Или прикреплять такие pdf к постам

Интернет-хиромантия: как нас выдают настройки системы

«Я тебя по айпи вычислю!»

Пфф... такие угрозы звучат теперь совсем неубедительно. Есть вещи покруче — цифровые отпечатки (“fingerprints”). В их основе — все доступные данные о системе, браузере, плагинах пользователя, часовом поясе, разрешении экрана.

Каждый отпечаток состоит из уникального ID, содержащего 32 символа. И на него никак не повлияет изменение IP-адреса.

Единственный способ сохранить приватность (нууууу хотя бы попытаться) — «слиться с толпой других пользователей». То есть не менять стандартные настройки браузера и не устанавливать никаких расширений. Любой плагин — это сразу плюс 100 очков к уникальности.

Вот лишь несколько примеров данных в цифровых отпечатках:

Language — язык системы;

ETag — штука, которая формируется из содержимого кеша браузера;

Font Fingerprints — шрифты, установленные в системе;

Screen Size and Color Depth – разрешение экрана.

Всё еще не убедила? Тогда учтите: свой цифровой отпечаток можно посмотреть на специальных сервисах. Например, ipleak или Яндекс.Интернетометр. При наличии "белого" IP можно и координаты посмотреть. 👁

Так что вас можно вычислить по отпечаткам в Сети, даже если этим делом занимаются не спецслужбы.

Куки: быть или забыть?

Сайты все время предупреждают, что используют какие-то там куки. А это не опасно? А они точно не вредят моему компьютеру?

Бегом за шторку, давайте разбираться!

Сами куки точно не могут навредить, ведь это всего лишь файлик с инфой о пользователе, который сохраняется на жестком диске.

Если сайт использует куки, это значит, что он хочет собрать и запомнить какие-то данные. Например, о том, что вы посещали портал собачников и залогинились там как «коргиман» или что вы заходили в онлайн-магазин и положили в корзину 5 игрушечных динозавров. 🦖

Если собирать куки довольно долго, можно собрать на человека целое досье. Но чаще всего этой инфой пользуются только рекламодатели, которым она помогает сделать определённые выводы о поведении пользователя и предлагать интересный именно ему продукт.

Я бы не советовала бежать в нору и навсегда вырубать куки. Это не очень удобно. Вот накидаете вы в корзину 15 товаров, обновите страничку, а сайт их сразу забудет. Обидненько.

Во всем нужен баланс. Можно чаще включать режим инкогнито (в нем сбор куки не ведется) и спокойно серфить интернет. Полезно будет регулярно чистить куки вручную в настройках браузера. Либо можно установить специальный плагин для автоматического поиска и удаления таких файликов с устройства.

В общем, цифровая гигиена вам в помощь. Подробнее о подводных камнях куки — в следующих постах🙈

qwerty не пройдёт: как придумать пароль, на взлом которого уйдет 2 миллиона лет

Сижу такая, никого не трогаю, и вдруг на почту приходит письмо, мол, входит кто-то в мой яндекс-аккаунт из Краснодара с восьмого самсунга. А я в Красногорске, и у меня — айфон 🤷🏻‍♀️

Ну тут, конечно искра, буря, безумие, я лечу выхватывать аккаунт из лап хакеров и заодно гуглю статистику самых популярных и самых слабых паролей в 2019 году. Надеюсь, вы сидите, потому что топ-3 выглядит так:

🥇 123456
🥈 123456789
🥉 qwerty

На самом деле, подобрать можно любой пароль. У такого «подбора» даже есть умное название — брутфорс (метод «грубой силы», англ. brute force).

Только если для этого хакеру потребуется 10 лет, вряд ли он потратит их, чтобы получить доступ к вашему инстаграму.

Существует прекрасный сервис howsecureismypassword, который подскажет, насколько безопасен придуманный пароль. Например, novosonya можно подобрать за 2 минуты, а djeieop%G162” — за 2 миллиона лет!

Сложные пароли помогают составить генераторы. Вообще в сгенерированных и проверенных через howsecureismypassword паролях я бы советовала менять 1-2 символа, прежде чем юзать их в аккаунте. А то мало ли что 🤷🏻‍♀️

Уууух… сегодня За шторкой вас ждут хорошие новости мира кибербезопасности.

Гугл выпустил расширение для Chrome, с помощью которого можно посмотреть, сколько рекламы размещено на странице, какие рекламодатели там есть. А еще оно разъясняет причины, по которым вы вообще всю эту рекламу увидели.

Самая крутая функция расширения — возможность узнать, какие данные использовались для персонализации рекламы (например, пол, возраст, круг интересов).

Напоминаю, что свой «портрет», составленный гуглом можно посмотреть тут. Если верить цифровому гиганту, то я — молодая женщина, которая увлекается кошками, собаками и переездами. В целом угадал :)

Что такое localStorage и при чём тут сохраненки браузерных игр

Браузеры используют такую штуку, как внутреннее хранилище localStorage. Сайт может закинуть туда какие-нибудь данные, а потом вытащить и работать с ними.

А еще есть временное хранилище sessionStorage. В нем хранятся данные только для одной сессии — открытой вкладки. Когда сессия завершается, хранилище очищается.


Маленькая шпаргалка по сессиям

Пользователь открыл вкладку — сессия началась.

Сессия завершилась, если:
— пользователь закрыл вкладку/браузер;
— пользователь отвлекся на котика, и у сессии вышел срок.


В localStorage может лежать что угодно: сохраненки браузерных игр, момент видоса, на котором прервался просмотр, ID пользователей и сессий. Свой localStorage создается для каждого домена. Чтобы посмотреть его содержимое, например, в Chrome, нужно зайти в инструменты разработчика.

И вроде звучит все здорово: прогресс игры сохранится, не придется искать момент, на котором прервался сериал, если пришлось срочно закрыть браузер. Ну там, мама в комнату заглянула, или шеф чуть не спалил 🤷🏼‍♀️ Но localStorage — вовсе не безопасный инструмент хранения данных браузера. Его преимущества сходят на нет, как только туда отправляются не сохраненки онлайн-пасьянса, а номера кредита или другая конфиденциальная инфа. Если хакер запустит вредоносный код на сайте, он сможет выгрузить все эти данные.

Ответственность за безопасность — на разработчиках. Лучший совет для пользователей — сто раз проверять надежность сайта, и не разбрасываться данными где попало. Если ресурс кажется подозрительным, можно покопаться в локальном хранилище и почистить его вручную.

И еще! Чем больше информации останется в localStorage — тем проще идентифицировать по ней пользователя. +1 к вашим цифровым следам. 🕵️‍♂️

Почувствовать себя хакером без СМС и регистрации: как залезть в секретные данные с помощью гугла

Готовьте какао, поболтаем о дорках. Нет, я не пропустила букву Я, доярки тут не причем.

Google Dork Queries (GDQ) — запросы к поисковикам, предназначенные для поиска скрытой инфы, которая оказалась в публичном доступе. Например, из-за ошибки окаянного админа.

Поисковику нужны команды. Например, cache:сайт дает доступ к устаревшей версии страницы. Допустим, контентщик случайно залил на сайт работодателя свою фотку в трусах, спохватился и быстренько стер ее. А тут мы со своими дорками взяли и скомпрометировали бедолагу (не надо так).

Некоторые запросы позволяют залезть в камеры наблюдения. Если забьете в поиск inurl:»img/main.cgi?next_file», среди результатов найдёте стримы с IP-камер с сонными охранниками, продавцами, сусликами в лугах. Только помните, что подсматривать — плохо и не совсем законно, поэтому не увлекайтесь.

Запрос inurl:названиесайта @имяпользователя выдаст инфу о пользователе с конкретного ресурса. Можно покопаться в твиттере или инстаграме, посмотреть кто, когда, кого упоминал, найти тайные связи между любимыми блогерами. Конечно, тут у нас не суперсекретная инфа, но всё же выводы с таким запросом можно сделать интересные.

Это лишь несколько примеров использования дорков. Их возможности намного шире. При должном усердии можно раскопать целые корпоративные базы данных, засекреченные документы, чьи-то личные файлы. На сайте Google Hacking Database — база дорков, которая постоянно пополняется.

​​Котик просто разобрался в Google Dorks 😎

Он знает, что ты гуглил прошлым летом...

И называется кейлоггером. Это такая штука, которая записывает всё, что пользователь печатает на клавиатуре. Клавиатурный шпион 🕵️‍♂️

Кейлоггеры бывают аппаратными или программными. Аппаратные нужно «прикручивать» к устройству. Программные — сидят себе в компе, собирают логины, пароли, непристойные сообщения и прочую инфу. Иногда идут вместе с вредоносами, например, троянами.

Такой киберштирлиц сложно обнаружить даже с помощью антивирусов. Они могут прятаться довольно долго, пока не начнут отправлять данные на сервер злодея.

Иногда кейлоггеры используют в благих, кхм, целях. Ну там, руководитель следит, чем занят сотрудник: в контактике чатится, динозаврика гугловского гоняет, залипает в вордовский файл. Или родители проверяют, с кем общается ребенок. Не путается ли любимое чадо с хулиганами, не шкодит ли в этих ваших интернетах. Я реально видела прогу для родительского контроля с этой функцией 🙈 Эх, благими намерениями вымощена дорога к самому настоящему шпионажу и вторжению в личную жизнь. Может, конечно, рожу — пойму😌

«Соня, как быть-то?!» — спросите вы. А вот так: не скачивайте что попало, где попало, включайте антивирус и мозги. На работе можно периодически шерстить USB-порты, но это уж совсем для параноиков. А родителям я бы посоветовала ограничиться блокировкой порнушки и контролем времени, проведенного в игрушках. Это и взрослым полезно, знаете ли.

Мистер Робот — кадровик
⠀
Представьте, что вас хантит не эйчар, а искусственный интеллект 🤖 Думаете, такое бывает только в кино? Вот и нет!

Чат-боты вовсю помогают рекрутерам: назначают соискателям встречи, проверяют тестовые задания и даже занимаются отбором персонала на первых этапах.
⠀
Меня впечатлил Wade&Wendy. Wade — виртуальный карьерный консультант, который умеет общаться с соискателями. Он анализирует данные из открытых аккаунтов и на их основе дает советы. А Wendy работает со стороны нанимателя и занимается рекрутингом.
⠀
В Австралии недавно увидел свет чат-бот PredictiveHire, который умеет собеседовать соискателей и давать им характеристики. Он задает человеку 5-7 вопросов о прошлом опыте, составляет его психологический портрет. Бот также может спрогнозировать, с какой вероятностью соискатель уволится после найма.
⠀
Представляю, как тяжело, когда пришёл по блату от тети Зины, а тут какой-то Wade шоколадки не берет.

А как вообще данные передаются по сети?

В сети работают протоколы передачи данных — специальные наборы правил. Пользователь запрашивает веб-страничку, сервер ее показывает, а протокол объясняет, чо как, где тут у вас паролеприемник, как передавать тексты и картинки.

Стандартным протоколом аж с 1992 года является HTTP (HyperText Transfer Protocol). Но у него есть один косяк, о котором я уже говорила, — он передает в открытом виде. То есть они не защищены от перехвата, и делают ваш трафик уязвимым. Все, что вы делаете на сайтах с HTTP-протоколами, видят провайдеры. Поэтому они могут спалить, какие фильмы вы качаете с торрента. Да и киберзлодеям это упрощает задачу: достаточно перехватить трафик в беспроводной сети, не нужно заморачиваться с зашифрованными данными.

Но откуда 20 лет назад знали, что мы сейчас будем заказывать себе яйцеварка в виде тиранозавров с алиэкспресса и передавать по этому протоколу данные кредиток?! Ладно, не буду драматизировать, о безопасности позаботились еще в 2000 году, замутив HTTPS ( HyperText Transfer Protocol Secure) безопасный протокол передачи гипертекста. Тут на сцену выходит SSL (SSL — Secure Sockets Layer).

Допустим, Анфиса хочет попасть на сайт по продаже скворечников, у которого есть SSL-сертификат.

Браузер Анфисы отправляет запрос к серверу.
👇🏼
Сервер ему в ответ — копию сертификата, а браузер проверяет его подлинность.
👇🏼
Если всё ок, браузер и сайт «договариваются» о секретном ключе, с помощью которого устанавливается соединение.
Сервер шифрует страницу и отдаёт браузеру.
👇🏼
Браузер показывает сайт Анфисе.

В 2014, правда, в SSL нашли уязвимость, из-за которой данные можно было расшифровать. Его благополучно заменили на TLS, но по привычке говорят «SSL-соединение».

Можно спрOSINTь? Как нас пробивают эйчары и тайные поклонники

Глаша оставила свой номер симпатичному парнише из метро, а теперь хочет узнать о нем побольше. Ну, мало ли что, вдруг он — вовсе не принц, а мучитель котят? Как только Глаша вбила в поисковик номер нового знакомого, она приступила к OSINT.

OSINT (Open source intelligence) — умное название разведки с помощью открытых источников. В ход идут самые разные инструменты: и боты в телеграме, и гугл доркинг — поиск инфы, которая случайно оказалась в общем доступе и индексируется поисковиком. Конечно, это совсем не ограничивается пробивом возлюбленного в соцсетях.

OSINT помогает эйчарам изучить соискателя до того, как он придет на собеседование. Даже если вы выкрутите на максимум настройки приватности вконтактике или инстаграме, это может оказаться бесполезным. По фотке из резюме, номеру телефона, могут легко отыскать ваши странички на сайтах любителей кройки и шитья.

Опытные хакеры способны собрать полноценный портрет человека из общедоступных данных. Предприниматели могут наосинтить информацию о своей компании, которая не должна попасть в руки шпаны или злых конкурентов. Да и любому пользователю полезно иногда применить OSINT, чтобы проверить свой цифровой след и вовремя его почистить.

Кибербезопасность, которую мы заслужили 🌵

Компьютерные зомби🧟‍♀️

Скачивание сомнительных приложений а-ля «поменяйтесь местами с котиком», телефонных фонариков, готовых дипломов без СМС и регистрации опаснее, чем кажется. Комп или смартфон может стать частью огромной зомби-сети под управлением кибернекроманта. Называется такая сеть — ботнет.

Ботнет — группа устройств, которые выполняют удаленные команды без ведома владельца. Тот самый некромант может управлять сразу всей сетью или отдельными девайсами. Сегодня зомби рассылают спам, а завтра — воруют денежки со счетов жертв.

Происходит заражение довольно просто: пользователь качает какую-то дребедень, вместе с которой на комп незаметно попадает некий сервис, который сидит себе спокойно и ждет команд из центра.

Ботнеты как супербактерии, которые постоянно растут и прокачивают навыки сопротивления защитным механизмам. Эх, доведёт нас массовое беспорядочное скачивание всего подряд до киберзомбиапокалипсиса.

У гуглов есть глаза

Давно мы тут не обсуждали, какие данные собирает гугл. А ведь он уже может анализировать фотки, а не только поисковые запросы, клики по объявлениям.

Всё благодаря компьютерному зрению — технологии Google Cloud Vision API.

Гугл глаза отличают корги от котиков (пруфы будут ниже), светофоры — от дорожных знаков (я вот без очков точно не отличу). Нейронка также распознает эмоции, черты лица, жесты. Даже геолокацию по картинке может определить.👀

Google Cloud Vision API умеет читать тексты с картинок, даже в плохом качестве, искать гадкий контент и докладывать о нем, куда следует. Ну, ещё подсовывать покупателю картинки с похожими товарами. Мне иногда кажется, что у нашего поколения двигатель прогресса — маркетинг😁

Поиграться с разными фотками можно на сайте.

Загрузила в Google Cloud Vision своих иждивенцев)

Улыбнитесь! Вашу камеру взломал хакер

Разработчик может специально «накосячить» и встроить в алгоритм программы бэкдор (от англ. *backdoor* — «задняя дверь»). Это такая лазейка, которая помогает незаметно проникать в устройства пользователей и заниматься всякими непотребствами. Ежели удумает злодей в системе покопаться, файлы скопировать или установить что-то на комп жертвы, бэкдор ему в помощь.

Думаете, на этом функции заканчиваются? Хах! В сети есть целые инструкции, как с помощью бэкдора подключиться к камере или микрофону жертвы. Конечно, это не означает, что любой школьник сумеет взломать вебку, но всё же стоит помнить о такой угрозе.

Бэкдоры также бывают аппаратными и скрываются, например, в прошивке. Если «задняя дверь» открыта в BIOS, будет вот что: как только пользователь включит комп, бэкдор попытается достучаться до злодея еще до загрузки системы.

Обнаружить такую «заднюю дверь» довольно сложно. Над ней не висит зеленая табличка с лампочками, увы. Даже если бэкдор найдут, а разработчика прижмут к стенке, он легко может прикинуться растяпой, мол, знать не знал, никаких ошибок не видал, помилуйте. И помилуют же 🤷‍♀️