Жизнь

Шифры и мессенджеры. Как защитить смартфон от взлома

5064 Ляксей Лявончык

Беларусское государство регулярно напоминает своим гражданам, что содержимое и способ их коммуникации онлайн представляет для отечественых спецслужб постоянный и живой интерес – причем вне зависимости от того, «либерализация» на дворе или закручивание гаек. Поэтому «Журнал» предлагает повторить матчасть про то, что надо делать, чтобы минимизировать утечку вашей личной информации.

Недавний очередной запрет «чего-то» был сформулирован в путаных и весьма общих терминах и запрещал использование абонентских идентификаторов, не принадлежащих абоненту. Вскоре появились объяснения ОАЦ, но до их опубликования оставалось стойкое ощущение, что тот, кто пользуется не своим номером (симкой, подключкой к интернету, чужим телефоном, анонимизатором, мессенджером), в очередной раз рискует.  Не то чтобы новое ощущение в Беларуси – но все равно неприятно.

ОАЦ своими разъяснениями несколько спустил пар, накопившийся в обществе, пытающемся расшифровать смысл последнего указа, но при этом и напомнил всем, что спецслужбы по прежнему «бдят». Потому предлагаем ряд советов о том, что делать, чтобы уберечь себя от утечки информации с телефона.

Шифрование Android

Убедитесь, что ваш аппарат перешифрован. Android, начиная c 4-ой версии, даёт пользователю возможность зашифровать хранилища (диски, карточки, память – выбирайте термин на свой вкус) аппарата.

Просто зайдите в настройки, найдите пункт меню «Безопасность и экран блокировки», в котором будет подпункт «Зашифровать данные». Шифрование обычно занимает от 30 до 60 минут, аппарат в это время должен быть подключен к питанию.

Последнее важно: так как при шифровании диск телефона задействован постоянно и быстрее высаживает батарею, полная разрядка батареи в процессе шифрования приведет к тому, что у вас вместо работающего смарта в руках окажется непригодный ни к чему «кирпич» – а в лучшем случае вы потеряете все свои данные, и вам после включения предстанет «голая» системы – как будто вы только что достали телефон из коробки.

Перед началом шифрования аппарат предложит вам задать пароль, который будет аппарат расшировывать. Для вас как пользователя ничего не изменится: при включении на экране будет появляться поле введения пароля, как и при незашифрованном телефоне.

Разница в том, что если смарт не зашифрован, пароль просто отблокирует экран, а до содержимого под заблокированным экраном в принципе можно добраться и не зная пароля с помощью специальных технических средств. Если же смарт зашифрован – то пароль его расшифрует и разблокирует. Расшифровка и разблокировка длятся не дольше простой разблокировки – зато до содержимого вашего аппарата, не зная пароля, будет добраться куда проблематичнее.

Обратите внимание на то, через сколько минут после того, как вы отложили телефон, аппарат автоматически блокируется и начинает требовать пароль. Время бездействия, спустя которое смартфон автоматически блокируется, в Андроиде можно установить в настройках: меню «Экран блокировки и безопасность» – «Настройки блокировки» (названия пунктов меню могут отличаться в зависимости от языковой версии системы, но в целом логика та же самая).

Время автоблокировки лучше выставить на одну-две минуты: если вы кладете аппарат на стол и сразу его снова хватаете, то мгновенная блокировка будет только злить.

Кроме того, в этой же секции меню есть пункт «Блокировка кнопкой питания». Включение этой опции позволяет мгновенно заблокировать аппарат нажатием на кнопку его включения.

В последней, шестой, версии Андроида в том же пункте настроек – «Экран блокировки и безопасность» – «Настройки блокировки» – появилась опция, включение которой стирает внутреннюю память и карту памяти, если пароль был введен неправильно 15 раз. В более ранних версиях Андроида такой опции нет.

Про что нужно помнить с шифрованием?

Во-первых, если вы зашифровали устройство и забыли пароль, данные, хранящиейся на аппарате, становятся недоступными. Вообще. Никак. Максимум, что вы сможете сделать – это сбросить телефон на заводские настройки до состояния «достал из коробки после покупки» и настроить заново. Плакали ваши фоточки (если, конечно, вы не настроили смартфон автоматически через вайфай загружать их в облако по мере появления).

Во-вторых, шифрование сильнее нагружает процессор и аппарат может работать медленнее. На смартфонах топовой линейки это практически незаметно, а вот на более дешевых телефонах – еще как.

Именно по этой причине производители телефонов на Android до последнего отказывались от обязательности шифрования – в отличие от Apple, все смартфоны которого перешифрованы по умолчанию. Просто для сравнения: айфоны зашифрованы практически все, андроидов же зашифровано – только 10 процентов из тех, которые сейчас на руках. А взломать незашифрованный аппарат – вопрос доступа к относительно несложным техническим средствам.

Шифрование iPhone

Убедитесь, что у вас включена опция «стирать содержимое устройства спустя 10 неправильных вводов пароля» (настройки – подменю «Touch id и пароль»). Так как аппарат перешифрован по умолчанию, дополнительно шифровать его не надо.

Также обратите внимание на время блокировки телефона: настройки – общие настройки – автоблокировка. Ставьте на не более пары минут, при повышенной паранойе пусть блокирует спустя 30 секунд.

Установка программ без вашего ведома

Большинство взломов происходит не от того, что против вас применили супер-пупер кибероружие и новые технологии взлома, а от того, что вы сами на что-то нажали и установили себе непонятную программу.

Обычно это происходит так: 1. Вам приходит письмо. 2. Вы его открываете. 3. Вы открываете аттачмент. 4. Опа! – вредный программный код уже у вас.

Впрочем, всё зависит от вашего аппарата. Если не углубляться в детали, то если вы владалец айфона, то установка вредоносной программы таким образом маловероятна. Айфоны разрешают установку программ только из авторизированного магазина приложений Apple Store (то есть «левую» программу просто так не установишь), а также любое внесение изменений в настройки надо подтвердить. Как правило, это происходит так: на экран вылетает предупреждение, что такой-то пункт настроек кто-то хочет изменить. Так вот, внимательно читайте эти предупреждения, а не тыкайте «Да, изменить» во все попало.

Если у вас андроид, то все гораздо хуже. У андроида есть авторизированный магазин приложений Google Play, однако система в общем позволяет ставить приложения и не из этого магазина.

Ясно, что вредоносное приложение само, как правило, не установится: вы должны запустить его установку. Это может произойти открытием аттачмента из непонятного письма или загрузкой приложения якобы с Google Play (или любого другого известного вам и безопасного), который на самом деле вовсе не Google Play.

Последний метод называется фишингом (выманиванием) и он исключительно многогранен, но конкретно этот его подвид состоит в создании сайта-фейка, который выглядит точно так же, как известный вам безопасный. Потому если вас в браузере перенаправило на другой сайт, чтобы скачать оттуда софт – не поленитесь, проверьте в адресной строке, соответствует ли ее вид вашим ожиданиям.

Обратите внимание, что подозрительное письмо с вредной программой-шпионом не обязательно будет иметь странный адрес в поле отправителя и странное содержимое в теле письма. Во-первых, ящик вашего коллеги, с которого отправлено письмо, может быть действительно взломан. Во-вторых, сейчас есть способы заменять адрес в строке отправителя любым другим. То есть ясно, что письмо фишинговое, но получатель, посмотрев в строку отправителя, увидит знакомый ему адрес.

Что делать? Просто быть внимательным. Обычно человека характеризирует его собственный стиль письма и манера общения онлайн. Если он никогда не отправлял вам аттачи – а тут внезапно в письме приложение и очень настойчивая просьба «открой, открой!» – я бы насторожился.

Не ведитесь и на «громкие» темы письма вроде «требование оплаты» или «налоговая Фрунзенского района» (фишеры знают, что человек кинется дрожащими руками открывать такое письмо и аттачмент). Выдохните, сравните адрес отправителя с адресом на сайте этого банка или учреждения – в крайнем случае даже перезвоните и уточните для верности. Если человек все время писал граматно, а в последнем письме у него 15 ошибок в простейших словах – это тоже повод насторожиться.

Безопасные мессенджеры

Запомним сразу: Skype уже давно не считается безопасным мессенджером. Если вам лениво что-то устанавливать дополнительно кроме обычных приложений, по крайней мере общайтесь через Google Hangouts: это получше скайпа с точки зрения безопасности плюс предлагает отличное качество аудио- и видеозвонков.

Есть Telegram – как утверждают, именно им пользовались организаторы атаки на Париж в конце прошлого года. Telegram не дает возможности общаться голосом, но зато в нем есть возможность создания как обычных, так и секретных чатов.

Плюс этого мессенджера в том, что переписка не сохраняется: будучи удаленной со всех телефонов участников общения, она удаляется навечно.

К Telegram, впрочем, также есть претензии с точки зрения возможности взлома. Так, видимо, будет всегда – на каждый новый инструмент всегда будет находиться способ взлома.

Потому для особых любителей паранойи советуем мессенджер Signal. Он дает возможность общаться как голосом, так и текстом, и пока является самым устойчивым из всех ко взлому.

Что касается анонимизации: под Android есть приложение под названием Orbot. Простыми словами, это адаптация известной программы Tor, которая анонимизирует ваш сёрфинг по интернету, скрывая, на какой сайт и кто полез. Установите ее, запустите – и вуаля. Да, только помните: анонимизаторы замедляют соединение.

Итак, резюме:

1. Не открывайте аттачменты, если не ждете их или письмо кажется подозрительным. Всегда проверяйте адрес отправителя, стиль, перезванивайте отправителю, если вы его/ее знаете, а сообщение от него/нее выглядит вызывает подозрения.

2. Социальная инженерия (приемы, которые позволяют выманить личные данные или установить программы) стала очень продвинутой. Например, для беларусов, которые от государства ждут только подлянки, стали появляться письма с заголовками «срочное требование оплаты», «налоговая задолженность», «инспекция Ленинского района – требование по годовой декларации» и подобное. Модно стало стучаться в чатах Facebook или ВКонтакте в личку и представляться судебным исполнителем или налоговым инспектором (иногда, кстати, так делают настоящие исполнители, что дает злоумышленникам отличное прикрытие). Не поленитесь узнать полное имя, проверьте профиль (созданный вчера профиль без записей – это явно подозрительно), узнайте рабочий телефон стучащегося и перезвоните по нему. В общем – не бегите на согнутых ногах к каждому, кто называет себя представителем государства.

3. Используйте для общения безопасные программы. Не думайте, что государство о вас всё знает: оно о вас знает ровно столько, сколько вы позволяете.

4. Просто будьте внимательны. 90 процентов взломов происходят из-за того, что человек не соблюдал обычную гигиену коммуникации.

Комментировать