Автор: Vlad Styran

Не пишіть “привіт”

Багато хто вважає, що спеціалісти з кібербезпеки — переважно інтроверти та соціофоби. Що ніби то ми рідко з’являємось на людях та всіляко намагаємось уникати контактів із незнайомими людьми. Все це чиста правда.

Особсито я не вважаю, що це професійна деформація. Як на мене, то в цю професію просто частіше потрапляють люди з певними особистими якостями. Як то спроможність довший час зосереджуватися на складних аналітичних задачах. Або відсутність довіри за замовчуванням до незнайомців. Звісно ж, переважно не на користь стосункам з іншими людьми.

Одним з поширених явищ в нашому професійному середовищі є різного роду тривожні розлади. Оці всі приколи про параною та поінформований реалізм — вони не просто так, тут є серйозне підґрунтя. Вміння прогнозувати події згідно з найгіршими можливими сценаріями — це одночасно і дар, і прокляття. Тому що воно неодмінно переноситься із професійного життя в особисте.

Тому не пишіть спеціалістам з безпеки “привіт”.

У нормальних людей як прийнято. Треба вам поспілкуватися із знайомим, з яким ви це робите не дуже часто, скажімо, рідше разу на місяць. Відкриваєте ви скайп, чи месенджер, чи телегу, чи в чому ви там ще ризикуєте здоров’ям. І пишете співрозмовнику одне слово: “привіт”. І чекаєте на відповідь, щоб зрозуміти, що вас “слухають”, а потім продовжити розмову. І це типу нормально і нічого страшного тут нема. Якщо у вашого респондента немає тривожного розладу. В противному випадку знаєте що буде? Я вам розповім.

Між вашим першим “привіт” та продовженням тиради, в голові вашого співрозмовника промайнуть щонайменше 5 сценаріїв кінця світу. Я трохи перебільшую, але не дуже. В цьому випадку фантазія скоріше шкодить, а вона там є і неабияка. І працює вона над генерацією катострофічних версій-пояснень щодо вашого звернення, апокаліптичних варіантів розвитку подій, та стратегій боротьби з ними. Короче, ви такі “привіт”, він такий “привіт (А-а-а! Шо сталося! Навіщо він мені пише? Точно якась біда!)”, а ви такі “як справи?”

Мораль. Не пишіть “привіт”. Вітайтеся та одразу — в тому ж самому повідомленні — повідомляйте про зміст вашого звернення. Це збереже вашому знайомому спеціалісту з кібербезпеки купу нервів. В противному випадку, він почне просто ігнорувати ваші беззмістовні вітання. Ну або навчиться контролювати свою тривогу, підкорить емоції та свідомість, досягне просвітлення та більше ніколи не буде з вами спілкуватися. А воно вам треба?


Відгук: “12 правил життя” Джордана Пітерсона

та аналогії з кібербезпекою

Читаю “12 правил життя” Джордана Пітерсона і вкотре не можу втриматись від аналогій між психологією та кібербезпекою. Напевно, вони взагалі універсальні!

Найважливіші питання щодо людської поведінки завжди задають неправильно, з точністю до навпаки.

Чому люди приймають наркотики? — Неправильне запитання. Чому не всі люди приймають наркотики? Чому люди не приймають наркотики постійно? — Правильні.

Чому люди хвилюються та панікують? — Неправильне запитання. Чому люди хоч деколи бувають спокійні? — Правильне.

Чому люди схильні до насильства? Чому люди вбивають? Чому люди воюють? — Неправильні запитання. Чому люди піклуються? Чому люди захищають? Чому люди можуть жити в мирі? — Правильні.

Шукати відповіді ефективніше на правильні запитання, тому що знайшовши їх, можна стимулювати та культивувати правильну, тобто більш оптимальну, поведінку. Пошук відповідей на неправильні запитання — дурне марнування часу.

Ось вам аналогія з кібербезпекою. Хтось виклав конфіденційні дані на FTP без пароля! Хтось не оновив Struts2, Samba, Windows etc.! Хтось натиснув на фішингове посилання та ввів пароль в фейкову форму! Когось знову хакнули, хтось наплужив, провтикав, зашпекався і взагалі поводиться нерозумно! Як таке може бути?? — Неправильне запитання.

Як люди взагалі, хоч подекуди, можуть залишатися в відносній безпеці? Як їм вдається підтримувати лад у їхніх системах та додатках? Як вони навчили своїх колег не клацати каку та не запускати криптоздирники? — Ось правильні запитання, на які треба шукати або виробляти відповіді професійній спільноті. А публічне приниження менш освічених представників свого виду, хоч подекуди і має короткочасний ефект, але не вимагає високого професіоналізму.

Хаос це просто. Залишіть щось без нагляду і за деякий час ентропія візьме своє. Лад це складно. Задля утримання ладу треба прикладати калорії та застосовувати інтелект. Сіяти хаос чи сприяти встановленню та підтримці хоч якогось порядку? Кожен вирішує для себе, а комусь навіть вдається поєднувати ці ролі.

Про безглуздість однобічного погляду на життя

Цього разу на прикладі новорічної ялинки

Увесь наступний місяць в соцмережах волатимуть прибічники “збереження лісів”, які закликатимуть вас відмовитися від купівлі натуральної ялинки на свята. За їхньою версією, альтернативний підхід із використанням штучної ялинки, яка вироблена з пластику з використанням екологічно небезпечних технологій, та яка після 3–5 років використання забруднюватиме собою нашу планету протягом декількох століть, — це ліпший варіант, аніж натуральна ялинка, яка протягом часу свого виробництва виробляє кисень, а після використання перетворюється на натуральні добрива.

Де тут логіка? Її тут немає. Чому? Тому, що проблема розглядається крізь щилину однобічного погляду на життя. Складна екологічна проблема вирубки лісів спрощується до популістського заклику відмовитися від сприяння цій вирубці. Запропонована ж альтернатива, якщо трохи поміркувати, набагато гірша, адже на “подумать” в популістів часу немає: їм потрібен простий та інтуїтивно прийнятний заклик до дії.

Ось так зброя популістів — прості відповіді на складні запитання — руйнує екологію планети. Як це виправити? Погялнути на проблему ширше. Чи справді штучна ялинка — краща альтернатива натуральній? Ні. Чи єдина ця альтернатива? Теж ні. Тому що проблема не стільки в тому, що ліси вирубаються (адже цього не уникнут), а в тому, що вони не відновлюються.

Крок за кроком можна прийти до висновку, що використання натуральної ялинки краще для екології та корисніше для економіки — за умови ефективного регулювання відповідного ринку. Якщо притиснути браконьєрів, запровадити жорсткий контроль над продажем натуральних ялинок, стимулювати таким чином виробництво — висадку садженців та збільшення площ відповідних лісництв, провести інформаційну кампанію під гаслом “купуй натуральне та ліцензоване”, ситуацію вдасться покращити і дуже швидко.

А то тут, бляха, Чілі від пластикових пакетів відмовляється, а ви штучну ялинку купляєте…


Як зробити так, щоб якомога менше людей мали доступ до даних про ваші дзвінки, листування та…

про дзвінки, листування та місцезнаходження

“A hypothetical question, Miss Rey. What price would you pay, as a journalist I mean, to protect a source?” Luisa doesn`t consider the question. “If I believed in the issue? Any.” “Prison, for example, for contempt of court?” “If it came to it, yes.” “Would you be prepared to… compromise your own safety?” “Well…” Luisa does consider this. “I… guess I’d have to.”

– Cloud Atlas by David Mitchell

Давайте я розповім, як зробити так, щоб ані Генеральна прокуратура, ані СБУ, ані ФСБ не мали доступу до даних про ваші дзвінки, листування та місцезнаходження. Але спочатку, про те, що саме неправильно з наданням доступу до даних листування, дзвінків та розташування журналістів. Особливо тих журналістів, які ведуть антикорупційні журналістські розслідування.

Я буду спрощувати. Деколи в корумповані державні структури волею долі потрапляють порівняно чесні люди, які ставлять інтереси суспільства вище, ніж “професійну етику” також відому як кругова порука та “захист своїх системою”. Уявіть, що існує посадовець правоохоронних органів, який є свідком корупційної діяльності своїх колег і готовий повідомити про це у відповідні компетентні органи. Як йому бути, якщо в нього немає впевненості, ні, немає навіть надії на те, що представники компетентних органів не задіяні в корупційній схемі? Більше того, як бути, якщо факти корупції спостерігаються у відомстві найвищого рівня, яке здійснює контроль над всіма іншими відомствами?

Один з реалістичних планів дій, це надати фактам правопорушень публічний розголос. Для цього в цивілізованому ліберально-демократичному суспільстві існує вільна преса. Та преса, яка пес демократії, а не та що на зарплаті в Кремля та олігархів. Справжня преса, справжня слідча журналістика, базується саме на таких джерелах суспільно значимої інформації, яка може та повинна використовуватися для здійснення громадського контролю над роботою відомств, які відомі своєю культурою закритості та секретності. Вільна преса — це відповідь на запитання, хто буде охороняти охоронців та судити суддів.

Без вільної преси неможлива демократія, а вільна преса неможлива без свободи слова та внутрішніх джерел інформації про зловживання на держслужбі. І так само, як нам треба захищати свободу слова, журналістам треба захищати свої джерела. Не лише тому, що вони надають цінну інформацію та дозволяють готувати “бомби” та “сенсації”. А ще й для того, щоб чесні люди, які працюють “в системі” та спостерігають її збочені корумповані прояви, мали надію на захист та анонімність, менше боялися помсти “системи” й частіше виводили її адептів на чисту воду.

Тому ухвала суду про надання слідчим генпрокуратури доступу до метаданих дзвінків, листування та розташування антикорупційного журналіста, який веде розслідування про зловживання в генпрокуратурі та ймовірно спілкується з відповідними джерелами, повинна мати дуже серйозне підґрунтя. Інакше вона є не просто неприйнятною з професійної та етичної точки зору. Вона є прямою загрозою категоріям, які ми називаємо “правовою державою”, “європейським вибором”, “демократією” тощо. Що може стати підґрунтям для такого ризикованого виключення? Наприклад, підозра в шпигунстві на користь ворожої держави. Або підозра в державній зраді. Або підозра в терористичній діяльності. Або підозра в виготовленні дитячої порнографії. Але точно не роль свідка в антикорупційній справі.

Тепер про земне: як зробити так, щоб надавати доступ не було до чого.
Спочатку давайте визначимось щодо характеру даних, які зберігаються вашим оператором мобільного зв’язку. Зазвичай мова йде про метадані, тобто дані про дані. Тут спочатку трохи складно, але ви звикнете.

Дані — це те, що ви передаєте під час листування та спілкування голосом. Тобто це текст повідомлень та запис дзвінків. Дані оператори не зберігають, або принаймні не повинні це робити, бо це незаконно. Точніше так, дані дзвінків оператори не зберігають, а дані СМС зберігають короткий час поки вони не знайшли ще свого отримувача та “застрягли” на сервері оператора.

Метадані — це те, що залишається в оператора після того, як дані були передані. Тобто, це відомості про те, що, коли, між ким, в якій формі, та як довго відбувалося. Кожне передане СМС та кожна телефонна розмова залишає по собі запис в якійсь базі даних (насправді в декількох), для того, щоб оператор зміг тарифікувати свої послуги та виставити вам рахунок, а також — за вимогами законодавства — саме для таких випадків, коли слідчим можуть знадобитися деталі листування або список контактів, скажімо, наркодилера. Звичайно ж, ці дані не застраховані від нецільового використання, але зараз не про це.

Окрему категорію метаданих складає геолокація, тобто приблизні (або точні) координати абонента. Оператор має доступ до вашого розташування, тому що згідно з протоколами мобільного зв’язку він завжди в курсі, на якій базовій станції ви зареєстровані, та які інші базові станції знаходяться поруч з вами. Маючи координати трьох найближчих до вас базових станцій та дані про відповідну силу сигналу, оператор може застосувати алгоритм триангуляції та визначити ваше географічне розташування з точністю до десятків метрів або й ліпше.

Що ж робити для того, щоб залишати по собі якомога менше метаданих? Відповідь очевидна: не користуватися СМС та дзвінками. Я серйозно.

Замість СМС використовуйте захищені месенджери — програми передачі миттєвих повідомлень — які здійснюють шифрування вашого листування з кінця в кінець. Якщо хочете найкращого захисту, використовуйте Signal — це повністю наскрізь зашифрований месенджер, користуючись яким ви не залишаєте по собі жодних метаданих: були прецеденти, коли до оператора серверів Signal приходили тамтешні “маски-шоу” і в них буквально нічого було показати в якості метаданих про спілкування абонентів. Якщо хочете екстриму — спробуйте Ricochet, він додає анонімності але не дуже популярний серед звичайних користувачів. І пам’ятайте: WhatsApp хоч і шифрує ваші дані цілком аналогічно Signal-у, але при цьому ділиться метаданими з Facebook, тому точно десь їх зберігає і в це десь можна прийти з обшуком.

Замість мобільних дзвінків використовуйте IP-телефонію. FaceTime або дзвінки у WhatsApp можуть бути непоганим варіантом, але для кращого захисту, не дивуйтеся, я рекомендую той самий Signal. З причин висвітлених в попередньому абзаці, плюс вони останнім часом непогано підросли по якості зв’язку та додали відео-дзвінки. Одне зауваження: жоден з безпечних способів спілкування голосом не передбачає групових дзвінків. Але що то у вас за секрети, які мають знати більше двох?

Я навмисно пропускаю опис вад всіх решти месенджерів, адже це тема, яка вже неодноразово висвітлювалася в тому числі і мною.
Отже, користуючись для листування та дзвінків захищеним застосунком, який підтримує End-to-End шифрування та не був помічений в співпраці з правоохоронними органами, ви залишаєте вашому оператору мобільного зв’язку метадані про ваш СМС-спам та дзвінки телемаркетерів, а також метадані про ресурси в інтернеті, які ви відвідуєте та якими користуєтесь. Ці метадані містять IP-адреси та імена хостів (з яких можна зробити висновок про те, якими месенджерами та сайтами ви користуєтесь), а також коли і якими об’ємами даних ви з ними обмінюєтесь. Щоб приховати цю чутливу інформацію, вам слід скористатися послугами віртуальної приватної мережі (Virtual Private Network, VPN) або мережі Tor (The Onion Router). Також, використовувати їх можна одночасно, але то вже екзотика.
VPN підійде вам у всіх випадках, коли вашою основною загрозою є хтось крім спецслужб супер-держав. Головне правильно обрати сервіс-провайдера, точніше юрисдикцію, в якій він розташований. Я всім рекомендую ProtonVPN, але можуть бути варіанти. Використовувати “саморобні” VPN-сервери може бути зручніше та дешевше, але будьте готові до непорозумінь з Netflix та розпізнавання мостів, автобусів та пішохідних переходів на картинках re-captcha від Google. До того ж, цей варіант надає вам менше псевдонімності в інтернеті, тому що ви не зможете “розчинитись” в декількох сотнях тисяч інших користувачів комерційного VPN-сервісу.

На останок, не дуже приємна новина. Дані геолокації від оператора зв’язку приховати нереально, тому що без цієї функціональності мобільний зв’язок не працюватиме й передача даних буде неможлива.
Сподіваюся, ці поради допоможуть вам більш впевнено почуватися у стосунках з вашим мобільним оператором.

Трохи про блокчейн, штучний інтелект, машинне навчання та великі дані в кібербезпеці

Якщо ви спитаєте в людини, яка хоч трохи знається на кібербезпеці, поради щодо найефективніших засобів захисту від кібер-загроз, то почуєте приблизно таке.

  1. Оновлюйтесь. От просто оновлюйте регулярно софт і операційну систему і все. Бажано автоматично. Всі тотальні кібер-інциденти з трагічними наслідками ставалися через застаріле та вразливе програмне забезпечення. (Підказка: доведеться заплатити за всі ліцензії, а шо ви думали).
  2. Не використовуйте однакові паролі. Якшо ваш пароль утирять в одному місці, його одразу ж спробують використати в усіх інших. Буде якось по-дурному втратити поштову скриньку через вразливість у веб-крамниці парфумів. (Підказка: ну ви здогадалися, шо паролі мають бути складні, але вам суттєво спростить життя використання парольного менеджеру).
  3. Увімкніть скрізь другий фактор. Бо він вже скрізь є. І тоді складність викрадення у вас облікового запису одразу ж відлітає в космос. Якщо його десь нема, то це десь — неважливе. А скрізь де важливо — він вже є. (Підказка: популярні парольні менеджери допоможуть централізовано зберігати матеріал другого фактору та надійно його бекапити).
  4. Використовуйте шифрування комунікацій з кінця в кінець. Всі поважні месенджери це підтримують за замовчуванням, а решта надають як опцію. Якшо хтось не підтримує — видаляйте. З Е2Е-шифруванням ваші комунікації будуть захищені найкращим чином, щоправда деякі розробники все ще будуть мати змогу відслідковувати з ким ви спілкуєтесь. (Підказка: Signal найкращий вибір, а WhatsApp хоч і належить Facebook, але поки що найближча альтернатива).
  5. Не вимикайте Defender у Windows. Всі антивіруси неефективні, цей принаймні йде на здачу з віндою і за нього не треба платити окремо. (Підказка: тут є підгрунтя для дискусії, але я я дуже впертий, тому ви все одно капітулюєте).

Отже, ці п’ять порад захистять вас від переважної більшості загроз та зловмисників. Тепер увага, питання: де тут є простір для застосування блокчейну, бігдати, машинльорнінгу або, тьфу-тьфу-тьфу, штучного інтелекту?

Що з цього є настільки складною інженерною задачею, щоб вимагати використання розпіарених новітніх технологій? Хіба що п’ятий пункт про антивіруси. І навернуті таким чином двіжкі будуть мати набагато більше хибних спрацьовувань, вимагатимуть постійної уваги кваліфікованого персоналу, та коштуватимуть просто нереальних бабок. А у випадку виконання пунктів 1–4 будуть майже так само непотрібними, як і звичайні сигнатурно-евристичні авери.

Тому на мою скромну думку в користувацькій (AKA consumer) кібербезпеці поки що немає місця для баззвордів типу Blockchain, Big Data, AI, ML та решти булшиту. І якщо ви бачите рекламу, яка намагається виїхати на використанні цих новомодних слівець — скоріш за все до вас підкрадаються шахраї.

Дякую за увагу, тисніть лайки та рекомендуйте друзям. І не забудьте підписатися натиснувши Follow. Тому що кожен раз, коли в мене з’являється новий фоловер, десь у цьому світі неповнолітній хакер обирає світлу сторону. Тру сторі.