28 KiB
title, icon, description
| title | icon | description |
|---|---|---|
| Выбор оборудования | material/chip | Программное обеспечение — не единственное, что имеет значение; узнайте об аппаратных инструментах, которые вы используете каждый день для защиты своей приватности. |
Когда речь заходит о приватности, аппаратное обеспечение часто обсуждается не так активно, как программное обеспечение, которое мы используем. Ваше аппаратное обеспечение следует рассматривать как фундамент, на котором вы строите остальную часть вашей системы обеспечения приватности.
Выбор компьютера
Внутренние компоненты ваших устройств обрабатывают и хранят все ваши цифровые данные. Важно, чтобы все устройства поддерживались производителем и разработчиками, продолжая получать обновления безопасности.
Программы аппаратной безопасности
Некоторые устройства имеют "программу аппаратной безопасности", которая представляет собой сотрудничество между поставщиками в области лучших практик и рекомендаций при проектировании аппаратного обеспечения, например:
- Windows Secured-core PC соответствуют более высоким критериям безопасности, определенным Microsoft. Эти защитные меры применимы не только для пользователей Windows; пользователи других операционных систем также могут воспользоваться такими функциями, как защита от DMA и возможность полностью не доверять сертификатам Microsoft.
- Android Ready SE — это сотрудничество между поставщиками для обеспечения того, чтобы их устройства следовали лучшим практикам и включали защищённое от взлома аппаратное хранилище для таких вещей, как ключи шифрования.
- macOS, работающая на процессорах Apple SoC, использует аппаратную безопасность, которая может быть недоступна при использовании сторонних операционных систем.
- Безопасность ChromeOS наиболее эффективна при работе на Chromebook, так как она может использовать доступные аппаратные функции, такие как аппаратный корень доверия.
Даже если вы не используете эти операционные системы, участие в этих программах может указывать на то, что производитель следует лучшим практикам в области аппаратной безопасности и обновлений.
Предустановленная ОС
Новые компьютеры почти всегда поставляются с предустановленной Windows, если вы не покупаете Mac или специализированную машину с Linux. Обычно рекомендуется очистить диск и установить свежую копию выбранной вами операционной системы, даже если это означает просто переустановку Windows с нуля. Из-за соглашений между производителями оборудования и сомнительными поставщиками программного обеспечения, стандартная установка Windows часто поставляется с предустановленным ПО-мусором, рекламным ПО или даже вредоносным ПО.
Обновления прошивки
В аппаратном обеспечении часто обнаруживаются проблемы безопасности, которые исправляются через обновления прошивки.
Почти каждый компонент вашего компьютера требует прошивки для работы, от материнской платы до устройств хранения данных. Желательно, чтобы все компоненты вашего устройства полностью поддерживались. Устройства Apple, Chromebook, большинство телефонов Android и устройства Microsoft Surface автоматически обрабатывают обновления прошивки, пока устройство поддерживается.
Если вы собираете ПК самостоятельно, вам может потребоваться вручную обновлять прошивку материнской платы, загружая её с сайта производителя. Если вы используете Linux, рассмотрите возможность использования встроенного инструмента fwupd, который позволяет проверять наличие и применять доступные обновления прошивки для вашей материнской платы.
TPM/Защищенный криптопроцессор
Большинство компьютеров и телефонов оснащены TPM (или аналогичным защищённым криптопроцессором), который безопасно хранит ваши ключи шифрования и выполняет другие функции, связанные с безопасностью. Если вы используете устройство без такого компонента, вам может быть полезно приобрести более новый компьютер с этой функцией. Некоторые настольные и серверные материнские платы имеют "разъём TPM", который может принимать небольшую дополнительную плату, содержащую TPM.
Примечание
Виртуальные TPM подвержены атакам по побочным каналам, а внешние TPM, вследствие отдельного размещения от CPU на материнской плате, уязвимы для перехвата, когда злоумышленник имеет физический доступ к оборудованию. Решением этой проблемы является включение защищенного процессора внутрь самого CPU, как в случае с чипами Apple и Pluton от Microsoft.
Биометрия
Многие устройства оснащены сканером отпечатков пальцев или возможностями распознавания лица. Это может быть очень удобно, но они не идеальны и иногда дают сбои. Большинство устройств в таких случаях возвращаются к использованию PIN-кода или пароля, что означает, что безопасность ваших устройств по-прежнему зависит от надежности вашего пароля.
Биометрические данные могут предотвратить ситуацию, когда кто-то наблюдает за вводом вашего пароля, поэтому если подглядывание является частью вашей модели угроз, биометрические данные — хороший вариант.
Большинство реализаций аутентификации по лицу требуют, чтобы вы смотрели на телефон, и работают только с относительно близкого расстояния, поэтому вам не нужно сильно беспокоиться о том, что кто-то направит ваш телефон на ваше лицо для разблокировки без вашего согласия. При желании вы все равно можете отключить биометрию, когда ваш телефон заблокирован. На iOS вы можете удерживать боковую кнопку и кнопку громкости в течение 3 секунд, чтобы отключить Face ID на поддерживаемых моделях. На Android удерживайте кнопку питания и нажмите "Блокировка" в меню.
Предупреждение
Некоторые устройства не имеют подходящего оборудования для безопасной аутентификации по лицу. Существуют два основных типа аутентификации по лицу: 2D и 3D. 3D-аутентификация по лицу использует проектор точек, который позволяет устройству создавать трехмерную карту глубины вашего лица. Убедитесь, что ваше устройство обладает этой возможностью.
Android определяет три класса безопасности для биометрии; вам следует проверить, что ваше устройство относится к классу 3, прежде чем включать биометрию.
Шифрование устройства
Если ваше устройство зашифровано, ваши данные наиболее защищены, когда устройство полностью выключено (в отличие от просто спящего режима), то есть до того, как вы введёте ключ шифрования или пароль экрана блокировки в первый раз. На телефонах это состояние повышенной безопасности называется "До первой разблокировки" (BFU) и "После первой разблокировки" (AFU) после ввода правильного пароля после перезагрузки/включения. AFU значительно менее безопасно против инструментов цифровой криминалистики и других эксплойтов по сравнению с BFU. Поэтому, в случае опасений о физическом доступе злоумышленника к устройству, рекомендуется полностью выключать технику в период неиспользования.
Это может быть непрактично, поэтому оцените, стоит ли это того, но в любом случае даже режим AFU эффективен против большинства угроз при использовании надёжного ключа шифрования.
Внешнее оборудование
Некоторые угрозы невозможно предотвратить только с помощью внутренних компонентов. Многие из этих вариантов весьма ситуативны; пожалуйста, оцените, действительно ли они необходимы для вашей модели угроз.
Аппаратные ключи безопасности
Аппаратные ключи — это устройства, использующие сильную криптографию для аутентификации вас на устройстве или в учетной записи. Идея заключается в том, что благодаря невозможности копирования, данные ключи могут служить для защиты учётных записей, обеспечивая доступ только при физическом наличии устройства, что предотвращает множество удаленных атак.
Рекомендуемые аппаратные ключи :material-arrow-right-drop-circle:{ .md-button .md-button--primary } Узнайте больше об аппаратных ключах :material-arrow-right-drop-circle:{ .md-button }
Камера/микрофон
Если вы не хотите полагаться на контроль разрешений вашей ОС для предотвращения активации камеры, вы можете приобрести блокираторы камеры, которые физически препятствуют попаданию света на камеру. Вы также можете приобрести устройство без встроенной камеры и использовать внешнюю камеру, которую можно отключать, когда вы закончили ее использование. Некоторые устройства поставляются со встроенными блокираторами камеры или аппаратными переключателями, которые физически отключают камеру от питания.
Предупреждение
Вам следует покупать только крышки, которые подходят к вашему ноутбуку и не вызовут повреждений при закрытии крышки. Закрытие камеры будет мешать функциям автоматической регулировки яркости и аутентификации по лицу.
Для доступа к микрофону в большинстве случаев вам придётся положиться на встроенные в ОС средства контроля разрешений. В качестве альтернативы, приобретите устройство без встроенного микрофона и используйте внешний микрофон, который вы можете отключать после использования. Некоторые устройства, такие как MacBook или iPad,, имеют функцию аппаратного отключения микрофона при закрытии крышки.
Многие компьютеры имеют опцию в BIOS для отключения камеры и микрофона. При отключении на этом уровне оборудование даже не будет отображаться как устройство в загруженной системе.
Защитные экраны приватности
Защитные экраны приватности — это плёнка, которую можно наложить на обычный экран, чтобы он был виден только под определенным углом. Это полезно, если ваша модель угроз включает подглядывание за вашим экраном со стороны других людей, но это не является полностью надежным, так как любой может просто переместиться под другой угол обзора и увидеть, что на вашем экране.
Системы безопасности "мёртвая рука"
Система безопасности "мёртвая рука" останавливает работу механизма при отсутствии человека-оператора. Первоначально эти устройства разрабатывались как мера безопасности, но та же концепция может быть применена к электронному устройству для его блокировки, когда вас нет рядом.
Некоторые ноутбуки способны определять ваше присутствие и могут автоматически блокироваться, когда вы не сидите перед экраном. Вам следует проверить настройки вашей ОС, чтобы узнать, поддерживает ли ваш компьютер эту функцию.
Вы также можете приобрести кабели, такие как BusKill, которые заблокируют или очистят ваш компьютер при отсоединении кабеля.
Защита от перехвата/атаки "злой горничной"
Лучший способ предотвратить целенаправленную атаку против вас до того, как устройство окажется в вашем распоряжении, — это приобрести устройство в физическом магазине, а не заказывать его на ваш адрес.
Убедитесь, что ваше устройство поддерживает безопасную загрузку/проверенную загрузку, и включите эту функцию. Старайтесь не оставлять устройство без присмотра, когда это возможно.
Замки Kensington
Многие ноутбуки оснащены слотом Kensington, который может использоваться для защиты вашего устройства с помощью металлического троса, который фиксируется в слоте на вашем устройстве. Эти замки могут быть кодовыми или с ключом.
Как и все замки, замки Kensington уязвимы для физических атак, поэтому вам следует использовать их в основном для предотвращения мелких краж. Вы можете защитить свой ноутбук дома или даже в общественных местах, используя ножку стола или что-то, что не будет легко перемещаться.
Защитите свою сеть
Компартментализация
Существует множество решений, позволяющих разделять то, что вы делаете на компьютере, таких как виртуальные машины и песочницы. Однако лучшая компартментализация — это физическое разделение. Это особенно полезно в ситуациях, когда определенное программное обеспечение требует от вас обхода функций безопасности вашей ОС, например, с анти-чит программным обеспечением, поставляемым со многими играми.
Для игр может быть полезно выделить одну машину как вашу "игровую" и использовать ее только для этой задачи. Держите ее в отдельной VLAN. Это может потребовать использования управляемого коммутатора и маршрутизатора, поддерживающего сегрегированные сети.
Большинство потребительских маршрутизаторов позволяют сделать это, включив отдельную "гостевую" сеть, которая не может взаимодействовать с вашей основной сетью. Все недоверенные устройства можно поместить сюда, включая устройства IoT, такие, как ваш умный холодильник, термостат, телевизор и т.д.
Минимализм
Как гласит поговорка, "меньше значит больше". Чем меньше устройств подключено к вашей сети, тем меньше потенциальная поверхность атаки и тем меньше работы потребуется, чтобы убедиться, что все они остаются в актуальном состоянии.
Вы можете найти полезным обойти свой дом и составить список каждого подключенного устройства, чтобы отслеживать их.
Маршрутизаторы
Ваш маршрутизатор обрабатывает весь сетевой трафик и действует как первая линия защиты между вами и открытым интернетом.
Примечание
Многие маршрутизаторы поставляются с хранилищем для размещения ваших файлов, чтобы вы могли получить к ним доступ с любого компьютера в вашей сети. Мы рекомендуем не использовать сетевые устройства для целей, отличных от сетевых. В случае компрометации вашего маршрутизатора, ваши файлы также будут скомпрометированы.
Самое важное, о чем следует думать в отношении маршрутизаторов — это поддержание их в актуальном состоянии. Многие современные маршрутизаторы автоматически устанавливают обновления, но многие другие этого не делают. Вам следует проверить наличие этой опции на странице настроек вашего маршрутизатора. Доступ к этой странице обычно можно получить, введя 192.168.1.1 или 192.168.0.1 в адресную строку любого браузера, при условии, что вы находитесь в той же сети. Вы также можете проверить в настройках сети вашей ОС "маршрутизатор" или "шлюз".
Если ваш маршрутизатор не поддерживает автоматические обновления, вам придётся перейти на сайт производителя, чтобы загрузить обновления и применить их вручную.
Многие маршрутизаторы потребительского класса не поддерживаются в течение длительного времени. Если ваш маршрутизатор больше не поддерживается производителем, вы можете проверить, поддерживается ли он FOSS прошивками. Вы также можете приобрести маршрутизаторы, которые поставляются с предустановленной FOSS прошивкой; они, как правило, поддерживаются дольше, чем большинство маршрутизаторов.
Некоторые интернет-провайдеры предоставляют комбинированный маршрутизатор/модем. Для безопасности может быть полезно приобрести отдельный маршрутизатор и перевести маршрутизатор/модем вашего провайдера в режим "только модем". Таким образом, даже когда ваш маршрутизатор, предоставленный провайдером, больше не получает обновления, вы все равно можете получать обновления безопасности и патчи. Это также означает, что любые проблемы, затрагивающие ваш модем, не повлияют на ваш маршрутизатор, и наоборот.