■ Правильно ли вы скрыли персональные данные на изображении? Инструменты наподобие «Разметки» в iOS-устройствах позволяют перед пересылкой фотографии оперативно нанести черные штрихи на те ее части, которые вы хотите скрыть. Это удобно, но если получатель поэкспериментирует с яркостью и контрастностью, то сможет сделать нанесенные маркером штрихи полупрозрачными и увидеть скрытое изображение. То же касается многослойных изображений, например в формате PNG, где фрагмент с конфиденциальной информацией скрыт: посторонний человек сможет его отобразить в редакторе. Если же вы используете пикселизацию или иное искажение изображения, убедитесь, что его нельзя распознать, изменив масштаб или произведя обратное искажение (например, закручивание в обратную сторону). Такие программы, как Paint для ОС Windows, позволяют вырезать и стирать любые участки изображения.
Выполняйте обработку в графическом редакторе, позволяющем необратимо отсечь или окрасить фрагменты изображения. Сохраняйте изображение в формате без слоев, например JPEG, предварительно удалив метаданные (среди них может храниться версия изображения до обработки!)[519].
■ Способна ли публикация вашей фотографии навредить другим людям? Защищайте чужую приватность: не публикуйте фотопортреты людей без их ведома. Кроме того, так вы избежите возможных претензий и даже преследований со стороны тех, кому не нравится публикация их фотоизображений.
■ Знаете ли вы человека, который вступает с вами в переписку (например, в социальной сети или в мессенджере типа Skype) и просит ваши фотографии или видео? Если пользователь вам незнаком, никогда нельзя передавать ему какие-либо данные о себе, в том числе фотографии и видеозаписи. Очень вероятно, что это злоумышленник, пытающийся методами социальной инженерии выудить у вас личные сведения, а затем шантажировать вас, угрожая опубликовать их в открытом доступе.
■ Вы уверены, что злоумышленники не подглядывают за вами с помощью камеры вашего устройства и не имеют доступа к вашим фотографиям? Особенно вопрос актуален для публичных людей, на которых могут быть нацелены атаки злоумышленников. Если вы известная персона, можно задать несколько дополнительных вопросов:
○ Защищены ли надежным паролем ваши устройства, имеющие функцию фото/видеозаписи? Сменили ли вы дефолтные учетные записи, пароли и логины на IoT-устройствах, таких как веб-камеры, телевизоры, игровые консоли? Установлены ли надежные пароли на смартфонах и компьютерах, нет ли доступа к ним у посторонних?
○ Заблокирован ли доступ к устройству через потенциально уязвимые порты и протоколы, такие как Telnet? Следует отключить и/или заблокировать функции видео– и аудиозаписи, если они не используются. Инструкции по отключению/включению портов и функций приведены в прилагаемых к устройству руководствах пользователя (в электронном виде руководства доступны также на сайте производителя). Возможно, стоит задуматься о приобретении нового устройства, лучше защищенного от несанкционированного доступа.
○ Обновлены ли прошивки и программное обеспечение компьютеров и прочих устройств, имеющих доступ в интернет?[520] Особое внимание следует уделить шлюзу – устройству (например, маршрутизатору), через которое все остальные девайсы в вашем доме получают доступ в интернет. Получив к нему доступ, злоумышленник сможет влиять на все устройства в вашей домашней (локальной) сети, например сети Wi-Fi.
○ Необходим ли установленным на вашем устройстве приложениям и службам доступ к микрофону, камере и галерее изображений? Проверьте, какие приложения имеют доступ к фотографиям, микрофону и камере, причем не только на мобильных устройствах (Android: https://support.google.com/googleplay/answer/6270602?hl=ru, iOS: https://support.apple.com/ru-ru/guide/iphone/welcome/ios (раздел «Конфиденциальность»)), но и на компьютере (инструкция: https://club.esetnod32.ru/articles/analitika/glaz-da-glaz/).
Кроме того, можно установить специальное антивирусное программное обеспечение, способное контролировать безопасность устройства и уведомлять пользователя о том, какие приложения запрашивают разрешения на доступ к камере и пр. (подробнее – в разделе «Антивирусное программное обеспечение»).
○ Действительно ли отключена камера, когда не используется? Злоумышленники могут получать доступ к камере устройства с помощью вредоносного программного обеспечения, используя уязвимости в прошивке/драйвере камеры или эксплуатируя недостаточно надежную защиту (слабые пароли и т. п.). Имеет смысл полностью отключить камеру, если вы ее не используете, например на ноутбуке (индикатор камеры не всегда сигнализирует о том, что камера работает; по некоторым данным, злоумышленники могут подавать напряжение на камеру импульсами, чтобы светодиод не успевал загораться[521]). Программно это можно сделать с помощью диспетчера устройств (Windows) или специальных команд, описанных на странице https://appleinsider.ru/macbook-pro/kak-polnostyu-otklyuchit-veb-kameru-na-mac.html, если вы владелец компьютера Mac. Следует учесть, что данный метод не может гарантировать 100 %-ную защиту от несанкционированного удаленного доступа к камере, поэтому наиболее надежный способ – физически отключить отдельную веб-камеру от порта компьютера либо заклеить объектив встроенной камеры непрозрачным скотчем (или использовать специальные шторки). Этот способ может показаться параноидальным, но именно его нередко используют сотрудники государственных, в том числе военных ведомств, например Джеймс Коми, бывший директор ФБР США; так же поступает и Марк Цукерберг, владелец компании Meta[522].
Также следует задуматься: должны ли быть ваши IoT-девайсы постоянно подключены к интернету? Например, если вы смотрите по телевизору только эфирные каналы или запускаете на консоли игры и не пользуетесь сетевыми функциями – отключение таких устройств от интернета (и подключение при необходимости, например для обновления прошивки) гарантирует их защиту от нежелательного доступа. Особенно это важно для устройств, оборудованных камерой.
■ Вы уверены, что злоумышленники не подглядывают за вами с помощью камер видеонаблюдения? Внимательно проверяйте, нет ли видеокамер в посещаемых вами помещениях. Это могут быть и явно видимые камеры, размещенные службой безопасности, например, медицинского центра, и скрытые, установленные злоумышленниками в примерочных, соляриях, саунах, публичных домах, санузлах и т. п. Требуйте от персонала отключения видимых камер, если видеосъемка приводит к утечке ваших персональных данных или вы планируете проводить интимные процедуры. В случае обнаружения инструментов скрытого наблюдения следует оповестить персонал учреждения и правоохранительные органы. Крошечные устройства видео– и аудионаблюдения может быть очень сложно обнаружить. Кроме того, они могут быть лишены проводов и оборудованы собственными аккумуляторами и беспроводными технологиями передачи данных, например через Bluetooth или Wi-Fi. За некоторыми исключениями, обычно видеоустройства располагают на высоте для охвата камерой как можно большего пространства. Камеры могут встраивать, к примеру, в дымоуловители, электророзетки или телевизоры[523].
■ Получит ли злоумышленник доступ к вашим личным фотографиям и другим данным, если украдет ваше устройство? Данный вопрос касается не только мобильных устройств, таких как смартфоны, планшеты, фотоаппараты, видеокамеры или ноутбуки, но и стационарных компьютеров и средств хранения данных (внешних жестких дисков, flash-накопителей, SD-карт или оптических дисков), которые могут быть украдены. Любые устройства, где хранятся конфиденциальные сведения, следует защищать многофакторными методами аутентификации, сложными паролями, шифрованием (это касается жестких дисков в компьютерах), а также функциями дистанционной блокировки/уничтожения информации, например «Локатор» или «Найти iPhone» в iOS, «Найти устройство» в Android или «Поиск устройства» в Windows.
На мобильных устройствах, особенно если велика вероятность их кражи, не следует хранить фотографии и личные данные, которые не должны попасть в чужие руки. Периодически следует переписывать такие данные на более защищенные устройства, хранящиеся дома, – стационарные и прочие. То же касается карт памяти и прочих носителей в фото– и видеокамерах. После того как вы скопировали особо важную информацию с отдельного или находящегося в камере накопителя, отформатируйте его (используйте полное форматирование вместо быстрого – в таком случае злоумышленник в большинстве случаев не сможет восстановить информацию, если завладеет накопителем или устройством). Более подробно о предотвращении несанкционированного доступа к информации в памяти устройств или на накопителях мы поговорим в главе, посвященной компьютерам.
■ Безопасна ли «умная» игрушка для ребенка? Помните, что многие «продвинутые» игрушки – Hello Kitty, Hello Barbie, My Friend Cayla и т. п. – уязвимы. С их помощью злоумышленники могут не только следить за вашим ребенком, но и общаться с ним и выуживать необходимую им информацию. Стоит ли вообще покупать игрушку, которая подключается к интернету?
Если да, то выясните, какую информацию собирает игрушка. Это может быть: имя ребенка, фамилия, дата рождения, адрес, имена родителей или братьев/сестер, данные о геопозиции. В крайнем случае можно указать недостоверные данные.
Можно ли поменять настройки безопасности устройства – установить более сложный пароль, скрывать персональные данные и т. п.?
Надежно ли защищены каналы связи между игрушкой и устройством, где установлено связанное с ней приложение, с одной стороны, и сервером разработчика – с другой, если тот собирает персональные данные?