Старший брат следит за тобой. Как защитить себя в цифровом мире [заметки]

Шрифт
Интервал

2

«Человек под колпаком Big Data: можно ли защитить личную информацию?». Лекция Фонда Егора Гайдара // Коммерсантъ. 2018. 15 фев.

3

GDPR, General Data Protection Regulation, https://gdpr-info.eu.

5

Компания Meta признана в России экстремистской организацией.

6

«Хакеры», пользующиеся для взлома чужими наработками. – Здесь и далее, за исключением особо оговоренных случаев, прим. авт.

7

https://vk.com/video-90241001_456239093, вебинар «Реализация требований GDPR в России», 25 мая 2018 г.

8

Юзбекова И., Филонов Д. «Пугать народ страшилками – это мы любим» // РБК. 2016. 20 мая.

9

Дополнено к документу «Методические рекомендации по организационной защите физическим лицом своих персональных данных». https://pd.rkn.gov.ru/library/p195/.

11

Трегубова Е. Как паспортные данные попадают в руки мошенников? Четыре реальных истории // Аргументы и факты. 2017. 8 дек.

12

Хотя по номеру мобильного телефона и с помощью социальной инженерии, знакомств в сфере сотовой связи и другими способами злоумышленник может выяснить все необходимые данные о вас, а вы не можете быть уверены, что телефон был похищен не с целью узнать некую личную информацию о вас.

13

Но в некоторых случаях это может противоречить правилам платежных сервисов. – Прим. ред.

14

На основе комбинаций параметров сессии интернет в ряде случаев можно идентифицировать пользователя. – Прим. ред.

15

Аналогичным образом по ряду характеристик можно составить «отпечаток» устройства. – Прим. ред.

19

К слову, сам ресурс AshleyMadison.com отчасти можно назвать мошенником, так как за удаление профиля с пользователя взималась плата 19 долларов. По словам группы хакеров The impact team, взломавшей ресурс и слившей данные с серверов собственника сайта – компании Avid Life Media, даже после оплаты профиль не удалялся, о чем стало ясно после изучения слитых дампов данных, https://xakep.ru/2015/09/04/ashley-madison-fall.

22

https://revisium.com/kb/weak_passwords.html.

28

https://revisium.com/kb/weak_passwords.html.

29

Читается как «капча».

30

Соль (также модификатор входа хеш-функции) – строка данных, которая передается хеш-функции вместе с входным массивом данных (прообразом) для вычисления хеша (образа). «Соль» – дословный перевод английского термина «salt».

31

Пример, нереальные значения.

41

https://twitter.com/kevinmitnick/status/545432732096946176.

48

Граббер – программа для сбора информации.

49

https://threatpost.ru/moscow-region-ambulance-service-database-leaked-due-to-bad-mongodb-settings/32197/.

51

https://www.facebook.com/notes/facebook-security/preparing-for-the-future-of-security-requires-focusing-on-defense-and-diversity/10154629522900766/.

54

https://leakedsource.ru/blog/friendfinder.

55

Канев С. Беда на продажу // The New Times. 2016. № 29 (417).

60

https://android.mobile-review.com/articles/50451/.

63

Сайты, позволяющие пользователям обмениваться фрагментами простого текста, а также исходного кода, первым из которых был https://pastebin.com.https://www.echosec.net/blog/what-is-pastebin-and-why-do-hackers-love-it.

66

Система сигнализации № 7, или ОКС-7 (общий канал сигнализации № 7, англ. Common Channel Signaling) – набор сигнальных телефонных протоколов, используемых для настройки большинства телефонных станций (PSTN и PLMN) по всему миру на основе сетей с канальным разделением по времени. В основе ОКС-7 лежит использование аналоговых или цифровых каналов для передачи данных и соответствующей управляющей информации.

84

К слову, многие учетные записи были защищены простыми паролями вроде password и abcd1234.

90

https://twitter.com/MARCIANOPHONE/status/847128194654228480.

91

https://www.bkav.com/dt/top-news/-/view_content/content/103968/bkav%EF%BF%BDs-new-mask-beats-face-id-in-twin-way-severity-level-raised-do-not-use-face-id-in-business-transactions.

105

https://twitter.com/Turtseva/status/577712245011939328.

109

98 % кибератак совершаются с применением методов социальной инженерии. https://purplesec.us/resources/cyber-security-statistics/.

110

Приемы атаки с применением социальной инженерии и методы защиты от них описываются в этой книге на многочисленных примерах. Кроме того, рекомендую прочитать книгу Кристофера Хэднеги «Искусство обмана: Социальная инженерия в мошеннических схемах» (М.: Альпина Паблишер, 2020).

121

https://threatpost.ru/phishers-put-fake-ssl-to-their-sites-we-are-all-gonna-die/23649/.

122

BEC (Business email compromise) – вид киберпреступлений с использованием электронной почты. Атаке подвергаются коммерческие, государственные и некоммерческие организации. Подробности: https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/business-email-compromise.

127

Эксплойт – компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для атаки на вычислительную систему.

128

Бэкдор (от англ. back door – «черный ход», буквально «задняя дверь») – дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удаленному управлению операционной системой и компьютером в целом.

135

Впрочем, наличие «правильного» расширения не всегда свидетельствует о безвредности файла: истинное расширение может быть скрыто, а файлы Microsoft Office или PDF, помимо всего прочего, могут содержать и вредоносные макросы/сценарии.

150

Митник К. Искусство быть невидимым: Как сохранить приватность в эпоху Big Data. – М.: Эксмо, 2019.

151

Просто и понятно о сквозном шифровании: https://pikabu.ru/story/kak_rabotaet_endtoend_shifrovanie_metod_vzlamyivaetsya_oshibka_5411489.

156

Надо учитывать и то, что злоумышленник может перехватить сообщение при вводе или выводе на устройствах отправителя или получателя, например сделав снимок изображения на экране или используя кейлогер.

160

Именно его API использует ресурс https://monitor.firefox.com, но для дополнительной защиты передает на https://haveibeenpwned.com хеши, а не сами адреса электронной почты. Тем не менее, по словам блогера Алексея Надежина, сайту https://haveibeenpwned.com можно доверять. https://ammo1.livejournal.com/1012397.html.

162

https://73.мвд.рф/document/938771.

164

https://24.мвд.рф/news/item/10061299/.

165

https://mosoblproc.ru/explain/telefonnoe-moshennichestvo/.

170

Звонова О. Внимание, телефонные мошенники! 5 причин насторожиться // Аргументы и факты. 2013. 28 мая.

182

VPN (англ. Virtual Private Network – «виртуальная частная сеть») – обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети, например интернет.

186

Веб-портал – сайт в компьютерной сети, который предоставляет пользователю различные интерактивные интернет-сервисы, которые работают в рамках этого сайта. Веб-портал может состоять из нескольких сайтов.

188

Коломыченко М., Линделл Д., Моисеев И., Фёдоров И. Операторы оказались неразыскными. Почему СОРМ работают недостаточно эффективно // РБК. 2017. 9 нояб.

189

1 июля 2018 г. вступил в силу закон «О внесении изменений в федеральный закон „О противодействии терроризму“ и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности».

191

https://www.znak.com/2013-08-19/kto_kak_i_zachem_proslushivaet_vashi_razgovory_i_chitaet_perepisku_issledovanie_znak_com.

198

Коломыченко М. Сотрудники будут услышаны работодателями. InfoWatch предложила систему контроля разговоров по сотовым телефонам в офисе // Коммерсантъ. 2016. 11 мая.

204

Кормильцев Н. В., Уваров А. Д., «Методы создания IMSI-ловушки для перехвата GSM-пакетов», КНИТУ-КАИ им. А.Н. Туполева. 2018. https://www.elibrary.ru/item.asp?id=35033336&.

209

Кстати, смартфоны никак не оповещают пользователя об отключении шифрования, хотя это небезопасно: разговоры без шифрования легко перехватываются.

214

https://wp.internetsociety.org/ndss/wp-content/uploads/sites/25/2018/02/ndss2018_02A-3_Hussain_paper.pdf.

231

https://www.ptsecurity.com/ru-ru/research/analytics/ss7-vulnerability-2018/.

242

https://dedected.org.

243

https://www.hackingexposedwireless.com/chapters/ch05.pdf.

256

Не забывая о рисках, связанных с их использованием.

267

Серьгина Е., Никольский А., Силонов А. Российским спецслужбам дали возможность прослушивать Skype. Спецслужбы нашли способ отслеживать разговоры, сообщения и местонахождение пользователей Skype // Ведомости. 2013. 14 мар. https://www.vedomosti.ru/politics/articles/2013/03/14/skype_proslushivayut.

274

https://www.znak.com/2013-08-19/kto_kak_i_zachem_proslushivaet_vashi_razgovory_i_chitaet_perepisku_issledovanie_znak_com.

278

Технология MMS не рассматривается в силу дороговизны, ограниченности и неудобства (обладает теми же недостатками, что и SMS).

283

Это несложно, учитывая количество утечек с различных сайтов, в том числе с сайтов социальных сетей.

295

https://youtu.be/H0YoDtDSYvo (осторожно, ненормативная лексика!).

301

Шестоперов Д. Android взломали по СМС. В смартфонах обнаружили уязвимость для фишинговых атак // Коммерсантъ. 2019. 5 сен.

312

А также и зашифрованное, если разработчиком предоставлены ключи для расшифровки.

319

Первоначально в официальном магазине злоумышленники могут разместить приложение без вредоносного кода (например, делающего снимки экрана с сообщениями), а после прохождения проверки внедрить такой код и опубликовать под видом обновления.

320

Если это не запрещено настройками мессенджера.

327

«Проверяем на стойкость мессенджеры с шифрованием» // Хакер. № 217. 2017. Февр.; https://xakep.ru/2017/02/27/cryptodroid-messengers-encryption/.

328

https://www.facebook.com/annaznamenskaya/posts/10207689697860791.

331

Большинство операторов сотовой связи противодействуют таким угрозам, блокируя входящие/исходящие SMS на сутки после смены SIM-карты.

332

Как показывает практика, в настольной версии мессенджера вообще не происходит смена ключей. Таким образом, злоумышленник сможет читать переписку до тех пор, пока пользователь не завершит активные сеансы в мобильной версии мессенджера.

333

«Проверяем на стойкость мессенджеры с шифрованием» // Хакер. № 217. 2017. Февр.; https://xakep.ru/2017/02/27/cryptodroid-messengers-encryption/.

336

К примеру, злоумышленники могут отправить SMS-сообщение с требованием перезвонить в службу поддержки банка, указав свой номер телефона.

338

Лемуткина М. Эксперты предупредили об ответственности за фейки в мессенджерах. Кто распространяет жуткую информацию о детях среди родителей // Московский комсомолец. 2018. 8 окт.

340

Обратите внимание, что полученная информация не всегда может быть достоверной, так как телефонные номера могут передаваться от одного оператора сотовой связи другому.

348

Еще в WhatsApp есть уязвимости, позволяющие злоумышленникам изменять содержимое сообщений; https://www.securitylab.ru/news/494962.php.

353

Обратите внимание: исходный код мессенджера Telegram открыт лишь частично: доступна только клиентская часть, а серверная, обрабатывающая сообщения, закрыта; https://xakep.ru/2018/06/14/useless-encryption/.

357

https://reestr.rublacklist.net/distributor/108945. Согласно 97-ФЗ «Организатор распространения информации обязан собирать, хранить и предоставлять информацию о действиях пользователей на своем ресурсе уполномоченным госорганам», т. е. обязан передавать не только все метаданные, но и содержимое сообщений; https://roskomsvoboda.org/26618/.

358

Компания – разработчик мессенджера Signal получила от судебных органов запрос, касающийся персональных данных одного из пользователей. В ответе она смогла указать только время его регистрации в сервисе и время, когда он в последний раз использовал мессенджер. https://ichip.ru/ispolzuem-messendzhery-s-shifrovaniem-dlya-bezopasnogo-obshheniya.html.

361

«Дайджест», Хакер 223, август-сентябрь 2017 г. http://onepdf.ru/haker-8-9-223-avgust-sentyabr-2017/.

362

Что неприемлемо, если необходимо обеспечить анонимность платежа.

366

На девайсе под управлением операционной системы Android это можно сделать с помощью такой программы, как Root Checker (https://play.google.com/store/apps/details?id=com.joeykrim.rootcheck) или Terminal Emulator (https://play.google.com/store/apps/details?id=jackpal.androidterm). В последней программе нужно ввести команду su и нажать кнопку ввода. Если root-доступ есть, в оболочке командной строки вы увидите слово root, если нет – сообщение can't execute: permission denied.

367

Проще всего определить это по значку приложения Cydia на экране, на невзломанных устройствах его нет.

369

https://twitter.com/PUMP781/status/1250367505572429824.

374

Имиджборд – своеобразный форум с публикациями-тредами.

375

https://medialeaks.ru/2004yut_faces/.

377

На момент написания книги аналогичными функциями обладал ресурс FindClone.

380

https://www.facebook.com/help/930396167085762.

388

https://www.robots.ox.ac.uk/ActiveVision/Research/Projects/2009bbenfold_headpose/Datasets/TownCentreXVID.avi.

397

Ограничивая количество туалетной бумаги, выдаваемой каждому «клиенту».

405

https://twitter.com/0xDUDE/status/1095702540463820800.

406

https://twitter.com/0xDUDE/status/1098335913946558464.

414

Забгаева А. Что за идентификаторы лиц появились в московском метро? // Аргументы и факты. 2020. 26 фев.

418

Там же.

420

Самедова С. Туристы попали в сеть. В интернете появились персональные данные вернувшихся из Таиланда оренбуржцев // Коммерсантъ. 2020. 2 апр.

422

«Обеспечение здоровья населения не должно стать карт-бланшем для слежки за частной жизнью». Комиссар Совета Европы по правам человека – об опасности перегибов в борьбе с коронавирусом // Коммерсантъ. 2020. 27 апр.

425

Эрмитаж протестировал систему распознавания лиц для оплаты входного билета // Ведомости. 2018. 29 мая.

433

Например, проанализировав историю покупок (в интернет-магазине той же сети или по дисконтной карте).

434

Тишина Ю. Воров возьмут с личным. В магазинах внедряют видеораспознавание в целях безопасности // Коммерсантъ. 2019. 14 авг.

451

https://www.facebook.com/photo.php?fbid=1060594710701937.

459

Там же.

473

Выяснив номер банковской карты и номер телефона, злоумышленник может попытаться, обратившись к оператору сотовой связи, перевыпустить SIM-карту, чтобы перехватить одноразовые коды и получить доступ к банковскому счету. https://www.kaspersky.ru/blog/dont-post-boarding-pass-online/9617/.

479

https://q13fox.com/2015/02/03/man-accused-of-stealing-friends-facebook-photos-doing-the-unthinkable/.

487

«Человек под колпаком Big Data: можно ли защитить личную информацию?» Лекция Фонда Егора Гайдара // Коммерсантъ. 2018. 15 фев.

495

Всего для брутфорса использовалась 61 комбинация логина и пароля, а подключение осуществлялось через протокол Telnet. https://amonitoring.ru/article/mirai_report/.

496

Компьютерная сеть из зараженных устройств (в случае с Mirai – IoT-девайсов (камер видеонаблюдения, видеорегистраторов, маршрутизаторов, IP-камер и Linux-серверов и других устройств, подключенных к интернету)), предназначенная для рассылки спама, брутфорса паролей и DoS/DDoS-атак.

502

Там же.

503

https://threatpost.ru/hakery-vzlomali-veb-kamery-prostyh-lyudej-i-vylozhili-video/4822/.

507

https://sfglobe.com/2016/01/06/stranger-hacks-familys-baby-monitor-and-talks-to-child-at-night/.

512

Но разговоры высокого уровня конфиденциальности лучше все же вести при личной встрече.

513

https://developers.facebook.com/docs/apis-and-sdks.

521

Информация не проверена.

522

https://tehnot.com/glava-fbr-posovetoval-zakleit-veb-kameru-noutbuka/.

524

«Человек под колпаком Big Data: можно ли защитить личную информацию?». Лекция Фонда Егора Гайдара // Коммерсантъ. 2018. 15 фев.

529

Если произошла утечка из базы данных социальной сети, о чем сообщили СМИ или администрация ресурса, либо в вашем аккаунте зафиксирована подозрительная активность, либо произошел взлом других ваших аккаунтов и т. п.

531

Администрация социальной сети имеет доступ ко всем вашим данным, независимо от настроек конфиденциальности, и при необходимости сотрудничает с правоохранительными органами, передавая им любую имеющуюся у нее информацию.

532

В адресе могут использоваться похожие буквы из другого алфавита.

533

https://rus-linux.net/MyLDP/sec/cyber-attacks-dns-invasions.html.

536

https://rus-linux.net/MyLDP/sec/cyber-attacks-dns-invasions.html.

537

Список тех, с кем говорил или переписывался пользователь, даты звонков и писем, длительность разговоров и т. п.

545

https://www.facebook.com/about/privacy.

547

Страницы предназначены для брендов, компаний, организаций и общественных деятелей, которые желают создать свое присутствие на Facebook, а профили представляют отдельных людей.

548

https://www.facebook.com/help/1561485474074139?ref=dp.

550

https://www.facebook.com/policies/cookies/.

551

https://help.instagram.com/1896641480634370.

552

API (программный интерфейс приложения, интерфейс прикладного программирования) (англ. application programming interface, API [эй-пи-ай]) – описание способов (набор классов, процедур, функций, структур или констант), которыми одна компьютерная программа может взаимодействовать с другой программой.

553

https://www.facebook.com/business/a/facebook-pixel.

560

Согласно международному праву экстремистскими являются только деяния, связанные с насилием. Ратифицированная Россией Шанхайская конвенция о борьбе с терроризмом, сепаратизмом и экстремизмом гласит, что «"экстремизм" – какое-либо деяние, направленное на насильственный захват власти или насильственное удержание власти, а также на насильственное изменение конституционного строя государства, а равно насильственное посягательство на общественную безопасность, в том числе организация в вышеуказанных целях незаконных вооруженных формирований или участие в них»:

http://kremlin.ru/supplement/3405/print.

Европейская комиссия за демократию через право – консультативный орган по конституционному праву, при Совете Европы, членом которого является РФ, – характеризуя российское антиэкстремистское законодательство, подчеркивает: «Закон об экстремизме, вследствие широкого и неточного словоупотребления, в особенности в "основных понятиях", определяемых в Законе, таких, как определение "экстремизма", "экстремистской деятельности», "экстремистских организаций" или "экстремистских материалов", – предоставляет слишком широкое усмотрение в своем толковании и применении, что ведет к произволу»:

http://www.religiopolis.org/documents/4889-otsenka-evrokomissiej-za-demokratiju-cherez-pravo-fz-rf-o-protivodejstvii-ekstremistskoj-dejatelnosti-6602011-20062012-strasburg.html.

На сайте Совета Европы мнение комиссии доступно в оригинале (англ.):

https://www.venice.coe.int/webforms/documents/default.aspx?pdffile=CDL-AD(2012)016-e. Чтобы открыть этот файл, необходимо изменить его расширение с. aspx на. pdf.

561

Постоянно обновляемый список экстремистских материалов. https://minjust.ru/ru/node/243787.

574

https://kids.kaspersky.ru/articles/cyberbullying/10-forms-of-cyberbullying/.

575

https://theintercept.com/2019/02/03/nbc-news-to-claim-russia-supports-tulsi-gabbard-relies-on-firm-just-caught-fabricating-russia-data-for-the-democratic-party/.

579

В России вступили в силу законы о наказании за фейковые новости и «явное неуважение» к власти // Новая газета. 2019. 29 мар.

580

Никитинский Л. Пандемия № 207.1. Журналисты не должны отвечать за ошибки в «ковидной» фактуре, если публикация может спасти жизни и здоровье людей – считают в СПЧ // Новая газета. 2020. 29 окт.

581

Перова А. Блого дело. В Краснодаре начался уголовный процесс о недостоверной публикации во время карантина // Коммерсантъ (Ростов). 2020. 18 сен.

596

Из книги Securing Java: Getting Down to Business with Mobile Code.

Глава 1, раздел 7.

Securing

Java: Getting Down to Business with Mobile Code, 2nd edition, by Gary McGraw and Edward W. Felten, Wiley, 1999.

https://web.archive.org/web/19991118021631/http://www.securingjava.com/chapter-one/chapter-one-1.html.

598

Даже из числа доверенных 42 % сайта так или иначе «опасны» для пользователя. https://www.kaspersky.ru/blog/risky-websites-42/21110/

602

Тишина Ю. В московском метро запустили закрытый Wi-Fi с шифрованием // Коммерсантъ. 2019. 3 сен.

606

Используя специальные прошивки, злоумышленник может настроить мошенническую точку доступа на использование нескольких распространенных SSID одновременно, тем самым многократно повышая эффективность атаки. https://habr.com/ru/post/225059/

638

Следует учесть, что предварительно оплаченные заказы выдаются при предъявлении паспорта, поэтому в таком случае реальные данные указывать обязательно.

639

В некоторых странах это может грозить административными и уголовными наказаниями, если информация о таких покупках будет доступна общественности.

644

Cookie-файл содержит не логины и пароли пользователя, а скорее некий идентификатор пользователя, по которому он идентифицируется сервером.

648

См. кейс о компаниях Netflix и IMDB в главе 7.

649

Межсайтовый скриптинг, выполнение вредоносного кода, внедренного на веб-страницу, посещаемую пользователем. https://ru.wikipedia.org/wiki/Межсайтовый_скриптинг.

655

В ряде браузеров очищаются отдельно от остальных cookie-файлов.

656

Специальное хранилище в памяти устройства.

657

Cookie-данные кодируются в графический PNG-файл, кешируемый браузером.

662

Работающие без cookie-файлов, а создающие уникальный отпечаток на основе характеристик устройства, его аппаратного и программного обеспечения.

676

«Человек под колпаком Big Data: можно ли защитить личную информацию?» Лекция Фонда Егора Гайдара // Коммерсантъ. 2018. 15 фев.

694

Существуют другие, менее популярные анонимные сети, такие, как I2P и Freenet, для доступа к которым требуется собственное программное обеспечение.

700

Эскроу-счет (фин.) – специальный счет, предназначенный для депонирования денежных средств без права совершения расходных операций, до выполнения обязательств, в счет которых размещены деньги.

702

В сетевых устройствах, покупаемых или арендуемых у провайдеров, настройки администратора могут быть недоступны пользователю. Такие устройства представляют серьезную угрозу безопасности сети и персональным данным пользователя, так как он не может сменить слабый пароль администратора или вовремя установить обновления.

703

Как правило, доступ к сетевому устройству осуществляется через браузер по IP-адресу устройства (обычно 192.168.1.1 или 192.168.0.1). IP-адрес может быть указан на наклейке на корпусе устройства, или его можно найти в настройках сетевого адаптера, в инструкции или с помощью команды ipconfig (строка Основной шлюз или по-английски Default Gateway) в оболочке командной строки.

704

Определив модель устройства, злоумышленник может воспользоваться известными уязвимостями прошивки или использовать дефолтные логин и пароль администратора из базы данных в интернете, если вы их не сменили.

710

Те же советы касаются других приложений, предназначенных для работы в интернете: FTP-менеджеров, менеджеров загрузок и т. п.

712

Safari передает только набранный, но не вставленный из буфера обмена адрес.

718

Обратите внимание: специфика работы антивирусных программ требует полноценного доступа к файловой системе. В процессе сканирования/мониторинга системы антивирусное программное обеспечение может выгружать с устройства пользователя на сервер разработчика антивируса любые файлы, к которым имеет доступ в рамках проверки на отсутствие заражения, т. е. вы таким образом защищаете систему от вредоносного программного обеспечения, но при этом ваши персональные данные могут быть украдены. Это не столь актуально для рядовых пользователей, но может быть очень важно для обладателей особо важной информации, за которыми могут следить какие-либо крупные структуры.

719

Айд М. А. «Разработка методологии противодействия отслеживания и идентификации пользователей интернета». Магистерская диссертация, Томск, 2018. https://earchive.tpu.ru/handle/11683/48872.

723

За исключением отдельной регистрации для полноценного использования дополнения.

731

Кстати, Tor, по сути, та же цепочка прокси-серверов, которые время от времени меняются и каждый из которых использует собственный слой шифрования. Первый узел расшифровывает первый слой многослойно зашифрованного трафика пользователя, второй – второй слой и т. д. Уязвимым остается конечный (выходной) узел в сети Tor, на котором расшифровывается последний слой. Из-за многослойности такой тип передачи данных (маршрутизации) получил название «луковый», отсюда и доменное имя. onion (в пер. с англ. – «лук»). Скомпрометированные выходные узлы сети Tor, которые не поддерживают зашифрованные каналы передачи данных и могут быть подконтрольны государственным и прочим организациям, создают угрозу анонимности и конфиденциальности пользователя. Чтобы исключить из цепочки выходные узлы, находящиеся в несвободных государствах, в файл Tor Browser\Data\Tor\torrc можно добавить, например, такую строку: ExcludeExitNodes {RU}, {BY}, {KZ}, {SU}, http://www.opennet.ru/openforum/vsluhforumID3/112549.html#.

735

Помните, что протокол HTTP не гарантирует стопроцентной защиты данных.

739

Обратите внимание: вне зависимости от включения интернет-фильтра данный контент НЕ блокируется в сети «ВКонтакте», а также в браузере Tor и анонимных сетях.

741

Солдатских В., Горячева В. Клиенты Сбербанка попали на черный рынок. Утечка затронула владельцев кредитных карт // Коммерсантъ. 2019. 3 окт.

744

Так происходит потому, что пароли BIOS, как и другие настройки, хранятся в памяти CMOS, содержимое которой сбрасывается после отключения питания (отсоединения специальной батарейки).

745

https://system-repair.net/2011/01/zashhita-kompyutera-na-urovne-bios/.

746

https://windows-otvety.com/как-легко-сбросить-пароль-bios-на-пк-с-windows-10/.

749

Все же разумнее хранить особо важные данные, которые не используются ежедневно, в зашифрованном виде на отдельных внешних накопителях или службах во второй контролируемой зоне (см. главу 1).

752

А также последние сообщения в социальных сетях, мессенджерах, форумах, игровых чатах; информация о последних скачанных файлах; страницы и изображения с сайтов, даже открытые в приватном режиме; загруженные ветки реестра, распакованные и расшифрованные версии защищенных программ, информация об открытых сетевых соединениях. https://xakep.ru/2013/11/16/forensic-ram-ringerprints/.

755

https://panicbutton.pw/ru/.

767

В отличие от активных, не содержащие усилителя аудиосигнала.

790

Вредоносные инструкции, записанные в виде пакетного файла, иногда не определяемые антивирусными программами.

823

https://threatpost.ru/lokibot-hidden-inside-png-image/32160/.

834

https://proslushka24.su/setevoy-filtr-gsm-zhuchok.

835

https://proslushka24.su/kompyuternaya-myshka-zhuchok.

854

Сарханянц К. Голландцы расправились с Megaupload. Хостинг-провайдер LeaseWeb удалил все данные пользователей в Европе // Коммерсантъ. 2013. 20 июн.

861

Например, активация ОС Windows позволяет убедиться в том, что копия подлинная и не используется на большем числе устройств, чем разрешено условиями лицензионного соглашения об использовании программного обеспечения корпорации Microsoft.

865

В расчете на то, что пользователь будет нажимать кнопку «Далее», не вникая в текст в окнах установщика.

867

И прочие файлы со сценариями. https://en.wikipedia.org/wiki/Windows_Script_Host.

868

https://softwarius.ru/50-potentsialno-opasnyih-rasshireniy-v-windows/.

870

Многие пользователи нелицензионных версий операционной системы блокируют установку обновлений, чтобы избежать «слета» активации, выполненной с помощью хакерской утилиты, например поддельного KMS-сервера или загрузчика. Это очень серьезно угрожает безопасности системы и сохранности персональных данных.

884

Состоящей из бывших сотрудников АНБ. https://www.reuters.com/investigates/special-report/usa-spying-raven/.

887

Жилин В. В., Дроздова И. И. Основные методы защиты современных мобильных устройств // Молодой ученый. 2017. № 13 (147). С. 41–44.

898

Там же.

906

Но и этот механизм защиты обходится. Рассказывать об этом подробно не будем, так как сброс устройств до заводского состояния не касается темы кражи персональных данных.

918

Начиная с версии Android 9 защищены кодом блокировки мобильного устройства; в ранних версиях не шифруются.

931

https://simalliance.org/wp-content/uploads/2019/08/[email protected].

944

«Человек под колпаком Big Data: можно ли защитить личную информацию?». Лекция Фонда Егора Гайдара // Коммерсантъ. 2018. 15 фев.

957

https://twitter.com/azarijahromi/status/1237762591327432704.

959

https://m.facebook.com/photo.php?fbid=2988213981241100&set=a1004627766266408&type=3.

964

https://zakon.ru/blog/2020/4/10/administrativnaya_otvetstvennost_za_narushenie_karantina_i_rezhima_samoizolyacii__kak_s_etim_zhit.

970

В этом случае поможет установка ПИН-кода на SIM-карту (но только если злоумышленник ее не перевыпустит).

978

https://www.wandera.com/phone-listening/.

991

Хакер, 01 2017 (216).

1004

Потенциально – это и способ регистрации его местонахождения, если ультразвуковые излучатели будут встраивать в объекты городской среды – к примеру, в транспорт, здания, светофоры и т. п.

1009

https://marcinkordowski.com/ultrasonic-cross-device-tracking/.

1025

Для безопасности приложения запускаются в изолированных «контейнерах» – «песочницах», чтобы они не могли влиять друг на друга, например красть данные.

1030

На устройстве могут быть установлены датчики, которые позволяют более точно фиксировать ваше местонахождение и передвижение. Например, с помощью акселерометра можно определить скорость движения, а с помощью гироскопа – направление. https://policies.google.com/privacy?hl=ru.

1037

Например, обновлений могут не дождаться владельцы устройств, провалившихся в продаже. Либо устройство поддерживается ограниченный период времени, скажем в течение года, чтобы подтолкнуть пользователя к покупке обновленной модели.

1051

https://www.cifrovik.ru/publish/open_preview/19473/.

1052

Команды приведены для версии iOS 13.3.1 и могут отличаться в других версиях операционной системы iOS.

1054

http://ps.fsb.ru/law/generaldoc/more.htm!id%3D10320630%40fsbNpa.html.

1060

Там же.

1077

И другими функциями.

1078

https://threatpost.ru/kiberprestupniki-nachali-atakovat-azs/10693/.

1085

https://threatpost.ru/premisys-vulnerabilities-details-disclosed/30549/.

1086

https://threatpost.ru/guardzilla-cams-have-hardcoded-passwords-from-amazon-s3-buckets-with-users-video/30345/.

1089

https://threatpost.ru/internet-veshhej-pozvolit-ograbit-milliony-kvartir/7473/.

1090

https://www.darktrace.com/resources/wp-global-threat-report-2017.pdf.

1105

Независимая некоммерческая организация, которая защищает гражданские свободы в цифровом мире и работает в области обеспечения конфиденциальности в сети интернет.

1107

https://threatpost.ru/orvibo-leaks-pretty-much-everything/33330/.

1113

Там же.

1114

Так специалисты по ИБ называют атаки на медицинские сети и оборудование.

1116

Из-за уязвимости CVE-2008-4250 в 2008 г. началась эпидемия, вызванная червем Conficker, заразившим за 2 месяца около 12 млн компьютеров по всему миру, которая привела к убыткам в размере более чем 9 млрд долларов. https://ru.wikipedia.org/wiki/Conficker.

1117

https://defcon.ru/network-security/236/.

1119

Предоставляемый по запросу.

1120

IPTV (IP-TV, IP-телевидение) (англ. Internet Protocol Television) – технология цифрового телевидения в сетях передачи данных по протоколу IP, используемая операторами цифрового кабельного телевидения. Технологию IPTV часто путают с технологией ОТТ, которая является подклассом IPTV. Кроме того, не следует путать IPTV и с интернет-телевещанием, в котором используется потоковое видео и которое доступно пользователю без посредников (компаний-операторов).

1142

https://www.coons.senate.gov/imo/media/doc/Amazon%20Senator%20Coons__Response%20Letter__6.28.19%5B3%5D.pdf.

1154

https://lightcommands.com/20191104-Light-Commands.pdf.

1158

Кривошапко Ю. Siri «проболталась» // Российская газета. 2018. 4 июн.

1162

https://sfglobe.com/2016/01/06/stranger-hacks-familys-baby-monitor-and-talks-to-child-at-night/.

1168

Bluetooth с низким энергопотреблением.

1172

https://www.strava.com/heatmap.

1192

https://media.fcanorthamerica.com/newsrelease.do?id=16849.

1221

«МБХ медиа»: на черном рынке продают доступ к московской системе распознавания лиц. Новая газета // 2019. 5 дек.

1223

https://rdc.nl/rdc-onderzoekt-datalek-de-meest-gestelde-vragen-en-antwoorden/.

1258

Опять же не следует забывать о том, что трафик в сотовых сетях может перехватываться как операторами, так и государственными организациями.


Еще от автора Михаил Анатольевич Райтман
Как найти и скачать в Интернете любые файлы

Описан ряд эффективных, в том числе и неочевидных, приемов поиска информации и нужных файлов.Даны советы и рекомендации по бесплатному скачиванию и докачке файлов с файлообменных серверов, торрент-трекеров и узлов DC++. Книга знакомит с электронными библиотеками, FTP- и HTTP-архивами, «варезными» сайтами и форумами. Показано, как оформлять свои раздачи на трекерах и осуществлять управление рейтингом, скачивать объемные файлы, экономить трафик и деньги при медленном подключении к Интернету, бесплатно скачивать музыку и видео.


Рекомендуем почитать
Наполеон Бонапарт: между историей и легендой

Наполеон притягивает и отталкивает, завораживает и вызывает неприятие, но никого не оставляет равнодушным. В 2019 году исполнилось 250 лет со дня рождения Наполеона Бонапарта, и его имя, уже при жизни превратившееся в легенду, стало не просто мифом, но национальным, точнее, интернациональным брендом, фирменным знаком. В свое время знаменитый писатель и поэт Виктор Гюго, отец которого был наполеоновским генералом, писал, что французы продолжают то показывать, то прятать Наполеона, не в силах прийти к окончательному мнению, и эти слова не потеряли своей актуальности и сегодня.


Император Алексей Ι Комнин и его стратегия

Монография доктора исторических наук Андрея Юрьевича Митрофанова рассматривает военно-политическую обстановку, сложившуюся вокруг византийской империи накануне захвата власти Алексеем Комнином в 1081 году, и исследует основные военные кампании этого императора, тактику и вооружение его армии. выводы относительно характера военно-политической стратегии Алексея Комнина автор делает, опираясь на известный памятник византийской исторической литературы – «Алексиаду» Анны Комниной, а также «Анналы» Иоанна Зонары, «Стратегикон» Катакалона Кекавмена, латинские и сельджукские исторические сочинения. В работе приводятся новые доказательства монгольского происхождения династии великих Сельджукидов и новые аргументы в пользу радикального изменения тактики варяжской гвардии в эпоху Алексея Комнина, рассматриваются процессы вестернизации византийской армии накануне Первого Крестового похода.


Продолжим наши игры+Кандибобер

Виктор Пронин пишет о героях, которые решают острые нравственные проблемы. В конфликтных ситуациях им приходится делать выбор между добром и злом, отстаивать свои убеждения или изменять им — тогда человек неизбежно теряет многое.


Краткая история насекомых. Шестиногие хозяева планеты

«Любая история, в том числе история развития жизни на Земле, – это замысловатое переплетение причин и следствий. Убери что-то одно, и все остальное изменится до неузнаваемости» – с этих слов и знаменитого примера с бабочкой из рассказа Рэя Брэдбери палеоэнтомолог Александр Храмов начинает свой удивительный рассказ о шестиногих хозяевах планеты. Мы отмахиваемся от мух и комаров, сражаемся с тараканами, обходим стороной муравейники, что уж говорить о вшах! Только не будь вшей, человек остался бы волосатым, как шимпанзе.


Историческое образование, наука и историки сибирской периферии в годы сталинизма

Настоящая монография посвящена изучению системы исторического образования и исторической науки в рамках сибирского научно-образовательного комплекса второй половины 1920-х – первой половины 1950-х гг. Период сталинизма в истории нашей страны характеризуется определенной дихотомией. С одной стороны, это время диктатуры коммунистической партии во всех сферах жизни советского общества, политических репрессий и идеологических кампаний. С другой стороны, именно в эти годы были заложены базовые институциональные основы развития исторического образования, исторической науки, принципов взаимоотношения исторического сообщества с государством, которые определили это развитие на десятилетия вперед, в том числе сохранившись во многих чертах и до сегодняшнего времени.


Технологии против Человека. Как мы будем жить, любить и думать в следующие 50 лет?

Эксперты пророчат, что следующие 50 лет будут определяться взаимоотношениями людей и технологий. Грядущие изобретения, несомненно, изменят нашу жизнь, вопрос состоит в том, до какой степени? Чего мы ждем от новых технологий и что хотим получить с их помощью? Как они изменят сферу медиа, экономику, здравоохранение, образование и нашу повседневную жизнь в целом? Ричард Уотсон призывает задуматься о современном обществе и представить, какой мир мы хотим создать в будущем. Он доступно и интересно исследует возможное влияние технологий на все сферы нашей жизни.