КЕЙС Специалисты компании VPNMentor протестировали три популярных VPN-сервиса: Hotspot Shield, PureVPN и Zenmate VPN – и выяснили, что при использовании любого из них возможны утечки персональных данных, а именно IP-адресов пользователей. Уязвимость позволяет злоумышленникам определить фактический IP-адрес пользователя, хотя тот использует VPN. Исследователи предполагают, что большинство VPN-сервисов имеют сходные недостатки
[732].
○ На устройствах с общим доступом и в других случаях, когда требуется обеспечить дополнительную конфиденциальность и удалить следы своей деятельности, используйте приватные режимы в браузерах (либо удаляйте историю действий после работы). В таких случаях после завершения сеанса (закрытия приватного окна) вся история действий, cookie-файлы, кешированные данные и прочее удаляются. Помните об ограничениях данного режима: данные о посещаемых сайтах не сохраняются только на компьютере, на котором вы работаете, и доступны прокси-серверам и прочим приложениям, через которые проходит трафик. Кроме того, на iOS– и iPadOS-устройствах (а также на Android-устройствах) приватный режим (называемый частным доступом) при переходе в обычный режим сохраняет открытые приватные вкладки. Таким образом, если к устройству получит доступ посторонний человек, то он сможет восстановить сеанс с приватными вкладками, которые откроются автоматически. Поэтому необходимо закрывать все приватные вкладки вручную, перед тем как переходить из режима «Частный доступ» в обычный.
Если по каким-то причинам приватный режим недоступен – при работе с сервисами, требующими ввода вашей персональной информации, сбрасывайте флажки типа «Оставаться в сети», «Запомнить меня» и т. п. Эти параметры допускают последующее посещение сервиса без необходимости аутентификации. В других случаях, в частности на сервисах электронной почты, может присутствовать флажок «Чужой компьютер» или подобный, установив который вы запретите сохранение вводимых вами учетных данных и сеанса. Кроме того, нельзя сохранять персональные данные, введенные вами с использованием функции автозаполнения. При несанкционированном доступе к устройству злоумышленник легко войдет на сайт под вашим именем, так как браузер сам предложит нужные данные для аутентификации.
По окончании работы на устройстве с общим доступом без приватного режима рекомендуется очистить историю действий. К примеру, в Firefox за это отвечает команда Журнал
Очистить недавнюю историю. Помимо списка посещенных сайтов и загруженных файлов будут удалены прочие данные сеанса, кеш браузера и cookie-файлы, а также журнал форм (введенные логины, пароли и т. п.) и поиска.
Обратите внимание: приватные режимы в браузерах обеспечивают некую конфиденциальность лишь на том устройстве, на котором используются. Провайдерам интернета, системам мониторинга трафика (в том числе и государственным), владельцам точки доступа или системным администраторам сети, а также ведущим MiTM-атаки злоумышленникам виден IP-адрес устройства, на котором установлен браузер; адреса посещаемых сайтов; свойства скачиваемых файлов и т. п. Подобной информацией способен делиться со своими разработчиками и сам браузер
[733].
○ Для обмена конфиденциальными файлами используйте облачные хранилища (например, https://tresorit.com, https://www.send.firefox.com или https://mega.nz) с возможностью сквозного шифрования и настройками доступа, когда возможность просмотра/скачивания файлов запрашивает каждый пользователь. Доступны и дополнительные настройки защиты, например установка пароля, ограничения по времени и количеству скачиваний и т. п. При этом учитывайте, что стопроцентной гарантии защиты данных не даст ни одна компьютерная система. К примеру, файл может быть похищен до или после шифрования с помощью вредоносного программного обеспечения в системе отправителя или получателя.
○ Отключайте на компьютерах и мобильных устройствах не используемые в данный момент (например, в дороге) протоколы связи, такие как Wi-Fi или Bluetooth. У этих интерфейсов есть уязвимости, которыми могут воспользоваться злоумышленники. Устройства могут автоматически подключаться к беспроводным сетям, в том числе открытым и специально созданным мошенниками, о чем уже упоминалось в этой главе. Стандарт Bluetooth, помимо прочего, содержит уязвимости, эксплуатация которых злоумышленниками может приводить к слежке за устройствами пользователей
[734].
■ Соблюдайте правила цифровой гигиены: избегайте фишинговых сайтов (проверяйте URL-адреса сайтов, особенно тех, на которых требуется ввод персональных данных); посещайте сайты по протоколу HTTPS
[735] (в этом может помочь дополнение HTTPS Everywhere); пользуйтесь сайтами, защищающими пользователей от сбора данных (например, поисковая система DuckDuckGo вместо Google или «Яндекс» и т. п.).
Примечание. Браузер Chrome, начиная с версии 90, автоматически подставляет префикс HTTPS ко всем адресам, которые вводит пользователь
[736].
Примечание. DuckDuckGo – скорее не поисковая машина, а агрегатор результатов поиска на ресурсах Yahoo, Bing, Yummly, «Яндекс», «Википедия» и множестве других, главное отличие которого – стремление обеспечить приватность пользователя.
■ Внимательно читайте текст на сайтах, предлагающих для бесплатного демонстрационного доступа ввести номер телефона или банковской карты. Как правило, такие ресурсы (часто – файловые хостинги и электронные библиотеки), рекламируя временный бесплатный доступ, максимально затрудняют (печатают мелким шрифтом и т. п.) чтение полного текста правил получения услуги. На рис. 8.5 показана страница файлового хостинга Turbobit, на которой предлагается указать номер телефона, чтобы получить пробный (т. е. бесплатный) премиальный доступ для неограниченного скачивания файлов.
Как правило, пользователь вводит номер телефона, предполагая, что скачает файл без ожидания и без оплаты. Тем не менее с его счета списывают деньги за оформление подписки, и потом их списывают ежедневно, если пользователь самостоятельно не отказался от подписки, о чем сказано мелким шрифтом ниже.