×
Подпишитесь на наш дайджест и получайте подборку самых интересных материалов сайта за месяц!
«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
24 марта 2017 9508

Кевин Митник: «Защитите данные от таких как я»

Кевин Митник (Kevin Mitnick) — один из самых знаменитых хакеров в мире. Свою карьеру он начал еще в школе, где научился взламывать компьютерные сети и использовать уязвимости в системах телефонных компаний.

Митник провел в тюрьме больше пяти лет за различные компьютерные преступления. В 2003 году он закончил карьеру хакера и стал консультантам по информационной безопасности. Его задача — поиск уязвимостей в ИТ-инфраструктуре крупных корпораций. Кроме того, Митник пишет книги о защите данных.

Недавно вышла новая книга Митника, в которой дает советы по безопасности рядовым пользователям. «Искусство невидимости» (The Art of Invisibility) рассказывает, как сохранить конфиденциальность в сети и охватывает ряд вопросов от создания надежных паролей до шифрования электронной почты.

Обозреватель CNET поговорил с Митником и получил ряд практических советов, которые помогут уберечь ваши конфиденциальные данные от таких как он. Мы публикуем адаптированную версию материала.


Вы можете получить доступ к личным данным множеством способов. Могли бы вы научить рядового пользователя мыслить как хакер?

Обычно этого не требуется. В своей книге я даю ряд советов, которых будет достаточно, чтобы простой пользователь чувствовал себя в безопасности.

Например, я рекомендую использовать менеджеры паролей, такие как LastPass. Они обеспечивают довольно высокий уровень безопасности и просты в использовании. Я или другой высококлассный хакер все равно (от скромности не умрет — прим. ред.) сможем вас взломать, используя социальную инженерию или сложное шпионское ПО. Однако вы будете надежно защищены от большинства обычных угроз.


Чье вмешательство в личную жизнь угрожает простым пользователям первую очередь?

Я бы рекомендовал начать с детей или родителей, которые так и норовят залезть в ваш смартфон. Это может сделать и ваш работодатель. Многие из них совершенно законно мониторят вашу деятельность на рабочем месте, но об этом мало кто задумывается (ой! — прим. ред.) Следом идут мелкие мошенники, которые массово взламывают аккаунты в социальных сетях и крадут платежные данные.

Вот когда вы защитите от них свою личную жизнь, можно будет подумать и о спецслужбах или международных киберпреступных синдикатах.


Что вы говорите людям, которые утверждают, что им нечего скрывать?

Я всегда предлагаю всем, кому нечего скрывать, разблокировать экран своего смартфона и показать мне переписку по электронной почте, в мессенджерах и социальных сетях. Пока никто не согласился. После этого люди навсегда меняют свое отношение к защите персональных данных.


Готов спорить, вы бы не хотели, чтобы кто-то подслушал ваш телефонный разговор. Вы бы вели себя по-другому, если бы знали, что вы не одни. Каждый человек имеет право на общение тет-а-тет, это ваше фундаментальное право.


Может ли правительство силой заставить пользователя предоставить пароль от своего гаджета при въезде в страну?

Это произошло с инженером NASA по имени Сидд Бикканнавар (Sidd Bikkannavar). На паспортном контроле его заставили назвать пароль смартфона.

Я бы никогда этого не сделал, они не могут не пустить меня в страну. Миграционный контроль может конфисковать мои гаджеты, но не могут принудить меня разблокировать их. Например, суд может заставить меня приложить большой палец к iPhone, чтобы его разблокировать, но не может заставить меня назвать пароль от него.

Вряд ли обычный пользователь смартфона захочет задержаться в аэропорту на лишние 2-3 часа. Ему легче назвать пароль, чтобы миграционная служба отвязалась. Но я прирожденный бунтарь — если я ни в чем не виновен, я не буду называть пароль из принципа.


Как защитить свою частную жизнь в поездках заграницу? Что делать, если ваши устройства хотят досмотреть?

Если при въезде в страну, гражданином которой вы не являетесь, вас попросят открыть содержимое ваших электронных устройств, вы имеете право отказаться. В таком случае миграционная служба имеет право не пропустить вас на территорию государства.

К сожалению, вам будет проще подчиниться властям, чтобы не испортить себе отпуск или не сорвать командировку. Я бы рекомендовал перевозить через границу минимум данных. Я использую облачные сервисы с функцией шифрования. Однако в отношении рядового пользователя это может вызвать дополнительные подозрения. Кроме того, в некоторых странах отказ выдать ключи шифрования (даже в том случае, если у вас их нет) является правонарушением и ведет к огромным штрафам.

Иногда я делаю полную резервную копию системы на съемном носителе, шифрую ее, отправляю заказной бандеролью другу и не возвращаюсь домой, пока посылка не будет доставлена. Очевидно, этот способ подойдет не каждому.

Комментарии

6
Оставьте комментарий!
Vladyslav Borets 25 марта 2017 в 20:43 #
LastPass  ага
http://www.theverge.com/2017/3/22/15023062/lastpass-security-flaw-passwords
Антон Тарасов 28 марта 2017 в 18:00 #
Владислав, у LastPass уже случались утечки в 2015 году. Поэтому мы советуем использовать менеджеры паролей на свой страх и риск и не хранить там, например, платежные данные интернет-банкинга.

Кроме того, уязвимость выше уже устранена.
Владимир Пантелеев 5 апреля 2017 в 20:46 #
Храню на LastPass все свои пароли уже много лет, в т.ч. пароли от банков. Проблем никаких
Дмитрий Салимоненко 5 апреля 2017 в 16:23 #
На самом деле, действительно, все эти "менеджеры паролей", на мой взгляд, нецелесообразны. Если уж есть задача - сделать высококонфиденциальный и одновременно - легкий для использования пароль, проще всего САМОСТОЯТЕЛЬНО написать программу, например, на С (строчек 50), которая будет генерировать логины и пароли. Работает она примерно так: запускаете программу, вводите, например, свою почту (типа pochta@pochtail.ru). После чего программа примерно через 1/100000 секунды выдает пароль. Который рассчитается по алгоритму типа такого: parol = md5(pochta@pochtail.ru concat "qwerty"). Ну, или что-то более стойкое. Т.е. получается хэш, взломать который или подобрать если и можно, то через большое количество лет. Для другой почты, соответственно, будет получаться другой пароль. Всегда - один и тот же, разный для разных сервисов.
Антон Тарасов 5 апреля 2017 в 16:35 #
Дмитрий, вы правы.

Однако нужно понимать, что менеджеры паролей предназначены для начинающих пользователей и/или ленивых пользователей, которые очень далеко от написания программ хоть из 50 строчек, хоть из одной.
Владимир Пантелеев 5 апреля 2017 в 20:48 #
Я лентяй. Мне проще сгенерить пароль в 30 символов длиной и не париться. 

И, как сказал интервьюер, 100% безопасности не существует. Менеджер паролей даёт дополнительную гарантию к безопасности (в сравнении с умолчальными браузерными рещениями) и упрощает ввод данных. 

 Лично я благодарен и юзаю с удовольствием