Правила, несоблюдение которых может стоить вам свободы — и жизни. Чек-лист по цифровой безопасности в России-2022
Мы оказались в реальности, в которой любые данные, попавшие в руки государства, будут использованы против вас; доступ к правде пытаются закрыть; ставка в случае проигрыша — все ваши планы, свобода и жизнь.
Это было верно и раньше, но сейчас верно вдвойне. Публикую базовые правила цифровой гигиены, при соблюдении которых вы сможете себя обезопасить — и сделать не такой уж лёгкой (и не такой привлекательной) жертвой.
- Установите 1.1.1.1. Это сервис надёжной международной компании, на которой держится без преувеличения половина интернета. Это не VPN, но работает относительно похоже: разблокирует сайты и повышает безопасность. 1.1.1.1 шифрует ваши DNS-запросы — любое устройство отправляет их, чтобы знать, как подключиться к сайту, на который вы хотите зайти. Если запросы не шифровать, то интернет-провайдер (и другие люди/организации) знают, на какие сайты вы заходите. Если шифровать — не знают. Важно: 1.1.1.1 не даёт вам анонимности; если нужна анонимность и полная защита всех передаваемых данных, используйте проверенный VPN. Приложение доступно на всех устройствах.
- Установите несколько запасных VPN. На случай блокировки 1.1.1.1 или необходимости в полном шифровании скачайте, подключите и проверьте работоспособность надёжных VPN. Я рекомендую Windscribe, ProtonVPN, Psiphon. Важно: не используйте полностью бесплатные VPN, у которых нет хотя бы премиум-тарифов. Высока вероятность, что они сольют или продадут ваши данные.
- Не пользуйтесь российскими площадками и платформами. Почта, диск, поиск и другие продукты Яндекса, сервисы MailRu и поделки других российских компаний. В том числе — и особенно — Вконтакте. Удалите его, удалите ПРЯМО СЕЙЧАС. Это не шутка: большинство уголовных дел связаны с этой соцсетью и всю информацию, которой обладает о вас VK (включая все личные сообщения, файлы, место и время подключения, использование логина через ВК на других сайтах и так далее) следует считать скомпрометированной. Даже если вы «ничего такого» там не делаете — давайте будем реалистами: уже не обязательно что-то делать, за вас это спокойно придумают.
- Включите двухфакторную идентификацию везде, где она доступна. Двухфакторная (или двухшаговая) идентификация (или авторизация, или верификация) — это когда при входе в сервис вы помимо пароля вводите дополнительный код из генератора кодов или подтверждаете авторизацию с помощью приложения. Она доступна во всех крупных сервисах — Gmail, Facebook, Telegram и прочих. Как правило, настройка находится в пунктах «безопасность аккаунта», «security», «безопасность и вход». Если настройка включена, то даже если украдут ваши логин-пароль, без вашего подтверждения в аккаунт никто не войдёт.
- Установите сложные пароли. Базовое правило: критически важным аккаунтам (основная почта, iCloud, каждая соцсеть) — свой уникальный пароль. В остальных аккаунтах, в которых нет никакой критичной информации, можно использовать несколько одинаковых паролей (лучше бы так не делать, но я всё понимаю) — но тоже сложных. Не используйте просто слова: миксуйте буквы, цифры и знаки. Лучше всего, чтобы это был просто набор символов без смысла или понятный только вам. Такие пароли труднее запомнить, зато их крайне сложно взломать. Вносите их в менеджер паролей («Пароли» в iOS/MacOS, Bitwarden) и не знайте проблем.
- Проверяйте адреса отправителей любых писем — даже сервисных. Пришёл e-mail от Facebook/Google/Госуслуг? Не факт, что это от них. Посмотрите на адрес отправителя: если там info@gooogle com или ad@ad-facebook — вам пришёл фишинг. Если есть малейшие сомнения — не переходите по ссылкам. В идеале — всегда открывайте браузер и заходите на сайт самостоятельно. В письме «от Google» написано, что ваш пароль пытались сменить? Откройте браузер, вручную вбейте google.com и зайдите в настройки аккаунта. Неудобно, зато безопасно.
- Не переходите по ссылкам из смс. SMS-сообщения — это один из самых незащищённых каналов. Кто угодно может прислать вам что угодно — даже если в имени отправителя написано «Google» или «Золотое Яблоко», это не гарантия, что сообщение пришло именно от этой компании. Открывайте личный кабинет вручную — и проверяйте информацию там.
- Проверяйте адрес сайта, на котором вы находитесь. При вводе логинов-паролей и любой другой информации сначала посмотрите, что написано в адресной строке браузера. Нет ли там лишней буквы в слове instagram? Это точно twitter.com, а не twitter.ru? Любое изменение символа в адресе или отсутствие «замочка» (который гарантирует более безопасное https-соединение) — это знак, после которого нужно немедленно закрыть страницу.
- Используйте «секретные чаты» в Telegram. Обычные чаты можно читать на любом устройстве, если взломать аккаунт. Секретные чаты доступны только на одном из устройств отправителя и на одном — получателя. Даже если, например, я узнаю ваши логин-пароль и войду со своего телефона в ваш аккаунт, секретных чатов я не увижу. Все остальные чаты — да. Чтобы начать «секретный чат», нажмите на имя контакта –> три точки –> start secret chat. У таких чатов имя собеседника выделяется зелёным цветом, а рядом с именем — замочек. Важно: секретные чаты не смогут защитить, если к вашему устройству или устройству собеседника получат физический доступ. В качестве страховки в секретных чатах можно включить автоудаление сообщений (например, через 24 часа) с помощью значка таймера в правой части поля ввода.
- Не принимайте звонки с незнакомых номеров. Если прямо сейчас вы не ждёте курьера — значит, вы никого не ждёте по телефону. Точка.
- Привязывайте надёжные площадки к секретной почте. У вас может быть сколько угодно e-mail-адресов, но критически важные сервисы должны быть привязаны к почте, которую вы не используете больше нигде. И никто её не знает.
- Включите шифрование дисков и автоудаление информации. Используйте для этого встроенную опцию на Mac «шифрование дисков» (Настройки — «Защита и безопасность» — FileVault) или программу Veracrypt. На айфонах/айпадах включите в «Face ID и код-пароль» тумблер «Стирание данных». Не забудьте регулярно синхронизировать данные с облаком — тогда в случае автоудаления вы без проблем всё восстановите.
- Не устанавливайте программы от малоизвестных разработчиков. Кто такой Lao Xi Dun? Freeball Ltd.? Если о разработчике нет хотя бы базовой информации в интернете, его программы могут принести вам неприятности. Найдите альтернативы — особенно если пользуетесь Windows или Android.
- Помните, что безопасность всей системы не может быть больше, чем безопасность самого слабого её элемента. Если у вас везде стоят разные сложные пароли, но резервные коды восстановления записаны на бумажке в комнате — это то же самое, как если бы все ваши пароли были записаны на бумажке. Если всё защищено двухфакторной идентификацией, но в резервном варианте доступен сброс по SMS — ваша безопасность равна нулю (так как перехватить SMS достаточно легко). Самое слабое звено — это и есть ваш максимальный уровень безопасности; постарайтесь сделать даже слабое звено сильным настолько, чтобы никто не был готов с этим связываться.