Ази кібербезпеки мобільного і комп’ютера

Реальні поради, які Вам допоможуть захистити Вашу конфіденційність, захистити Ваші дані (гроші), і не перетворити мобільний чи комп’ютер на зомбі.

Захист телефону

• активувати на сім карті запит PIN коду, і змінити на відмінний від 1234 або 1111 / або перейти на eSIM;
• прив’язати номер мобільного у оператора до паспорту, щоб без паспорту і фізичної присутності не можна було виготовити дублікат сім карти;
• врахуйте, номер мобільному Вам не належить, а наданий в користування;
• Andriod телефон: Налаштування-Безпека-Зашифрувати телефон (після запуску потрібно вводити ключ розшифрування); Зашифрувати карту SD (при витягненні карти дані і вставлення в інший телефон дані неможливо розшифрувати);
• нічого конфіденційного не передавати через sms чи телефонні дзвінки GSM;
• Месенджери: Threema (20 грн для Android, $5.99 iOs/ одноразово, немає прив’язки користувача до номеру мобільного) або Signal. По вайберу і телеграму є багато нюансів…
• не роздавати наліво і направо свої персональні дані і так багато даних ходить (база привату, нової пошти, витоку водійських, мтсбу, дії);
• для розблокування використовувати відбиток, при необхідності вводу коду, зокрема до Apple ID прикривати клавіатуру (камери, люди);
• тримати вимкнутим дозвіл інсталяції програм із невідомих джерел, зокрема не ставити APK файли-програми із сайтів (зокрема ламаних із сайтів типу 4pda);
• Видаліть підозрілі програми, не встановлюйте гетконтакт чи подібних програм: ви даруєте розробникам свою телефонну книгу…
• при інсталяції із магазину додатків перевіряти додаток, автора додатку, кількість завантажень, права на доступ до даних;
• тримати вимкнутим режим налаштування, зокрема по USB.

Підписи у месенджерах

Не підписуйте себе ім’ям і прізвищем у Viber і Telegram, вистарчить імені. Не завантажуйте паспортну фото як аватарку, або фотографію де чітко видно риси обличчя. Також не варто давати доступ до телефонної книги (усі контакти копіюються на сервери розробників) – саме тому коли ви створюєте профіль контакти отримують повідомлення “Надія тепер у месенджері”.

У вайбері: Додатково-Параметри-Конфіденційність:

• вимкнути Показувати стан “В мережі”
• вимкнути Показувати ваше фото – користувачі, яких немає у ваших контактах не бачитимуть ваше фото.
• вимкнути Поширити дату народження
• вимкнути Одноранговий зв’язок – зловмисник не зможе отримати вашу реальні IP.
• додавати у групи – Мої контакти – відправивши спеціальне повідомлення у групу де ви є можна отримати дані телефону і IP адресу
• Особисті дані:
• вимкнути Збирати аналітику
• вимкнути Дозволити персоналізацію контенту – чат боти не отримують ваше ім’я і аватарку

У телеграмі: Налаштування – Приватність і безпека:

• показувати номер телефону – Ніхто
• хто може знайти мене по номеру телефону – Контакти
• останній час у мережі – ніхто
• може мені дзвонити – Контакти
• використовувати peer-to-peer: Контакти (розкриття IP адреси)
• двофакторна аутентифікація – увімкнути.

Захист комп’ютера

Ліцензійний Windows із постійними оновленнями. Інсталяція програм тільки із офіційних сайтів авторів.

Шифрування диску BitLocker: доступне на підтримуваних пристроях із Windows 10 або 11 Pro, підприємств і навчальних закладів.

Захист профілю паролем, якщо відходите від комп’ютера, блокуйте його (Win+L).

Для перенесення даних на флешці чи DVD, або відправленням по пошті (краще особисто) шифруємо дані (ставимо важкий довгий пароль) у зашифрований zip архів і його передаємо. Пароль передаємо іншим каналом або особисто.

Використовувати шифр AES256.

При використанні Ubuntu при інсталяції вибираємо шифрування диску.

І ніяких ламаних офісів, фотошопів і корелів. Для всього є безкоштовна альтернатива:

• Microsoft Office => LibreOffice;
• Photoshop => GIMP;
• CorelDRAW => Inkscape.

Майже кожен зламаний софт містить бекдор і/або троян. А потім “дивно чого” вся інфраструктура заражена і всі дані з комп’ютера скопіювалися зловмисникам. А в даних можуть бути персональні дані, ключі доступу до банківського рахунку, секретні дані.

По цифрових підписах: мати апаратний ключ, з нього неможливо витягнути секретний ключ. Забуваємо про key-6.dat на флешках. Дорого, умовно незручно, но того вартує. Звісно це не рятує що хтось зможе на вас згенерувати в пару кліків цифровий ключ у приваті чи діяпідпіс…

Не відкривати і виконувати інструкції у листі, розглянемо гарно сплановану атаку на клієнтів Кредобанку, прийшов на електронну скриньку такий лист (Gmail поклав цей лист у спам):

Що є підозрілим:

• вже виконуйте, завтра буде пізно;
• орфографічні помилки, відсутність букви “є”;
• відправник пошта gmail;
• виконуваний файл лежить на Google Drive (ПриватБанк теж любить гугл драйв);
• віндовс інтерфейс на російській мові:
• отримувач у BCC (гірше було б якщо у СС чи TO).

Перш за все не використовуйте телеграм для конфіденційного спілкування. По друге активуйте двофакторну авторизацію. Якщо б ви авторизувались, хакери завантажують усю вашу телефонну книгу, яку ви подарували телеграму, усі ваші чати, і розішлють від вас ці повідомлення. А далі різні сценарії. Якщо доводиться, не приєднуйтеся до всяких “помийних ям”. Це дозволяє в подальшому зробити на вас пару векторів атак…

 

Viber vs Telegram Bots замітки: 1. Ідентифікатор користувача телеграм – при спілкуванні із ботом передається: ідентичний для всіх ботів. Тому не розшарюйте свій номер телефону сумнівним ботам. У вайбері 24 байтний ідентифікатор користувача унікальний для кожного бота. 2. Картинки, лінки: при відправці ботом зображення, або лінки клієнт Viber завантажує їх напряму, тим самим засвічує вашу IP адресу, і розкриваючи IP сервера аплікації (якщо вантажуться дані з сервера).

3. Бережіть точку входу для вебхуків Telegram, навіть якщо ви поставили IP filtering на підмережу телеграма, можна створити іншого бота, який ходитиме на ендпойнт) І ріквест не підписується. У Viber підписується.

4. Якщо у вас встановлений Viber PC усі дані зберігаються у нешифрованому вигляду у SQLite базі у папці c:\Users\USERLOGIN\AppData\Roaming\ViberPC\38067******\ (для мобільного нерутованого телефону це ок, бо сторедж апки ізольований від інших апок, но на компютері…). Telegram PC клієнт зберігає усі дані у шифрованому форматі (хоча фали атачменти можна розшифрувати).

Якщо Ви заберете галочку у вайбері: Параметри -> Конфіденційність -> Особисті дані -> Дозволити персоналізацію контенту (Settings – Privacy – Personal Data – Allow Content Personalization) то чат-боту не передаватиметься ваше імя (буде Subscrіber) і ваша аватарка (буде стандартна заставка).

Viber: Якщо ви у Android додатку активувати бекап на Google Drive (точніше Сховище – Резервні дані, тобто доступ до даних має тільки цей додаток, ви скачати ті дані не можете), то бекапляться тільки текстові дані (фото і відео ні), то при зміні релігії (перейти на iOS) ці дані не будуть перенесені (в iOS додатку йде бекап на iCloud, можна активувати бекап фото і відео). І навпаки. Також при авторизації на новому пристрої буде здійснено автоматичний вихід з профіля на усіх інший.

Якщо backup GDrive не викорситовувався 57 днів то він автоматично видаляється.

Telegram: бот боту не може писати ( Пряме повідомлення: нотіс що не можна. Робимо групу, додаємо людину і 2 бота. Якщо privacy mode on, то боти не отримують повідомлень від людини в групі. Робимо адмінами – отримують від людини. Якщо бот пише у групу, то люди отримують повідомлення, інші боти ні. Обійти не можна. А я думав бот лічильник буде передавати боту надавачу показник )