Counter-OSINT: руководство по приватности и защите своих данных в Сети №2

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
25.682
Репутация
11.175
Реакции
59.761
RUB
50

Приватность телефонных аппаратов​

Тема приватности на мобильных устройствах заслуживает отдельного большого путеводителя. Данные пользователя представляют слишком большой финансовый интерес для всех вендоров. И если на западном рынке наблюдаются подвижки в сторону приватности (например, Apple урезает возможность сбора данных всем сторонним приложениям, а Google с каждой версией Android улучшает работу с доступами приложений), то на азиатском рынке (Samsung, Xiaomi и масса мелких вендоров) пользовательские данные оседают в больших количествах и бесконтрольно.

Что с этим можно сделать за короткое время и без сложных манипуляций вроде получения root или jailbreak? К сожалению, самый минимум - следить за тем, какие приложения вы ставите и какие разрешения им даёте. Разберём самые очевидные случаи.

Контакты из телефонной книги​

Многие приложения сделали свой бизнес только лишь на доступе к телефонной книге пользователя. Самое нашумевшее - GetContact, которое прошлось волной и по российским пользователям.

Принцип прост -- связка из имени контакта и телефонного номера из вашей книги утекают на сервера, там объединяются в одну базу данных. После чего становится возможным узнать ФИО по номеру телефона, запросив напрямую в базе. А иногда и профессию, и возраст, и вообще что угодно. Для примера: "Иван ФСБ", "Александр Клиент", "Валерия Хрущёва 42", "Машка Петрова Якобы Модель". Сейчас все эти данные можно легко получить через Telegram-ботов.

Некоторые другие приложения (например, вполне официальные вроде Сбербанка) запрашивают доступ к телефонной книге, чтобы сократить телодвижения для переводам по номеру телефона на пару кликов. При этом, очевидно, контакты в любом случае загрузятся к ним на сервер, и что там с ними произойдёт - неизвестно.

Поэтому первым и очевидным шагом в сторону приватности (как себя, так и своих близких и знакомых) будет ограничение доступа к телефонной книге -- не даём его приложениям по запросу, т.к. они должны функционировать без него (Сбербанк прекрасно обходится и без этого). В противном случае внимательно изучаем приложение и ищем альтернативы, если оно безоговорочно требует дать ваши номера.

Устанавливаемые приложения​

Продолжая тему из предыдущего абзаца: приложения для сбора контактов работали не только явно, но скрыто, внедряясь за деньги в другие, бесплатные приложения. Таким образом, большое количество невнимательных людей сами сливали свои данные, не обращая внимание на то, что очередная игра из Google Play запрашивает слишком много расширений. А лицензионные соглашения в наше время мало кто читает, увы.

Используемые материалы и полезные ссылки​



Продолжение далее

 

Приватность соцсетей и мессенджеров.​

В этом разделе приведены описания настроек приватности для всех популярных сайтов и платформ на территории СНГ.

Напоминаю, что это руководство направлено на скрытие вашей информации от чужих глаз в Сети. К сожалению, практически всё, что вы пишете в соцсетях и мессенджерах, доступно самим платформам. То есть, большому количеству сотрудников этой компании, правоохранительным и другим органам, имеющим право эту информацию запрашивать, а также иногда большому количеству других лиц, полулегально поддерживающих деятельность сайта.

Полностью защититься от утечки своей личной информации - не пользоваться никакими платформами, не гарантирующими end-to-end шифрование и абсолютную безопасность ваших данных, но таких сайтов чрезвычайно мало, и их распространённость среди ваших друзей и знакомых наверняка близка у нулю.

В текущий момент оставим в стороне размышления о том, использовать или нет большие сайты, зарабатывающие на вас деньги и готовые продать ваши данные. Примем как факт, что вам приходится их использовать, и займёмся их настройкой.

➡️ Facebook​

Обсудим настройки приватности в самой популярной соцсети по всём мире - в Facebook. Как и в других главах, убираем общедоступность и по возможности ставим максимальные уровни, комментируя их предназначение и сопутствующие риски.
Для начала разберём уровни приватности, которые Facebook позволяет выставить для своей информации и публикаций.
  • Доступно всем / Все - информацию будут видеть как все пользователи Facebook, так и весь Интернет - доступ будет открыт поисковикам.
  • Друзья - информацию будут видеть только ваши друзья.
  • Только я - информация будет отображаться только вам. Максимальная приватность!
  • Настройки пользователя - гибкий настраиваемый список тех, кто может и кто не может видеть информацию. Доступны как отдельные люди, так и категории "Друзья" и "Друзья друзей".
Также для "Друзей и подписок" есть дополнительные уровни видимости "Друзья, кроме..." и "Определённые друзья", которые являются вариантами последнего.

Важное замечание: уровень "Друзья" предполагает, что этой группе людей вы можете доверять больше, но не стоит недооценивать возможности социальной инженерии. Вы можете без долгих раздумий подтвердить запрос на добавление в друзья человека, похожего на вашего знакомого. Который на деле таковым не окажется, а добавится исключительно ради получения вашей приватной информации.
Заходим в раздел "Настройки и конфиденциальность" => "Быстрые настройки конфиденциальности". Открываем первую карточку "Кто может видеть ваши публикации" и последовательно разбираем экраны с настройками.

Кто может видеть ваши публикации​

Информация профиля​

  • Электронный адрес и Дата рождения - на деле эти данные нас идентифицируют, ставим Только я.
  • Родной город и Город проживания - если они различаются, то третьи лица могут легко связать информацию о вас в молодости/до переезда с текущей информацией. В таком случае также рекомендуется ставить Только я.
  • Образование - аналогично предыдущему пункту (эта информация может выдавать ваш родной).
  • Работа - обычно не представляет тайны, если это публичная работа. Зависит от вашей ситуации.
  • Кто может видеть список друзей в вашем профиле? и Кто может видеть людей, Страницы и списки, на которые вы подписаны? - информация о социальном графе потенциально даёт возможность узнать про вас многое из вышеперечисленного косвенным образом. Наверняка у вас в друзьях есть и сослуживцы, и одногруппники, и одноклассники. Поэтому также ставим "Только я".

Публикации и истории​

  • Будущие публикации - определяет, какое значение будет выставлено по умолчанию для новых постов. Позволяет избежать случайной публикации поста с неверными настройками приватности. Рекомендуется выставить "Друзья".
  • Истории - они видны только 24 часа, но не только в Facebook, но и в Messenger. Не пренебрегаем рисками узнать информацию о нас через ещё одну платформах, поэтому выставляем "Друзья".
  • Ограничить доступ к старым публикациям - важная настройка, которая даёт возможность массово сменить настройки видимости для всех старых публикаций. Нажимаем "Ограничить доступ" и подтверждаем своё решение.

Блокировка​

В этом разделе можно добавлять людей в чёрный список. Нашей целью сейчас это не является, но если вы озаботились приватностью, зная о конкретном подозрительном профиле - заблокируйте его здесь.

Как люди могут находить вас на Facebook​

Этот раздел в "Быстрых настройках конфиденциальности" очень важен для нас - он позволяет "разорвать связь" между вашим телефоном и почтой и аккаунтом.

Запросы на добавление в друзья​

Как уже упоминалось выше, добавление может быть инициировано только лишь ради того, чтобы увидеть ваши приватные данные.

Номер телефона и электронный адрес​

Обе настройки выставлены во "Все". Это означает, что номеру телефона и адресу электронной почты вас можно найти через встроенный поиск Facebook! Разумеется, ставим "Только я".

Поисковые системы​

Эта настройка включена по умолчанию и разрешает индексацию вашего профиля. Выключаем и тема самым запрещаем находить наш профиль в результатах поиска по имени Google, Yandex и т.д.

Используемые материалы и полезные ссылки​

 
Последнее редактирование:

➡️ Telegram

Перейдём к настройкам приватности в мессенджере, который считается одним из самых приватных - в Telegram. Как и в других главах, убираем общедоступность и по возможности ставим максимальные уровни, комментируя их предназначение и сопутствующие риски.
Заходим в настройки, раздел "Конфиденциальность". Начнём с одноимённого подраздела.

Конфиденциальность​

Telegram даёт возможность гибко управлять белыми и чёрными списками по доступу к вашим данным. Для пунктов в этом подразделе можно скрыть информацию от всех или показать всем либо использовать список ваших контактов. Также возможно добавлять точечно исключения в виде отдельных аккаунтов или всех людей, состоящих в определённых группах.

Контактами в данный момент в Telegram считаются не только те аккаунты, для которых вам известен телефон (так было ранее), но и аккаунты, вручную добавленные в контакты приложения. Поэтому полагаться на список контактов в настройках сильно не следует -- как минимум, в вашей телефонной книге уже могут быть посторонние номера, а контакты внутри приложения легко добавить по ошибке.

Поэтому рекомендуется сделать ревизию телефонной книги либо вообще не расшаривать к ней доступ. Подробнее смотрите в разделе (доступов для мобильных приложений)(./mobile-apps-privacy.md).

Номер телефона​

Ставим опцию "Кто видит мой номер телефона" в значение "Никто", иначе любой аккаунт в Telegram в любом чате сможет видеть ваш номер телефона.

Также видим, что есть опция "Кто может найти меня по номеру". Это одна из наиболее ценных настроек приватности Telegram. Она была добавлена исключительно из-за массовых протестов в Гонконге и недовольства протестующих из-за той лёгкости, с которой .

К сожалению, до сих пор эта опция не имеет значения "Никто". Ставим эту опцию в "Мои контакты", и теперь только аккаунты из ваших контактов смогут добавить вас по номеру телефона. Помним при этом ограниченное доверие к группе контактов (см. выше).

Последняя активность​

В платформе есть особенность -- ограничения на время последней активности (был N минут назад в сети) действует в две стороны. Ставим в значение "Никто", но помним, что при этом и вы не сможете видеть активность других аккаунтов. К счастью, конкретных людей при необходимости можно добавить в исключения и удалить после проверки.

Группы и каналы​

Разрешение на добавление вас в группы и каналы имеет ограничение -- нельзя запретить всем, но можно разрешить только своим контактам. Также для опции действуют отдельные точечные запреты.
Ставим опцию в значение "Мои контакты". Помним при этом ограниченное доверие к группе контактов (см. выше).

Звонки​

Антиспам в Telegram работает хорошо, поэтому звонки от спамеров довольно редки. Также, к счастью, сам звонок не раскрывает о вас никакой информации, если не включён режим Peer-to-peer. В этом режиме Telegram устанавливает прямое соединение от вашего устройства к устройству собеседника, и становится возможным определить IP-адрес.

Ставим "Кто может мне звонить" в значение "Мои контакты", если вы готовы добавлять вручную аккаунты в контакты и следить за их "чистотой". Ставим опцию "Peer To Peer" в значение "Никто".

Фотография профиля​

При включённой опции другие аккаунты теряют возможность видеть ваш аватар. Эта довольно полезная опция тоже ограничена уровнем доступа контактов, но также может быть включена вручную для конкретных аккаунтов.

Ставим опцию в значение "Мои контакты". Помним при этом ограниченное доверие к группе контактов (см. выше).

Пересылка сообщений​

С определённой версии Telegram научился для пересланных (forward) сообщений убирать ссылку на автора. Таким образом, даже если ваше сообщение скопируют в другой чат, через него невозможно будет выйти на ваш профиль. Ранее это позволяло отслеживать аккаунты, которые оставили хотя бы одно сообщение в любом чате.

Ставим опцию "Кто может ссылаться на мой аккаунт при пересылке сообщений" в значение "Никто".
 
  • Теги
    osint защита своих данных в сети руководство по приватности
  • Сверху Снизу