Цифровая безопасность
Аккаунты, угрозы, цифровая гигиена
Записи «имя = значение», которые сайт сохраняет в браузере, а браузер возвращает сайту с каждым запросом — так сайт «помнит» твой вход в аккаунт и настройки. Сторонние cookies рекламных сетей стоят сразу на многих сайтах и складывают твои переходы в единый профиль — поэтому их блокируют и чистят.
✗ «Cookies — это вирус, который следит за компьютером». Нет: это записи, которые браузер хранит и отдаёт сайту; выполнять код они не могут, но помогают сайтам и рекламным сетям узнавать тебя.
Сеть поверх сети: устройство соединяется шифрованным туннелем с VPN-сервером и весь трафик пускает через него. Владелец Wi-Fi и провайдер видят только факт подключения к VPN; сайты видят адрес VPN-сервера вместо твоего. Сам VPN-сервис видит твой трафик целиком, поэтому первому попавшемуся VPN доверять нельзя.
✗ «VPN делает меня невидимым и полностью защищает». Нет: сайты по-прежнему узнают тебя по аккаунту и cookies, а весь твой трафик видит сам VPN-сервис — вопрос лишь, кому ты доверяешь.
Запись о тебе на сайте или в сервисе: логин (его видят все) и пароль (его знаешь только ты), а внутри — твои настройки, сообщения и проекты. Зайдя под своим логином с любого компьютера, ты получаешь именно свои данные: аккаунт отделяет твоё от чужого.
✗ «Аккаунт — это сама игра или приложение». Нет: аккаунт — твоя личная запись в них; приложение можно удалить и поставить заново, а аккаунт с твоими данными останется.
Программа, которая сравнивает файлы с базой известных вирусов и следит за подозрительным поведением других программ. Найденное лечит, удаляет или изолирует в карантине. База угроз быстро устаревает, поэтому антивирус должен обновляться; совсем новую угрозу он может пропустить.
✗ «Стоит антивирус — можно скачивать и открывать что угодно». Нет: новую угрозу и обман он может пропустить; осторожность антивирус не заменяет.
Автоматический запрет доступа к устройству: через заданное время без действий экран гаснет и запирается, а разблокировать можно кодом, графическим ключом, отпечатком или лицом. Защищает данные, если устройство потеряли или взяли без спроса; от вредоносных программ не спасает.
✗ «Пароль на телефоне нужен, только если там есть секреты». Нет: блокировка не даёт чужому открыть твою переписку, фото и аккаунты — они есть у каждого, кто пользуется устройством.
Проверка входа двумя независимыми факторами: тем, что ты знаешь (пароль), и тем, что у тебя есть (телефон с кодом из SMS или приложения). Укравший пароль второй шаг не пройдёт. Код одноразовый и вводится только на самом сайте: тем, кто просит его в чате или по телефону, не отвечают.
✗ «Код из SMS можно назвать сотруднику поддержки, раз он просит». Нет: код — второй ключ от аккаунта; настоящий сервис никогда не спрашивает его в чате или по телефону.
Автоматический тест «человек или программа»: искажённые буквы, выбор картинок, галочка «я не робот». Капчу ставят там, где вредят боты — программы-автоматы: массовая регистрация, рассылка спама, подбор паролей. Расчёт на то, что человеку легко, а программе трудно; программы умнеют — капчи усложняются.
✗ «Капча проверяет внимательность или знания». Нет: её задача — отличить человека от программы-бота; задание нарочно такое, что человеку легко, а программе трудно.
Вредоносная программа, которая сама себя копирует и распространяется с файлами, флешками и письмами. Попав в компьютер, делает то, что заложил автор: портит файлы, крадёт данные, рассылает себя дальше. Сам по себе вирус не «заводится» — его пишет человек, а запускает часто сам пользователь, открыв заражённый файл.
✗ «Вирус появляется в компьютере сам собой». Нет: это программа, которую написал человек; в компьютер она попадает с заражённым файлом, флешкой или по ссылке.
Программа, которая создаёт, хранит и подставляет уникальный сложный пароль для каждого сайта. Все они лежат зашифрованными, а доступ открывает один мастер-пароль. Решает главную проблему: человеку не запомнить десятки разных длинных паролей, а один пароль на всё — опасно. Мастер-пароль нельзя терять и нельзя делать слабым.
✗ «Хранить все пароли в одной программе опасно — украдут сразу все». Нет: менеджер держит их зашифрованными под одним мастер-паролем, и это надёжнее, чем один простой пароль на всех сайтах или список в заметках.
Выпуск новой версии программы: исправление ошибок, закрытие уязвимостей, новые возможности. Опаснее всего тянуть с обновлениями защиты: про найденную дыру быстро узнают взломщики, и необновлённые программы ломают массово. Обновляйся из официального источника; автообновление делает это без тебя.
✗ «Обновление — это только новые кнопки, его можно откладывать вечно». Нет: главное в обновлениях — исправление ошибок и закрытие дыр в защите; старая версия — открытая дверь для взлома.
Секретная строка, которой владелец подтверждает, что аккаунт открывает именно он. Надёжность зависит прежде всего от длины и уникальности; один пароль на все сайты — главная ошибка.
✗ «Сложный пароль — это непонятные символы». Длина и уникальность важнее хаотичности.
Любые сведения, по которым можно определить конкретного человека: ФИО, адрес, телефон, школа, фотографии. Опасно и сочетание мелочей: несколько безобидных постов складываются в точный портрет. Поэтому в открытом профиле публикуют минимум, а настройки приватности проверяют вместе с родителями.
✗ «Опасны только фамилия и адрес, а ник и фото — не персональные данные». Нет: тебя выдаёт сочетание мелочей — фото у школы, класс, имя в подписи.
Механизм защиты в телефоне и планшете: доступ к камере, микрофону, местоположению, контактам и файлам приложение получает только после твоего согласия. Правило минимума: разрешай лишь то, без чего приложение не работает. Запрос не по делу — повод насторожиться; ненужные разрешения отзываются в настройках.
✗ «Раз приложение просит доступ — значит, он ему нужен». Нет: приложения нередко просят больше, чем нужно для работы; фонарику незачем знать твои контакты и где ты находишься.
Режим, в котором браузер после закрытия окна не записывает на устройство историю, введённые пароли и временные данные сайтов, а стартует без уже сохранённых входов. Следы он прячет только локально: сам сайт, интернет-провайдер и школьная сеть видят твои запросы по-прежнему. Не защищает от слежки в сети.
✗ «В режиме инкогнито меня никто не видит в интернете». Нет: инкогнито лишь не сохраняет историю и данные сайтов на этом устройстве; сам сайт, интернет-провайдер и школьная сеть по-прежнему видят, куда ты заходишь.
Копия данных на отдельном носителе или в облаке, которую делают заранее и обновляют регулярно. Защищает от поломки диска, случайного удаления, вируса-шифровальщика и потери устройства. Копия в той же папке или на том же диске — не резервная: с оригиналом её погубит одна и та же беда.
✗ «Файл сохранён на компьютере — значит, он в безопасности». Нет: диск ломается, файл удаляется случайно или гибнет от вируса; спасает только копия в другом месте.
Обман человека вместо взлома техники: мошенник входит в доверие, пугает, торопит или притворяется сотрудником, чтобы жертва сама сообщила пароль, перевела деньги или открыла доступ. Фишинг — её частный случай через поддельные письма и сайты. Работает на эмоциях, поэтому антивирусом не лечится; защита — привычка проверять, кто и зачем просит.
✗ «Взлом — это всегда про программы и код». Нет: чаще обманывают не компьютер, а человека — уговаривают, пугают или торопят, чтобы он сам выдал пароль или нажал кнопку.
Массовая рассылка сообщений тем, кто её не запрашивал: реклама, обман, заражённые вложения. Почтовые сервисы отсеивают спам фильтром в отдельную папку, но часть писем прорывается. Правило: письма от незнакомцев не открывать, по ссылкам из них не переходить, вложения не запускать.
✗ «Спам — просто безобидная реклама». Нет: среди спама бывают обман и заражённые вложения, поэтому его не открывают из любопытства, а удаляют.
Выманивание паролей и данных через подделку: письмо или сайт копируют настоящие, а ссылка ведёт к мошеннику. Расчёт на спешку: «аккаунт заблокируют — войди сейчас!». Защита: проверять отправителя и адрес сайта, не входить по ссылкам из писем, а открывать нужный сайт самому.
✗ «Обман в письме сразу видно по ошибкам и кривому оформлению». Нет: фишинговые письма и сайты часто неотличимы от настоящих; проверяют отправителя и адрес, а не красоту.
Специалист, который исследует системы глубже инструкции и находит уязвимости — слабые места в защите. Дальше выбор: этичный хакер сообщает владельцу и помогает закрыть дыру, киберпреступник использует её для взлома и кражи. Взлом чужой системы без разрешения владельца — преступление, даже «из интереса».
✗ «Хакер — это всегда преступник». Нет: хакер — тот, кто глубоко разбирается в системах; одни ищут уязвимости, чтобы помочь их закрыть, — это законная профессия.
Преобразование данных по правилу с ключом: без ключа исходный текст не восстановить. Шифр Цезаря (сдвиг алфавита, ключ — величина сдвига) — учебный: он вскрывается перебором всех сдвигов. У настоящих шифров ключей столько, что перебор занял бы века. Шифрование защищает пароли и переписку на пути через интернет.
✗ «Шифрование нужно шпионам и тем, кому есть что скрывать». Нет: им ежедневно пользуется каждый — мессенджеры, банковские карты и сайты защищают твои данные шифрованием.