Дмитрий Артимович про цифровую самозащиту

Полезная книга, надо брать. Все уже без исключения попадали под то, или иное воздействие мошенников. И про старые истории, типа про червя Морриса и Кевина Митника ("Свободу Кевину Митнику!") интересно почитать, да и прикладному научиться. Если только при покупке не уведут деньги :) А если серьёзно, есть в ли в книге про безопасность гигантов, таких, как тот же Озон?

Слегка непонятным остался вопрос про "откатывание карт" в 90-х: это типа как в в фильме Расплата, когда карту Гибсона операционисты водил взад-назад по какому-то аппарату считывания? А в валютных магазинах негодяи снимали наличку по чужой карте, получается? Там не было фото?

Ещё один момент - Дмитрий упомянул гибернацию, а разве она не сливает слепок ОЗУ в файл hiberfil.sys, который можно прочитать? Ведь гибернация для того и создана, чтобы при полном отключении питания ноута или компа восстановить при пробуждении недоодрекдатированный документ, фильм на паузе, всё, что угодно, что висело в оперативной памяти?

Кому: Doom, #1

> а разве она не сливает слепок ОЗУ в файл hiberfil.sys, который можно прочитать?

Это оно и есть. И париться по этому поводу нужно только тем, у кого есть важная конфиденциальная информация.

Кому: Doom, #1

Так защититься просто, BitLocker или TrueCrypt.

Кому: Thunderbringer, #2

> Это оно и есть. И париться по этому поводу нужно только тем, у кого есть важная конфиденциальная информация.

В ролике говорится, что в случае гибернации содержимое ОЗУ уничтожается, и можно быть за него спокойным - за его отсутствие.

Кстати, в одно время в сети лежала база уведённых паролей аккаунтов мэйл ру, в которой был и мой пароль, и который я поменял. Как водится у многих пользователей, я его использовал ещё и в другом месте, в моём случае - здесь, на Тупичке, и он всё ещё тот же. Если ли смысл его менять в случае использования его просто для входа для комментариев, вот вопрос, и как вообще узнавать время от времени, не валяются ли в сети твои пароли от того или другого акка, которые угоняют постоянно? Или единственный способ быть спокойным за них - это иметь сложные пароли?

Кому: Doom, #4

> Или единственный способ быть спокойным за них - это иметь сложные пароли?

Сложный пароль (не менее 14 символов для учеток без двухфакторной аутентификации), разные пароли для разных ресурсов, регулярная смена (не реже чем раз в 3 месяца для учеток с низкой важностью, раз в месяц для административных), запрет на повторное использование паролей. Тока рехнешься через полгода.

Кому: split, #5

> Тока рехнешься через полгода.

Никто не рехнулся пока, значит, не никто не выполняет :)))

Кому: split, #5

> Сложный пароль (не менее 14 символов для учеток без двухфакторной аутентификации), разные пароли для разных ресурсов, регулярная смена (не реже чем раз в 3 месяца для учеток с низкой важностью, раз в месяц для административных), запрет на повторное использование паролей. Тока рехнешься через полгода.

отличная идея для стартапа

Кому: Doom, #4

> Или единственный способ быть спокойным за них - это иметь сложные пароли?


Нет никаких способов. Все эти заморочки с длинными автогенерированными паролями лишь немного уменьшают вероятность того, что к твоей почте получит доступ половина планеты. Но в тот промежуток между взломом и наличием публичной информации о нём, всякие нехорошие личности могут всё почитать. Что касается почты - тут единственный выход видится в собственном почтовом сервере и передаче конфиденциальной информации в запароленных архивах. Но проблема в том, что это годится лишь для передачи данных между пользователями - частными лицами или подразделениями одной организации. А при общении с государственными органами или другими компаниями всё летает в открытым текстом.

Еще один момент связан с этим пакетом Яровой. Данные должны храниться, чтобы в случае чего спецслужбам что-то накопать у преступника. Но где гарантия того, что тот, кто работает с серверами, где все это хранится не окажется щирым славаукраинцем или вообще агентом иностранной разведки, который тупо произведет психологическую операцию с массовым сливом этих данных. Или наоборот, будет собирать потихоньку подноготную на известных людей.

И те же рекламные звонки, в которых тебя по имени отчеству называют. Когда-то утекли твои данные и могут продолжать утекать сейчас. Сколько там девочек непонятно откуда на саппортах к твоим данным доступ имеют? Всякие оборотные штрафы за утечку тут не помогут. Они помогут только сделать так, чтобы уж совсем грубых ошибок не допускали, позволяя утянуть базы целиком. А вот если будет взлом и пиявка присосётся, таская клочками и не рассказывая откуда данные, то тут наоборот естественно - дырочку в итоге заткнут, но о том, что она была будут молчать в тряпочку.

В общем и целом получается - лучше не жить в онлайне и общаться в оффлайне, убрав смартфоны подальше, а интернет и прочие телефоны оставить исключительно для трёпа ниочём или выкладывания роликов про разведение крупного рогатого скота, тиристоры и прочее.

Кому: Doom, #1

> Слегка непонятным остался вопрос про "откатывание карт" в 90-х

Это про то, почему у карт циферки выпуклые.

Были специальные бланки, которые клали на карточку, и прокатывали через копирку.
На бланке отпечатывался номер карты, а бланк отсылался для обналичивания в банк.

Кому: Физик-Любитель, #9

> Это про то, почему у карт циферки выпуклые.
>
> Были специальные бланки, которые клали на карточку, и прокатывали через копирку.
> На бланке отпечатывался номер карты, а бланк отсылался для обналичивания в банк.

Вас понял, спасибо!

Кому: split, #5

> Тока рехнешься через полгода.

Один большой хороший мастер-пароль, регулярно меняемый, которым шифруется база паролей. Так работают множество менеджеров паролей (KeePass, Kaspersky Password Manager и многие другие). В итоге под каждый сервис свой сложный, автосгенерированный пароль. Можно задать политику смены, проверить сложность паролей и многое другое. Бэкапишь сам на свой сервак или доверяешь облачным сервисам уже твоё дело.

Плюс везде где есть опция двух-факторной аутентификации включаешь её. Если есть вариант вместо SMS использовать TOTP приложение (Google Authenticator, Яндекс.Ключ и подобные), то выбираешь его. Большинство таких приложений работают по одному и тому же алгоритму (в итоге у меня к тому же Google через Яндекс.Ключ коды генерятся и всё отлично работает).

Если хочешь проверить не утекла ли твоя почта или пароль в руки мошенников можно зайти на https://haveibeenpwned.com/ и https://haveibeenpwned.com/Passwords и ужаснуться...