Поради з кібербезпеки для тих, хто може стати ціллю хакерів

Цей матеріал — практичний посібник з цифрової безпеки для журналістів, військових, активістів і всіх, хто ризикує стати обʼєктом цільових атак. Без води, з перевіреними інструментами й реальними порадами — від смартфона до хмари, від месенджерів до VPN.

Targeted Cybersecurity Advice

У сучасному цифровому середовищі існують користувачі, для яких базових заходів кібербезпеки недостатньо. Якщо ви активіст, журналіст, військовий, держслужбовець, волонтер, або займаєтеся іншою чутливою діяльністю, ви можете стати мішенню професійних хакерів. Цей текст — не загальні поради, а практичні інструкції, як вижити у кіберпросторі, де за вами можуть полювати ворожі спецслужби.

Зауважу, що раніше я публікував поради з вибору безпечного та приватного месенджера та його правильного налаштування.

  1. Ввімкніть Lockdown Mode в iOS та macOS. Це режим, який значно ускладнює експлуатацію вразливостей. iOS з Lockdown Mode — одна з найскладніших цілей для атаки.
  2. Перезавантажуйте смартфон щодня. Більшість сучасних атак потребують збереження постійного доступу. Спосіб доступу, якій переживає ребут дорожче і складніше.
  3. Увімкніть автоматичне видалення повідомлень у чатах. Якщо месенджер цього не підтримує — змініть месенджер. Тривалість життя повідомлень залежить від чутливості інформації.
  4. Вимкніть iMessage, якщо ним не користуєтесь. Це популярний та дієвий вектор атаки.
  5. Не використовуйте резервне копіювання повідомлень у месенджерах. Ефемерність — основа приватності. Зберігайте повідомлення вручну, лише якщо справді потрібно.
  6. Щоб перевірити, чи скомпрометовано ваш смартфон, регулярно створюйте резервну копію та скануйте її за допомогою MVT (Mobile Verification Toolkit). Інструкція тут.
  7. Після сканування обов’язково видаляйте резервну копію.
  8. Придбайте два апаратних ключі (наприклад, Yubikey) і додайте їх до всіх важливих акаунтів. До решти теж додайте, або хоча б налаштуйте вхід по PassKey.
  9. Ніколи не використовуйте SMS для автентифікації. Це вразливість, а не захист.
  10. Регулярно перевіряйте список пристроїв, які мають доступ до ваших акаунтів, особливо Google, Apple, Microsoft, соцмереж і месенджерів.
  11. Користуйтеся менеджером паролів. Всі паролі повинні бути складними та унікальними. Запам’ятовувати їх не потрібно, тому генеруйте рандомні. Памʼятайте паролі від пристроїв та парольного сейфа–і змінюйте їх хоча б щороку.
  12. Перевіряйте, чи не потрапили ваші облікові дані у витоки. Менеджери паролів можуть робити це автоматично. Або скористайтесь сервісом Have I Been Pwned.
  13. Регулярно створюйте резервні копії комп’ютерів. Зберігайте їх у важкодоступних місцях і завжди шифруйте.
  14. Не відкладайте оновлення програм. Краще ввімкніть автоматичні оновлення.
  15. Не діліться розташуванням без крайньої потреби. Геолокацію можете вимкнути, проте це незручно якщо ви часто “губите” пристрої.
  16. Не встановлюйте десткопні версії месенджерів. Або хоча б того з них, в якому ви ведете найсекретніші розмови.
  17. Не користуйтеся Telegram. Все, що ви передаєте через цей месенджер, потенційно доступне російським спецслужбам.
  18. Особливо небезпечна десктопна версія Telegram. Якщо дуже потрібно — використовуйте веб-версію.
  19. Встановіть локальний фаєрвол для моніторингу вихідних з’єднань. Це дозволяє виявляти нетипову активність, наприклад коли раптом Excel з’єднується з російським сервером.
  20. Видаляйте стару електронну пошту. Якщо листу більше двох років — він вам не потрібен. Зберігайте лише критично важливе, і бажано локально.
  21. Усі локальні носії з конфіденційними даними повинні бути зашифровані. Це стосується комп’ютерів, флешок, зовнішніх дисків.
  22. Уникайте відеокамер під час введення паролів. Навіть недорогі камери можуть зчитати ваші дії на екрані та клавіатурі.
  23. Складні фізичні атаки на ключі двохфакторної автентифікації — рідкість. У реальності зловмисники просто підміняють ваш пристрій аналогічним. Тому зберігайте контроль над важливими гаджетами.
  24. Увімкніть блокування пристрою після кількох невдалих спроб входу. Якщо можливо — налаштуйте автоматичне видалення даних.
  25. Під час поїздок у небезпечні місця відключіть біометричне розблокування. Вас простіше змусити доторкнутись до сенсора, ніж ввести пароль.
  26. Перед ризикованими поїздками стирайте дані з пристроїв. Після повернення — відновлюйте з резервної копії.
  27. Іноді наявність крінжового, але правдоподібного контенту на телефоні може зменшити інтерес перевіряльників. Врахуйте це, можливо так краще ніж видаляти всі дані.
  28. Не обговорюйте нічого важливого через звичайний мобільний або стаціонарний зв’язок. Краще користуватися Signal, Threema, WhatsApp або FaceTime.
  29. Не зберігайте контакти колег у вигляді “Ім’я Прізвище Посада”. Злити цю інформацію може будь-хто з додатків, якім ви випадково надали доступ до адресної книги.
  30. Signal — наразі де-факто стандарт для захищеного листування в Україні.
  31. Користуйтеся VPN 24х7. Обирайте той, що не зберігає логи й дозволяє каскадне з’єднання. Рекомендації тут.
  32. Про 24х7 я цілком серйозно. Захищатися від провайдера потрібно не тому, що він ворог, а тому що він — легка ціль для ворога.
  33. Приватні вкладки браузера — мінімальний але важливий захист. Користуйтеся ними завжди коли треба мінімізувати трекинг на сервері та слід відвідування на пристрої.
  34. Для роботи, розваг і приватного використання краще мати різні браузери.
  35. Не зберігайте паролі у браузері. Використовуйте лише менеджери паролів.
  36. Встановіть Tor Browser — не для анонімності, а для доступу до небезпечних сайтів. Наприклад, російських.
  37. Вимикайте збереження історії місцезнаходжень у всіх сервісах.
  38. Не замовляйте доставку до чутливих адрес. Краще пройти пішки пару кварталів.
  39. Захищайте додатки біометрією навіть якщо у вас уже є код або біометрія на розблокування смартфона.
  40. Онлайн-сервіси з LLM (ChatGPT тощо) не підходять для конфіденційних даних.
  41. Якщо ви користувач Apple M-серії, встановіть локально Ollama та Open WebUI з open-source моделями.
  42. Застарілі IoT-пристрої та роутери — ідеальні точки тривалого доступу для хакерів. Регулярно оновлюйте. Якщо оновлень більше немає – замінюйте їх на нові.
  43. Мінімізуйте доступи встановлених додатків. Уважно перевіряйте доступ до геолокації, мікрофона, камери, диску, контактів і пошуку.
  44. Якщо не маєте корпоративного захисту на базі osquery — встановіть Pareto Security і дотримуйтесь його рекомендацій.
  45. Ознайомтесь із утилітами Objective-See для контролю macOS.
  46. Якщо ви часто відкриваєте неперевірені файли — користуйтеся віртуальними машинами.
  47. Для повної ізоляції використовуйте окремі пристрої для різних ролей — робота, приватне, чутливе.
  48. Перевіряйте наявність сторонніх профілів MDM, VPN, проксі у налаштуваннях пристрою.
  49. Щоб видалити метадані з файлів — використовуйте exiftool або mat2. Або просто надсилайте у форматі TXT/CSV.
  50. Уникайте роботи з правами адміністратора. Якщо програма просить права без потреби — це підозріло.
  51. Не користуйтеся рутованими смартфонами. Це серйозна вразливість, яка нівелює весь інший захист.

Згоден: червоною ниткою через текст проходить порада використовувати техніку Apple. Але це не реклама – насправді, історична замкненість та конрльованість зробили цю екосистему значно більш захищеною. Проте більшість порад універсальні. Бережіться.

Залишити коментар