Старший брат следит за тобой. Как защитить себя в цифровом мире [заметки]
2
«Человек под колпаком Big Data: можно ли защитить личную информацию?». Лекция Фонда Егора Гайдара // Коммерсантъ. 2018. 15 фев.
3
GDPR, General Data Protection Regulation, https://gdpr-info.eu.
5
Компания Meta признана в России экстремистской организацией.
6
«Хакеры», пользующиеся для взлома чужими наработками. – Здесь и далее, за исключением особо оговоренных случаев, прим. авт.
7
https://vk.com/video-90241001_456239093, вебинар «Реализация требований GDPR в России», 25 мая 2018 г.
8
Юзбекова И., Филонов Д. «Пугать народ страшилками – это мы любим» // РБК. 2016. 20 мая.
9
Дополнено к документу «Методические рекомендации по организационной защите физическим лицом своих персональных данных». https://pd.rkn.gov.ru/library/p195/.
11
Трегубова Е. Как паспортные данные попадают в руки мошенников? Четыре реальных истории // Аргументы и факты. 2017. 8 дек.
12
Хотя по номеру мобильного телефона и с помощью социальной инженерии, знакомств в сфере сотовой связи и другими способами злоумышленник может выяснить все необходимые данные о вас, а вы не можете быть уверены, что телефон был похищен не с целью узнать некую личную информацию о вас.
13
Но в некоторых случаях это может противоречить правилам платежных сервисов. – Прим. ред.
14
На основе комбинаций параметров сессии интернет в ряде случаев можно идентифицировать пользователя. – Прим. ред.
15
Аналогичным образом по ряду характеристик можно составить «отпечаток» устройства. – Прим. ред.
19
К слову, сам ресурс AshleyMadison.com отчасти можно назвать мошенником, так как за удаление профиля с пользователя взималась плата 19 долларов. По словам группы хакеров The impact team, взломавшей ресурс и слившей данные с серверов собственника сайта – компании Avid Life Media, даже после оплаты профиль не удалялся, о чем стало ясно после изучения слитых дампов данных, https://xakep.ru/2015/09/04/ashley-madison-fall.
22
https://revisium.com/kb/weak_passwords.html.
28
https://revisium.com/kb/weak_passwords.html.
29
Читается как «капча».
30
Соль (также модификатор входа хеш-функции) – строка данных, которая передается хеш-функции вместе с входным массивом данных (прообразом) для вычисления хеша (образа). «Соль» – дословный перевод английского термина «salt».
31
Пример, нереальные значения.
34
Подробнее о таблицах см.: https://www.internet-technologies.ru/articles/solenoe-heshirovanie-paroley-delaem-pravilno.html.
41
https://twitter.com/kevinmitnick/status/545432732096946176.
48
Граббер – программа для сбора информации.
49
https://threatpost.ru/moscow-region-ambulance-service-database-leaked-due-to-bad-mongodb-settings/32197/.
51
https://www.facebook.com/notes/facebook-security/preparing-for-the-future-of-security-requires-focusing-on-defense-and-diversity/10154629522900766/.
54
https://leakedsource.ru/blog/friendfinder.
55
Канев С. Беда на продажу // The New Times. 2016. № 29 (417).
57
Zero Trust, https://www.kaspersky.ru/blog/zero-trust-security/28780/.
60
https://android.mobile-review.com/articles/50451/.
63
Сайты, позволяющие пользователям обмениваться фрагментами простого текста, а также исходного кода, первым из которых был https://pastebin.com.https://www.echosec.net/blog/what-is-pastebin-and-why-do-hackers-love-it.
66
Система сигнализации № 7, или ОКС-7 (общий канал сигнализации № 7, англ. Common Channel Signaling) – набор сигнальных телефонных протоколов, используемых для настройки большинства телефонных станций (PSTN и PLMN) по всему миру на основе сетей с канальным разделением по времени. В основе ОКС-7 лежит использование аналоговых или цифровых каналов для передачи данных и соответствующей управляющей информации.
84
К слову, многие учетные записи были защищены простыми паролями вроде password и abcd1234.
90
https://twitter.com/MARCIANOPHONE/status/847128194654228480.
91
https://www.bkav.com/dt/top-news/-/view_content/content/103968/bkav%EF%BF%BDs-new-mask-beats-face-id-in-twin-way-severity-level-raised-do-not-use-face-id-in-business-transactions.
105
https://twitter.com/Turtseva/status/577712245011939328.
109
98 % кибератак совершаются с применением методов социальной инженерии. https://purplesec.us/resources/cyber-security-statistics/.
110
Приемы атаки с применением социальной инженерии и методы защиты от них описываются в этой книге на многочисленных примерах. Кроме того, рекомендую прочитать книгу Кристофера Хэднеги «Искусство обмана: Социальная инженерия в мошеннических схемах» (М.: Альпина Паблишер, 2020).
121
https://threatpost.ru/phishers-put-fake-ssl-to-their-sites-we-are-all-gonna-die/23649/.
122
BEC (Business email compromise) – вид киберпреступлений с использованием электронной почты. Атаке подвергаются коммерческие, государственные и некоммерческие организации. Подробности: https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/business-email-compromise.
127
Эксплойт – компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для атаки на вычислительную систему.
128
Бэкдор (от англ. back door – «черный ход», буквально «задняя дверь») – дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удаленному управлению операционной системой и компьютером в целом.
135
Впрочем, наличие «правильного» расширения не всегда свидетельствует о безвредности файла: истинное расширение может быть скрыто, а файлы Microsoft Office или PDF, помимо всего прочего, могут содержать и вредоносные макросы/сценарии.
145
https://www.wired.com/2016/04/reporters-pulled-off-panama-papers-biggest-leak-whistleblower-history/.
150
Митник К. Искусство быть невидимым: Как сохранить приватность в эпоху Big Data. – М.: Эксмо, 2019.
151
Просто и понятно о сквозном шифровании: https://pikabu.ru/story/kak_rabotaet_endtoend_shifrovanie_metod_vzlamyivaetsya_oshibka_5411489.
156
Надо учитывать и то, что злоумышленник может перехватить сообщение при вводе или выводе на устройствах отправителя или получателя, например сделав снимок изображения на экране или используя кейлогер.
160
Именно его API использует ресурс https://monitor.firefox.com, но для дополнительной защиты передает на https://haveibeenpwned.com хеши, а не сами адреса электронной почты. Тем не менее, по словам блогера Алексея Надежина, сайту https://haveibeenpwned.com можно доверять. https://ammo1.livejournal.com/1012397.html.
162
https://73.мвд.рф/document/938771.
164
https://24.мвд.рф/news/item/10061299/.
165
https://mosoblproc.ru/explain/telefonnoe-moshennichestvo/.
170
Звонова О. Внимание, телефонные мошенники! 5 причин насторожиться // Аргументы и факты. 2013. 28 мая.
177
https://www.delphiplus.org/inzhenerno-tekhnicheskaya-zashchita-informatsii/zakladnye-ustroistva.html.
182
VPN (англ. Virtual Private Network – «виртуальная частная сеть») – обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети, например интернет.
186
Веб-портал – сайт в компьютерной сети, который предоставляет пользователю различные интерактивные интернет-сервисы, которые работают в рамках этого сайта. Веб-портал может состоять из нескольких сайтов.
188
Коломыченко М., Линделл Д., Моисеев И., Фёдоров И. Операторы оказались неразыскными. Почему СОРМ работают недостаточно эффективно // РБК. 2017. 9 нояб.
189
1 июля 2018 г. вступил в силу закон «О внесении изменений в федеральный закон „О противодействии терроризму“ и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности».
191
https://www.znak.com/2013-08-19/kto_kak_i_zachem_proslushivaet_vashi_razgovory_i_chitaet_perepisku_issledovanie_znak_com.
198
Коломыченко М. Сотрудники будут услышаны работодателями. InfoWatch предложила систему контроля разговоров по сотовым телефонам в офисе // Коммерсантъ. 2016. 11 мая.
204
Кормильцев Н. В., Уваров А. Д., «Методы создания IMSI-ловушки для перехвата GSM-пакетов», КНИТУ-КАИ им. А.Н. Туполева. 2018. https://www.elibrary.ru/item.asp?id=35033336&.
209
Кстати, смартфоны никак не оповещают пользователя об отключении шифрования, хотя это небезопасно: разговоры без шифрования легко перехватываются.
214
https://wp.internetsociety.org/ndss/wp-content/uploads/sites/25/2018/02/ndss2018_02A-3_Hussain_paper.pdf.
231
https://www.ptsecurity.com/ru-ru/research/analytics/ss7-vulnerability-2018/.
242
https://dedected.org.
243
https://www.hackingexposedwireless.com/chapters/ch05.pdf.
256
Не забывая о рисках, связанных с их использованием.
267
Серьгина Е., Никольский А., Силонов А. Российским спецслужбам дали возможность прослушивать Skype. Спецслужбы нашли способ отслеживать разговоры, сообщения и местонахождение пользователей Skype // Ведомости. 2013. 14 мар. https://www.vedomosti.ru/politics/articles/2013/03/14/skype_proslushivayut.
274
https://www.znak.com/2013-08-19/kto_kak_i_zachem_proslushivaet_vashi_razgovory_i_chitaet_perepisku_issledovanie_znak_com.
278
Технология MMS не рассматривается в силу дороговизны, ограниченности и неудобства (обладает теми же недостатками, что и SMS).
283
Это несложно, учитывая количество утечек с различных сайтов, в том числе с сайтов социальных сетей.
295
https://youtu.be/H0YoDtDSYvo (осторожно, ненормативная лексика!).
301
Шестоперов Д. Android взломали по СМС. В смартфонах обнаружили уязвимость для фишинговых атак // Коммерсантъ. 2019. 5 сен.
312
А также и зашифрованное, если разработчиком предоставлены ключи для расшифровки.
316
https://medium.com/bitcoin-review/шифрование-с-открытым-ключом-наглядная-иллюстрация-fbea974f5896.
319
Первоначально в официальном магазине злоумышленники могут разместить приложение без вредоносного кода (например, делающего снимки экрана с сообщениями), а после прохождения проверки внедрить такой код и опубликовать под видом обновления.
320
Если это не запрещено настройками мессенджера.
327
«Проверяем на стойкость мессенджеры с шифрованием» // Хакер. № 217. 2017. Февр.; https://xakep.ru/2017/02/27/cryptodroid-messengers-encryption/.
328
https://www.facebook.com/annaznamenskaya/posts/10207689697860791.
331
Большинство операторов сотовой связи противодействуют таким угрозам, блокируя входящие/исходящие SMS на сутки после смены SIM-карты.
332
Как показывает практика, в настольной версии мессенджера вообще не происходит смена ключей. Таким образом, злоумышленник сможет читать переписку до тех пор, пока пользователь не завершит активные сеансы в мобильной версии мессенджера.
333
«Проверяем на стойкость мессенджеры с шифрованием» // Хакер. № 217. 2017. Февр.; https://xakep.ru/2017/02/27/cryptodroid-messengers-encryption/.
336
К примеру, злоумышленники могут отправить SMS-сообщение с требованием перезвонить в службу поддержки банка, указав свой номер телефона.
338
Лемуткина М. Эксперты предупредили об ответственности за фейки в мессенджерах. Кто распространяет жуткую информацию о детях среди родителей // Московский комсомолец. 2018. 8 окт.
340
Обратите внимание, что полученная информация не всегда может быть достоверной, так как телефонные номера могут передаваться от одного оператора сотовой связи другому.
348
Еще в WhatsApp есть уязвимости, позволяющие злоумышленникам изменять содержимое сообщений; https://www.securitylab.ru/news/494962.php.
353
Обратите внимание: исходный код мессенджера Telegram открыт лишь частично: доступна только клиентская часть, а серверная, обрабатывающая сообщения, закрыта; https://xakep.ru/2018/06/14/useless-encryption/.
357
https://reestr.rublacklist.net/distributor/108945. Согласно 97-ФЗ «Организатор распространения информации обязан собирать, хранить и предоставлять информацию о действиях пользователей на своем ресурсе уполномоченным госорганам», т. е. обязан передавать не только все метаданные, но и содержимое сообщений; https://roskomsvoboda.org/26618/.
358
Компания – разработчик мессенджера Signal получила от судебных органов запрос, касающийся персональных данных одного из пользователей. В ответе она смогла указать только время его регистрации в сервисе и время, когда он в последний раз использовал мессенджер. https://ichip.ru/ispolzuem-messendzhery-s-shifrovaniem-dlya-bezopasnogo-obshheniya.html.
361
«Дайджест», Хакер 223, август-сентябрь 2017 г. http://onepdf.ru/haker-8-9-223-avgust-sentyabr-2017/.
362
Что неприемлемо, если необходимо обеспечить анонимность платежа.
366
На девайсе под управлением операционной системы Android это можно сделать с помощью такой программы, как Root Checker (https://play.google.com/store/apps/details?id=com.joeykrim.rootcheck) или Terminal Emulator (https://play.google.com/store/apps/details?id=jackpal.androidterm). В последней программе нужно ввести команду su и нажать кнопку ввода. Если root-доступ есть, в оболочке командной строки вы увидите слово root, если нет – сообщение can't execute: permission denied.
367
Проще всего определить это по значку приложения Cydia на экране, на невзломанных устройствах его нет.
369
https://twitter.com/PUMP781/status/1250367505572429824.
374
Имиджборд – своеобразный форум с публикациями-тредами.
375
https://medialeaks.ru/2004yut_faces/.
377
На момент написания книги аналогичными функциями обладал ресурс FindClone.
380
https://www.facebook.com/help/930396167085762.
388
https://www.robots.ox.ac.uk/ActiveVision/Research/Projects/2009bbenfold_headpose/Datasets/TownCentreXVID.avi.
391
https://www.nytimes.com/2019/07/13/technology/databases-faces-facial-recognition-technology.html.
397
Ограничивая количество туалетной бумаги, выдаваемой каждому «клиенту».
405
https://twitter.com/0xDUDE/status/1095702540463820800.
406
https://twitter.com/0xDUDE/status/1098335913946558464.
414
Забгаева А. Что за идентификаторы лиц появились в московском метро? // Аргументы и факты. 2020. 26 фев.
418
Там же.
420
Самедова С. Туристы попали в сеть. В интернете появились персональные данные вернувшихся из Таиланда оренбуржцев // Коммерсантъ. 2020. 2 апр.
422
«Обеспечение здоровья населения не должно стать карт-бланшем для слежки за частной жизнью». Комиссар Совета Европы по правам человека – об опасности перегибов в борьбе с коронавирусом // Коммерсантъ. 2020. 27 апр.
425
Эрмитаж протестировал систему распознавания лиц для оплаты входного билета // Ведомости. 2018. 29 мая.
433
Например, проанализировав историю покупок (в интернет-магазине той же сети или по дисконтной карте).
434
Тишина Ю. Воров возьмут с личным. В магазинах внедряют видеораспознавание в целях безопасности // Коммерсантъ. 2019. 14 авг.
451
https://www.facebook.com/photo.php?fbid=1060594710701937.
454
https://www.stopfake.org/ru/deep-fake-kogda-nejronnye-seti-stanovyatsya-iskusnee-propagandistov/.
459
Там же.
460
https://www.iphones.ru/iNotes/bolshoy-kitayskiy-brat-kak-vlasti-knr-sledyat-za-zhitelyami-12-09-2018.
462
https://www.iphones.ru/iNotes/bolshoy-kitayskiy-brat-kak-vlasti-knr-sledyat-za-zhitelyami-12-09-2018.
473
Выяснив номер банковской карты и номер телефона, злоумышленник может попытаться, обратившись к оператору сотовой связи, перевыпустить SIM-карту, чтобы перехватить одноразовые коды и получить доступ к банковскому счету. https://www.kaspersky.ru/blog/dont-post-boarding-pass-online/9617/.
479
https://q13fox.com/2015/02/03/man-accused-of-stealing-friends-facebook-photos-doing-the-unthinkable/.
487
«Человек под колпаком Big Data: можно ли защитить личную информацию?» Лекция Фонда Егора Гайдара // Коммерсантъ. 2018. 15 фев.
495
Всего для брутфорса использовалась 61 комбинация логина и пароля, а подключение осуществлялось через протокол Telnet. https://amonitoring.ru/article/mirai_report/.
496
Компьютерная сеть из зараженных устройств (в случае с Mirai – IoT-девайсов (камер видеонаблюдения, видеорегистраторов, маршрутизаторов, IP-камер и Linux-серверов и других устройств, подключенных к интернету)), предназначенная для рассылки спама, брутфорса паролей и DoS/DDoS-атак.
502
Там же.
503
https://threatpost.ru/hakery-vzlomali-veb-kamery-prostyh-lyudej-i-vylozhili-video/4822/.
507
https://sfglobe.com/2016/01/06/stranger-hacks-familys-baby-monitor-and-talks-to-child-at-night/.
512
Но разговоры высокого уровня конфиденциальности лучше все же вести при личной встрече.
513
https://developers.facebook.com/docs/apis-and-sdks.
521
Информация не проверена.
522
https://tehnot.com/glava-fbr-posovetoval-zakleit-veb-kameru-noutbuka/.
524
«Человек под колпаком Big Data: можно ли защитить личную информацию?». Лекция Фонда Егора Гайдара // Коммерсантъ. 2018. 15 фев.
529
Если произошла утечка из базы данных социальной сети, о чем сообщили СМИ или администрация ресурса, либо в вашем аккаунте зафиксирована подозрительная активность, либо произошел взлом других ваших аккаунтов и т. п.
531
Администрация социальной сети имеет доступ ко всем вашим данным, независимо от настроек конфиденциальности, и при необходимости сотрудничает с правоохранительными органами, передавая им любую имеющуюся у нее информацию.
532
В адресе могут использоваться похожие буквы из другого алфавита.
533
https://rus-linux.net/MyLDP/sec/cyber-attacks-dns-invasions.html.
536
https://rus-linux.net/MyLDP/sec/cyber-attacks-dns-invasions.html.
537
Список тех, с кем говорил или переписывался пользователь, даты звонков и писем, длительность разговоров и т. п.
545
https://www.facebook.com/about/privacy.
547
Страницы предназначены для брендов, компаний, организаций и общественных деятелей, которые желают создать свое присутствие на Facebook, а профили представляют отдельных людей.
548
https://www.facebook.com/help/1561485474074139?ref=dp.
550
https://www.facebook.com/policies/cookies/.
551
https://help.instagram.com/1896641480634370.
552
API (программный интерфейс приложения, интерфейс прикладного программирования) (англ. application programming interface, API [эй-пи-ай]) – описание способов (набор классов, процедур, функций, структур или констант), которыми одна компьютерная программа может взаимодействовать с другой программой.
553
https://www.facebook.com/business/a/facebook-pixel.
560
Согласно международному праву экстремистскими являются только деяния, связанные с насилием. Ратифицированная Россией Шанхайская конвенция о борьбе с терроризмом, сепаратизмом и экстремизмом гласит, что «"экстремизм" – какое-либо деяние, направленное на насильственный захват власти или насильственное удержание власти, а также на насильственное изменение конституционного строя государства, а равно насильственное посягательство на общественную безопасность, в том числе организация в вышеуказанных целях незаконных вооруженных формирований или участие в них»:
http://kremlin.ru/supplement/3405/print.
Европейская комиссия за демократию через право – консультативный орган по конституционному праву, при Совете Европы, членом которого является РФ, – характеризуя российское антиэкстремистское законодательство, подчеркивает: «Закон об экстремизме, вследствие широкого и неточного словоупотребления, в особенности в "основных понятиях", определяемых в Законе, таких, как определение "экстремизма", "экстремистской деятельности», "экстремистских организаций" или "экстремистских материалов", – предоставляет слишком широкое усмотрение в своем толковании и применении, что ведет к произволу»:
На сайте Совета Европы мнение комиссии доступно в оригинале (англ.):
https://www.venice.coe.int/webforms/documents/default.aspx?pdffile=CDL-AD(2012)016-e. Чтобы открыть этот файл, необходимо изменить его расширение с. aspx на. pdf.
561
Постоянно обновляемый список экстремистских материалов. https://minjust.ru/ru/node/243787.
574
https://kids.kaspersky.ru/articles/cyberbullying/10-forms-of-cyberbullying/.
575
https://theintercept.com/2019/02/03/nbc-news-to-claim-russia-supports-tulsi-gabbard-relies-on-firm-just-caught-fabricating-russia-data-for-the-democratic-party/.
579
В России вступили в силу законы о наказании за фейковые новости и «явное неуважение» к власти // Новая газета. 2019. 29 мар.
580
Никитинский Л. Пандемия № 207.1. Журналисты не должны отвечать за ошибки в «ковидной» фактуре, если публикация может спасти жизни и здоровье людей – считают в СПЧ // Новая газета. 2020. 29 окт.
581
Перова А. Блого дело. В Краснодаре начался уголовный процесс о недостоверной публикации во время карантина // Коммерсантъ (Ростов). 2020. 18 сен.
596
Из книги Securing Java: Getting Down to Business with Mobile Code.
Глава 1, раздел 7.
Securing
Java: Getting Down to Business with Mobile Code, 2nd edition, by Gary McGraw and Edward W. Felten, Wiley, 1999.
598
Даже из числа доверенных 42 % сайта так или иначе «опасны» для пользователя. https://www.kaspersky.ru/blog/risky-websites-42/21110/
602
Тишина Ю. В московском метро запустили закрытый Wi-Fi с шифрованием // Коммерсантъ. 2019. 3 сен.
606
Используя специальные прошивки, злоумышленник может настроить мошенническую точку доступа на использование нескольких распространенных SSID одновременно, тем самым многократно повышая эффективность атаки. https://habr.com/ru/post/225059/
638
Следует учесть, что предварительно оплаченные заказы выдаются при предъявлении паспорта, поэтому в таком случае реальные данные указывать обязательно.
639
В некоторых странах это может грозить административными и уголовными наказаниями, если информация о таких покупках будет доступна общественности.
644
Cookie-файл содержит не логины и пароли пользователя, а скорее некий идентификатор пользователя, по которому он идентифицируется сервером.
648
См. кейс о компаниях Netflix и IMDB в главе 7.
649
Межсайтовый скриптинг, выполнение вредоносного кода, внедренного на веб-страницу, посещаемую пользователем. https://ru.wikipedia.org/wiki/Межсайтовый_скриптинг.
655
В ряде браузеров очищаются отдельно от остальных cookie-файлов.
656
Специальное хранилище в памяти устройства.
657
Cookie-данные кодируются в графический PNG-файл, кешируемый браузером.
662
Работающие без cookie-файлов, а создающие уникальный отпечаток на основе характеристик устройства, его аппаратного и программного обеспечения.
675
https://blog.avast.com/ru/ekonomika-otslezhivaniya-chto-takoe-tsifrovoj-otpechatok-i-chem-on-opasen.
676
«Человек под колпаком Big Data: можно ли защитить личную информацию?» Лекция Фонда Егора Гайдара // Коммерсантъ. 2018. 15 фев.
694
Существуют другие, менее популярные анонимные сети, такие, как I2P и Freenet, для доступа к которым требуется собственное программное обеспечение.
700
Эскроу-счет (фин.) – специальный счет, предназначенный для депонирования денежных средств без права совершения расходных операций, до выполнения обязательств, в счет которых размещены деньги.
702
В сетевых устройствах, покупаемых или арендуемых у провайдеров, настройки администратора могут быть недоступны пользователю. Такие устройства представляют серьезную угрозу безопасности сети и персональным данным пользователя, так как он не может сменить слабый пароль администратора или вовремя установить обновления.
703
Как правило, доступ к сетевому устройству осуществляется через браузер по IP-адресу устройства (обычно 192.168.1.1 или 192.168.0.1). IP-адрес может быть указан на наклейке на корпусе устройства, или его можно найти в настройках сетевого адаптера, в инструкции или с помощью команды ipconfig (строка Основной шлюз или по-английски Default Gateway) в оболочке командной строки.
704
Определив модель устройства, злоумышленник может воспользоваться известными уязвимостями прошивки или использовать дефолтные логин и пароль администратора из базы данных в интернете, если вы их не сменили.
710
Те же советы касаются других приложений, предназначенных для работы в интернете: FTP-менеджеров, менеджеров загрузок и т. п.
712
Safari передает только набранный, но не вставленный из буфера обмена адрес.
718
Обратите внимание: специфика работы антивирусных программ требует полноценного доступа к файловой системе. В процессе сканирования/мониторинга системы антивирусное программное обеспечение может выгружать с устройства пользователя на сервер разработчика антивируса любые файлы, к которым имеет доступ в рамках проверки на отсутствие заражения, т. е. вы таким образом защищаете систему от вредоносного программного обеспечения, но при этом ваши персональные данные могут быть украдены. Это не столь актуально для рядовых пользователей, но может быть очень важно для обладателей особо важной информации, за которыми могут следить какие-либо крупные структуры.
719
Айд М. А. «Разработка методологии противодействия отслеживания и идентификации пользователей интернета». Магистерская диссертация, Томск, 2018. https://earchive.tpu.ru/handle/11683/48872.
723
За исключением отдельной регистрации для полноценного использования дополнения.
731
Кстати, Tor, по сути, та же цепочка прокси-серверов, которые время от времени меняются и каждый из которых использует собственный слой шифрования. Первый узел расшифровывает первый слой многослойно зашифрованного трафика пользователя, второй – второй слой и т. д. Уязвимым остается конечный (выходной) узел в сети Tor, на котором расшифровывается последний слой. Из-за многослойности такой тип передачи данных (маршрутизации) получил название «луковый», отсюда и доменное имя. onion (в пер. с англ. – «лук»). Скомпрометированные выходные узлы сети Tor, которые не поддерживают зашифрованные каналы передачи данных и могут быть подконтрольны государственным и прочим организациям, создают угрозу анонимности и конфиденциальности пользователя. Чтобы исключить из цепочки выходные узлы, находящиеся в несвободных государствах, в файл Tor Browser\Data\Tor\torrc можно добавить, например, такую строку: ExcludeExitNodes {RU}, {BY}, {KZ}, {SU}, http://www.opennet.ru/openforum/vsluhforumID3/112549.html#.
735
Помните, что протокол HTTP не гарантирует стопроцентной защиты данных.
739
Обратите внимание: вне зависимости от включения интернет-фильтра данный контент НЕ блокируется в сети «ВКонтакте», а также в браузере Tor и анонимных сетях.
741
Солдатских В., Горячева В. Клиенты Сбербанка попали на черный рынок. Утечка затронула владельцев кредитных карт // Коммерсантъ. 2019. 3 окт.
744
Так происходит потому, что пароли BIOS, как и другие настройки, хранятся в памяти CMOS, содержимое которой сбрасывается после отключения питания (отсоединения специальной батарейки).
745
https://system-repair.net/2011/01/zashhita-kompyutera-na-urovne-bios/.
746
https://windows-otvety.com/как-легко-сбросить-пароль-bios-на-пк-с-windows-10/.
749
Все же разумнее хранить особо важные данные, которые не используются ежедневно, в зашифрованном виде на отдельных внешних накопителях или службах во второй контролируемой зоне (см. главу 1).
752
А также последние сообщения в социальных сетях, мессенджерах, форумах, игровых чатах; информация о последних скачанных файлах; страницы и изображения с сайтов, даже открытые в приватном режиме; загруженные ветки реестра, распакованные и расшифрованные версии защищенных программ, информация об открытых сетевых соединениях. https://xakep.ru/2013/11/16/forensic-ram-ringerprints/.
755
https://panicbutton.pw/ru/.
767
В отличие от активных, не содержащие усилителя аудиосигнала.
790
Вредоносные инструкции, записанные в виде пакетного файла, иногда не определяемые антивирусными программами.
823
https://threatpost.ru/lokibot-hidden-inside-png-image/32160/.
834
https://proslushka24.su/setevoy-filtr-gsm-zhuchok.
835
https://proslushka24.su/kompyuternaya-myshka-zhuchok.
854
Сарханянц К. Голландцы расправились с Megaupload. Хостинг-провайдер LeaseWeb удалил все данные пользователей в Европе // Коммерсантъ. 2013. 20 июн.
861
Например, активация ОС Windows позволяет убедиться в том, что копия подлинная и не используется на большем числе устройств, чем разрешено условиями лицензионного соглашения об использовании программного обеспечения корпорации Microsoft.
865
В расчете на то, что пользователь будет нажимать кнопку «Далее», не вникая в текст в окнах установщика.
867
И прочие файлы со сценариями. https://en.wikipedia.org/wiki/Windows_Script_Host.
868
https://softwarius.ru/50-potentsialno-opasnyih-rasshireniy-v-windows/.
870
Многие пользователи нелицензионных версий операционной системы блокируют установку обновлений, чтобы избежать «слета» активации, выполненной с помощью хакерской утилиты, например поддельного KMS-сервера или загрузчика. Это очень серьезно угрожает безопасности системы и сохранности персональных данных.
879
https://esemanal.mx/2019/05/aplicar-politicas-zero-trust-mas-necesarias-que-nunca-panda-security/.
884
Состоящей из бывших сотрудников АНБ. https://www.reuters.com/investigates/special-report/usa-spying-raven/.
887
Жилин В. В., Дроздова И. И. Основные методы защиты современных мобильных устройств // Молодой ученый. 2017. № 13 (147). С. 41–44.
898
Там же.
905
https://blog.elcomsoft.com/ru/2017/01/i-snova-kitay-podrobno-o-bezopasnosti-kitayskih-smartfonov/.
906
Но и этот механизм защиты обходится. Рассказывать об этом подробно не будем, так как сброс устройств до заводского состояния не касается темы кражи персональных данных.
918
Начиная с версии Android 9 защищены кодом блокировки мобильного устройства; в ранних версиях не шифруются.
920
https://appleinsider.ru/sudy-i-skandaly/pavel-durov-ssha-shpionyat-za-vsemi-s-pomoshhyu-icloud.html.
931
https://simalliance.org/wp-content/uploads/2019/08/[email protected].
942
Например, https://2ip.ua/ru/services/information-service/mac-find.
944
«Человек под колпаком Big Data: можно ли защитить личную информацию?». Лекция Фонда Егора Гайдара // Коммерсантъ. 2018. 15 фев.
952
Например, https://digitalcontentnext.org/wp-content/uploads/2018/08/DCN-Google-Data-Collection-Paper.pdf.
957
https://twitter.com/azarijahromi/status/1237762591327432704.
959
https://m.facebook.com/photo.php?fbid=2988213981241100&set=a1004627766266408&type=3.
964
https://zakon.ru/blog/2020/4/10/administrativnaya_otvetstvennost_za_narushenie_karantina_i_rezhima_samoizolyacii__kak_s_etim_zhit.
970
В этом случае поможет установка ПИН-кода на SIM-карту (но только если злоумышленник ее не перевыпустит).
978
https://www.wandera.com/phone-listening/.
985
https://www.ftc.gov/system/files/documents/public_events/1415032/privacycon2019_serge_egelman.pdf.
991
Хакер, 01 2017 (216).
1004
Потенциально – это и способ регистрации его местонахождения, если ультразвуковые излучатели будут встраивать в объекты городской среды – к примеру, в транспорт, здания, светофоры и т. п.
1009
https://marcinkordowski.com/ultrasonic-cross-device-tracking/.
1021
https://www.ftc.gov/system/files/documents/public_events/1415032/privacycon2019_serge_egelman.pdf.
1025
Для безопасности приложения запускаются в изолированных «контейнерах» – «песочницах», чтобы они не могли влиять друг на друга, например красть данные.
1030
На устройстве могут быть установлены датчики, которые позволяют более точно фиксировать ваше местонахождение и передвижение. Например, с помощью акселерометра можно определить скорость движения, а с помощью гироскопа – направление. https://policies.google.com/privacy?hl=ru.
1036
https://androidinsider.ru/smartfony/u-kakih-smartfonov-net-problem-s-obnovleniyami-android.html.
1037
Например, обновлений могут не дождаться владельцы устройств, провалившихся в продаже. Либо устройство поддерживается ограниченный период времени, скажем в течение года, чтобы подтолкнуть пользователя к покупке обновленной модели.
1051
https://www.cifrovik.ru/publish/open_preview/19473/.
1052
Команды приведены для версии iOS 13.3.1 и могут отличаться в других версиях операционной системы iOS.
1054
http://ps.fsb.ru/law/generaldoc/more.htm!id%3D10320630%40fsbNpa.html.
1060
Там же.
1065
https://moscow.megafon.ru/help/info/zapret_platnyh_nomerov/zapret_platnyh_kontentnyh_korotk.html.
1077
И другими функциями.
1078
https://threatpost.ru/kiberprestupniki-nachali-atakovat-azs/10693/.
1085
https://threatpost.ru/premisys-vulnerabilities-details-disclosed/30549/.
1086
https://threatpost.ru/guardzilla-cams-have-hardcoded-passwords-from-amazon-s3-buckets-with-users-video/30345/.
1089
https://threatpost.ru/internet-veshhej-pozvolit-ograbit-milliony-kvartir/7473/.
1090
https://www.darktrace.com/resources/wp-global-threat-report-2017.pdf.
1100
https://fox59.com/news/felt-so-violated-couple-scared-after-hacker-targets-homes-smart-devices/.
1105
Независимая некоммерческая организация, которая защищает гражданские свободы в цифровом мире и работает в области обеспечения конфиденциальности в сети интернет.
1107
https://threatpost.ru/orvibo-leaks-pretty-much-everything/33330/.
1113
Там же.
1114
Так специалисты по ИБ называют атаки на медицинские сети и оборудование.
1116
Из-за уязвимости CVE-2008-4250 в 2008 г. началась эпидемия, вызванная червем Conficker, заразившим за 2 месяца около 12 млн компьютеров по всему миру, которая привела к убыткам в размере более чем 9 млрд долларов. https://ru.wikipedia.org/wiki/Conficker.
1117
https://defcon.ru/network-security/236/.
1119
Предоставляемый по запросу.
1120
IPTV (IP-TV, IP-телевидение) (англ. Internet Protocol Television) – технология цифрового телевидения в сетях передачи данных по протоколу IP, используемая операторами цифрового кабельного телевидения. Технологию IPTV часто путают с технологией ОТТ, которая является подклассом IPTV. Кроме того, не следует путать IPTV и с интернет-телевещанием, в котором используется потоковое видео и которое доступно пользователю без посредников (компаний-операторов).
1135
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/tech-tuesdaysmart-tvs/.
1142
https://www.coons.senate.gov/imo/media/doc/Amazon%20Senator%20Coons__Response%20Letter__6.28.19%5B3%5D.pdf.
1154
https://lightcommands.com/20191104-Light-Commands.pdf.
1157
https://news.rub.de/wissenschaft/2018-09-24-it-sicherheit-geheime-botschaften-fuer-alexa-und-co.
1158
Кривошапко Ю. Siri «проболталась» // Российская газета. 2018. 4 июн.
1162
https://sfglobe.com/2016/01/06/stranger-hacks-familys-baby-monitor-and-talks-to-child-at-night/.
1168
Bluetooth с низким энергопотреблением.
1172
https://www.strava.com/heatmap.
1187
https://iot.ru/promyshlennost/bezopasnye-podklyucheniya-v-iot-srede-na-primere-routerov-robustel.
1192
https://media.fcanorthamerica.com/newsrelease.do?id=16849.
1214
https://aoglonass.ru/novosti/novosti-ao/bolee-6-mln-avtomobilej-podklyucheno-k-sisteme-era-glonass/.
1221
«МБХ медиа»: на черном рынке продают доступ к московской системе распознавания лиц. Новая газета // 2019. 5 дек.
1223
https://rdc.nl/rdc-onderzoekt-datalek-de-meest-gestelde-vragen-en-antwoorden/.
1231
https://www.pentestpartners.com/security-blog/hacking-the-mitsubishi-outlander-phev-hybrid-suv/.
1235
https://www.pentestpartners.com/security-blog/tactical-advice-for-maritime-cyber-security-top-10/.
1244
https://www.wired.com/wp-content/uploads/2015/05/Chris-Roberts-Application-for-Search-Warrant.pdf.
1258
Опять же не следует забывать о том, что трафик в сотовых сетях может перехватываться как операторами, так и государственными организациями.
Описан ряд эффективных, в том числе и неочевидных, приемов поиска информации и нужных файлов.Даны советы и рекомендации по бесплатному скачиванию и докачке файлов с файлообменных серверов, торрент-трекеров и узлов DC++. Книга знакомит с электронными библиотеками, FTP- и HTTP-архивами, «варезными» сайтами и форумами. Показано, как оформлять свои раздачи на трекерах и осуществлять управление рейтингом, скачивать объемные файлы, экономить трафик и деньги при медленном подключении к Интернету, бесплатно скачивать музыку и видео.
Наполеон притягивает и отталкивает, завораживает и вызывает неприятие, но никого не оставляет равнодушным. В 2019 году исполнилось 250 лет со дня рождения Наполеона Бонапарта, и его имя, уже при жизни превратившееся в легенду, стало не просто мифом, но национальным, точнее, интернациональным брендом, фирменным знаком. В свое время знаменитый писатель и поэт Виктор Гюго, отец которого был наполеоновским генералом, писал, что французы продолжают то показывать, то прятать Наполеона, не в силах прийти к окончательному мнению, и эти слова не потеряли своей актуальности и сегодня.
Монография доктора исторических наук Андрея Юрьевича Митрофанова рассматривает военно-политическую обстановку, сложившуюся вокруг византийской империи накануне захвата власти Алексеем Комнином в 1081 году, и исследует основные военные кампании этого императора, тактику и вооружение его армии. выводы относительно характера военно-политической стратегии Алексея Комнина автор делает, опираясь на известный памятник византийской исторической литературы – «Алексиаду» Анны Комниной, а также «Анналы» Иоанна Зонары, «Стратегикон» Катакалона Кекавмена, латинские и сельджукские исторические сочинения. В работе приводятся новые доказательства монгольского происхождения династии великих Сельджукидов и новые аргументы в пользу радикального изменения тактики варяжской гвардии в эпоху Алексея Комнина, рассматриваются процессы вестернизации византийской армии накануне Первого Крестового похода.
Виктор Пронин пишет о героях, которые решают острые нравственные проблемы. В конфликтных ситуациях им приходится делать выбор между добром и злом, отстаивать свои убеждения или изменять им — тогда человек неизбежно теряет многое.
«Любая история, в том числе история развития жизни на Земле, – это замысловатое переплетение причин и следствий. Убери что-то одно, и все остальное изменится до неузнаваемости» – с этих слов и знаменитого примера с бабочкой из рассказа Рэя Брэдбери палеоэнтомолог Александр Храмов начинает свой удивительный рассказ о шестиногих хозяевах планеты. Мы отмахиваемся от мух и комаров, сражаемся с тараканами, обходим стороной муравейники, что уж говорить о вшах! Только не будь вшей, человек остался бы волосатым, как шимпанзе.
Настоящая монография посвящена изучению системы исторического образования и исторической науки в рамках сибирского научно-образовательного комплекса второй половины 1920-х – первой половины 1950-х гг. Период сталинизма в истории нашей страны характеризуется определенной дихотомией. С одной стороны, это время диктатуры коммунистической партии во всех сферах жизни советского общества, политических репрессий и идеологических кампаний. С другой стороны, именно в эти годы были заложены базовые институциональные основы развития исторического образования, исторической науки, принципов взаимоотношения исторического сообщества с государством, которые определили это развитие на десятилетия вперед, в том числе сохранившись во многих чертах и до сегодняшнего времени.
Эксперты пророчат, что следующие 50 лет будут определяться взаимоотношениями людей и технологий. Грядущие изобретения, несомненно, изменят нашу жизнь, вопрос состоит в том, до какой степени? Чего мы ждем от новых технологий и что хотим получить с их помощью? Как они изменят сферу медиа, экономику, здравоохранение, образование и нашу повседневную жизнь в целом? Ричард Уотсон призывает задуматься о современном обществе и представить, какой мир мы хотим создать в будущем. Он доступно и интересно исследует возможное влияние технологий на все сферы нашей жизни.