Простейшие способы защиты конфиденциальности в интернете
Конфиденциальность - это прерогатива человека, за которую теперь нужно бороться. На нее покушаются торговые корпорации, правительства и хакеры. Вместе с желанием сохранить свою конфиденциальность есть еще большая проблема - необходимость обезопасить себя от атак.
В этой статье мы расскажем базовые принципы соблюдения конфиденциальности и безопасности в интернете для устройств, где есть криптовалюта (кошельки, биржи, эксплореры и т. д). В следующей статье - подробный гайд по безопасному хранению на холодном кошельке.
Безопасность связана с конфиденциальностью, поскольку, если отсутствует приватная информация, третья сторона может получить какие угодно данные. Это может быть факт того, что у вас есть криптовалюта (нужный для вымогателей и опасный для государств, где криптовалюта вне закона), информация о том, что у вас есть не объясненные перед государством операции, а может и ваши приватные ключи.
Абсолютной безопасности нет, но есть много базовых вещей, которые повысят защищенность. Нам кажется, что никого не интересует наша почта, посещенные локации и сайты, поэтому нет смысла так париться. Но это чаще всего оборачивается на руку хакерам и мастерам социальной инженерии.
Шифрование устройств
Сейчас большинство сервисов использует сквозную модель шифрования. Ваш телефон - конечная точка, где расшифровываются данные с сервера. iPhone шифруется, как только блокируется экран. Устройства на Android стали более безопасными, чем раньше, но нужно полностью отключать для шифрования.
Touch ID или датчик отпечатков пальцев нужны для обеспечения безопасности данных. В некоторых случаях так добраться до телефона легче, чем с паролем. Например, в США суды установили, что федералы могут заставить разблокировать телефон с помощью отпечатка пальца и это не нарушение Пятой поправки, которая защищает от самообвинения. Но даже федералы не могут заставить вас ввести пароль.
Для лучшей безопасности нужна блокировка по паролю, а не лицу и пальцу.
Для Windows 10 измените настройки конфиденциальности на удобные для вас. Также следует подумать о шифровании компьютера, что очень просто с Windows или Mac. Только не загружайте свои ключи шифрования в облако.
Установленные приложения
Каждый раз, когда вы устанавливаете приложение, оно запрашивает у вас разрешения на доступ к функциям или данным телефона: контакты, фотографии, камера и другое ПО.
Не нажимайте бездумно все разрешения для приложения, так как один мошеннический экземпляр способен пробить дыру в безопасности. Также смотрите про адекватность запросов. Например, приложение для редактирования фото не должно просить ничего более доступа к файловой системе. Оно же пытается сканировать максимум данных, которые доступны, и получается, что за бесплатное приложение мы платим другим способом - своими данными.
Приложения на компьютере и телефоне должны регулярно обновляться, чтобы закрывать баги, связанные с безопасностью. Но рекомендуется не делать это в первой волне: для устройств, которые используются для криптовалют, лучше ждать отзывов на обновление и накатывать его в ручном режиме.
На компьютере, с которого вы выходите на биржу или горячий кошелек, должен быть минимум программ. Для холодного хранения - вообще никаких сторонних программ и доступа к интернету (об этом в следующей статье). Для выхода в интернет лучше использовать проверенных блокировщиков рекламы, которые не дают сайтам устанавливать отслеживающие файлы cookie и вредоносные программы (что происходит на удивление часто).
Не игнорируйте пароли
На любом устройстве, которое вы используете для криптовалют, должны быть сложные пароли с достаточным количеством символов.
Также рекомендуется ставить пароли на важные программы.
Уменьшить свой след в интернете
В интернете работают десятки «брокеров данных», такие, как MyLife, Whitepages и Spokeo. Они зарабатывают деньги тем, что продают доступ к информации, собранной о вас лично. Сервис DeleteMe предлагает удалять вашу личную информацию у этих брокеров, начиная от $129 в год. Самостоятельно удалить имена, адреса, возраст, номера телефонов, адреса электронной почты и даже фотографии вашего дома можно с помощью их инструкции.
Безопасность передачи данных
SMS-сообщения и телефонные звонки могут быть перехвачены и прослушаны в любое время - это закон. Органы также могут использовать устройства для принудительного понижения соединения с LTE до незашифрованных каналов, чтобы упростить отслеживание телефона. Раз это могут сделать органы, значит, могут и хакеры.
Ключи и пароли, связанные с криптовалютами, нельзя передавать через эти каналы.
Если вы беспокоитесь о конфиденциальности в целом, то в момент разговора или получения сообщения, генерируются еще и метаданные. Например, с кем вы разговариваете, когда, а иногда и где. Одна эта информация может многое рассказать о вашей жизни, поэтому она так важна для разведывательных служб. Это помогает бороться с преступностью, поэтому никто не восстает против такого сбора данных. Но об этом стоит помнить, чтобы не скомпрометировать себя.
Для безопасного обмена сообщениями не подходит также электронная почта, по крайней мере, пока нет удобного и безопасного решения одновременно. Есть сервисы, которые не требуют обработки личных ключей. Например, ProtonMail, который теперь поставляется с поддержкой браузера Tor. Еще есть PGP-шифрование, но с его настройкой нужно разбираться.
Для конфиденциального общения нужны приложения для обмена сообщениями. Лучше всего подходят приложения типа Telegram, Signal (хранит мало метаданных). Если используете WhatsApp, нужно выключить автозагрузку и резервное копирование чата в облако. Этот мессенджер, кстати, передает IP-адреса, идентификаторы телефонов и данные о местоположении.
Браузеры
Ни один браузер не идеален, но некоторые лучше, чем другие.
Когда дело доходит до золотого стандарта конфиденциальности, на ум приходит Tor. Его используют не только бандиты, наркоторговцы и террористы. Обычные сторонники конфиденциальности, а также журналисты и политические активисты тоже нуждаются в нем.
Браузер Tor позволяет пользователям просматривать Интернет анонимно, перенаправляя трафик через несколько ретрансляторов. Он не только скрывает историю пользователя, но также используется для обхода блокировок и просмотра глубокого уровня интернета.
В других браузерах для повышения безопасности вы можете установить плагин HTTPS Everywhere. Он заставляет веб-сайты, поддерживающие шифрование, включать его по умолчанию.
Защищенные сайты важны, потому что злоумышленник не может изменять их страницы. Интернет-провайдеры (и правительство) не могут видеть, какие отдельные веб-страницы вы посещаете на этом домене.
Мобильные версии браузера Tor - Orbot для Android и Onion Browser для iOS. Оба эти приложения широко используются и пользуются доверием.
Нужен ли VPN?
VPN перенаправляет интернет-трафик пользователя через сервер. Тогда трудно отследить просмотры или точно определить местонахождение человека в реальном мире.
Поэтому неудивительно, что VPN пользуются популярностью там, где доступ в интернет подвергается строгому контролю со стороны государства.
Но использование VPN означает передачу всего вашего интернет-трафика через сторонних провайдеров. Они получают метаданные и незашифрованную информацию. Когда вы используете VPN, вы должны доверять ему, а заручиться этим сложно.
VPN приходится использовать для доступа к некоторым биржам и форумам, которые заблокированы в тех или иных странах. Платные сервисы лучше для конфиденциальности, чем бесплатные, которые часто монетизируют трафик.
WI-FI
Wi-Fi в кафе, магазине или аэропорте - определенно не ваш друг, если вы хотите сохранить владение криптовалютой в секрете. Каждую публичную сеть рассматривайте так, как если бы каждая страница, куда вы заходите, была открыта всем, включая личные данные и пароли.
Для выхода в интернет в общественном месте лучше использовать телефон с 4G или LTE. Его можно подключить как точку доступа к компьютеру.
Если телефон подключается на уровне 2G, трафик менее защищен.
Хранение в облаке
Как бы не было удобно хранить данные на облачных дисках, это всегда сервера других людей. Если для физических обысков и изъятий требуется ордер, то для облачных данных ситуация не ясна. Также стоит помнить, что некоторые облачные службы запрашивают чтение информации на компьютере.
Никаких приватных ключей, паролей от бирж и кодов восстановления для аутентификатора в облаке. Лучше создайте десять бумажек с дублями важного пароля и спрячьте по разным местам.
Длинные, сложные пароли
Об уникальном буквенно-цифровом пароле даже не хочется напоминать. Используйте менеджер паролей, например KeyPass, LastPass, или 1Password, чтобы создавать и хранить надежные пароли.
Пароль на каждом значимом сайте подкрепляйте двухфакторной аутентификацией. Это помогает предотвратить захват учетных записей от хакеров.
Для аутентификации лучше подходят токены в приложениях. Они приходят по зашифрованному каналу, а вот SMS-сообщения могут быть перехвачены. Но для большинства людей, против которых не ополчаются синдикаты и органы, достаточно и оповещений по SMS.
Удаление старых учеток
Если вы знаете, что у вас есть заброшенная учетная запись, удалите ее. Сохранение старых учеток может подвергнуть большему количеству взломов, даже если вы давно о них забыли.
Записи почты, на которой есть аккаунты на биржах, лучше никогда не забрасывать. Дело в том, что это имя может взять другой пользователь после истечения определенного срока. Так происходит на Microsoft и Yahoo. Это значит, что новый хозяин может сбросить пароли для других сайтов.
Заключение
Это базовый минимум, который можно сделать для безопасности. В следующей статье мы разберемся с продвинутым хранением криптовалюты на холодном кошельке, который никогда не подключается к интернету.