Искусство быть невидимым. Исскуство быть невидимым. Кевин Митникискусство быть невидимым
Скачать 1.89 Mb.
|
Глава 8 ВСЕМУ ВЕРЬ, НИЧЕМУ НЕ ДОВЕРЯЙ Когда телефоны еще были техническим новшеством, они были физически вмонтированы в стену дома, иногда даже в специальную нишу. Наличие второй линии считалось роскошью. Кроме того, в общественных местах раньше были оборудованы телефонные будки, чтобы можно было поговорить без свидетелей. Даже таксофоны в холлах отелей были разделены звукопоглощающими перегородками, чтобы создать иллюзию приватности. С появлением мобильных телефонов это ощущение приватности совершенно стерлось. Проходя по улице, нередко можно услышать, как люди громко обсуждают свои личные дела или — и того хуже — диктуют реквизиты своего банковского счета. На фоне сформировавшейся культуры открытости и публичности мы должны ясно осознавать, какой информацией делимся с миром. Иногда мир вас внимательно слушает. Просто задумайтесь. Проходя по улице, нередко можно услышать, как люди громко обсуждают свои личные дела или — и того хуже — диктуют реквизиты своего банковского счета. На фоне сформировавшейся культуры открытости и публичности мы должны ясно осознавать, какой информацией делимся с миром. Иногда мир вас внимательно слушает. Просто задумайтесь. Допустим, вам нравится работать в кафе за углом вашего дома, как мне. Там бесплатный Wi-Fi. Кажется, что это неплохо, да? Не хочется вас огорчать, но нет. Общественный Wi-Fi создавался не для интернет-банкинга или электронных платежей. Такой доступ в Интернет невероятно удобен и ровно в такой же степени уязвим. Не вся эта уязвимость имеет техническую природу. Отчасти источником этой уязвимости являетесь вы сами, и хочется верить, можете перестать им быть. Как понять, что вы подключились к публичной сети Wi-Fi? Очень просто: для выхода в Интернет вам не придется вводить пароль. Чтобы продемонстрировать, насколько вы уязвимы при подключении к публичной сети Wi-Fi, специалисты из компании F-Secure (разработчика антивирусных программ) создали собственную точку доступа. Эксперимент проводился в двух разных популярных общественных местах в центре Лондона — в кафе и публичном пространстве. Результаты их потрясли. В первом эксперименте исследователи организовали точку доступа в одном из кафе в оживленной части Лондона. Когда постоянные посетители выбирали, к какой сети подключиться, сигнал F- Secure был одновременно и сильным, и бесплатным. Кроме того, в браузере пользователя появлялся баннер с условиями пользовательского соглашения. Возможно, вы встречали подобные баннеры в своей ближайшей кофейне — там рассказывается, что можно и что нельзя делать, пользуясь предоставляемым сервисом. В данном эксперименте условия использования этой бесплатной сети предполагали передачу владельцам сервиса своего первенца или домашнего питомца. Эти условия приняли шесть человек. По правде говоря, большинство людей не тратят время на чтение того, что написано мелким шрифтом, — они просто торопятся перейти к использованию сервиса. И все же нужно хотя бы бегло их просматривать. В данном случае компания F-Secure заявила, что ни она, ни ее юристы не собираются ничего делать с детьми и домашними животными пользователей. Главной проблемой становится то, что информация, в этой сети будет видна посторонним. В вашей домашней беспроводной сети используется WPA2-шифрование. Это значит, что, если кто-то за вами следит, он не увидит, чем вы занимаетесь в Интернете. Он увидит только, какие сайты вы посещаете. Но бесплатная общественная сеть Wi-Fi в кофейне или аэропорту выставляет исходящий трафик на всеобщее обозрение. Опять же вы можете спросить, и что такого? Прежде всего вы не знаете, кто за вами наблюдает. В нашем случае это была команда специалистов из компании F-Secure, которая по этическим соображениям удалила все собранные данные, но окажись на их месте преступники, вряд ли они поступили бы так же. Они бы продали данные о вашей электронной почте спамерам, или попробовали бы продать вам что-нибудь, или вообще заразили бы компьютер и мобильное устройство вирусом. И даже могли бы задействовать информацию, полученную из вашей незашифрованной электронной переписки, в целевом фишинге. Во втором эксперименте исследовательская группа организовала точку доступа на балконе в непосредственной близости от здания британского парламента, штаб-квартиры Лейбористской и Консервативной партий и Национального криминального агентства Великобритании. В течение 30 минут к экспериментальной бесплатной точке доступа подключилось 250 человек. В большинстве случаев устройство подключалось к точке доступа автоматически. Иначе говоря, пользователь не сам выбирал сеть, за него это делало устройство. Здесь нужно пояснить пару моментов. Давайте сначала разберемся, как и почему мобильное устройство автоматически подключается к сети Wi-Fi. Ваш компьютер и все мобильные устройства запоминают точки доступа Wi-Fi, как публичные, так и частные, к которым вы подключались. Это хорошо, потому что вы избавлены от необходимости постоянно проходить идентификацию при каждом подключении к излюбленной сети Wi-Fi — например, у себя дома или на работе. Но есть и отрицательная сторона. Если вы заходите в новое кафе, в котором никогда раньше не бывали, вы можете вдруг случайно обнаружить, что уже подключены к Интернету. Что в этом плохого? А то, что, возможно, это интернет-соединение не имеет никакого отношения к данному кафе. Если вы заходите в новое кафе, в котором никогда раньше не бывали, вы можете вдруг случайно обнаружить, что уже подключены к Интернету. Что в этом плохого? А то, что, возможно, это интернет-соединение не имеет никакого отношения к данному кафе. Может получиться так, что мобильное устройство поймало сигнал, совпавший с профилем одного из ваших недавний интернет-соединений. Возможно, у вас мелькнет мысль, что что-то здесь не так — слишком уж быстро вы подключились к Интернету в совершенно новом для себя месте, — но в этот момент вы уже будете с головой погружены в какой-нибудь шутер от первого лица и не захотите размышлять на эту тему. Как в таких случаях происходит автоматическое подключение к Wi-Fi сети? Как я объяснил в предыдущей главе, возможно, дома вам Интернет предоставляет провайдер Comcast, в этом случае у вас дома функционирует бесплатное, незашифрованное интернет-соединение, идентификатор сети (SSID) которого выглядит как «xfinity» и которое входит в пакет услуг. Устройство с Wi-Fi- адаптером могло подключиться к этой сети когда-то раньше. Но как убедиться, что именно так и обстоят дела? А вдруг тот сидящий за угловым столиком парень с ноутбуком раздает бесплатный Интернет с фальшивым SSID «xfinity»? Предположим, что вы в самом деле подключились к точке доступа того странного парня в углу, а не к сети, принадлежащей кафе. Во-первых, вы даже в этом случае сможете путешествовать по Интернету. Вы сможете продолжать играть в любимую игру. Однако каждый пакет данных, который вы отправляете и получаете через Интернет, будет виден этой темной личности с фальшивой точкой доступа к беспроводной сети. Если он потрудился и создал фальшивую точку доступа к Интернету, значит, вероятно, он перехватывает эти пакеты с помощью бесплатного приложения наподобие WireShark. Я часто работаю с этим приложением, когда занимаюсь поиском уязвимостей. Так я могу посмотреть, что происходит в ближайшей ко мне сети. Я вижу IP-адреса сайтов, на которые заходят пользователи, и сколько времени они проводят на этих сайтах. Если соединение не зашифровано, в перехвате трафика нет ничего противозаконного, поскольку эта информация открыта для всех. Например, будучи системным администратором, мне бы хотелось знать, чем занимаются в моей сети. Возможно, мутный парень в углу просто шпионит, но никак не влияет на трафик. Но он может влиять на него, причем с несколькими целями. Может быть, он перенаправляет ваши пакеты данных на прокси-сервер, который устанавливает в ваш браузер программный код JavaScript для клавиатурного шпионажа, чтобы перехватить ваши данные, когда вы зайдете на сайт Amazon. Возможно, ему платят за то, чтобы он выведал ваши идентификационные данные — логин и пароль. Помните, что к учетным записям на сайтах типа Amazon привязана ваша банковская карта. В своих презентациях Keynote я демонстрирую, как можно перехватить идентификационные данные жертвы, как только она подключилась к моей точке доступа. Поскольку я являюсь промежуточным звеном между вами и сайтом, которому вы пытаетесь отправить запрос, я также могу добавить сценарий JavaScript, который будет загружать фальшивые обновления продуктов Adobe, и в случае их запуска они заразят устройство вирусами. Обычно цель этих атак заключается в том, чтобы заставить вас ввести свой логин и пароль, а затем украсть ваши персональные данные. Когда человек за угловым столиком совершает махинации с интернет-трафиком, это называется атакой посредника, или атакой «человек посередине» (англ. Man-in-the-Middle). Хакер перенаправляет ваши пакеты данных на настоящий сайт, но при этом перехватывает трафик или изменяет его. Зная, что вы можете по ошибке подключиться к сомнительной точке доступа Wi-Fi, как это можно предотвратить? Если вы пользуетесь ноутбуком, он обычно выполняет поиск предпочтительной беспроводной сети, а затем подключается к ней. Однако некоторые ноутбуки и мобильные устройства выбирают сеть автоматически. Это задумано с тем, чтобы вам было максимально удобно переносить свое устройство от одной точки к другой. Но как я говорил, у этой медали есть и обратная сторона. Как утверждает компания Apple, ее устройства автоматически подключаются к сетям в следующем порядке приоритета: 1. Защищенная сеть, к которой устройство подключалось в последний раз. 2. Другая защищенная сеть. 3. Публичная незащищенная сеть. К счастью, ноутбуки позволяют удалять данные беспроводных соединений, которые больше не нужны — например, той Wi-Fi-сети, к которой вы подключались прошлым летом в отеле, когда были в командировке. В операционной системе Windows (на ноутбуке) можно сбросить флажок Подключаться автоматически (Connect Automatically), который отображается рядом с именем беспроводной точки доступа до тех пор, пока вы не подключитесь. Или откройте окно Панель управления (Control panel) и щелкните мышью по пункту Центр управления сетями и общим доступом (Network and Sharing Center). Щелкните мышью по названию-ссылке подключенной сети и в открывшемся окне нажмите кнопку Свойства беспроводной сети (Wireless Properties). Сбросьте флажок Подключаться автоматически, если есть в радиусе действия (Connect automatically when this network is in range). В операционной системе macOS запустите приложение Системные настройки (System Preferences) и щелкните мышью по пункту Сеть (Network). Выберите пункт Wi-Fi и нажмите кнопку Дополнительно (Advanced). Затем сбросьте флажок Запоминать сети, к которым подключается компьютер (Remember networks this computer has joined). Также можно «забыть» определенную сеть, выбрав ее в списке и нажав кнопку в виде знака минус в нижней части окна. На устройствах под управлением операционной системы Android и iOS также можно удалять ранее использовавшиеся Wi-Fi-соединения. Если у вас iPhone, iPad или iPod, откройте экран Настройки (Settings), выберите раздел Wi-Fi. Коснитесь значка «i» рядом с названием сети и выберите пункт Забыть эту сеть (Forget This Network). В операционной системе Android откройте экран Настройки (Settings), выберите раздел Wi-Fi и, удерживая палец на названии сети, выберите пункт Забыть сеть (Forget Network). Если вам действительно необходимо сделать что-то конфиденциальное, находясь вне дома, я советую вам в первую очередь подключаться к сотовым сетям передачи данных, вместо того чтобы пользоваться беспроводным соединением в аэропорту или кофейне. Можно также раздавать Интернет со своего мoбильного устройства с помощью USB-кабеля, Bluetooth или Wi-Fi. Если вы выбрали Wi-Fi, то обязательно настройте WPA2-шифрование, как уже говорилось ранее. Для путешествий можно купить переносную точку доступа к Интернету. Обратите внимание, что и в этом случае вы не станете невидимыми, но это все равно лучше, чем публичный Wi-Fi-доступ. Но если вы хотите обезопасить себя от слежки со стороны оператора сотовой связи — например, чтобы скачать конфиденциальный документ, — я советую вам пользоваться расширением HTTPS Everywhere или протоколом Secure File Transfer Protocol (SFTP). Протокол SFTP поддерживается приложениями Transmit (iOS) и Tunnelier (Windows). Технология Virtual Private Network (VPN, виртуальная частная сеть) представляет собой своеобразный защищенный туннель между частной сетью (домашней, рабочей или сетью VPN- провайдера) и вашим устройством, подключенным к общественной сети. Вы можете поискать VPN- сервисы с помощью поисковой системы Google. Средняя годовая стоимость услуг по доступу через VPN составляет порядка 60 долларов США. Интернет-соединению в местной кофейне (или аэропорту, или другом общественном месте) доверять нельзя — это публичная сеть. Но благодаря VPN можно через публичную сеть добраться до защищенной, безопасной. Все, что вы делаете в сети VPN, защищено шифрованием, поскольку весь интернет-трафик передается по защищенным каналам связи, создаваемым поверх общественной сети. Вот почему так важно выбрать надежный VPN-сервис — ведь он видит ваш интернет-трафик. Теперь сомнительный персонаж из кафе увидит только то, что вы подключились к VPN-серверу, и все ваши действия, посещенные сайты и прочие данные будут полностью скрыты от посторонних глаз надежным шифрованием. Технология Virtual Private Network (VPN, виртуальная частная сеть) представляет собой своеобразный защищенный туннель между частной сетью (домашней, рабочей или сетью VPN- провайдера) и вашим устройством, подключенным к общественной сети. Однако вы все равно оставите в Интернете след в виде своего IP-адреса, в данном случае это — в вашей домашней или рабочей сети. Так что вы опять-таки не будете невидимыми, даже задействовав VPN. Не забывайте, VPN-провайдер знает ваш IP-адрес. Далее я объясню, как сделать это соединение невидимым. Многие компании предоставляют своим сотрудникам VPN-сервис, чтобы те могли подключаться к частной внутренней корпоративной сети через публичные сети (Интернет). Ну а что же насчет всех остальных? Существует множество коммерческих VPN-сервисов. Но как узнать, можно ли им доверять? В протоколе IPSec, применяющемся для организации VPN-соединений, априори включена опция PFS (Perfect forward secrecy, Совершенная прямая секретность), но не все сервисы — даже корпоративные — утруждают себя ее настройкой. OpenVPN, полнофункциональная реализация VPN с открытым кодом, включает в себя PFS, поэтому, если сервис заявляет, что использует OpenVPN, можно предположить, что в нем также реализована опция PFS, но не всегда эти ожидания оправдываются. Может оказаться, что OpenVPN не настроено должным образом. Выбирайте сервис, который утверждает, что PFS включена. Один из недостатков VPN-сервисов заключается в том, что они существенно дороже, чем прокси- серверы. И поскольку коммерческие VPN предназначены для совместного использования, они могут снижать скорость соединения с Интернетом, а в некоторых случаях для вас может просто не оказаться свободного соединения и придется ждать, пока не появится возможность подключиться. Еще одно неудобство связано с тем, что в некоторых случаях Google выдает просьбу ввести код с изображения (CAPTCHA), прежде чем допустить вас до работы с поисковой системой, поскольку сайту необходимо убедиться, что вы человек, а не робот. И наконец, VPN-сервис может хранить статистические данные, поэтому внимательно читайте политику безопасности, чтобы выяснить, не станет ли этот сервис составлять архив с информацией о вашем трафике или историей соединений — пусть даже в зашифрованном виде — и не будут ли подобные сведения доступны правоохранительным органам. Это можно узнать из политики безопасности и пользовательского соглашения. Если сервис может передавать сведения правоохранительным органам, значит, он ведет учет подключений через VPN. Авиапассажиры, которые пользуются такими веб-сервисами, как GoGo, подвергаются тому же самому риску, что и при подключении к Интернету из кофейни или зала ожидания в аэропорту, и VPN не всегда спасает. GoGo и другие подобные сервисы для подключения к Интернету в самолете запрещают использование приложения Skype и других приложений для голосового общения, поэтому подобные сети не пропускают пакеты UDP — в результате чего большинство VPN-сервисов (которые по умолчанию применяют протокол UDP) работают очень медленно. Однако эту ситуацию можно исправить, выбрав VPN-сервис, в основе которого лежит протокол TCP вместо UDP, например, сервис TorGuard или ExpressVPN. Оба этих VPN-сервиса позволяют пользователю выбирать предпочтительный протокол — TCP или UDP. Политика безопасности VPN-сервиса также дает серьезную пищу для размышлений. Независимо от того, к какой виртуальной частной сети вы подключаетесь (коммерческой или корпоративной), через эту сеть теперь будет проходить весь ваш трафик, вот почему так важно применять протокол HTTPS. Так VPN-сервис не сможет увидеть содержимое проходящих через него пакетов данных.. Если вы работаете в офисе, возможно, у вашей компании есть своя виртуальная частная сеть, чтобы можно было работать удаленно. В приложении на компьютере вам нужно указать свой логин и пароль (что-то, что вы знаете), а само приложение содержит сертификат идентификации, добавленный туда IT-отделом (что-то, что у вас есть), или оно отправит вам текстовое сообщение на корпоративный телефон (тоже что-то, что у вас есть). А может быть, для подключения потребуются все три пункта (многофакторная аутентификация). Теперь можно сидеть в кофейне Starbucks или в аэропорту и заниматься рабочими делами, как если бы вы находились дома или в офисе. Однако не стоит решать личные вопросы, например, разбираться со своими банковскими делами, если данный сеанс не зашифрован с помощью расширения HTTPS Everywhere. Единственный способ перестать сомневаться в надежности VPN-сервиса — сохранять анонимность с самого начала. Если вы действительно стремитесь к полной анонимности, никогда не имейте дел с интернет-соединением, которое можно как-то связать с вами (например, дома, на работе, у друзей, в снятом на ваше имя номере отеля и пр.). В 1990-х меня поймали агенты ФБР, которые отследили сигнал сотового телефона до моей квартиры в Роли, Северная Каролина. Так что никогда не занимайтесь ничем личным с одноразового устройства и не выходите в Интернет с помощью точки доступа, которая как-то к вам относится, если боитесь, что вас могут выслеживать правоохранительные органы. Все, что вы делаете на одноразовом устройстве, не должно никак пересекаться с вашей реальной жизнью. Если хотите быть невидимыми, вы не должны оставлять никаких зацепок, которые могут вывести на вас. VPN-приложение также можно установить на мобильное устройство. В Интернете можно найти подробные инструкции для устройств Apple и для операционной системы Android. Если вы следуете всем предложенным мной до сих пор советам, то ваши дела обстоят гораздо лучше, чем у среднего обывателя. Большая часть вашей интернет-активности, вероятно, защищена от отслеживания и манипулирования. Это касается и используемых вами социальных сетей. Facebook применяет протокол HTTPS в каждой сессии. Электронная почта? Почта Google также стала поддерживать протокол HTTPS. Большинство сервисов веб-почты последовали этому примеру, как и большинство основных мессенджеров. Да и вообще, большинство крупных сайтов — Amazon, eBay, Dropbox — поддерживают HTTPS. Чтобы быть невидимым, всегда лучше всего применять многослойную защиту. Риск того, что при подключении к общественной точке доступа ваш трафик попадет в поле зрения посторонних людей, уменьшается с каждым новым слоем защиты. Например, из общественной сети Wi-Fi подключитесь к платному VPN-сервису, а затем подключитесь к сети Tor с помощью браузера Firefox c установленным расширением HTTPS Everywhere. Тогда все, что вы делаете в Интернете, будет зашифровано и защищено. Представим себе, что вы хотите просто почитать книгу и не собираетесь заниматься никакими финансовыми операциями или личными делами. И вы выходите в Интернет со своего личного ноутбука вне дома. Кажется, что это безопасно, так? Опять же не вполне. Вам все равно придется принять ряд мер предосторожности. Во-первых, отключите Wi-Fi. Серьезно. Многие люди не выключают Wi-Fi на компьютере, даже когда Интернет им не нужен. Согласно документам, обнародованным Эдвардом Сноуденом, канадский Центр безопасности коммуникаций (CSEC) может идентифицировать путешественников, перемещающихся через канадские аэропорты, просто перехватывая их MAC-адреса. Эти адреса видны каждому компьютеру, ищущему пробные запросы на подключение, отправляемые беспроводными устройствами. Даже если вы не подключитесь к сети, MAC-адрес устройства будет зафиксирован. Поэтому если вам не нужен Интернет, отключайте Wi-Fi. Как мы видели, ради безопасности и конфиденциальности часто приходится жертвовать удобством. Уже очень долго мы ходим вокруг да около важного вопроса — вашего MAC-адреса. Он уникален для каждого устройства. И он не фиксирован, его можно изменить. Давайте я приведу пример. Во второй главе я рассказывал о том, как скрыть свою электронную переписку с помощью PGP- шифрования. Ну а если вы не хотите разбираться со всеми этими сложностями или у получателя нет публичного ключа PGP? Тогда можно прибегнуть к другому способу ведения тайной электронной переписки: с помощью папки с черновиками в общем электронном ящике. Именно таким образом бывший директор ЦРУ генерал Дэвид Петреус обменивался письмами со своей любовницей, Полой Бродуэлл, которая также была его биографом. Скандал разразился после того, как Петреус порвал эту связь и заметил, что кто-то шлет одному из его друзей электронные письма с угрозами. Когда ФБР занялось расследованием, агенты обнаружили не только то, что угрозы исходили от Бродуэлл, но и что она также отправляла романтические послания Петреусу. Уже очень долго мы ходим вокруг да около важного вопроса — вашего MAC-адреса. Он уникален для каждого устройства. И он не фиксирован, его можно изменить. Интересно то, что Бродуэлл и Петреус не пересылали письма по сети, а оставляли их в папке с черновиками в «анонимном» электронном ящике. В такой ситуации электронное письмо не проходит через чужие серверы, стремясь достичь адресата. Здесь меньше возможностей для перехвата. А если кому-то удастся влезть в ваш ящик, он не найдет там ничего интересного, если вы удаляете черновики и очищаете корзину. Бродуэлл также заходила в свои «анонимные» электронные ящики с предназначенного специально для этого компьютера. Она не проверяла почту со своего домашнего IP-адреса. Это было бы слишком очевидно. Вместо этого она вела переписку из разных отелей. Хотя Бродуэлл приложила много усилий, чтобы сохранить секретность, она все равно не стала невидимой. Как написали в газете New York Times, «поскольку аккаунт отправителя был зарегистрирован анонимно, следователям пришлось прибегнуть к компьютерно-технической экспертизе — включая проверку всех остальных аккаунтов электронной почты, в которые заходили с того же IP-адреса, — чтобы определить, кто был автором этих писем». Сервисы электронной почты, такие как Google, Yahoo! и Microsoft, хранят данные о входе в аккаунт более года, и эти данные включают в себя информацию об IP-адресе, с которого осуществлялся вход. Например, если вы проверяли почту через общественную Wi-Fi-сеть в кофейне Starbucks, по IP-адресу можно определить географическое местонахождение этого места. Американское законодательство в настоящее время позволяет правоохранительным органам запрашивать подобные сведения у сервиса электронной почты обычной повесткой — участие судьи не требуется. Следовательно, агенты ФБР выяснили физическое местонахождение каждого IP-адреса, с которого заходили в этот почтовый аккаунт, и сумели вычислить MAC-адрес устройства Бродуэлл, сопоставив данные из журналов маршрутизаторов, установленных в этих местах. Поскольку расследованием занималось ФБР (это дело имело большое значение, так как Петреус на тот момент был действующим директором ЦРУ), агенты сумели просмотреть журналы маршрутизаторов во всех отелях и узнали, в какое время в каждом из отелей фиксировался MAC- адрес Бродуэлл. Более того, им также удалось обнаружить, что в интересующие их даты Бродуэлл снимала номера в соответствующих отелях. Следователи обратили внимание, что Бродуэлл входила в свою почту, но ни разу не отправила электронное письмо с этих ящиков. Когда вы подключаетесь к беспроводной сети, MAC-адрес вашего компьютера автоматически фиксируется сетевым оборудованием. Ваш MAC-адрес связан с серийным номером сетевой карты. Чтобы быть невидимым, прежде чем подключаться к какой-либо беспроводной сети, необходимо изменить свой MAC-адрес. Чтобы оставаться невидимым, нужно менять MAC-адрес перед каждым подключением к беспроводной сети, чтобы ваши интернет-сессии было трудно связать с вами. Также важно в это время не заходить ни в какие личные аккаунты, поскольку иначе вы лишите себя анонимности. Чтобы изменить MAC-адрес, нужно следовать инструкциям для вашей конкретной операционной системы — Windows, macOS, Linux, Android или iOS. Не забывайте менять MAC-адрес при каждом подключении к общественной (или частной) сети. После перезагрузки возвращается исходный MAC-адрес. Представим себе, что у вас нет собственного ноутбука и вы вынуждены воспользоваться общественным терминалом. Это может быть в кафе, в библиотеке, даже в бизнес-центре хорошего отеля. Как можно себя защитить? Когда я отправляюсь в поход с палаткой, я следую принципу «не оставлять следов своего присутствия» — иначе говоря, место, где я разбивал палатку, после моего ухода должно выглядеть точно так же, как когда я пришел. Тот же самый принцип применим и к общественным интернет- терминалам. Когда вы уйдете, никто не должен догадываться, что вы вообще тут были. Особенно это касается отраслевых выставок. Как-то я побывал на Международной выставке потребительской электроники (Consumer Electronics Show, CES) и увидел там группу публичных интернет-терминалов, предназначенных для того, чтобы посетители выставки, прогуливаясь по залу, могли проверить электронную почту. Я встречал подобное даже на посвященной информационной безопасности ежегодной Коференции RSA в Сан-Франциско. Устанавливать в общественном месте группу публичных терминалов — это плохая идея по ряду причин. Во-первых, это арендованные компьютеры, которые переходят от мероприятия к мероприятию. Возможно, их почистили, переустановили операционную систему, но возможно, и нет. Во-вторых, обычно на них запущена система с правами администратора, а это значит, что кто угодно может установить на них любую программу. Например, это может быть вредоносная программа, какой-нибудь клавиатурный шпион, который будет сохранять логины и пароли пользователей. В информационной безопасности существует принцип «минимальных полномочий», согласно которому человек должен получать лишь тот минимум полномочий, которого ему будет достаточно для выполнения своей задачи. Когда вы работаете на общественном терминале с правами системного администратора (а это установка по умолчанию на большинстве подобных терминалов), это нарушает принцип «минимальных полномочий» и повышает риск того, что кто-то до вас успел заразить его вредоносным ПО. Единственный выход — это каким-нибудь образом убедиться, что вы пользуетесь гостевым доступом с ограниченными правами, но большинство людей не знают, как это сделать. В целом, я советую никогда не доверять общественным интернет-терминалам. Исходите из предположения, что предыдущий пользователь установил на терминал вредоносную программу — умышленно или случайно. Если вы войдете в свою почту Gmail с общественного терминала, на котором стоит клавиатурный шпион, кто-то посторонний получит ваш логин и пароль. Если вы зайдете в интернет-банк — попрощайтесь со своими деньгами. Не забывайте, что необходимо настраивать двухфакторную аутентификацию на каждом сайте, который посещаете, чтобы хакер, у которого есть ваш логин и пароль, не смог войти в вашу учетную запись. Двухфакторная аутентификация во много раз снижает вероятность взлома аккаунта, даже если хакер узнает ваш логин и пароль. Что всегда меня удивляет, так это количество людей, пользующихся общественными терминалами на компьютерных конференциях, таких как CES и RSA. Я просто теряю дар речи. В конце концов, если вы на выставке, решайте личные вопросы через канал передачи данных, предоставляемый вашим мобильным оператором, на смартфоне или планшете, обзаведитесь личной точки доступа или просто отложите дела до тех пор, пока не вернетесь домой. Если вы вынуждены выйти в Интернет вне дома или офиса, возьмите смартфон. Если вам совершенно необходимо воспользоваться публичным терминалом, ни в коем случае не авторизуйтесь в своих личных учетных записях, даже в веб-почте. Если вам, например, необходимо найти какой-то ресторан, заходите только на те сайты, которые не требуют авторизации, например, сервис Yelp или подобные. Если вам приходится прибегать к услугам публичных терминалов регулярно, создайте почтовый ящик специально для них и при необходимости пересылайте с него или на него письма из основных своих ящиков, пока вы в дороге, а оказавшись дома, перестаньте это делать. Так вы сократите объем информации, которая хранится в этом почтовом аккаунте. Затем убедитесь, что в URL сайтов, которые вы посещаете с помощью общедоступного терминала, присутствует значение https. Если вы его не видите (или видите, но подозреваете, что кто-то изменил адрес, чтобы у вас возникло ложное чувство безопасности), то, вероятно, вам стоит еще раз подумать, прежде чем работать с конфиденциальной информацией через подобный терминал. Допустим, вы увидели протокол HTTPS в URL. Если это страница авторизации, найдите флажок типа «запомнить меня». Сбросьте его. Понятно почему: это не ваш личный компьютер. На нем будут работать другие люди. Если система вас запомнит (т. е. вы не сбросите этот флажок), вы создадите на этом устройстве куки. Вы же не хотите, чтобы следующий пользователь терминала увидел вашу почту или получил возможность отправлять письма с вашего ящика, правда? Как уже упоминалось, не заходите с таких терминалов на сайты финансовых организаций и медицинских учреждений. Если вы авторизовались на некотором сайте (Gmail или другом), обязательно выйдите из аккаунта, когда будете покидать терминал. И рассмотрите возможность позднее в целях безопасности сменить пароль, используя для этого собственный компьютер или мобильное устройство. Может быть, вы не всегда выходите из своих учетных записей дома, но на чужом компьютере это надо делать обязательно. Когда вы отправили письмо (или сделали что-то другое, не важно), выйдите из аккаунта и очистите историю посещений в браузере, чтобы следующий человек не знал, какие сайты вы посещали. Также сотрите все куки (если есть такая возможность). И убедитесь, что не загрузили на общественный компьютер какой-нибудь свой личный документ. Если загрузили, удалите этот файл (файлы) с рабочего стола или из папки Загрузки (Downloads). К сожалению, просто удалить файл недостаточно. После этого нужно очистить корзину. Это, конечно, не уничтожит файл окончательно — я смогу восстановить его после вашего ухода, если захочу. Но к счастью, большинство людей не я и в большинстве случаев достаточно удалить документ и очистить корзину. Чтобы быть невидимым, при работе с публичным терминалом необходимо соблюдать все эти меры. |