров телефонов, паспортных данных и так далее.

Мало того — в РФ через "пробив" можно получить подробные сведения о владельце номера телефона, машины, квартиры из официальных государственных реестров и баз данных. К сожалению, многие люди готовы за деньги предоставить доступ к тому, что должно быть тщательно защищено.

Будем считаться с этим: невозможно обеспечить полную анонимность и удалиться из всех реестров, но возможно усложнить процесс поиска настолько, что злоумышленник не сможет зацепиться за информацию.

Таким образом, цель руководства — научить защищать общедоступные сведения и усложнять процесса поиска других сведений про вас.

Определяем важную информацию
Чтобы понять, какие данные важнее и что следует больше защищать, необходимо знать современные реалии с поправкой на Рунет. Это мы и разберём далее, и чтобы попытаться быть объективными, используем OPSEC.

Термин OPSEC, как и OSINT, пришёл из американской разведки. Он означает процесс анализа и защиты критически важной информации.

Болтать - врагу помогать!

Для начала перечислим все первичные данные, которые так или иначе раскрывают нашу личность, но существуют физически вне Интернета.

Фамилия, имя, отчество
Дата рождения
Паспортные данные (серия, номер и т.д.)
Физический адрес
Личные документы (водительское удостоверение и т.д.)
Биометрические данные
Прочая личная и идентифицирующая информация
Таких данных не так много. Но, имея хотя бы часть, можно притвориться вами и обмануть третих лиц. Например, разослать знакомым сообщение с просьбой срочно перевести деньги из-за трудной ситуации.

При этом мошенники не обязательно будут заинтересованы конкретно в вашей личности. Например, они могут купить базу и сотни "свежих" паспортов, чтобы привязывать паспортные данные к электронным кошелькам QIWI для увеличения лимитов по выводу денег.

Любые личные данные могут быть использованы. Например, восстановление доступа к аккаунтам социальных сетей часто требует ответить на контрольный вопрос. Таким образом, знание девичьей фамилии матери или любимого музыканта повышает шансы взломать вас.

Интересный факт: в 2012 произошел громкий случай захвата сразу 4 аккаунтов человека при знании только лишь адреса, имени и email. Элегантная цепочка восстановления доступа — сначала использовать известные данные, потом привязать фальшивые — позволяла сначала завладеть доступом в Amazon, GMail, Apple, Twitter, а потом и вовсе удалённо стереть данные с устройств человека.

Возможно, вас смутил пункт "биометрические данные", но, увы, их использование уже давно вошло в нашу жизнь. Уже давно распространены средства поиска по лицу, которые используют те же технологии, что и для разблокировки личного телефона через переднюю камеру, а также обширные базы данных из социальных сетей. Когда вы оставляете свою фотографию в Сети, вы оставляете возможность найти себя.

Анализируем угрозы
В соответствии с процессом OPSEC проанализируем, кто может быть заинтересован в подобных действиях и как может использовать информацию о нас. Давайте рассмотрим популярные случаи использования первичных данных на схеме ниже и попробуем сделать выводы.

Что можно сделать с нашими данными?

Что можно сделать с нашими данными? Наверняка вы обратили внимание, что большинство пунктов связано с получением денег. Думаю, финансовая мотивация мошенников не требует объяснения. Единственное, что следует отметить — деньги могут быть похищены не только у вас, но и у других лиц. В этом случае критичным для нас становится участие в уголовном процессе, куда могут привлечь как свидетелем, так и обвиняемым.

Выгода от сбора полной информации о вас, включая доступ к перепискам, менее определена. Это может быть как бытовое преследование, так и шпионаж, шантаж и прочее. Ясно только, что в большинстве случаев это причинение личного вреда и вторжение в частную жизнь.

Эти угрозы понятны и объяснимы, а во многих случаях регулируются законом. Статьи, связанные с финансовыми потерями, перечислять нет смысла, настолько их много; а сбор личных данных — это 137 УК РФ. Однако, давайте взглянем правде в лицо: требуется серьёзная причина, чтобы идти и самостоятельно форсировать возбуждение дела, а участие в таких процессах — стресс. Поэтому вернёмся к уже озвученной выше позиции: наша цель в том, чтобы защитить свои данные и избежать угроз.

Очевидно, что знания первичных данных недостаточно для проведения мошеннических схем. Таковые обычного основаны на социальной инженерии и предполагают дистанционное взаимодействие через звонок или сообщения. То есть, мы неявно подразумеваем, что у недоброжелателям уже известны наши вторичные данные, виртуальные идентификаторы — номер телефона, электронная почта, адрес аккаунта социальной сети. Таким образом, получение информации об этих данных несет в себе не меньшую угрозу.

Про каждый из типов данных дальше будет рассказано подробнее. А пока оставим своё внимание на том, что чем больше данных попадает в чужие руки, тем серьёзнее может быть исход. Отсюда вывод — количество данных о вас необходимо контролировать, не разбрасывать их где не следует и следить за их использованием.

Поговорим о цифровой гигиене.

Отправлено спустя 1 минуту 23 секунды:
Базовая цифровая гигиена
Сформулируем нашу цель так: минимизировать количество данных, которые можно собрать о вас в одном месте.

Не класть яйца в одну корзину.

Почему это важно?

Пример 1
Вы пользуетесь услугами компании, которая тратит слишком мало денег на безопасность. В один прекрасный момент их взламывают, и вся клиентская база оказывается в руках злоумышленников: телефоны, почтовые адреса, имена, фамилии, ваши покупки. Почти всегда такие базы в итоге оказываются в публичном доступе. В итоге ваши данные станут доступны всем желающим.

Пример 2
Вы пользуетесь услугами компании в высококонкурентном бизнесе, где цена данных клиентов очень высока. Некоторые сотрудники уходят к компаниям-конкурентам, скопировав себе клиентскую базу. Каким образом эта база будет использована, и не пойдёт ли она дальше по рукам — нет никаких гарантий.

Пример 3
Вы пользуетесь услугами компании, которая собирает данные своих клиентов, чтобы предлагать скидки и акции. Для этого они рассылают рекламу, пользуясь услугами другой компании. Эта компания делает рассылки постоянно, и заинтересована иметь свои данные по клиентам. Поэтому у второй компании накапливаются базы с данными чужих клиентов, которые могут быть потом переиспользованы для других рассылок.

Наверняка у вас возникло возражение: неужели это никак не контролируются законом? Они не могут легально пользоваться этими данными!

К сожалению, законодательство в сфере обработки персональных данных (ПДн) не поспевает за реалиями. Обмен виртуальными (не физическими!) данными трудно отследить и пресечь. Более того, рынок нелегального обмена ПДн настолько развит, что большие игроки лоббируют его легализацию. В таких условиях нельзя положиться на защиту государства или гарантии компаний, и нам необходимо относиться более сознательно к тому, какие данные и в каком количестве мы отдаём другим.
Телефонный номер
Ранее мы говорили, что телефонный номер - это вторичный идентификатор. С точки зрения здравого смысла это так: вы можете избавиться от телефона, разорвать контракт с оператором, а может приобрести 100 номеров, и тогда любопытные погрузятся в аналитический паралич, пытаясь с этим разобраться.

Но с точки зрения онлайн-платформ телефон - самое удобное средство связи с вами и подтверждения вашей личности. Поэтому практически все используют номер в качестве первичного, уникального идентификатора.

Отсюда следует очевидный вывод. Почти любой сайт знает ваш телефонный номер и обладает своими сведениями о вас. Этими сведениями сайт может обмениваться (и делает это!) с другими компаниями - в рамках услуг, за деньги, бартером.

Примеры таких сайтов и платформ:

Системы авторизации в публичном Wi-Fi (97-ФЗ)
Скидочные и дисконтные карты
Авторизация / верификация в социальных сетях и мессенджерах
Соединив все кусочки информации по вашему номеру телефона из разных мест, можно собрать ваш портрет. Что с этим делать?

Разделяем личную жизнь и работу
Почти все мы имеем рабочие и личные дела. Поэтому начать стоит с разделения этих сфер жизни.

Большинство крупных компаний предлагают сотрудникам корпоративную связь: или вы берёте новую сим-карту от компании, или на ваш личный номер подключают рабочий тариф.

Но даже если такой возможности нет, всегда заводите отдельный номер телефона. У меня есть несколько аргументов:

Ваши аккаунты невозможно будет связать по номерам автоматически, кроме как через договор с оператором. А это уже высокий уровень защиты!
С отдельным телефоном на порядок легче мыслить в категориях приватности. У вас есть выбор, какой номер привязать к смс-банкингу, а какой на публичном сайте компании.
Работа есть работа, она должна быть отделена от отдыха и вашей личной жизни. И второй телефон пойдёт только на пользу. :)
Используем виртуальный номер
Можно выделить 3 сегмента сервисов, которые помогают защитить ваш реальный номер телефона.

Сервисы для одноразового приёма СМС
Есть общедоступные сайты, позволяющие принять СМС от любого отправителя. Список их перечислять не будем, потому что их достаточно просто нагуглить по фразе receive sms online.

В них используется небольшое количество номеров телефонов одновременно, и часто на них уже заведены аккаунты на разных сайтах: тестировщиками, спамерами, мошенниками. Однако, их можно использовать для авторизации в публичных Wi-Fi сетях. Минус такого подхода только в том, что для получения доступа к публичному интернету вам уже нужен интернет.



Разумеется, подобные сервисы не рекомендуется использовать для получения чувствительной информации и привязывания к своим личным аккаунтам, так как полученные сообщения и коды доступа может увидеть кто угодно.

И небольшой совет: перед попыткой использования номера с любого из таких сайтов следует обратить внимание на время получения последнего СМС-сообщения (таблица на скриншоте выше). Если это время далеко в прошлом, то номер уже не работает, но его ещё не убрали с сайта.

Сервисы для приёма СМС под конкретный сайт

Отправлено спустя 33 секунды:
Почтовый ящик
Адрес электронный почты был и остаётся самым распространённым идентификатором для аккаунта в Сети. У вас может не быть телефонного номера, но у вас должен быть ящик - это неписанное правило.

Наличие электронной почты само по себе раскрывает о вас некоторую информацию. Прежде всего, это алиас, имя ящика, слева от символа собаки "@". Первый и очевиднейший совет -- не стоит выбирать именем ваши инициалы, фамилию и год рождения, если это не сугубо личный или рабочий ящик.

Второй, но немаловажный совет -- внимательно изучите провайдера электронной почты. Наиболее известные бесплатные сервисы почты "вдогонку" к email дают вам аккаунты в других продуктах. Это относится прежде всего к Google и Яндекс, так как эти компании ведут свой бизнес в большом количестве других сфер, и предоставить вам бесплатный ящик за то, что вы станете пассивным потребителем десятка других сервисов -- их хлеб.

Разделение аккаунтов
Чтобы усложнить поиск информации о вас, рекомендуется использовать ящики с умом: используя техническую возможность создания вариаций ящиков. Согласно официальным соглашениям, после алиаса и перед знаком @ вы можете указывать дополнительный суффикс с "+", например nickname+facebook@google.com. Письма на такой электронный ящик будут приходить к владельцу nickname@google.com, но с точки зрения сайтов это будет совершенно другой ящик. У Google, к тому же, существует особенность: любые точки в алиасе рассматриваются как опциональные и работают как суффиксы после "+".

Существует несколько схем использования: уникальный ящик для каждого сервиса, уникальный ящик для каждой "личности" либо использование только для некоторых сервисов по известной только вам схеме.

Дополнительные преимущества использования суффиксов и точек описаны здесь. Также вы можете проверить использование своего почтового ящика на разных сервисах с помощью инструмента mailto_analyzer.

Долой ящики для подписок, мусора и спама
Отдельно стоит отметить привычку большого количества людей использовать отдельный "мусорный" почтовый ящик для некритичных сервисов и разнообразных спам-подписок. Само по себе разделение почтовых ящиков полезно, но только если оно сознательно (см. выше).

Если же вы не заглядываете в такой ящик, и письма там лежат непрочитанными тысячами и более, то это важный сигнал: разберитесь, действительно ли вам нужен этот ящик. Если нет, то отпишитесь от всех рассылок и удалите связанные с ним аккаунты, чтобы минимизировать вероятность использования этого email-адреса для сбора информации о вас.

Одноразовые ящики электронной почты
Существует большое количество сервисов, предоставляющих одноразовые почтовые ящики на 10-15 минут. Они хороши для одноразовых регистраций на сайтах, куда вы попадаете в первый раз и больше, скорее всего, не воспользуетесь. Здесь рассмотрим те сервисы, которые создаются на случайных доменах.

Сервисы, генерирующие правдоподобно выглядящие алиасы (имя.фамилия):

TemporaryMail
MinuteInbox
Другие популярные сервисы:

10minutemail
TEMPMAIL
Mohmal
Общедоступные ящики электронной почты
Также в Интернете можно найти сервисы, которые дают возможность использовать ваш алиас для временного ящика. Такие почтовые адреса удобно использовать для сервисов, в которых email должен выглядеть правдоподобно.

Примеры таких сервисов:

Maildrop
Mailsac
templail+
Yopmail - также поддерживает пересылку (см. ниже)
Пересылка почты с других почтовых ящиков
Сервисы, которые позволяют пересылать письма используют, так называемые "маски", позволяющие скрыть ваш настоящий электронный адрес.

Принцип работы очень простой:

Адрес-маска получает письмо
С этого адреса идет пересылка письма на ваш настоящий адрес
Пример на основе Firefox Relay:

Сначала предоставляется маска, которая скрывает настоящий адрес.

firefoxrelay

Теперь, используя данный адрес-маску мы можем получать письма на свой электронный адрес, не показывая его всему Интернету.

relayedemail

Apple предоставляет возможность своим пользователям использовать анонимизированные почтовые ящики, функционирующие таким же образом. Они имеют такой вид: 1v5zvsmkp6@privaterelay.appleid.com.

Раздел будет дополняться

Примеры сервисов:

SimpleLogin
AnonAddy - делает адреса по шаблону *@ivanov.anonaddy.com
Firefox Relay - делает случайные адреса на домене mozmail.com
erine.email - делает адреса по шаблону *.ivanov@erine.email

Отправлено спустя 1 минуту 14 секунд:
Фамилия, имя, отчество, дата рождения
Почему эта информация вынесена в отдельный раздел? Как правило, ФИО и даты достаточно, чтобы найти конкретного человека, так как вероятность совпадения всех этих данных у двух людей очень низкая.

Государственные учреждения
В различных областях действуют нормы, обязывающие или поощряющие публикацию документов с персональными данными. С одной стороны, открытость в этих областях помогает прозрачности в отрасли (например, госзакупки, списки прошедших/выпускников), но нас более волнует, что, однажды попав в такой документ, нам будет сложно из него удалиться.

К России относятся следующее:

списки абитуриентов в университетах: часто выкладываются с полными ФИО, количеством баллов, из года приказа о зачислении можно сделать вывод о возрасте;
информация об индивидуальных предпринимателях, руководителях и учредителях компаний (ЕГРЮЛ/ЕГРИП);
публичные картотеки судебных дел: однажды совершив правонарушение и даже сумев оправдаться, вас можно будет найти по истории дел;
общедоступные телефонные базы: большей частью содержат неактуальную информацию, но с привязкой к дому и квартире;
публичные реестры задолженностей и залогов;
и так далее.
Раздел будет дополняться

Вход через другой сайт (Single sign-on)
Современная архитектура авторизации и регистрации в онлайн-сервисах предполагает активное использование сторонних "проверенных" учётных записей. Например, почти везде в зарубежном сегменте интернета есть возможность входа через Facebook, в то время как в России всё больше распространяется вход через VK. В каких-то сервисах это подразумевается неявно, например, вход в YouTube через Google-аккаунт.

Если вы таким образом авторизуетесь на неосновном и общедоступном устройстве (например, телевизор или игровая приставка), то есть риск раскрытия о себе публично отображаемой информации, например, имени и фамилии. Для минимизации этого риска стоит переименовывать аккаунт с "Имя Фамилия" на что-нибудь нейтральное, например, "Аккаунт".
Адрес и местоположение
Для начала выделим несколько сущностей, на которые имеет смысл обращать внимание с точки зрения OPSEC.

Это:

геолокация: ваше местоположение в реальном времени, которое чаще всего утекает по цифровым каналам; это могут быть как координаты, так и адрес до квартиры;
адрес постоянной регистрации: то, что чаще всего называют "пропиской" - анахронизм постсоветской России, требуемый во многих государственных системах, но почти везде вытесняемый следующим адресом
адрес фактического проживания: адрес, по которому вы "временно зарегистрированы", также требуемый различными законами и актами для возможности оказания вам различных услуг.
К сожалению, в отличие от США, где ваш адрес = ваш почтовый ящик, в России адрес строго привязан к физической недвижимости. Поэтому у нас невозможны фокусы с "кочевничеством" как в Техасе или Южной Дакоте, где вам необязательно иметь место жительства. Однако, есть возможность использовать абонентские ящики, о чём сказано ниже.

Как предотвратить утечки адресов
Не публикуйте фотографии в "сыром" виде, файлами. Часто они содержат информацию о месте съёмки.
Если пользуетесь доставкой, указывайте минимально необходимое количество информации в стандартных полях адреса. Самый предпочтительный вариант - указать лишь номер дома и встретить курьера снаружи. Всё остальное (этаж/квартира/домофон) пишите в поле дополнительной информации — курьер его легко прочтёт, а вот в базу данных с вашим адресом такая неструктурированная информация попадёт с меньшей вероятностью.
Использование абонентских ящиков
В России есть единый государственный оператор почтовой сети: Почта России. Он осуществляет большинство почтовых отправлений.

Для доставки обычно используется адрес пребывания человека и его имя, т.е., необходимо указывать ФИО, почтовый индекс, а также полный адрес, включая номер квартиры. Обычные письма или извещения о заказных письмах/посылках доставляются почтальонами вплоть до почтового ящика на двери дома или в подъезде многоквартирного дома.

Однако, существует возможность анонимной для отправителя доставки писем с использованием абонентских ящиков. Это выделенный ящик для почты в конкретном почтовом подразделении. Каждый ящик имеет свой номер, онлайн можно выбрать любой незанятый, наппример, 777. Также при договоре заключении аренды ему можно присвоить произвольное имя - это платная (и относительно дорогая) услуга. Единственный минус с точки зрения приватности - для аренды ящика необходимо создать аккаунт на abox.pochta.ru, указав свой номер телефона и паспортные данные.

После заключения договора вы получите ключ от ящика, и можете открыть его в любое время. Но важно понимать, что ящики расположены на территории почтовых отделений, и доступ к ним регламентирован его временем работы. Поэтому удобнее выбирать самые большие отделения, где абонентский отдел работает круглосуточно. В Москве, например, это почта на улице Мясницкой, индекс 101000.

Каким образом теперь отправлять письма? В качестве адреса просите ваших корреспондентов указывать только индекс и номер ящика. Возьмём примеры выше.

Каноничная запись: 101000, а/я 777

Или же коротко: 101000, 777

А если вы присвоили ящику имя "Свалка", то: 101000, свалка

Правила доставки отправлений касаются и абонентских ящиков. Это значит, что для заказных писем вам будут класть только извещения, и для их получения необходимо продиктовать работнику абонентского отдела номер телефона, получить смс, и только после этого вам выдадут письмо. Но обычные письма, конечно, будут класть прямо в ящик.


Пароль
Главный принцип: Никогда не используйте одинаковые или похожие пароли

По двум причинам:

Имея вашу почту и пароль от сайта 1, кто-нибудь обязательно попробует зайти с ними на сайт 2 - и дело не лично в вас, рынок продажи взломанных аккаунтов очень большой, а это товар.
Если данные о ваших аккаунтах вместе с паролями всплыли в утечках, то получится сопоставить между собой даже совершенно разные почты и номера телефонов (хороший пример).
Но как держать в голове много паролей? И где их брать? Советую не относиться ко всем паролям как к данным, которые всегда должны быть у вас в голове. Экономьте место у себя в памяти.

Самый оптимальный способ: создание одного достаточно длинного пароля-фразы для хранилища паролей (или для учётной записи, к которой привязан ваш браузер, в котором хранятся все пароли).

Раздел будет дополняться

Как придумывать стойкие пароли
Стандартные рекомендации по использованию 8 символов, которые включают в себя специальные символы, буквы, цифры не работают! Ведь P@ssw0rd тоже подходить под эти требования, а это не самый крутой пароль, поэтому давайте разбирать методы для создания стойких паролей.

Три случайных слова
Существует простой, но действенный метод для создания паролей - метод 3-х случайных слов.

В чем заключается данный метод? Когда мы регистрируем новый аккаунт, мы просто придумываем 3 случайных слова и ставим их как наш пароль, например: NETWORKINGHYGIENEDEVELOPMENT согласитесь, это намного легче запомнить, чем: asndjBDHJBSDhjSBADHJadbzhjF, да и простым перебором по словарю перебрать такое будет достаточно сложно.

Такие пароли можно усилить, используя LEET, заменяя некоторые буквы на цифры, то есть наш пароль будет иметь следующий вид: N3TW0RKHY6I3N3D3V3L0PM3NT Таким образом наш пароль становится более стойким, приэтом его сложность для запоминания увиличивается не на много, а если вы были знакомы с LEET, до этого, то вам будет еще проще.

Для еще большей стойкости можно разделять слова при помощи разных спецсимволов, например: -, ~, =.

Русские слова в английской раскладке
Еще один простой, но действенный метод - использование случайных русских слов в английской раскладке.

Мы просто берем случайные слова на русском языке и пишем их в английской раскладке, например из ехалгрекачерезреку мы можем получить следующее t[fkuhtrfxthtphtre.

Выглядит интересно и довольно стойко, но можно дополнять символами/цифрами в конце, например: t[fkuhtrfxthtphtre123! t[fkuhtrfxthtphtre34345!

Раздел будет дополняться

Менеджеры паролей
Это то, чем должен пользоваться каждый! Вспоминаем главный принцип из первой строки и сразу в голову приходит вопрос - "Ну, мне что теперь, запоминать 100 паролей!?!?". Нет, не нужно запоминать 100 паролей, требуется один, это пароль от менеджера паролей.

Менеджер паролей позволит генерировать стойкие пароли и хранить их в одном, а что главное - безопасном месте.

Обзор популярных менеджеров паролей можно прочитать в данной статье - Обзор менеджеров паролей

Личной рекомендацией составителей руководства будет сервис Bitwarden. Для личного использования его хватит с головой, бесплатная версия включает хранение неограниченного количества паролей, использование с неограниченного количества устройств и все основные функции менеджеров паролей. Помимо хранения паролей, также можно хранить свои номера банковских карточек и заметки. Генератор паролей позволяет сгенерировать стойкий пароль и проверить его в утечках, что несомненно является одной из "Killer Feature".

LessPass
Что если вам сложно хранить пароли и синхронизировать их между разными устройствами? На помощь приходят парольные менеджеры без необходимости что-то хранить!

LessPass - не единственная подобная программа, но одна из известнейших. Её концепция в том, что генерация одноразовых паролей происходит на лету при помощи функции, результат которой всегда одинаков при условии одинаковых параметров.

Программе надо сообщить:

мастер-пароль
логин на сайте
адрес сайта
После этого она без какой-либо отправки данных или сохранения чего-либо куда либо сгенерирует ваш пароль. В любой момент на любом устройства вы можете запустить эту программу — и получить свой пароль для конкретного сайта.

image

image

Полезные материалы и ссылки на источники
Свободный менеджер паролей LessPass работает на чистой функции

Отправлено спустя 33 секунды:
Если считаете полезным то что я делаю - ставьте лайки, продолжу )

[WindRider]

Дополню:
В телеграмме существует огромное количество ботов, которые ежедневно собирают информацию о наличии активности в тех или иных группах
Поэтому:
Не сидим в общедоступных чатах,
Не палим свое фото,
Не пишем разную хрень,
Не сидим с реального номера

[WindRider]

Просьба:
1). Модераторам - удалить все сообщения в этой теме не относящиеся к информационной безопасности
Правила дополнены:
Нельзя:
1) Разглашать личные данные пользователя ( имя, телефон, адрес и т.д)
2) Публиковать фотографии с лицом,
3) Сообщать род деятельности знакомых, коллег, и т.д То есть общий характер можно. Точное наименование нельзя.
Принадлежность к специальным службам и т.д
При компрометации данных сведений, необходимо отредактировать сообщения. Касается и пользователей и модераторов

Отправлено спустя 22 минуты 52 секунды:
Олег здравствуйте. Указания не раздаю, вотчина ваша. Просто идею подкинул. Идея здравая

Отправлено спустя 10 минут 51 секунду:
От себя дополню:
Если очень хочется выговорится.
Не публиковать сведения в режиме real-time,
Можно исказить данные ( касается дат, названий улиц, городов и т.д).
Смысл от этого не теряется, но поверьте потенциальному сборщику компромата на вас это сильно усложнит анализ массивов данных

[Олег В]

Источник цитаты Просьба:
1). Модераторам - удалить все сообщения в этой теме не относящиеся к информационной безопасности

Какие именно? Из тех что есть, это вопрос-ответ по теме.

Отправлено спустя 7 минут 54 секунды:
У меня на ксиоми нод13, андроид14- функции зашифровать не нашёл.

[WindRider]

Источник цитаты

Источник цитаты Просьба:
1). Модераторам - удалить все сообщения в этой теме не относящиеся к информационной безопасности

Какие именно? Из тех что есть, это вопрос-ответ по теме.

Отправлено спустя 7 минут 54 секунды:
У меня на ксиоми нод13, андроид14- функции зашифровать не нашёл.

Привет
Щас скину

Отправлено спустя 2 минуты 32 секунды:
Зарегистрируйтесь чтобы увидеть ссылку
Зарегистрируйтесь чтобы увидеть ссылку

Отправлено спустя 3 минуты 1 секунду:
По умолчанию стоит уже шифрование на уровне прошивки

[Олег В]

WindRider, Привет. А если телефон сломается, то и вся инфа на SD карте будет мне недоступна?

[WindRider]

Источник цитаты WindRider, Привет. А если телефон сломается, то и вся инфа на SD карте будет мне недоступна?

Да. Расшифровка возможна только на том устройстве на котором она была зашифрована

[Туман]

Источник цитаты А если телефон сломается, то и вся инфа на SD карте будет мне недоступна

У меня доверия к стандартным программ нет, если есть необходимость спрятать данные, то лучше использовать стороннее приложение, которое шифрует данные, при открытие данных в проводники будет видна структура папки, файлы названия, которые могут меняться, а сами файлы откроются только через прогу, которая их шифровала, на другом телефоне тоже можно открыть используя эту же программу

[WindRider]

Источник цитаты

Источник цитаты А если телефон сломается, то и вся инфа на SD карте будет мне недоступна

У меня доверия к стандартным программ нет, если есть необходимость спрятать данные, то лучше использовать стороннее приложение, которое шифрует данные, при открытие данных в проводники будет видна структура папки, файлы названия, которые могут меняться, а сами файлы откроются только через прогу, которая их шифровала, на другом телефоне тоже можно открыть используя эту же программу

Любое ощущение безопасности - лишь иллюзия друг мой