Кібербезпека | Хакер, що біжить

Чому не варто користуватися VPN сервісом

Чому треба користуватися VPN та не варто користуватися VPN-сервісом. Довгий та детальний пост з аргументами та поясненнями.

Хотів написати довгий та розлогий пост про те, чому вам не потрібно користуватися VPN-сервісами. Але згадав, що Sven Slootweg вже зробив це. В його тексту навіть є переклад російською. А є навіть кращий текст від Dennis Schubert.

Ви все ще тут? Добре, я додам від себе. Чисто з точки зору математики та моделювання загроз, у вас більше шансів стати жертвою (атаки хакерів, глобального спостереження спецслужб, або поведінкового трекінгу мега корпорацій) коли ви користуєтесь найкращим у світі VPN-сервісом, ніж коли не користуєтесь жодним. Справа тут в агрегації ризиків. Я поясню.

Модель загроз

Спершу, згадаймо, що відбувається, коли ви користуєтесь інтернетом. Найпростіший приклад – ви відкриваєте браузер та заходите на facebook.com. Ваше з’єднання розпочинається у вашій локальній мережі, перетинає мережі вашого інтернет-провайдера та кількох (2-5) операторів зв’язку, досягає мережі провайдера вебсайту і зрештою потрапляє на сам вебсайт. (У випадку з Фейсбуком все трохи інакше через його колосальні масштаби, але загалом десь так.)

Тепер, уявімо, від яких загроз на цьому шляху вас, як ви думаєте, захищає VPN-сервіс. Більшість користувачів сприймають VPN-сервіс як засіб захисту від таких загроз:

Ваш провайдер (плюс будь-який інший провайдер на вашому шляху) та будь-хто, кому вдалося змусити його до співпраці (спецслужби, кіберзлочинці, інсайдери тощо) прослуховує та модифікує ваш трафік. Іншими словами, між вами й сайтом є шматок інтернету, і будь-хто, хто його контролює, може втрутитися у ваші із сайтом інтимні стосунки.
Вебсайт за вами слідкує. Причому не лише коли ви на нього заходите, але й коли ви йдете собі далі. Це робиться безліччю способів, від занотовування вашої IP-адреси та розміщення у вашому браузері файлів cookie, до надсучасного профайлінгу зі штучним інтелектом та біг датами. Для цього вебсайти розміщують у себе програми-трекери один одного: відкрийте консоль браузера та самі подивіться що і звідки він завантажує. Facebook Pixel та Google Analytics це найпоширеніші трекінг-платформи, але є й інші.

Проблема в тому, що VPN-сервіс не захищає вас від ані від першого, ані від другого сценаріїв. Не вірите? Ну дивіться самі.

Аналіз ризиків

Далі, уявіть собі, що нас N і ми користуємось умовним VPN-сервісом NeutrinoVPN. Припустимо, кожен із нас становить певний інтерес для агентів загроз, позначимо наш середній рівень ризику як R.

Користуючись сервісом з метою захиститися від першого сценарію атаки, ми трохи змінюємо архітектуру нашого доступу до інтернету. Весь трафік від нашого комп’ютера до нашого VPN-сервіс провайдера буде захищений криптографією (якщо нам пощастить – сильною). Але чи зміниться від цього щось в термінах ризику?

Так, звісно: наш ризик підвищиться. Люди не користуються VPN від нема чого робити: всі N з нас тут через побоювання щодо нашої кібербезпеки (1) та приватності (2). І використовуючи VPN-сервіс ми явно це демонструємо усім зацікавленим особам та організаціям. Тому, коли ви користуєтесь звичайним “наземним” провайдером, середній ризик ваш і ваших сусідів r значно нижчий за наш VPN-юзерський R.

Nr << NR

Архітектура безпеки

Але ж провайдери логують сесії, а VPN-провайдери ні! Ви ніколи цього не взнаєте, тому просто забудьте це як казку про Діда Мороза. Сервіси VPN це повноцінні інтернет-провайдери, особливо в юрисдикціях, в яких не стрьомно розміщувати VPN-сервери. І навіть якщо збирати та зберігати користувацькі логи від них не вимагається по закону, робити це в їхніх інтересах щонайменше з двох причин: для розв’язання юзерських проблем зі з’єднанням, та щоб відвести від себе підозру під час розслідування кіберзлочинів. Але друге лише якщо злочинець буде достатньо дурним і скористається VPN-сервісом.

Ось це і називається агрегація ризиків і в архітектурі безпечних систем це, м’яко кажучи, не вітається. Звісно, коли мова йде про одного юзера, сучасну сім’ю або невелику компанію, “тримати всі яйця в одному кошику” може бути доцільно. На противагу цьому, тримати всі яйця тисяч зацікавлених в кібербезпеці користувачів в одному кошику – пряма дорога до прискіпливої уваги найпотужніших хакерів у світі.

Ризики приватності

Але бог вже з тою кібербезпекою: вона взагалі, як той казав, переоцінена. Що у нас з приватністю? Тут все теж дуже погано. Заміна вашого IP від провайдера на ваш IP від VPN-сервісу – вправа суто теоретична та на ефективність трекінгу не впливає. З цією задачею можна більш-менш впоратись двома шляхами:

На рівні мережевої фільтрації: забанити всі трекери на рівні IP або DNS;
На рівні браузера: аналізувати контент та трафік й різати всі спроби трекерів скористатися механізмами, які виробники браузерів їм надають.

Погані новини в тому, що шлях номер один – недосяжний. VPN-сервіс провайдеру нецікаво фільтрувати ваш трафік (це складно) та й побічні ефекти в цієї фільтрації неприємні вам обом (це ж типу втручання у вашу приватність). Щобільше, за це Facebook просто забанить його адресні простори, а Google перетворить життя його користувачів у суцільний пошук світлофорів та пожежних гідрантів у квадратиках капчі. А шлях номер два реалізується без допомоги VPN. Сучасні приватні браузери, такі як Firefox, Brave та Safari, прекрасно рубають трекери на рівні клієнта, тоді навіщо для цього пускати увесь свій трафік через чужі сервери?

Управління ризиком

Це все цікаво, Стиран, але що робити, якщо приватності та безпеки хочеться так, що аж зуби зціпило? Все просто, треба використовувати інструменти за призначенням. VPN створювався не для спільного використання тисячами не пов’язаних один з одним людей, а для іншого, і він чудово виконує свої оригінальні задачі. І те, що вам потрібно, це VPN. Просто VPN, а не VPN-сервіс.

На щастя, створити власний VPN-сервер не просто, а дуже просто. Для цього є безкоштовні інструменти, які дозволяють і від провайдера й місцевих спецслужб сховатися, і блокування трекерів налаштувати. За відео про налаштування персонального VPN-сервера мені дякують журналісти, юристи, лінгвісти та астрофізики, тому і ви впораєтесь. Так, у вашого VPN не буде гарного логотипу та розпіареної назви. Але разом із лого та назвою не буде й чужих, зайвих для вас ризиків. Ну і на додачу до цього – ви не обдаруєте своїми ризиками когось іншого.

Корисні посилання.

Відео з налаштування персонального VPN-сервера: https://www.youtube.com/watch?v=5CzS7v833mE
Відео з прикручування до нього антитрекінгу: https://www.youtube.com/watch?v=NOIHSkQFOw0
Інструмент та мануал для самостійного використання: https://github.com/trailofbits/algo
Покрокова інструкція англійською: https://styran.com/personal-diy-vpn-howto-for-normals/.

Оприлюднено імена учасників Sandworm – хакерської групи за кібератакою NotPetya

Американський мін’юст офіційно висунув звинувачення шести офіцерам ГРУ РФ. Вважається, що всі вони є членами хакерської групи Sandworm, що стоїть за найгучнішими кібератаками сучасності: NotPetya, KillDisk та OlympicDestroyer.

Зокрема, на службі в інтересів РФ, Sandworm здійснив кібератаки на мінфін, держказначейство та об’єкти енергетики України у 2015 році. Ті самі, після яких держслужбовцям пообіцяли надбавку за кібербезпеку, а уряд виділив на неї 80 млн грн. Націлена на Україну кібератака NotPetya, від якої постраждали сотні (тисячі?) компаній по всьому Світу, та яка нанесла рекордні до сьогодні економічні збитки, – також справа Sandworm.

Defendant and Summary of Overt Acts
Yuriy Sergeyevich Andrienko
* Developed components of the NotPetya and Olympic Destroyer malware.
Sergey Vladimirovich Detistov
* Developed components of the NotPetya malware; and
* Prepared spearphishing campaigns targeting the 2018 PyeongChang Winter Olympic Games.
Pavel Valeryevich Frolov
* Developed components of the KillDisk and NotPetya malware.
Anatoliy Sergeyevich Kovalev
* Developed spearphishing techniques and messages used to target:
- En Marche! officials;
- employees of the DSTL;
- members of the IOC and Olympic athletes; and
- employees of a Georgian media entity.
Artem Valeryevich Ochichenko
* Participated in spearphishing campaigns targeting 2018 PyeongChang Winter Olympic Games partners; and
* Conducted technical reconnaissance of the Parliament of Georgia official domain and attempted to gain unauthorized access to its network.
Petr Nikolayevich Pliskin
* Developed components of the NotPetya and Olympic Destroyer malware.

Звісно, це не повний список оперативників Sandworm, а лише ті з них, чию причетність наразі вдалося довести. Проте, навіть в українській професійній тусовці дехто з 2014 року заперечує центральну роль Росії в кібер-атаках на Україну. Впевнений, що повний список, отриманий по каналах розвідки, набагато довший. І усі його фігуранти, так само як і всі інші російські хакери на службі в держави, сьогодні отримали тривожне повідомлення.

Користуючись нагодою, передаю привіт видавництву ФОЛІО. Ми з нетерпінням очікуємо на вихід українського перекладу книжки Sandwrorm, автор якої Енді Грінберг був одним з ключових доповідачів на цьогорічній конференції NoNameCon.

Update: Andy Greenberg написав про це у WIRED, а ось цей ланцюг у Твітері все підсумовує.

Посібник «Як не стати кібержертвою» переїхав

Мої повідомлення читають тисячі людей, але виявляється, що дехто з них не знає про найважливіше – поради з персональної кібербезпеки під кодовою назвою «Не тисніть каку» або “Don’t Click Shit Guide”. (Є ванільніша назва «Як не стати кібер-жертвою», але це для преси та телебачення.)

Чому так сталося? Напевно через те, що я мало про нього згадую. Або тому, що оригінал тексту опублікований на GitHub, до якого не-програмісти ставляться як до будинку з привидами. Або через те, що його читачі та користувачі не поспішають ділитися посиланням з друзями.

Я спробую це виправити, адже текст корисний і в його створенні взяли участь справжні експерти з кібербезпеки. Буду посилатися на нього, коли згадуватиму окремі поради на кшталт безпечних месенджерів чи засобів шифрування файлів у хмарі. Ну і ви не баріться: чим більше людей дізнається про техніки самозахисту від кіберзагроз, тим більш захищеною стане кожна родина, кожен бізнес, та Україна загалом.

Відтепер посилання на пам‘ятку з персональної кібербезпеки є у головному меню мого сайту. Долучитися до його розширення та оновлення можна у репозитарії на GitHub. Сторінка на сайті регулярно та автоматично оновлюватиметься згідно зі змінами у репозитарії.

Бережіться, чи шо.

Компанію Apple зламали хакери, збитки становлять $289,000

Так, вам не привиділося, найдорожчу компанію в історії людства зламали п‘ятеро надзвичайно талановитих хакерів. Наразі вони отримали за це 289 тисяч доларів винагород, та здається далі буде.

Операція тривала понад три місяці, а звіт містить 55 вразливостей в інфраструктурі Apple. Важливе уточнення: предметом цього імпровізованого пентесту в рамках програми Bug Bounty була сама компанія Apple, а не її продукти.

Найяскравішою знахідкою, як на мене, стала вразливість, що дозволяла створити мережевого хробака, який краде у вас весь вміст iCloud, а потім робить те саме з людьми у вашому списку контактів. Ось чому варто використовувати офлайн-шифрування важливих файлів перед копіюванням їх у хмару. Для цього є кілька зручних рішень, можу порекомендувати Boxcryptor та Cryptomator.

І ось чому всім компаніям треба робити пентести. Цілком можливо, що ви захищені краще, ніж найбільша корпорація у Світі (хоча в мене є сумніви). Але ви не можете бути впевнені, поки хтось це не перевірить. І ні, для цього зовсім не обов‘язково відкладати шестизначну суму в доларах.

Кібер-влада, кібер-конфлікти та кібер-майстерність

The Grugq зробив цікавенний огляд стану справ та розподілу сил в кібер-просторі. Йдеться про кібер-майстерність або мистецтво застосування кібер-влади (кибер-сили? кібер-міці?) Дуже хочеться, щоб це подивитися усі, від кого залежить кібербезпека України. Але після участі в кількох консиліумах я впевнений, що ніхто з них не володіє темою навіть на рівні означень.

Основні тези:

1. Кібер-влада схожа на державну владу, але щоб нею володіти та її застосовувати не треба бути державою.

2. Є держави, що не мають кібер-влади (наприклад, Україна), та осередки кібер-влади, що не мають стосунку до жодної з держав.

3. Кібер-військо це дешевий, корисний та ефективний спосіб застосування кібер-влади.

4. Розділення кіберпростору та реального життя загалом хибне, адже це частини одного цілого.

5. Правила участі в кібер-конфлікті:

Правил немає
Не роби то саме двічі

6. Ми в неперервному стані кібер-конфлікту. Це не кібер-війна, тому що війни закінчуються, а це – ні.