Ази кібербезпеки мобільного і комп’ютера

Реальні поради, які Вам допоможуть захистити Вашу конфіденційність, захистити Ваші дані (гроші), і не перетворити мобільний чи комп’ютер на зомбі.

Захист телефону

  • активувати на сім карті запит PIN коду, і змінити на відмінний від 1234 або 1111 / або перейти на eSIM;
  • прив’язати номер мобільного у оператора до паспорту, щоб без паспорту і фізичної присутності не можна було виготовити дублікат сім карти;
  • врахуйте, номер мобільному Вам не належить, а наданий в користування;
  • Andriod телефон: Налаштування-Безпека-Зашифрувати телефон (після запуску потрібно вводити ключ розшифрування); Зашифрувати карту SD (при витягненні карти дані і вставлення в інший телефон дані неможливо розшифрувати);
  • нічого конфіденційного не передавати через sms чи телефонні дзвінки GSM;
  • Месенджери: Threema (20 грн для Android, $5.99 iOs/ одноразово, немає прив’язки користувача до номеру мобільного) або Signal. По вайберу і телеграму є багато нюансів…
  • не роздавати наліво і направо свої персональні дані і так багато даних ходить (база привату, нової пошти, витоку водійських, мтсбу, дії);
  • для розблокування використовувати відбиток, при необхідності вводу коду, зокрема до Apple ID прикривати клавіатуру (камери, люди);
  • тримати вимкнутим дозвіл інсталяції програм із невідомих джерел, зокрема не ставити APK файли-програми із сайтів (зокрема ламаних із сайтів типу 4pda);
  • Видаліть підозрілі програми, не встановлюйте гетконтакт чи подібних програм: ви даруєте розробникам свою телефонну книгу…
  • при інсталяції із магазину додатків перевіряти додаток, автора додатку, кількість завантажень, права на доступ до даних;
  • тримати вимкнутим режим налаштування, зокрема по USB.

Підписи у месенджерах

Не підписуйте себе ім’ям і прізвищем у Viber і Telegram, вистарчить імені. Не завантажуйте паспортну фото як аватарку, або фотографію де чітко видно риси обличчя. Також не варто давати доступ до телефонної книги (усі контакти копіюються на сервери розробників) – саме тому коли ви створюєте профіль контакти отримують повідомлення “Надія тепер у месенджері”.

У вайбері: Додатково-Параметри-Конфіденційність:

  • вимкнути Показувати стан “В мережі”
  • вимкнути Показувати ваше фото – користувачі, яких немає у ваших контактах не бачитимуть ваше фото.
  • вимкнути Поширити дату народження
  • вимкнути Одноранговий зв’язок – зловмисник не зможе отримати вашу реальні IP.
  • додавати у групи – Мої контакти – відправивши спеціальне повідомлення у групу де ви є можна отримати дані телефону і IP адресу
  • Особисті дані:
  • вимкнути Збирати аналітику
  • вимкнути Дозволити персоналізацію контенту – чат боти не отримують ваше ім’я і аватарку

У телеграмі: Налаштування – Приватність і безпека:

  • показувати номер телефону – Ніхто
  • хто може знайти мене по номеру телефону – Контакти
  • останній час у мережі – ніхто
  • може мені дзвонити – Контакти
  • використовувати peer-to-peer: Контакти (розкриття IP адреси)
  • двофакторна аутентифікація – увімкнути.

Захист комп’ютера

Ліцензійний Windows із постійними оновленнями. Інсталяція програм тільки із офіційних сайтів авторів.

Шифрування диску BitLocker: доступне на підтримуваних пристроях із Windows 10 або 11 Pro, підприємств і навчальних закладів.

Захист профілю паролем, якщо відходите від комп’ютера, блокуйте його (Win+L).

Для перенесення даних на флешці чи DVD, або відправленням по пошті (краще особисто) шифруємо дані (ставимо важкий довгий пароль) у зашифрований zip архів і його передаємо. Пароль передаємо іншим каналом або особисто.

Використовувати шифр AES256.

При використанні Ubuntu при інсталяції вибираємо шифрування диску.

І ніяких ламаних офісів, фотошопів і корелів. Для всього є безкоштовна альтернатива:

Майже кожен зламаний софт містить бекдор і/або троян. А потім “дивно чого” вся інфраструктура заражена і всі дані з комп’ютера скопіювалися зловмисникам. А в даних можуть бути персональні дані, ключі доступу до банківського рахунку, секретні дані.

По цифрових підписах: мати апаратний ключ, з нього неможливо витягнути секретний ключ. Забуваємо про key-6.dat на флешках. Дорого, умовно незручно, но того вартує. Звісно це не рятує що хтось зможе на вас згенерувати в пару кліків цифровий ключ у приваті чи діяпідпіс…

Не відкривати і виконувати інструкції у листі, розглянемо гарно сплановану атаку на клієнтів Кредобанку, прийшов на електронну скриньку такий лист (Gmail поклав цей лист у спам):

Що є підозрілим:

  • вже виконуйте, завтра буде пізно;
  • орфографічні помилки, відсутність букви “є”;
  • відправник пошта gmail;
  • виконуваний файл лежить на Google Drive (ПриватБанк теж любить гугл драйв);
  • віндовс інтерфейс на російській мові:
  • отримувач у BCC (гірше було б якщо у СС чи TO).

Перш за все не використовуйте телеграм для конфіденційного спілкування. По друге активуйте двофакторну авторизацію. Якщо б ви авторизувались, хакери завантажують усю вашу телефонну книгу, яку ви подарували телеграму, усі ваші чати, і розішлють від вас ці повідомлення. А далі різні сценарії. Якщо доводиться, не приєднуйтеся до всяких “помийних ям”. Це дозволяє в подальшому зробити на вас пару векторів атак…

 

Viber vs Telegram Bots замітки: 1. Ідентифікатор користувача телеграм – при спілкуванні із ботом передається: ідентичний для всіх ботів. Тому не розшарюйте свій номер телефону сумнівним ботам. У вайбері 24 байтний ідентифікатор користувача унікальний для кожного бота. 2. Картинки, лінки: при відправці ботом зображення, або лінки клієнт Viber завантажує їх напряму, тим самим засвічує вашу IP адресу, і розкриваючи IP сервера аплікації (якщо вантажуться дані з сервера).

3. Бережіть точку входу для вебхуків Telegram, навіть якщо ви поставили IP filtering на підмережу телеграма, можна створити іншого бота, який ходитиме на ендпойнт) І ріквест не підписується. У Viber підписується.

4. Якщо у вас встановлений Viber PC усі дані зберігаються у нешифрованому вигляду у SQLite базі у папці c:\Users\USERLOGIN\AppData\Roaming\ViberPC\38067******\ (для мобільного нерутованого телефону це ок, бо сторедж апки ізольований від інших апок, но на компютері…). Telegram PC клієнт зберігає усі дані у шифрованому форматі (хоча фали атачменти можна розшифрувати).

Якщо Ви заберете галочку у вайбері: Параметри -> Конфіденційність -> Особисті дані -> Дозволити персоналізацію контенту (Settings – Privacy – Personal Data – Allow Content Personalization) то чат-боту не передаватиметься ваше імя (буде Subscrіber) і ваша аватарка (буде стандартна заставка).

Viber: Якщо ви у Android додатку активувати бекап на Google Drive (точніше Сховище – Резервні дані, тобто доступ до даних має тільки цей додаток, ви скачати ті дані не можете), то бекапляться тільки текстові дані (фото і відео ні), то при зміні релігії (перейти на iOS) ці дані не будуть перенесені (в iOS додатку йде бекап на iCloud, можна активувати бекап фото і відео). І навпаки. Також при авторизації на новому пристрої буде здійснено автоматичний вихід з профіля на усіх інший.

Якщо backup GDrive не викорситовувався 57 днів то він автоматично видаляється.

Telegram: бот боту не може писати ( Пряме повідомлення: нотіс що не можна. Робимо групу, додаємо людину і 2 бота. Якщо privacy mode on, то боти не отримують повідомлень від людини в групі. Робимо адмінами – отримують від людини. Якщо бот пише у групу, то люди отримують повідомлення, інші боти ні. Обійти не можна. А я думав бот лічильник буде передавати боту надавачу показник )

Інформація для цитування:

Юрій Р. 0009-0005-3702-9223. (2022). Ази кібербезпеки мобільного і комп’ютера. Блог UA ID. Взято з: https://blog.uaid.net.ua/myself-cybersecurity

Використання фотографій або текстового контенту на інших ресурсах без клікабельного індексованого посилання заборонено.