Counter-OSINT: руководство по приватности и защите своих данных в Сети

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.267
Репутация
11.800
Реакции
61.978
RUB
50

Введение:​



🚫 Это руководство не про анонимность.

Анонимность - это полное скрытие информации о себе, вплоть до личности. Чтобы было невозможно понять, кто вы. Поддерживать анонимность в Сети трудно даже людям из организованных хакерских группировок. Начинать следует с приватности - скрытии информации о вашей личной жизни. Поддерживать приватность проще, это как гигиена.
🚫 Это руководство не про сопротивление большому брату и корпорациям.

У нас нет цели рассказать вам, как стать неуловимым и не дать заработать на себе большим компаниям. Вы уже в системе, вас уже используют, вы уже товар. А если вы уверенно возражаете и считаете себя анонимным - вероятно, вы находитесь в другой системе, может даже криминальной, и вряд ли почерпнёте здесь что-то новое.

✅ Это руководство про ценность личной информации.

Каждый волен сам решать, что ему скрывать. Мне лишь хочется показать, как используются данные, которые вы не скрыли, и как пресечь это использование. Как понять, насколько ценна информация, которую вы собираетесь ввести в окошко и нажать кнопку "Сохранить". Как не продать свои персональные данные по цене шавермы.

✅ Это руководство про приватность и counter-OSINT.

Вы узнаете о том, как мыслят люди, которые собирают информацию о вас. Чем они пользуются и руководствуются, какие данные для них важны. Что они с этой информацией могут сделать (и делают!).
И, конечно же, вы получите инструкции по тому, как свести риски потери вашей приватности к нулю. Фактически, это путеводитель для новичков в мир персональной контрразведки.

Добро пожаловать!


Почему это важно​


Трудно оставаться вне зоны доступа в наше цифровое время. Отшельник может иметь телефон для экстренной связи, а собака, хоть и не каждая, — аккаунт в Инстаграме.
Проникновение социальных сетей и средств связи могло бы быть исключительно позитивным, если бы не приводило к массе печальных последствий. От звонков фальшивых сотрудников Сбербанка с просьбой продиктовать пароль из СМС, и до коллекторов, внезапно требующих вернуть кредит, взятый на ваш паспорт.
В последние годы появился тренд на приватность и защиту информации о пользователях: GDPR, CCPA, LGBD. Компании обязали заботиться о сохранности персональных данных и о предотвращении их утечек. Но стали они собирать о нас меньше информации? Никак нет. Для них наши данные — источник прибыли.
Но и ужесточения правовых норм для компаний недостаточно. Вы наверняка оставили много "хлебных крошек", потому что уже не первый год в Интернете. Старые аккаунты, объявления, публичные переписки, фотографии. По этим следам можно вплотную подойти к вам и использовать это в любых целях.

Интересный факт: в 2017 году журналистка всего за пару часов. Достаточно было наводки о его существовании, информации о сыне и о дипломной работе по теологии.

Огромный массив данных о людях, который возможно легко собрать подручными средствами, привёл к популярности OSINT — методологии сбора данных из открытых источников. Часто под этим термином сейчас подразумевают средства слежки за людьми, хотя изначально это методология разведки. Любое средство можно использовать как в благих, так и в плохих целях — об этом следует не забывать.
Поэтому важно иметь средства Counter-OSINT — инструменты для защиты своих данных и обеспечения приватности.

Что будет в следующих главах​

Разберём простые, но эффективные шаги, которые сильно затруднят сбор информации о вас стороннему наблюдателю. С конкретными пунктами и действиями.
Руководство будет полезно самому широкому кругу заинтересованных — не только тем, кто что-то слышал про OSINT, но и друзьям, знакомым, родителям. Инвестиция в полчаса на вдумчивое чтение и осознанные действия принесёт спокойствие и защиту от мошенничества, слежки, преследования, шантажа.
При этом не будем пренебрегать удобством. Многие руководства концентрируются на том, чтобы обезопасить себя по максимуму (даже если это не оправданно). Мы же будем исходить из необходимости соблюдения баланса между приватностью и удобством, при котором пользование Интернетом не будет осложнено.

Напомним, что OSINT — это сбор информации из открытых источников. Но, к сожалению, часто в Сеть попадают такие чувствительные данные как базы номеров телефонов, паспортных данных и так далее.

Мало того — в РФ через "пробив" можно получить подробные сведения о владельце номера телефона, машины, квартиры из официальных государственных реестров и баз данных. К сожалению, многие люди готовы за деньги предоставить доступ к тому, что должно быть тщательно защищено.
Будем считаться с этим: невозможно обеспечить полную анонимность и удалиться из всех реестров, но возможно усложнить процесс поиска настолько, что злоумышленник не сможет зацепиться за информацию.
Таким образом, цель руководства — научить защищать общедоступные сведения и усложнять процесса поиска других сведений про вас.

Определяем важную информацию​

Чтобы понять, какие данные важнее и что следует больше защищать, необходимо знать современные реалии с поправкой на Рунет. Это мы и разберём далее, и чтобы попытаться быть объективными, используем OPSEC.
Термин OPSEC, как и OSINT, пришёл из американской разведки. Он означает процесс анализа и защиты критически важной информации.

spaces%2FqXsIv5jOwLMyEz4xiCNY%2Fuploads%2Fgit-blob-087858ccfb54166c916b456d65f3cfbe64f98d1d%2F37ddd605b06fdfb1793be.png

Болтать - врагу помогать!
Для начала перечислим все первичные данные, которые так или иначе раскрывают нашу личность, но существуют физически вне Интернета.
    • Фамилия, имя, отчество
    • Дата рождения
    • Паспортные данные (серия, номер и т.д.)
    • Физический адрес
    • Личные документы (водительское удостоверение и т.д.)
    • Биометрические данные
    • Прочая личная и идентифицирующая информация
Таких данных не так много. Но, имея хотя бы часть, можно притвориться вами и обмануть третих лиц. Например, разослать знакомым сообщение с просьбой срочно перевести деньги из-за трудной ситуации.
При этом мошенники не обязательно будут заинтересованы конкретно в вашей личности. Например, они могут купить базу и сотни "свежих" паспортов, чтобы привязывать паспортные данные к электронным кошелькам Киви для увеличения лимитов по выводу денег.
Любые личные данные могут быть использованы. Например, восстановление доступа к аккаунтам социальных сетей часто требует ответить на контрольный вопрос. Таким образом, знание девичьей фамилии матери или любимого музыканта повышает шансы взломать вас.

Интересный факт: захвата сразу 4 аккаунтов человека при знании только лишь адреса, имени и email. Элегантная цепочка восстановления доступа — сначала использовать известные данные, потом привязать фальшивые — позволяла сначала завладеть доступом в Amazon, GMail, Apple, Twitter, а потом и вовсе удалённо стереть данные с устройств человека.

Возможно, вас смутил пункт "биометрические данные", но, увы, их использование уже давно вошло в нашу жизнь. Уже давно распространены средства поиска по лицу, которые используют те же технологии, что и для разблокировки личного телефона через переднюю камеру, а также обширные базы данных из социальных сетей. Когда вы оставляете свою фотографию в Сети, вы оставляете возможность найти себя.

Анализируем угрозы​

В соответствии с процессом OPSEC проанализируем, кто может быть заинтересован в подобных действиях и как может использовать информацию о нас. Давайте рассмотрим популярные случаи использования первичных данных на схеме ниже и попробуем сделать выводы.

spaces%2FqXsIv5jOwLMyEz4xiCNY%2Fuploads%2Fgit-blob-477c2765b6bb7d3901e91d4cc9cc546288264e4e%2F0869d0a1e60173af48378.png

Что можно сделать с нашими данными?

Что можно сделать с нашими данными? Наверняка вы обратили внимание, что большинство пунктов связано с получением денег. Думаю, финансовая мотивация мошенников не требует объяснения. Единственное, что следует отметить — деньги могут быть похищены не только у вас, но и у других лиц. В этом случае критичным для нас становится участие в уголовном процессе, куда могут привлечь как свидетелем, так и обвиняемым.

Выгода от сбора полной информации о вас, включая доступ к перепискам, менее определена. Это может быть как бытовое преследование, так и шпионаж, шантаж и прочее. Ясно только, что в большинстве случаев это причинение личного вреда и вторжение в частную жизнь.
Эти угрозы понятны и объяснимы, а во многих случаях регулируются законом. Статьи, связанные с финансовыми потерями, перечислять нет смысла, настолько их много; а сбор личных данных — это 137 УК РФ. Однако, давайте взглянем правде в лицо: требуется серьёзная причина, чтобы идти и самостоятельно форсировать возбуждение дела, а участие в таких процессах — стресс. Поэтому вернёмся к уже озвученной выше позиции: наша цель в том, чтобы защитить свои данные и избежать угроз.

Очевидно, что знания первичных данных недостаточно для проведения мошеннических схем. Таковые обычного основаны на социальной инженерии и предполагают дистанционное взаимодействие через звонок или сообщения. То есть, мы неявно подразумеваем, что у недоброжелателям уже известны наши вторичные данные, виртуальные идентификаторы — номер телефона, электронная почта, адрес аккаунта социальной сети. Таким образом, получение информации об этих данных несет в себе не меньшую угрозу.
Про каждый из типов данных дальше будет рассказано подробнее. А пока оставим своё внимание на том, что чем больше данных попадает в чужие руки, тем серьёзнее может быть исход. Отсюда вывод — количество данных о вас необходимо контролировать, не разбрасывать их где не следует и следить за их использованием.

Далее поговорим о цифровой гигиене.

 

Базовая цифровая гигиена.​


Сформулируем нашу цель так: минимизировать количество данных, которые можно собрать о вас в одном месте.
Не класть яйца в одну корзину.
Почему это важно?

Пример 1​

Вы пользуетесь услугами компании, которая тратит слишком мало денег на безопасность. В один прекрасный момент их взламывают, и вся клиентская база оказывается в руках злоумышленников: телефоны, почтовые адреса, имена, фамилии, ваши покупки. Почти всегда такие базы в итоге оказываются в публичном доступе. В итоге ваши данные станут доступны всем желающим.

Пример 2​

Вы пользуетесь услугами компании в высококонкурентном бизнесе, где цена данных клиентов очень высока. Некоторые сотрудники уходят к компаниям-конкурентам, скопировав себе клиентскую базу. Каким образом эта база будет использована, и не пойдёт ли она дальше по рукам — нет никаких гарантий.

Пример 3​

Вы пользуетесь услугами компании, которая собирает данные своих клиентов, чтобы предлагать скидки и акции. Для этого они рассылают рекламу, пользуясь услугами другой компании. Эта компания делает рассылки постоянно, и заинтересована иметь свои данные по клиентам. Поэтому у второй компании накапливаются базы с данными чужих клиентов, которые могут быть потом переиспользованы для других рассылок.

Наверняка у вас возникло возражение: неужели это никак не контролируются законом? Они не могут легально пользоваться этими данными!

К сожалению, законодательство в сфере обработки персональных данных (ПДн) не поспевает за реалиями. Обмен виртуальными (не физическими!) данными трудно отследить и пресечь. Более того, рынок нелегального обмена ПДн настолько развит, что большие игроки лоббируют его легализацию. В таких условиях нельзя положиться на защиту государства или гарантии компаний, и нам необходимо относиться более сознательно к тому, какие данные и в каком количестве мы отдаём другим.

Телефонный номер​


Ранее мы говорили, что телефонный номер - это вторичный идентификатор. С точки зрения здравого смысла это так: вы можете избавиться от телефона, разорвать контракт с оператором, а может приобрести 100 номеров, и тогда любопытные погрузятся в аналитический паралич, пытаясь с этим разобраться.
Но с точки зрения онлайн-платформ телефон - самое удобное средство связи с вами и подтверждения вашей личности. Поэтому практически все используют номер в качестве первичного, уникального идентификатора.
Отсюда следует очевидный вывод. Почти любой сайт знает ваш телефонный номер и обладает своими сведениями о вас. Этими сведениями сайт может обмениваться (и делает это!) с другими компаниями - в рамках услуг, за деньги, бартером.

Примеры таких сайтов и платформ:
    • Системы авторизации в публичном Wi-Fi (97-ФЗ)
    • Скидочные и дисконтные карты
    • Авторизация / верификация в социальных сетях и мессенджерах
Соединив все кусочки информации по вашему номеру телефона из разных мест, можно собрать ваш портрет. Что с этим делать?

Разделяем личную жизнь и работу​

Почти все мы имеем рабочие и личные дела. Поэтому начать стоит с разделения этих сфер жизни.
Большинство крупных компаний предлагают сотрудникам корпоративную связь: или вы берёте новую сим-карту от компании, или на ваш личный номер подключают рабочий тариф.

Но даже если такой возможности нет, всегда заводите отдельный номер телефона. У меня есть несколько аргументов:
    • Ваши аккаунты невозможно будет связать по номерам автоматически, кроме как через договор с оператором. А это уже высокий уровень защиты!
    • С отдельным телефоном на порядок легче мыслить в категориях приватности. У вас есть выбор, какой номер привязать к смс-банкингу, а какой на публичном сайте компании.
    • Работа есть работа, она должна быть отделена от отдыха и вашей личной жизни. И второй телефон пойдёт только на пользу. :)

Используем виртуальный номер​

Можно выделить 3 сегмента сервисов, которые помогают защитить ваш реальный номер телефона.

Сервисы для одноразового приёма СМС​

Есть общедоступные сайты, позволяющие принять СМС от любого отправителя. Список их перечислять не будем, потому что их достаточно просто нагуглить по фразе receive sms online.
В них используется небольшое количество номеров телефонов одновременно, и часто на них уже заведены аккаунты на разных сайтах: тестировщиками, спамерами, мошенниками. Однако, их можно использовать для авторизации в публичных Wi-Fi сетях. Минус такого подхода только в том, что для получения доступа к публичному интернету вам уже нужен интернет. 🙂

image


Разумеется, подобные сервисы не рекомендуется использовать для получения чувствительной информации и привязывания к своим личным аккаунтам, так как полученные сообщения и коды доступа может увидеть кто угодно.
И небольшой совет: перед попыткой использования номера с любого из таких сайтов следует обратить внимание на время получения последнего СМС-сообщения (таблица на скриншоте выше). Если это время далеко в прошлом, то номер уже не работает, но его ещё не убрали с сайта.

Сервисы для приёма СМС под конкретный сайт​

image


image


Почтовый ящик​


Адрес электронный почты был и остаётся самым распространённым идентификатором для аккаунта в Сети. У вас может не быть телефонного номера, но у вас должен быть ящик - это неписанное правило.
Наличие электронной почты само по себе раскрывает о вас некоторую информацию. Прежде всего, это алиас, имя ящика, слева от символа собаки "@". Первый и очевиднейший совет -- не стоит выбирать именем ваши инициалы, фамилию и год рождения, если это не сугубо личный или рабочий ящик.

Второй, но немаловажный совет -- внимательно изучите провайдера электронной почты. Наиболее известные бесплатные сервисы почты "вдогонку" к email дают вам аккаунты в других продуктах. Это относится прежде всего к Google и Яндекс, так как эти компании ведут свой бизнес в большом количестве других сфер, и предоставить вам бесплатный ящик за то, что вы станете пассивным потребителем десятка других сервисов -- их хлеб.

Разделение аккаунтов​

Чтобы усложнить поиск информации о вас, рекомендуется использовать ящики с умом: используя техническую возможность создания вариаций ящиков. Согласно официальным соглашениям, после алиаса и перед знаком @ вы можете указывать дополнительный суффикс с "+", например [email protected]. Письма на такой электронный ящик будут приходить к владельцу [email protected], но с точки зрения сайтов это будет совершенно другой ящик. У Google, к тому же, существует особенность: любые точки в алиасе рассматриваются как опциональные и работают как суффиксы после "+".

Существует несколько схем использования: уникальный ящик для каждого сервиса, уникальный ящик для каждой "личности" либо использование только для некоторых сервисов по известной только вам схеме.
Дополнительные преимущества использования суффиксов и точек описаны . Также вы можете проверить использование своего почтового ящика на разных сервисах с помощью инструмента .

Долой ящики для подписок, мусора и спама​

Отдельно стоит отметить привычку большого количества людей использовать отдельный "мусорный" почтовый ящик для некритичных сервисов и разнообразных спам-подписок. Само по себе разделение почтовых ящиков полезно, но только если оно сознательно (см. выше).

Если же вы не заглядываете в такой ящик, и письма там лежат непрочитанными тысячами и более, то это важный сигнал: разберитесь, действительно ли вам нужен этот ящик. Если нет, то отпишитесь от всех рассылок и удалите связанные с ним аккаунты, чтобы минимизировать вероятность использования этого email-адреса для сбора информации о вас.

Одноразовые ящики электронной почты​

Существует большое количество сервисов, предоставляющих одноразовые почтовые ящики на 10-15 минут. Они хороши для одноразовых регистраций на сайтах, куда вы попадаете в первый раз и больше, скорее всего, не воспользуетесь. Здесь рассмотрим те сервисы, которые создаются на случайных доменах.

Сервисы, генерирующие правдоподобно выглядящие алиасы (имя.фамилия):
Другие популярные сервисы:

Общедоступные ящики электронной почты​

Также в Интернете можно найти сервисы, которые дают возможность использовать ваш алиас для временного ящика. Такие почтовые адреса удобно использовать для сервисов, в которых email должен выглядеть правдоподобно.

Примеры таких сервисов:

Пересылка почты с других почтовых ящиков​

Сервисы, которые позволяют пересылать письма используют, так называемые "маски", позволяющие скрыть ваш настоящий электронный адрес.
Принцип работы очень простой:
    • Адрес-маска получает письмо
    • С этого адреса идет пересылка письма на ваш настоящий адрес
Пример на основе Firefox Relay:
Сначала предоставляется маска, которая скрывает настоящий адрес.
spaces%2FqXsIv5jOwLMyEz4xiCNY%2Fuploads%2Fgit-blob-ee3b776ee697c57041ef4e805eff594937621d27%2Ffirefoxrelay.png

firefoxrelay
Теперь, используя данный адрес-маску мы можем получать письма на свой электронный адрес, не показывая его всему Интернету.

spaces%2FqXsIv5jOwLMyEz4xiCNY%2Fuploads%2Fgit-blob-6ecd8a22451ea9004054e3382cfae69237ba4ff2%2Frelayedemail.png

relayedemail
Apple предоставляет возможность своим пользователям использовать анонимизированные почтовые ящики, функционирующие таким же образом. Они имеют такой вид: [email protected].
 

Фамилия, имя, отчество, дата рождения​



Почему эта информация вынесена в отдельный раздел? Как правило, ФИО и даты достаточно, чтобы найти конкретного человека, так как вероятность совпадения всех этих данных у двух людей очень низкая.

Государственные учреждения​

В различных областях действуют нормы, обязывающие или поощряющие публикацию документов с персональными данными. С одной стороны, открытость в этих областях помогает прозрачности в отрасли (например, госзакупки, списки прошедших/выпускников), но нас более волнует, что, однажды попав в такой документ, нам будет сложно из него удалиться.

К России относятся следующее:
    • списки абитуриентов в университетах: часто выкладываются с полными ФИО, количеством баллов, из года приказа о зачислении можно сделать вывод о возрасте;
    • информация об индивидуальных предпринимателях, руководителях и учредителях компаний (ЕГРЮЛ/ЕГРИП);
    • публичные картотеки судебных дел: однажды совершив правонарушение и даже сумев оправдаться, вас можно будет найти по истории дел;
    • общедоступные телефонные базы: большей частью содержат неактуальную информацию, но с привязкой к дому и квартире;
    • публичные реестры задолженностей и залогов;
    • и так далее.

Вход через другой сайт (Single sign-on)​

Современная архитектура авторизации и регистрации в онлайн-сервисах предполагает активное использование сторонних "проверенных" учётных записей. Например, почти везде в зарубежном сегменте интернета есть возможность входа через Facebook, в то время как в России всё больше распространяется вход через VK. В каких-то сервисах это подразумевается неявно, например, вход в YouTube через Google-аккаунт.

Если вы таким образом авторизуетесь на неосновном и общедоступном устройстве (например, телевизор или игровая приставка), то есть риск раскрытия о себе публично отображаемой информации, например, имени и фамилии. Для минимизации этого риска стоит переименовывать аккаунт с "Имя Фамилия" на что-нибудь нейтральное, например, "Аккаунт".

Адрес и местоположение​


Для начала выделим несколько сущностей, на которые имеет смысл обращать внимание с точки зрения OPSEC.

Это:
    • геолокация: ваше местоположение в реальном времени, которое чаще всего утекает по цифровым каналам; это могут быть как координаты, так и адрес до квартиры;
    • адрес постоянной регистрации: то, что чаще всего называют "пропиской" - анахронизм постсоветской России, требуемый во многих государственных системах, но почти везде вытесняемый следующим адресом
    • адрес фактического проживания: адрес, по которому вы "временно зарегистрированы", также требуемый различными законами и актами для возможности оказания вам различных услуг.
К сожалению, в отличие от США, где ваш адрес = ваш почтовый ящик, в России адрес строго привязан к физической недвижимости. Поэтому у нас невозможны фокусы с "кочевничеством" как в Техасе или Южной Дакоте, где вам необязательно иметь место жительства. Однако, есть возможность использовать абонентские ящики, о чём сказано ниже.

Как предотвратить утечки адресов​

    • Не публикуйте фотографии в "сыром" виде, файлами. Часто они содержат информацию о месте съёмки.
    • Если пользуетесь доставкой, указывайте минимально необходимое количество информации в стандартных полях адреса. Самый предпочтительный вариант - указать лишь номер дома и встретить курьера снаружи. Всё остальное (этаж/квартира/домофон) пишите в поле дополнительной информации — курьер его легко прочтёт, а вот в базу данных с вашим адресом такая неструктурированная информация попадёт с меньшей вероятностью.

Использование абонентских ящиков​

В России есть единый государственный оператор почтовой сети: Почта России. Он осуществляет большинство почтовых отправлений.
Для доставки обычно используется адрес пребывания человека и его имя, т.е., необходимо указывать ФИО, почтовый индекс, а также полный адрес, включая номер квартиры. Обычные письма или извещения о заказных письмах/посылках доставляются почтальонами вплоть до почтового ящика на двери дома или в подъезде многоквартирного дома.

Однако, существует возможность анонимной для отправителя доставки писем с использованием . Это выделенный ящик для почты в конкретном почтовом подразделении. Каждый ящик имеет свой номер, онлайн можно выбрать любой незанятый, например, 777. Также при договоре заключении аренды ему можно присвоить произвольное имя - это платная (и относительно дорогая) услуга. Единственный минус с точки зрения приватности - для аренды ящика необходимо создать аккаунт на abox.pochta.ru, указав свой номер телефона и паспортные данные.

После заключения договора вы получите ключ от ящика, и можете открыть его в любое время. Но важно понимать, что ящики расположены на территории почтовых отделений, и доступ к ним регламентирован его временем работы. Поэтому удобнее выбирать самые большие отделения, где абонентский отдел работает круглосуточно. В Москве, например, это почта на улице Мясницкой, индекс 101000.

Каким образом теперь отправлять письма? В качестве адреса просите ваших корреспондентов указывать только индекс и номер ящика.

Возьмём примеры выше.
Каноничная запись: 101000, а/я 777
Или же коротко: 101000, 777
А если вы присвоили ящику имя "Свалка", то: 101000, свалка

Правила доставки отправлений касаются и абонентских ящиков. Это значит, что для заказных писем вам будут класть только извещения, и для их получения необходимо продиктовать работнику абонентского отдела номер телефона, получить смс, и только после этого вам выдадут письмо. Но обычные письма, конечно, будут класть прямо в ящик.

Пароль​


Главный принцип: Никогда не используйте одинаковые или похожие пароли
По двум причинам:
    • Имея вашу почту и пароль от сайта 1, кто-нибудь обязательно попробует зайти с ними на сайт 2 - и дело не лично в вас, рынок продажи взломанных аккаунтов очень большой, а это товар.
    • Если данные о ваших аккаунтах вместе с паролями всплыли в , то получится сопоставить между собой даже совершенно разные почты и номера телефонов ( ).
Но как держать в голове много паролей? И где их брать? Советую не относиться ко всем паролям как к данным, которые всегда должны быть у вас в голове. Экономьте место у себя в памяти.
Самый оптимальный способ: создание одного достаточно длинного пароля-фразы для хранилища паролей (или для учётной записи, к которой привязан ваш браузер, в котором хранятся все пароли).
Раздел будет дополняться

Как придумывать стойкие пароли​

Стандартные рекомендации по использованию 8 символов, которые включают в себя специальные символы, буквы, цифры не работают! Ведь P@ssw0rd тоже подходить под эти требования, а это не самый крутой пароль, поэтому давайте разбирать методы для создания стойких паролей.

Три случайных слова​

Существует простой, но действенный метод для создания паролей - метод 3-х случайных слов.
В чем заключается данный метод? Когда мы регистрируем новый аккаунт, мы просто придумываем 3 случайных слова и ставим их как наш пароль, например: NETWORKINGHYGIENEDEVELOPMENT согласитесь, это намного легче запомнить, чем: asndjBDHJBSDhjSBADHJadbzhjF, да и простым перебором по словарю перебрать такое будет достаточно сложно.

Такие пароли можно усилить, используя , заменяя некоторые буквы на цифры, то есть наш пароль будет иметь следующий вид: N3TW0RKHY6I3N3D3V3L0PM3NT Таким образом наш пароль становится более стойким, при этом его сложность для запоминания увеличивается не на много, а если вы были знакомы с , до этого, то вам будет еще проще.

Для еще большей стойкости можно разделять слова при помощи разных спецсимволов, например: -, ~, =.

Русские слова в английской раскладке​

Еще один простой, но действенный метод - использование случайных русских слов в английской раскладке.
Мы просто берем случайные слова на русском языке и пишем их в английской раскладке, например из ехалгрекачерезреку мы можем получить следующее t[fkuhtrfxthtphtre.

Выглядит интересно и довольно стойко, но можно дополнять символами/цифрами в конце, например: t[fkuhtrfxthtphtre123! t[fkuhtrfxthtphtre34345!

Менеджеры паролей​

Это то, чем должен пользоваться каждый! Вспоминаем главный принцип из первой строки и сразу в голову приходит вопрос - "Ну, мне что теперь, запоминать 100 паролей!?!?". Нет, не нужно запоминать 100 паролей, требуется один, это пароль от менеджера паролей.
Менеджер паролей позволит генерировать стойкие пароли и хранить их в одном, а что главное - безопасном месте.
Обзор популярных менеджеров паролей можно прочитать в данной статье -
Личной рекомендацией составителей руководства будет сервис . Для личного использования его хватит с головой, бесплатная версия включает хранение неограниченного количества паролей, использование с неограниченного количества устройств и все основные функции менеджеров паролей. Помимо хранения паролей, также можно хранить свои номера банковских карточек и заметки. Генератор паролей позволяет сгенерировать стойкий пароль и проверить его в утечках, что несомненно является одной из "Killer Feature".

LessPass​

Что если вам сложно хранить пароли и синхронизировать их между разными устройствами? На помощь приходят парольные менеджеры без необходимости что-то хранить!
LessPass - не единственная подобная программа, но одна из известнейших. Её концепция в том, что генерация одноразовых паролей происходит на лету при помощи функции, результат которой всегда одинаков при условии одинаковых параметров.

Программе надо сообщить:
    • мастер-пароль
    • логин на сайте
    • адрес сайта
После этого она без какой-либо отправки данных или сохранения чего-либо куда либо сгенерирует ваш пароль. В любой момент на любом устройства вы можете запустить эту программу — и получить свой пароль для конкретного сайта.
image


image
 

Фотография


К сожалению, фотографии (и вообще любые изображения) уже давно стали легко распознаваемым и индексируемым контентом. Поисковики могут искать похожие фотографии, различать на них текст, предметы, конкретных людей. Социальные сети могут распознать вас на произвольной фотографии и поставить там отметку со ссылкой на вас даже без вашего ведома.

Но, к счастью, в последние годы тренд на приватность усилился, и поэтому соцсети вводят разумные ограничения на распознавание людей. А поисковики и вовсе отказываются от точного поиска по лицам. Это снижает вероятность злостного использования таких функций, но не мешает использовать подобные технологии в целом. Сейчас инструменты распознавания можно легко создать самостоятельно либо использовать условно-бесплатные аналоги.

Как проверить себя

На постсоветском пространстве для поиска по фотографии лица всё ещё можно использовать . Также из бесплатных специализированных поисковиков можно отметить , позволяющий искать по фотографиям из ВКонтакте, Одноклассников, TikTok, Clubhouse.

Если вы активно использовали социальные сети, то можете обнаружить не только свой аккаунт, но и фотографии с вашим лицом в аккаунтах ваших друзей, знакомых или других людей, которые даже не имеют к вам отношения. Разумеется, такие фото удалить чрезвычайно затруднительно, и если вы не хотите, чтобы они указывали на вас, то следует грамотно .
image



Клоакинг

Для борьбы с инструментами распознавания людей на изображениях используется так называемый клоакинг. Суть метода в искажении фотографии таки образом, чтобы визуально мы воспринимали её как оригинал, но программы не видели там человека или лица.
Методы для искажения бывают как ручными (блюр/ретушь/искажение отдельных частей фото), так и автоматическими. Из последних можно отметить специальные программы, которые используют алгоритмы распознавания лиц в обратную сторону, модифицируя фотографию так, чтобы поиск был не возможен. Пример такой программы: .

Разумеется, подобная постобработка фото или видео не поможет превентивно. Для затруднения распознавания лиц "умными камерами" в реальной жизни придумываются оригинальные и не очень способы, примеры можно прочесть по ссылкам в конце страницы.

Утечки баз данных и пробив​

Здесь будет глава про специфику России и стран СНГ в отношении утечки всех возможных данных и возможности купить любые данные через инсайдеров.

148645741-47de48bc-af8c-45db-bf1c-3e7004f4ff95.png

Часть общедоступной базы на 600Gb по странам СНГ.


Паспортные данные​

⚠️ Внимательно подходите к выбору мест при оформлении сим-карт. Чем менее оно престижно, тем больше вероятность утечки из него сканов паспортов, которые необходимы при регистрации номера. Выбирайте официальные салоны операторов; места, где оказывается максимальное количество услуг и для физических, и для юридических лиц.

Известные большие утечки​

В феврале 2022 года произошла . Были опубликованы имена и фамилии клиентов, номера телефонов, полный адрес доставки клиента и комментарии к заказу. Всего почти 7 миллионов уникальных номеров из России, Казахстана и Беларуси, даты с 19.06.2021 по 04.02.2022.
Для проверки своих данных энтузиастами был поднят сервис .

Как удалить себя из утечек?​

Никак. Вы можете попросить популярные сервисы , но вы ничего не сделаете с огромным количеством копий баз данных, которые уже разошлись по рукам, частным и закрытым сервисам.

Определение источника утечки

Поиск себя в утечках​

Существует много сайтов, которые позволяют по телефону, почте или даже ФИО самостоятельно найти себя в утечках информации и слитых базах. Использовать их надо с осторожностью, потому что за любым онлайн-поиском может стоять дополнительная цель в обогащении данных. Например, сбор IP-адреса, связывание нескольких поисков одного человека для сбора информации о его окружении.

Поэтому предпочтительным вариантом всегда остаётся самостоятельный поиск в файлах утечек. Но это может быть затруднительно: надо найти файл (или много файлов, если нужен исчерпывающий поиск), понять его структуру, выполнить эффективный поиск.
Если же вы пошли более простым путём, то рекомендую использовать такие ресурсы, по убыванию рисков:

Общеизвестные безопасные площадки​

Самая известная: , поддерживаемая известным безопасником и дающая гарантии приватности.
Другие:

Коммерческие альтернативы​

Часто дают условно-бесплатный доступ, найти разные сайты можно по ключевым словам check, leak:

Боты в Telegram​

  • - поиск источников утечки
Большинство ботов не указывают источник, из которого получена информация. Список некоторых ресурсов: .

Уведомления​

Некоторые из перечисленных выше сайтов также предоставляют функциональность уведомлений вам на почту, если произошла новая утечка с вашими данными. Если вы ведёте активную виртуальную жизнь, то крайне рекомендую пользоваться таким сервисом.

Использование алиасов/фейковых почтовых адресов​

Gmail и другие крупные почтовые сервисы поддерживают специальные символы для создания алиасов вашего почтового ящика. Почта, отправленная на алиас, придёт к вам, но в поле "Получатель" вы будете явно видеть, куда она пришла.
То есть, [email protected] будет эквивалентен [email protected]:

Снимок экрана 2022-10-03 в 22 46 42


Строго рекомендуется использовать эту возможность во всех сайтах, где она поддерживается. Таким образом:
  1. Вы в случае утечек или рассылки спама будете точно знать, откуда была получена почта.
  2. В случае целенаправленного сбора информации по вашему email информация с нескольких сайтов с меньшей вероятностью будет объединена в одно досье.
Разумеется, при сборе утечек часто используется нормализация почт: удаление подобных частей алиасов и очистка лишнего. Поэтому можно говорить только про снижение риска, а не стопроцентную защиту.
Отдельно стоит упомянуть про указание почтовых адресов для отправки чеков при покупках в Интернете.

Согласно п. 2 ст.1.2 закона № 54-ФЗ, кассовый чек должен быть направлен в электронной форме,

если покупатель сообщил свой абонентский номер или адрес электронной почты до момента расчета.
Этим пользуются такие крупные Telegram-боты как Глаз Бога, сохраняя себе всю вашу платёжную информацию и добавляя указанный email к той информации, которую выдаёт бот.

Поэтому, если вы не заинтересованы в чеке, то указывайте заведомо неправильный почтовый адрес, указывающий на источник утечки, например, [email protected]. Либо используйте упомянутые выше алиасы, явным образом раскрывающие, где ящик был указан.

Использование разных имён для отслеживания​

Кроме непосредственно поиска себя в базах, вы можете проактивно оставить "маячки", по которым быстро найдёте сайт или компанию-виновника. Чаще всего в жизни это происходит при спам-звонках, в которых упоминают ваше имя, например, указанное на сайте с объявлениями.

Сайты по-разному относятся к корректности имени и фамилии аккаунтов. Кто-то требует того, чтобы они совпадали с паспортными данными ( ), кто-то только сверяет их с документами в случае финансовых операций, а большинство вообще не валидируют.
В зависимости от строгости правил сервиса (ToS, Terms of Service) можно использовать трюки, перечисленные ниже. Но перед использованием я настоятельно советую изучить, какие санции возможны, если вы укажете некорректное имя, и оценить эти риски для себя.

Используем имена/фамилии, созвучные либо начинающиеся с тех же букв, что и сайт/компания.​

Таким образом, при утечке ФИО в связке с номером или почтой вы будете знать, откуда эта информация:
  • Макдональдс: Максим
  • ВКонтакте: Вова
  • Одноклассники: Олег

Используем вариации имени кириллицей или латиницей​

Прежде всего это относится к полной/сокращённой форме имени:
  • Александр
  • Саша
  • Саня
  • Шура
Но в силу различий между языками, у имени бывает по несколько "латинских" форм. Даже банки часто дают возможность выбора правильной транслитерации имён. Так, имя "Анатолий" может быть представлено как:
  • Anatoly
  • Anatolii
  • Anatoliy
 

Канарейки​


Канарейки очень чувствительны к примесям опасных газов в воздухе. Поэтому долгое время шахтёры брали их с собой в шахты: если птица переставала петь, то это значило, что дышать воздухом становится опасно.

Подобный же принцип используется и в информационной сфере. Многие компании используют о том, что за ними никто не следит, чтобы при получении судебного ордера убрать эту фразу. Тем самым компания даёт сигнал пользователям, что отсутствие слежки больше не гарантируется.
Но мы собираемся скрываться не от корпораций, а от любопытных лиц. Что мы можем предпринять?

Canary tokens​

Возможно, вы видели ссылки в биографии на странице ВК, которые никуда не ведут (либо ведут в приложение "Узнай, кто за тобой шпионит" или вроде того). Это простейшая форма канарейки.

Существует замечательный онлайн-сервис - , который позволяет создавать своих собственных канареек.
Он позволяет создать различного рода канарейки, которые мы можем использовать для детектирования любопытных сотрудников вашей организации или обнаружить компрометацию ваших систем еще до того как злоумышленник сможет выполнить некоторые деструктивные действия.
Выключение автозаполнения в поисковой строке

Какие виды можно сгенерировать и при каких условиях будет получено уведомление:
    • URL-токен. При переходе по ссылке.
    • DNS-токен. При разрешение доменного имени.
    • AWS-ключи. При использовании ключа AWS.
    • Microsoft Word/Excel Document. При открытии файла.
    • Kubeconfing. При использовании Kubeconfig.
    • WireGuard VPN. При использовании конфига.
    • Cloned Website. При клонировании веб-сайта.
    • MySQL Dump. При загрузке дампа MySQL.
    • Windows Folder. При попытке открыть папку.
    • Fast Redirect. При попытке посетить сайт, с последующим перенаправлением.
    • Slow Redirect. При попытке посетить сайт, с последующим медленным перенаправлением, для получения большей информации.
    • Custom Image Web Bug. При просмотре вашей картинки.
    • Acrobat Reader PDF Document. При открытии PDF документа в Adobe Reader.
    • Custom exe / binary. При запуске исполняемых файлов.
    • SQL Server. При загрузке базы данных SQL Server.
    • SVN. При открытии папки SVN.
    • Unique email address. При отправке почты на электронный адрес.
Пример уведомления на почту:
Пример уведомления canary-токена


Как сделать утечки бесполезными​


Можно ли сделать утечки менее полезными при сборе информации о вас? Да, хоть это и не гарантированно поможет, а лишь усложнит жизнь тем, кто собирает про вас данные.
Разберём некоторые стратегии сопротивления, подходящие для случаев, когда данные о вас уже попали в Интернет.

Создание нового фейкового аккаунта​

Создаём аккаунт с идентификаторами, которые используются в активном поиске по данным из утечек.
Раздел будет дополняться

Фальшивые связи с общеиспользуемыми идентификаторами​

Почты:

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]
Номера телефонов:

+79123456789

+79111111111

Сайты для генерации правдоподобных данных​

 
  • Нравится
Реакции: XABA
Спасибо полезная информация B)
 
  • Теги
    osint защита своих данных в сети руководство по приватности
  • Сверху Снизу