Автор: Vlad Styran

Безпечні програми для дистанційної роботи

Переходите в дистанційний режим? Вітаю у клюбі. Чесно кажучи, Бережа зовсім нещодавно (десь 2 роки тому) почала використовувати офісне приміщення, до того часу ми працювали хто звідки. І ось третій тиждень як повернулися до “домашнього” формату.

Не буду нависати з порадами, як реорганізувати процеси, бо наша модель консалтингової фірми то штука екзотична і не на всі бізнеси налазить. Натомість, поділюся порадами, які безпечні інструменти варто використовувати. Все з власного досвіду, тому не претендую на істину в останній інстанції та буду радий додатковим порадам в коментах.

Всі наведені нижче варіанти пройшли п’ятирічну еволюцію. В ретроспективі виглядає, що критерії природного відбору були такі:

  • відносна безпека дизайну;
  • непогана репутація;
  • широка доступність на різних платформах.

Отже, по черзі.

1. VoIP та віртуальні мітинги

Це найважливіше і тут треба усвідомлювати: Телеграми, Скайпи та інші Вайбери – це не засоби для захищеного спілкування. З іншого боку, Рікошети та Ретрошари – протилежна крайність, в якій подекуди немає навіть базової функціональності. Тому:

  • Конфіденційні перемовини всередині команди: Wire
  • Синк-коли, стендапи та решта напів-секретних тем: Google Meet
  • Вебінари та інші “відкриті” дзвінки: Zoom

2. Чати та месенджери

Тут важливо для себе вирішити, що у вас в пріоритеті: безпека, чи зручність. Якщо у вас є змога поставити безпеку вище (в мене вона є) то жодні Слаки чи Тімзи для роботи у вас не використовуватимуться. Отже:

  • Робочі питання: для груп Keybase
  • Приватне спілкування між собою та з зовнішнім світом: Signal
  • Операційний смітник для логів, нотифікацій, ботів, алертів тощо: Slack

3. Файли та шари

Якщо роль email у вашому житті можна якось обмежити, то з файлами поки що це не працює. Доводиться працювати в MS Office, як не крути. Але принаймні ви можете шифрувати їх end-to-end та зберігати в захищеному криптографією стані.

  • Boxcryptor згори чого завгодно (Dropbox, Google Drive, OneDrive)
  • Whisply Links (built-in) для передачі файлів назовні. А краще той самий Signal.

4. VPN

Специфіка роботи пентестерів та спеціалістів з Application Security вимагає того, щоб клієнт завжди знав “звідки нас чекати”. Інакше, декілька разів на день доведеться відповідати на питання “це не ви?” Ні, не ми. Ось ми: список IP вихідних точок, на яких розташовані наші джамп-хости та сервери VPN.

Звісно, що деколи доводиться використовувати інструменти, які не просто не є захищеними, а навпаки. Зв’язок з зовнішнім світом буває важливіший за рівень захисту, тому Google Meet та Zoom важко викреслити з життя. Проте не варто забувати, що у програмах, які не створювалися для зберігання та передачі даних у захищений спосіб, не варто зберігати та передавати дані, які потребують захисту. Тут хочеться підкреслити, що електронна пошта не є і ніколи не була засобом конфіденційного спілкування, так само як і мобільний та дротовий телефонний зв’язок.

Використання захищених каналів може створити на початку певні незручності колезі старшого віку або необізнаному клієнту чи партнеру. Але згодом вони будуть вам вдячні за слушну пораду та почнуть змінювати й інші свої звички в бік приватності та безпеки.

P.S. Звісно ж, скрізь бекапи та 2FA. Але це вже зовсім інша історія.

Бережіться.

COVID-19 як приклад “чорного лебедя” та відгук про книжку Range by David Epstein

Цей новий коронавірус – ідеальний приклад “чорного лебедя”. То може варто дослухатися до експерта з чорних лебедів?

Ethics of Precaution

Взагалі, вибачте мій цинізм, та я поки що від цієї пандемії бачу більше плюсів, ніж мінусів.

Скоріш за все, цей вірус не призведе до нашого вимирання. Та дасть зрозуміти, що на нас чекає в разі винайдення… ой вибачте, виникнення вірусу, схожого за темпами поширення, але зі смертністю, скажімо, як в Еболи.

На прикладі цієї пандемії ми маємо шанси навчитися та привчитися реагувати на більш загрозливі пандемії майбутнього. Уряди мають усвідомити, що “немає книжки як працювати під час коронавірусу” це галіма відмазка. А організаціям варто нарешті навчитися використовувати сучасні технології для забезпечення продуктивної дистанційної роботи. Тому що, якщо в невідворотності якоїсь з загроз можна бути впевненими, то це вона.

Range book cover
This pic is clickable.

Особисто я зробив цікавий висновок: під час системної кризи треба слухати не політиків та не експертів в предметній області. Набагато практичніше дослухатися до соціологів, спеціалістів з аналізу даних та “інтеграторів” або так званих “лис”. На відміну від “їжаків”, які поглиблюють експертизу в одному напрямку та стають справжніми асами у своїй спеціалізації, “лиси” утримують в полі зору якомога ширшу сферу знань, що простягається над десятками спеціалізацій, але заглиблюються лише в одну. Таким чином, маючи поглиблені знання, скажімо, в нейробіології чи безпеці програмного забезпечення, “лис” буде цікавитися історією, мистецтвом, прикладною психологією, нумізматикою доколумбової Америки та перебігом австралійського чемпіонату з регбі. У цей спосіб, “лис” матиме всі напрацювання та метанавчики експерта в певній галузі, та матиме змогу творчо екстраполювати їх на десяток інших сфер.

Щось я трохи заглибився, тому давайте вважатимемо цей пост рецензією на книжку, яку я прочитав нещодавно. Цінність цих ідей важко переоцінити і я дуже шкодую, що не зустрів щось подібне у 25-30 років. До речі, часу в нас тепер на читання має бути трохи більше, тому готуйтеся до збільшення кількості книжкових відгуків в цьому блозі.

Що вам треба знати про коронавірус

За час від написання першого посту про COVID-19 я спробував розібратися в джерелах та перспективах пандемії. Деякі знахідки я опублікував у Facebook та Telegram, але тут наведу лише короткий дайджест та найкращі джерела, які мені вдалося знайти. Все англійською, пробачте.

За час від написання першого посту про COVID-19 я спробував розібратися в джерелах та перспективах пандемії. Деякі знахідки я опублікував у Facebook та Telegram, але тут наведу лише короткий дайджест та найкращі джерела, які мені вдалося знайти. Все англійською, пробачте.

Ось цей пост на Медіумі регулярно оновлюється та містить дуже багато зрозумілої аналітики відомих наразі даних, а також досить резонні прогнози.

Вплив коронавірусу на популяцію

Ці подкасти Сема Харріса містять дуже багато роз’яснень. Вам навряд чи вдасться змінити думку когось, хто “не розуміє хайпу”, але самим розібратися буде цілком можливо.

Все це дуже цікаво, але що конкретно робити? Головна задача кожного: заразитися якомога пізніше. Віруси еволюціонують в бік зниження летальності. Чім пізніше ви отримаєте вірус, тим більше він послабиться в організмах попередніх носіїв. Таким чином ви зробите свій внесок у відтермінування піку епідемії та зниження навантаження на систему охорони здоров‘я.

Як цього досягти? Досить просто.

  1. Мінімум фізичного контакту. Жодних обійм чи рукостискань. На наступні декілька місяців це – нова норма ввічливості.
  2. Мінімум соціальної активності. Зустрічі, концерти, очне навчання, робота в офісі – все це підсилювачі епідемії. Ці слова вимагають тимчасового виключення з нашого лексикону.
  3. Підсилені правила гігієни. Миття рук декілька разів на день. Табу на торкання обличчя, рота, носа, очей.

Які в нас перспективи? Все не дуже оптимістично, але й не фатально.

  1. Скоріш за все, COVID-19 перехворіє в районі 75% населення Землі.
  2. Приблизно 80% перенесуть його в легкій формі – не складніше за грип.
  3. 13-15% вимагатимуть госпіталізації.
  4. 1-3% вимагатимуть інтенсивної терапії, штучної вентиляції, медичної коми тощо.
  5. Рівень смертності складе від долі відсотка до 4-5%. Конкретна цифра залежить від того, наскільки крутою буде епідемічна крива. Тобто, від нас з вами.
  6. Найоптимістичніша дата готовності вакцини – перший квартал 2021. Дата її надходження комусь поза зоною ризику – кінець 2021.

Особисто я сподіваюся, що це лише попередження. Постріл у повітря, яким планета дає нам команду підготуватися до тотальної пандемії, яка ще чекає на нас у майбутньому. Глобалізація та розвиток науки неодмінно призведуть до чогось дійсно катастрофічного. Сподіваюся, цей коронавірус навчить нас протидіяти вчасно та дієво. А не так, як зараз.

Час покаже. Бережіться.

Знову про сертифікати

Другий день зачитуюсь в Kostiantyn Korsun в коментах, як люди без жодного професійного сертифіката з кібербезпеки дискутують про їхню потрібність чи непотрібність. Чесно, думав що ці часи в минулому, але ніколи не кажи ніколи. Тому спробую пояснити свою позицію, яку я напрацював у глобальному диспуті на цю тему. Адже ні для кого не секрет, що українська спільнота кібербезпеки переживає ті самі срачі, що й західна професійна тусовка, але із запізненням в 5-7 років.

The burning CISSP certificate
The burning CISSP certificate. Boris “Jaded Security” Sverdlik.

Отже, по-перше: професійні сертифікати з кібербезпеки не мають стосунку до вендорських сертифікатів. Навіть якщо вендор з кібербезпеки. Навіть якщо сертифікація дуже об‘ємна, іспит складний, та вимагає неабиякого практичного досвіду. Сертифікати вендорів – це артефакти системи контролю якості доставлення їхніх продуктів та сервісів уздовж ланцюга постачання. Іншими словами, щоб некваліфіковані та недосвідчені люди не стали на перешкоді бізнес-моделі вендора. Фарбу там не подряпали, не в ту розетку штекер не встромили тощо.

Звісно, я тут трохи накидую на фен, адже топові вендорські сертифікати вимагають фундаментальних знань з базових технологій, системної інженерії, архітектури тощо. Але колись давно я мав задачу в рекордні терміни провести близько 50 співбесід з потенційними архітекторами безпеки, половина з яких була обвішана шпалерами з логотипами Cisco, IBM, RSA, Microsoft, CheckPoint, McAfee… Я мав тоді на ці заходи дуже небагато часу, тому моїм першим питанням було: «Існує 10 фундаментальних принципів побудови захищених систем. Назвіть 3 з них». Таким чином я відфільтровував для продовження співбесіди 2 з 10 кандидатів.

По-друге, професійні сертифікати з кібербезпеки відрізняються між собою просто драматично. Є дуже базові, є середнього рівня, є такі що цілком підходять для вивчення самостійно, а є такі що здобуваються дуже нелегко та вимагають спеціального навчання.

По-третє, і в цьому головний прикол, – всі вони після отримання здаються не такими вже й цінними. Це нормальна реакція мозку людини, і основа цього явища пояснюється неврологічними процесами, які я навряд чи зможу зараз описати. Підкреслю лише, що довга та виснажлива робота винагороджується досягненням мети, та з часом і досягнення здається не таким вже й героїчним, і робота – не такою вже й важкою. Всі наші рішення, вчинки, помилки змінюють нас. І сьогодні, з висоти цих змін, наші минулі дії, думки та емоції виглядають по-іншому. Ми можемо посміхнутися, згадавши минулі страхи, зніяковіти, пригадавши минулі слова та вчинки, та без особливої гордості сприймаємо професійні здобутки. Здав і здав.

І ми не маємо манери приховувати ці думки від наших колег, які з того цілком логічно роблять висновки, що нічого складного та цінного в сертифікатах немає. Бо так сказала людина, яка пройшла квест з отримання того папірця. Тут немає нічого неприродного – людина, яка не має уявлення про предмет, спирається в його сприйнятті на досвід людини, яка має про предмет повніше уявлення. Ось і маємо, що несертифіковані спеціалісти «перестрибують» ментальний бар’єр та «зрізають» до результату, яким з ними поділилися інші. Але при цьому вони все ще не мають уявлення про те, що говорять, бо формулюють запозичені погляди, у формуванні яких не брали участі.

Я в жодному разі не стверджую, що люди без професійних сертифікатів не повинні обговорювати їхню відносну цінність. Люди можуть обговорювати все, що заманеться, якщо в них на те є час та натхнення. Просто годі сподіватися, що в результаті цих обговорень вони домовляться про щось конструктивне. Їхні аргументи лежать в площині, яка паралельна дійсності: вони можуть запозичити факти та переказати їх зі слів очевидців, але не мають змоги оцінити їхню справжність. Це теорія без експериментів, бодай подумки.

Саме тому я в певний момент прийняв рішення не обговорювати цінність сертифікатів із колегами, які їх не отримали. А з тими, хто їх має, залюбки пліткую, кепкую з ляпів в програмах навчання, та навіть жартую про їхню зарозумілість, безглуздість та відірваність від реальності. Можемо навіть зібратися якось після завершення чергового трирічного циклу та спалити наші CISSP/CISA/CISM тощо, хто зі мною?

Шкода, що деколи ці наші балачки чують ті, хто не в темі.

P.S. Тут напевно буде доречним вказати, що автор цього допису володіє CISSP, CISA та OSCP. Я, також, мав змогу отримати SCSA (Sun), CCNA (Cisco), CEH, та ISO27001LA, але продовжувати їх не став. Це може щось вам сказати про перші три згадані ачівки, але то вже зовсім інша історія.

Про покращення :)

Що на краще змінилося у сфері української кібербезпеки? Ну от реально, назвіть мені хоча б одне реальне «пакращення»? — Kostiantyn Korsun

Я рішуче не згоден з Костянтином, і якщо ви нас добре знаєте, то для вас це не новина. Але давайте будемо об’єктивні: з 2017 року в українській кібербезпеці на краще змінилося все.

Що на краще змінилося у сфері української кібербезпеки? Ну от реально, назвіть мені хоча б одне реальне «пакращення»? 

Kostiantyn Korsun

Я рішуче не згоден з Костянтином, і якщо ви нас добре знаєте, то для вас це не новина. Але давайте будемо об’єктивні: з 2017 року в українській кібербезпеці на краще змінилося все.

Розширився ринок: імплементація асоціації з ЄС максимально спростила постачання послуг європейським клієнтам. Це позитивно відбилося на справах компаній, які вміють і хочуть вести бізнес з західними клієнтами. Більше західного бізнесу – більше сучасного досвіду, більше просунутих експертів, більша інтеграція з цивілізованим світом, та зрештою, більше валютної виручки. «Та ну тебе, Стиран, ви одні такі притрушені, у всіх решта бабло в офшорах!» Ну, по-перше не у всіх, а по-друге, в решті решт то бабло все одно витрачається переважно в межах України, а я зараз не про етику.

З‘явився Nonamecon: позитивний каталізувальний ефект від створення такого майданчику переоцінити важко. Так, ідея створення платформи для інтеграції всіх частин спільноти провалилася, і в результаті ми маємо ще одну фракцію. Але вона кількісно, якісно та ідеологічно – найкраща, а решта перемог нехай трохи зачекають на нас в майбутньому.

Звісно, може здатися, що ролі уряду в цих зрушеннях немає, але це не так. З приходом до влади Зе-команди, реакційна, проросійська частина суспільства підняла голову і подала голос. Спільнота кібербезпеки не виключення. Тому тепер очевидно хто є хто, головне не забути це на наступному витку історії. Це дуже цінна інформація, і якщо раніше вона була прихована, то тепер ні. «Згори» поступив сигнал, що «тепер можна». Можна гастролювати в Росії, співпрацювати з російським бізнесом, пишатися статусом національної меншини, спілкуватися російською та вимагати цього від інших. І що найголовніше – не стидатися бути носієм постімперської колоніальної культури. Тому якщо раніше так поводилися лише найтупіші з адептів руського міра, то тепер це роблять практично всі. І це добре, бо з 2014 року в нас накопичилося дуже багато крапок над «і».

Тому я наполягаю: може не завдяки владі, а наперекір їй, українська кібербезпека покращується та рухається вперед. Так, влада здійснює неприємні, абсурдні, а подекуди зрадницькі рухи, але кожен такий випад наближає наступний поворот історії. І правда полягає в тому, що ми ніколи не знаємо наслідки подій, які з нами відбуваються тут і зараз. Те, що може наразі здаватися дуже поганим, за декілька років виявитися імпульсом, який спричинив колосальні позитивні зрушення. Але то я вже відхиляюся від теми.

До речі, а де буде засідання з апеляції по арешту техніки активістів УКА, ніхто не знає?