Якщо ви залишили мене наодинці з вашим комп‘ютером, це вже не ваш комп‘ютер

Ось чому спеціалісти з кібербезпеки змушують вас шифрувати жорсткі диски та не залишати лептопи там, де ви їх не можете бачити. Атака типу «evil maid» (зла покоївка) це сувора реальність, хоча здійснює її скоріше не персонал готелів, а працівники занадто цікавих спецслужб та інші збоченці.

Ось чому спеціалісти з кібербезпеки змушують вас шифрувати жорсткі диски та не залишати лептопи там, де ви їх не можете бачити. Атака типу «evil maid» (зла покоївка) це сувора реальність, хоча здійснює її скоріше не персонал готелів, а працівники занадто цікавих спецслужб та інші збоченці.

Звісно, що в нормальному режимі використання ноутбуків хвилини вашого розставання нечисленні. Виключення складають ті з нас, хто часто подорожує у справах. Якщо ви згадаєте типову сучасну мандрівку, то зможете легко уявити близько 10 разів коли різні незнайомці можуть отримати неконтрольований доступ до вашого лептопу ще до поселення в готель в місті прибуття.

Історія фізичних атак на сучасні комп’ютери цікава та повна технічних деталей. Якщо дуже спрощувати, є така технологія, Direct Memory Access (DMA). Назва в неї буквальна: вона реалізує доступ зовнішнього пристрою до пам’яті комп’ютера напряму – оминаючи втручання центрального процесора. Це суттєво прискорює роботу системи та, як це буває у разі різкого підвищення продуктивності, створює колосальну ваду безпеки.

Читачі, знайомі з базовими принципами побудови безпечних систем, можуть побачити в цій фічі пряме порушення принципу повної медіації. Щоб у системі була безпека, її треба десь розмістити. Чесно, треба визначити якесь місце (монітор посилань або Reference Monitor), через яке будуть проходити всі стосунки між суб‘єктами (користувачі, процеси, пристрої тощо) та об‘єктами (файли, дані, інші пристрої) системи, та застосувати в ньому політику безпеки – чіткі правила, які змушують систему працювати безпечно.

Це може здаватися непростим завданням, – так і є. А те, що вийде, буде жахливо гальмувати та знижувати продуктивність та зручність. В цьому легко переконатися: в перших рядках пошукової видачі по запиту «Kernel DMA Protection» не лише посилання на опис цієї функції, а й докладні інструкції з її вимкнення. Баланс між безпекою та зручністю – надзвичайно складна інженерна задача, яка здійснюється згідно з іншим принципом безпечної архітектури – принципом психологічної прийнятності (Psychological Acceptability). Але це вже інша історія.

Підсумовуючи, це дуже гарний приклад, як «зрізаючи навпростець», ми можемо забити на важливі та принципові речі та наразити себе на небезпеку. В цьому випадку мова йде про персональні комп‘ютери, сконструйовані до 2019 року, коли з‘явилася технологія Kernel DMA Protection. Докладніше про нову атаку Thunderspy можна прочитати в матеріалі Wired.

Які заходи безпеки можна порекомендувати для захисту лептопів від атак «фізичної близькості»? Поряд із придбанням сучаснішого пристрою з підтримкою Kernel DMA Protection, можу порадити налаштувати систему для повної гібернації під час неактивності та запит автентифікації перед продовженням роботи. Звісно, що із застосуванням повного шифрування диску. Користувачі macOS можуть також поекспериментувати із програмою Do Not Disturb, яка зв’язує ваші макбук та смартфон і надає вам змогу отримувати на телефон повідомлення, коли хтось намагається скористатись вашим ноутбуком. В програми є функція фотографування потенційного нападника, яка не раз покращить настрій вам та вашим близьким.

Бережіться.

Залишити коментар