# Вопросы ``` 1. Как сделать пароль, который не смогут подобрать даже за 100 лет 2. Как распознать уловки хакера, который может скрываться под маской друга (копии сайтов, трояны и социальная инженерия) 3. Узнай как найти уязвимости в своем телефоне, через которые можно получить полный доступ к файлам ``` ### 1 В наши дни существует огромное количество веб-сайтов, и наверняка у вас есть учётные записи на многих из них. Скорее всего, ваши пароли либо продублированы для каждой учётной записи, либо созданы по определённому шаблону. С точки зрения безопасности это крайне неудовлетворительно, ведь человек, подобравший пароль к одному из ваших аккаунтов, подберёт его и к остальным. Отсюда выводится первое правило составления паролей - в идеале каждый ваш пароль должен быть уникальным. Он не должен повторяться ни на одном из каких-либо сервисов. Конечно, все пароли запомнить не так уж и легко. Здесь на помощь приходят различные менеджеры паролей, безопасно хранящие данные, зашифрованные одним надежным паролем. Второй не менее важный этап создания надежного пароля - использование символов различных регистров, цифр и спецсимволов. Таким образом уменьшается вероятность успешного перебора пароля (брутфорса), что значительно затрудняет его взлом. Также, если вы хотите создать действительно устойчивую парольную фразу, необходимо отказаться от использования каких-либо популярных комбинаций символов (к примеру, `qwerty`, `q1w2e3` и т.д.), слов или выражений. В идеальном пароле используется абсолютно случайный набор символов, не связанный какой-либо логикой, которую возможно предугадать. Последний (и самый важный) шаг - удостовериться в достаточной длине пароля. Как уже говорилось раньше, основным способом взлома паролей является их перебор или bruteforce. Перебирается каждый символ из общего набора (буквы верхнего и нижнего регистра, цифры, спецсиволы), постепенно увеличивая длину перебираемого значения. Если пароль будет действительно длинным (16 и больше символов) и состоять из обширного набора символов, даже за 100 лет перебрать его не представляется возможным ни на одном из самых мощных современных компьютеров. Это были наиболее важные этапы создания очень надежного пароля. Попробуйте сами создать пароль, соответствующий всем этим пунктам. * [https://password.kaspersky.com/ru/](https://password.kaspersky.com/ru/) * [http://www.onlinepasswordgenerator.ru/](http://www.onlinepasswordgenerator.ru/) ### 2 Фишинг – одна из старейших мошеннических практик, существующих в интернете. Она заключается в подмене настоящих веб-сайтов поддельными, которые имеют одинаковое оформление и даже схожий URL-адрес, что в свою очередь притупляет бдительность потенциальной жертвы. Цель фишинговых атак – изъять у обманутых пользователей учетные данные от их страниц в социальных сетях, банковских счетов и адресов электронной почты. Вот несколько простых советов, как обезопасить себя от подобных уловок: 1) Всегда внимательно проверяйте ссылку, по которой собираетесь кликнуть: не перепутаны ли буквы в названии сайта. Если с написанием что-то не так, это верный признак, что мошенники подсовывают вам поддельную страницу. 2) Перед тем как вводить логин и пароль, нужно проверить, защищено ли соединение. Если перед адресом сайта вы увидите префикс https (где «s» означает secure — безопасное), то все в порядке. 3) Даже если письмо или сообщение со ссылкой пришло от лучшего друга, все равно нужно помнить, что его тоже могли обмануть или взломать. Поэтому ведите себя не менее осторожно, чем при обращении со ссылками, пришедшими из неизвестного источника. 4) То же самое касается писем, отправленных из официальных инстанций и организаций: банков, налоговой, онлайн-магазинов, бюро путешествий, авиакомпаний и так далее. Даже с вашей работы. Не так уж трудно подделать официальное письмо настолько достоверно, что от реального его отличить будет очень сложно. 5) Иногда фальшивые письма и фальшивые сайты во всем повторяют дизайн настоящих. Качество подделки зависит от того, насколько хорошо преступники выполнили «домашнюю работу». А вот гиперссылки, скорее всего, будут неправильные — или с ошибками, или вообще будут ссылаться не туда. По этим признакам можно отличить фишинговое письмо от настоящего. 6) Вместо того чтобы кликать по ссылке, гораздо надежнее ввести адрес вручную в новом окне браузера. Следуя этому сценарию, вы не упустите шанс принять участие в акции или получить извещение из налоговой (если акция или извещение действительно есть) — и не попадетесь на удочку фишеров. 7) Обнаружив фишинговую операцию, крайне желательно сообщить о ней в банк (если письмо пришло от имени финансового учреждения) или в службу поддержки соцсети (если такие ссылки рассылает кто-то из пользователей) и так далее. Так вы поможете вовремя остановить мошенников. 8) По возможности не заходите в онлайн-банки и тому подобные сервисы через открытые Wi-Fi-сети в кафе или на улице. Лучше воспользоваться мобильным Интернетом или потерпеть, чем потерять все деньги на карте. Дело в том, что за таким Wi-Fi могут стоять мошенники, подменяющие адрес сайта на уровне подключения и перенаправляющие вас таким образом на поддельную страницу. 9) Файл, присланный товарищем по игре, с тем же успехом может оказаться трояном-шпионом или даже трояном-вымогателем, как и вложения к письмам и сообщениям. Будьте бдительны! Так же есть несколько сервисов облегчающих определение фишинговых сайтовЖ 1) [VirusTotal](https://www.virustotal.com/gui/home/url) 2) [Kaspersky](https://opentip.kaspersky.com/) 3) [ScanURL](https://scanurl.net/) 4) [Unmask Parasites](https://unmask.sucuri.net/) 5) [Unshorten.it](https://unshorten.it/) Так же, перед тем как запустить файл, скачанный из интернета, лучше всего проверить его антивирусом или одним из онлайн сканнеров нв подобии VirusTotal! В качестве небольшого задания, проверьте несколько ссылок и файлов на приведенных выше сервисах. ### 3 Как обычный пользователь смартфона может быть инфицирован вредоносным ПО? Особенно если это смартфон, к которому не часто подключают флешки и другое оборудование. Через различные фишинговые письма, СМС рассылки, пользователь может получить ПО, (например apk файл) с какой-либо рекламой продукта, или услуги. Злоумышленник может придумать стратегию, и посредством социальной инженерии заставить человека установить приложение, которое якобы может "предоставить скидку" на товар. Пользователь, думая что это легитимное, не опасное приложение, может установить его себе на телефон, в то время как злоумышленник получит полный доступ к устройству. Одна из таких возможностей, это сокрытие вредоносной нагрузки в обычном приложении, например с помощью [backdoor-apk](https://github.com/dana-at-cp/backdoor-apk). Также, злоумышленник может и не полагататься на уровень осведомленности пользователей, и воспользоваться какой-либо уязвимостью в ПО смартфона. Например, такие известные уязвимости как Stagefright, BlueBorne, WebView могут быть проэксплуатированы без участия пользователя. Если вы получили вредоносную ссылку, или файл, вы всегда можете воспользоваться [VirusTotal](https://www.virustotal.com/gui/) для проверки apk файла или URL. В последнее время проблема остутствия патчей от производителей смартфонов оказывает большое влияние на поддержку и безопасность наших мобильных устройств. Как проверить, действительно ли наши Android устройства настолько безопасны, как сообщает нам об этом их производитель? Сделать это вы можете с помощью специального приложения SnoopSnitch. Для этого: 1) Установите [SnoopSnitch](https://play.google.com/store/apps/details?id=de.srlabs.snoopsnitch) с Google Play Маркет. 2) Убедитесь что ваше устройство подключено к интернету, запустите приложение и выберите пункт«Android Patch Level Analysis». 3) В открывшемся окне нажмите на кнопку «Start test», дождитесь окончания проверки и ознакомьтесь с её результатами. Нажав на кнопку с датой вы можете увидеть подробности о конкретном патче. Зеленым цветом в результатах отмечены наличия исправлений. Красным — отсутствие патчей, оранжевым — завышенный заявленный уровень патча, синим — неполное соответствие результатов теста, серым — неэффективные. Попробуйте сами, и убедитесь, что утилита найдет у вас уязвимости!