«VPN это просто приватная сеть»: интервью с Product Manager’ом образовательного стартапа

Привет! Заметил, что многие пренебрегают элементарными правилами безопасности в сети. Это может плохо кончиться.

Я не считаю себя экспертом, поэтому обратился к человеку, который в этом разбирается лучше, чем многие. Постарался задать простые вопросы, чтобы вынести максимум пользы для несведущих в этой области. Дмитрий — Product Manager в образовательном стартапе. Соучредитель компании, которая занимается разработкой ПО на заказ. Ведет YouTube и Telegram каналы.

« Дмитрий, расскажите кратко о себе, пожалуйста.
Привет, меня зовут Дмитрий. По образованию я специалист по защите информации, хотя я ни одного дня не работал по этой специальности. Но я почему-то запомнился исключительно как человек, который рассказывает про безопасность в сети. Хотя вопросы по созданию IT продуктов и про программирование мне гораздо интереснее. Постараюсь ответить на ваши вопросы :) »

Часто можно услышать в противовес заботе о конфиденциальности —«Мне нечего скрывать, пусть смотрят, что хотят». Чем на ваш взгляд это чревато?

На мой взгляд нужно к этому подходить рационально. Возможно, есть люди у которых нет банковских карт, и они не пользуются социальными сетями, и, наверное, таким людям не стоит думать о безопасности или конфиденциальности.
Или если у вас специфичная профессия, например, «Порно-актер» и вы не боитесь, что какая-то информация уйдет в общий доступ, то вам и правда не стоит беспокоиться о вопросах связанных с конфиденциальностью.
Но мне кажется, что в большинстве случаев человеку есть что защищать в современном цифровом мире. И даже если вам сейчас защищать нечего, то это не значит, что у вас это не появится через год. Но если вдруг у вас появится что-то, что вы захотите защитить, то знаний как это делать у вас не будет.
Поэтому, в общем случае, я конечно же, рекомендовал бы всем получать этот навык.

Могут ли сервисы, например для обхода блокировок, или бесплатный VPN, украсть данные пользователя или каким-то иным образом нанести вред?

VPN по сути это другой компьютер, который стоит в другом месте, чаще всего в другой стране. И через этот компьютер и пересылается ваш трафик.
Было достоверно известно, что, например, VPN-расширение Hola продает пользовательский трафик. Opera тоже в этом честно признается. Компания SurfEasy, которую купила Opera завляла, что она собирает и продает информацию.
Поэтому, лично я не пользуюсь бесплатными VPN и никому не рекомендую. На мой взгляд совершенно любой человек может за пять минут развернуть свой собственный VPN сервер и использовать его на всех своих девайсах. Я делал про это видеоролик. Стоить такой сервер будет всего $5 в месяц.

Если какое-то приложение на смартфоне, при установке просит доступ к телефону, какие данные оно может получить и отправить куда-то?

Когда вы устанавливаете любое приложение на телефон, то оно у вас просит предоставить различные разрешения.
Например, разрешение на то, чтобы читать контакты из вашей телефонной книги, читать ваши СМС, доступ памяти телефона, доступ к локации, записывать аудио.
Понятное дело, что если вы устанавливаете приложение такси или карты, то они просто не смогут работать должным образом без этих разрешений.
Но есть огромное количество приложений типа «Фонарик» или «Калькулятор», которые просят доступы к контактам, локации, памяти и т.д. И само собой не следует давать разрешения подобным приложениям.
В Android 10 будут более строгие правила на подобные вещи. Например, там можно будет давать доступ к локации только когда приложение сейчас открыто.

Буквально две недели назад я читал новость от компании Avast. Они пересмотрели около 900 приложений-фонариков для Android. И выяснили, что большинство из этих приложений злоупотребляют доступом к личным данным:

В среднем приложение просит 25 разрешений для доступа к разным функциям и данным смартфона. В любом случае, на мой взгляд, следует быть внимательным и не давать всем подряд приложениям доступы, которые они требуют.

Сложность пароля определяется его длиной или наличием в нем разных спец. символов, по принципу чем больше, тем лучше?

Длина пароля, это безусловно важно. Но есть более важные правила при выборе пароля.

Самое важное, на мой взгляд, правило заключается в том, чтобы пароли были разными на всех сервисах. Если вы будете использовать одинаковые пароли на разных сервисах, то взломать вас будет проще всего. Иногда даже и взламывать не нужно. Я помню как однажды к нам пришел заказчик с очень крупным проектом, он предоставил нам код и базу данных. И оказалось, что в огромной базе данных все пароли пользователей хранились в открытом виде (это недоработка программистов, так как пароли в базе должны быть захэшированы).

Соответстенно тут даже взламывать ничего не нужно. Можно просто подбирать существующие пароли к данным пользователя. В базе записаны юзер в формате имейла и пароль от сервиса. И я уверен, что в каждом пятом случае можно было бы просто войти в тот же самый имейл с указанным паролем.
И так же пароли не должны быть обычным словом из словаря или двумя комбинированными словами. Это должен быть абсолютно случайный набор символов.

Пользуясь Windows, стоит ли использовать антивирус? Существует мнение, что во-первых можно обходиться без него и во-вторых, некоторые из них могут воровать личные данные.

На мой взгляд это зависит от того как именно вы пользуетесь операционной системой.
Честно говоря, я пользовался Windows как основной ОС уже больше десяти лет назад. У меня есть компьютер с Windows, но за ним я только монтирую видео и как-то обрабатываю фотографии.

У меня нет антивируса, но это только потому, что данный комп не основной.
Если бы он был основным, то, возможно, я бы поставил антивирус. Хотя честно говоря, мне не нравится тот факт, что он будет стоять и убивать производительность компьютера на 20-30 процентов.

Существуют сервисы TOTP, наподобие Google Authentificator. Можно ли настроить авторизацию через них в сервисы, которые явно этого не поддерживают?

На мой взляд TOTP и физические ключи вроде Yubikey это самый лучший второй фактор. Но если сервис явно это не поддерживает, то настроить авторизацию нельзя.

Если настроить свой виртуальный сервер и на нем развернуть почтовый сервер/клиент? Будет ли это решение безопасным?

На мой взгляд тут особо нет альтернатив. Так как поднять свой собственный сервер очень тяжело. При этом он будет неудобен в использовании через web. У него не будет нормального антиспама. И вы замучаетесь настраивать его. Это требует большого количества времени.
Кроме того, gmail это уже какой-то стандарт, в любом случае по работе вам будут расшаривать гугл-документы или вы будете пользоваться с кем-то общим календарем.

Если речь идет о Protonmail, то возможно он более безопасен. Он заявляет о том, что там используется End-To-End шифрование. Хотя на мой взгляд End-To-End шифрование должно использоваться немного иначе. Одним End в этой схеме должны быть вы. И ключ, который используется должен быть ваш, а не предоставлен сервисом почты. А второй End в схеме должен быть получатель.
Поэтому если вы действительно серьезно заботитесь о безопасности, то можете шифровать данные с помощью gpg и потом уже отправлять их.

Как вы считаете, популярные мессенджеры безопасны в плане защиты личных данных и возможности чтения переписок?

В плане защиты данных от других людей — да безопасны. Но если вдруг, вас будут подозревать в правонарушении, то органы власти имеют возможность запросить вашу переписку. И будьте уверены владельцы мессенджера тут же ее предоставят.

Если использовать свой или платный VPN, интернет — провайдер каким-то образом может вычислить, что ты им пользуешься?

Не понятно для чего это вообще нужно интернет-провайдеру. Интернет-провайдер по сути просто продает вам услугу. Ему по большому счету наплевать как вы этой услугой пользуетесь. Для провайдера главное чтобы вы своевременно оплачивали интернет.
Так же как для сервисному центру абсолютно безразлично куда вы передвигаетесь на своем автомобиле. Для него главное продать вам побольше услуг.

VPN это просто приватная сеть. Некоторые организации используют приватные сети для того чтобы повысить уровень безопасности внутри своей сети. Так что я не думаю, что спецслужбам нужна такая информация.

На счет того, смогут ли провайдеры собрать такую информацию, я ответить не могу.

Как защитить свои данные у себя на смартфоне?

Если вы используете iPhone и хотите защитить данные от Apple, то ответ — никак. Если вы пользуетесь Android и хотите защитить данные от Google — устанавливайте LineageOS.
На мой взгляд тут все просто. Безлимитный 4g сейчас стоит копейки. Просто не нужно подключаться ни к каким wifi кроме домашнего.

Нужно ли как-то дополнительно защищать домашний WiFi, кроме пароля?

  1. Обновляйте прошивку;
  2. Поставьте сложный пароль;
  3. Используйте WPA2, а не WEP или WPA;
  4. Включите доступ к адмике только из локальной сети;

Стоит ли заклеивать Web-камеру?

Зависит от того, что вы делаете перед этой камерой. И каковы последствия от возможной утечки этой информации.
Вообще я вижу много людей, которые беспокоятся за камеру. При этом они не беспокоятся за две камеры, которые есть в их смартфоне и никак их не заклеивают.

Может ли какая-то из программ на ПК/Смартфоне или открытое Web-приложение, записывать звук с микрофона без ведома пользователя?

Конечно, может. Я вижу такие новости постоянно. Вот, например, новость за сегодняшний день.

Анализируют ли голосовые помощники данные о пользователе, для таргетирования рекламы, например?

Об этом никто не знает, кроме создателей голосовых помощников. Мне кажется, что скорей нет, чем да.

Может ли какой-то из дистрибутивов Linux полноценно заменить Windows для серфинга в интернете, просмотра фильмов и работы с документами?

Я не знаю, что имеется в виду «работа с документами». Под Linux, например, нет офиса, кому-то это важно.
Но, на мой взгляд, если все, что вы делаете за компьютером это смотрите фильмы и серфите в интернете, то вас вообще не должно заботить что такое «ОС».

Какой из дистрибутивов Linux дружелюбнее для пользователя (Red hat, Ubuntu, Fedora и пр. )?

Наверное, Ubuntu или Manjaro.

В видео «Контролируем финансы с Google Sheet», вы делаете очень удобный инструмент для учета финансов. Но делаете это на базе Google таблиц. Возникает резонный вопрос — безопасен ли такой инструмент?

Думаю, что безопасен. Ну это, конечно же, зависит от того как вы относитесь к безопасности своего гуглового аккаунта. Если используете сложный пароль и двухфакторную авторизацию, то вполне. Если переживаете за то, что гугл будет иметь к этому доступ, то не переживайте, гугл (если у вас Android, или Apple если у вас iPhone) и так знает о вас столько, что ваши финансы это сущий пустяк.
В своем Telegram канале я писал о том, что о вас знают Apple или Google.

Но в данный момент времени я не использую это решение, о котором рассказывал. Но не использую, не из-за вопросов безопасности, а из-за большого числа ограничений, которые есть у гугл-таблиц. Сейчас я пишу свой собственный небольшой сервис для учета финансов на Go.

Можете дать 3 коротких рекомендаций для современного пользователя интернет.

  1. Убедитесь, что у вас установлены разные пароли ко всем сервисам в интернете.
  2. Не храните свои пароли в открытом виде, используйте специальные менеджеры паролей вроде 1password, keepass, lastpass.
  3. Подпишитесь на мой Telegram канал.

Внимание! Мнение автора блога может не совпадать с мнением интервьюируемого.

Предыдущая запись Mother Russia Bleeds