Категорія: Кібербезпека

Есе, рекомендації та думки на професійні теми: кібербезпека, аппсек та пентести.

Ще про безпеку Zoom та інших відеоконференцій

Як я і думав, наскрізне шифрування несумісне з записом у хмару. Цікавий факт: якщо ви з якихось причин уникаєте встановлення додатку та користуєтесь веб версією Зума у браузері, ви також уникаєте наскрізного шифрування дзвінків ¯\_(ツ)_/¯ Отже, Зум надає end-to-end encrypted зв‘язок, якщо у всіх часників встановлені клієнти (бажано версії 5 і вище) та дзвінок не пишеться в хмару.

Брюс Шнаєр про безпеку Zoom та інших засобів телеконференцій. Я ділився своїми роздумами про це трохи раніше.

Як я і думав, наскрізне шифрування несумісне з записом у хмару. Цікавий факт: якщо ви з якихось причин уникаєте встановлення додатку та користуєтесь веб версією Зума у браузері, ви також уникаєте наскрізного шифрування дзвінків ¯\_(ツ)_/¯ Отже, Зум надає end-to-end encrypted зв‘язок, якщо у всіх часників встановлені клієнти (бажано версії 5 і вище) та дзвінок не пишеться в хмару.

Моя думка про Zoom не змінилася: я використовую його сам та рекомендую іншим. В сучасних реаліях більшість спілкування та навчання перемістилося в інтернет. Про системні наслідки цих змін, такі як обмеження соціальної активності поза навчанням та роботою, та колосальне збільшення нашого цифрового сліду в системах інтернет-гігантів, які заробляють на тотальному спостереженні, я якось пізніше висловлюсь, бо це дуже важлива тема.

Але коли мова про кібербезпеку, тут для мене все просто. Про безпеку продукту можна судити по історії та по траєкторії. Траєкторія в Зуму зараз найкраща: за останній час поліпшення безпеки були радикальними та системними, а дії компанії достатньо відкритими. Історія Зуму, в порівнянні до регулярних зіродеїв у WebEx не така вже й сумна. І якщо ви хочете розбиратися в безпеці трохи більше, ніж на рівні читання заголовків сенсаційних новин, ви можете самі в цьому переконатися.

Ще один найближчий конкурент це Google Meet, який так сильно прагне отримати доступ хоч до якихось відеоданих, що вже зробився безкоштовним та додається автоматично до кожної події в гугл-календарі, яку ви створюєте. Як і Вебекс, Міт тупо не вивозить до рівня Зуму. А Зважаючи на історію Гугла в контексті доступу до даних… Ви серйозно готові віддати їм відео ваших робочих зустрічей та відеоуроків ваших дітей? Тут є простір для дискусії та обміну думками, але я – точно проти. Якщо ви не згодні, то давайте ви передивитесь Чорне дзеркало, і ми повернемось до цієї теми 🙂

В Європі CISSP прирівняли до магістрського ступеню

Трохи дивна новина, поясню чому.

Спочатку про CISSP для тих, хто не в курсі. Це така загальна сертифікація з кібербезпеки. Щоб її отримати, треба або пройти складний квест та заплатити трохи грошей, або заплатити трохи більше грошей і витратити понад тиждень часу.

В сценарії з квестом ви готуєтесь самі, для цього знадобиться трохи часу у тиші щотижня протягом декількох місяців. Треба буде опанувати близько тисячі сторінок літератури, продивитися трохи відео уроків, та потренуватися складати екзамен на спеціальному тренажері. Після цього ви складаєте іспит і якщо все успішно, то ви майже CISSP. У старі часи процедура була дещо ускладнена тим, що іспит приймався очно й на папері, тому треба було кудись їхати. Але тепер це можна зробити на компі в авторизованому екзаменаційному центрі, який завжди поруч.

Другий шлях простіший – ви записуєтесь на один з безлічі «таборів з підготовки» (CISSP boot camp), проводите в ньому близько тижня, там вам в голову «заливають» необхідний для здачі мінімум знань, після чого садять за комп і через дві години ви майже CISSP. А через чотири – вже майже нічого з того не пам‘ятаєте.

Пишу майже, бо в обох сценаріях вам тепер треба знайти хто б з дійсних CISSP-ів підписав вам рекомендацію (endorsement), але це вже бюрократія. Після успішного ендорсменту вам надходить сертифікат, і тепер ви – раб лампи, адже щороку мусите його продовжувати за гроші.

Сподіваюся, я склав враження про те, скільки зусиль та знань треба, щоб отримати CISSP. А, ще одне – обов‘язковою вимогою є 5 років практичного досвіду в професії кібербезпеки за деякими знижками по типу профільної освіти.

І ось це тепер в Європі – еквівалент магістра. Чи справедливо це, вирішуйте самі. Моя справа – дати вам вхідні дані.

Якщо ви залишили мене наодинці з вашим комп‘ютером, це вже не ваш комп‘ютер

Ось чому спеціалісти з кібербезпеки змушують вас шифрувати жорсткі диски та не залишати лептопи там, де ви їх не можете бачити. Атака типу «evil maid» (зла покоївка) це сувора реальність, хоча здійснює її скоріше не персонал готелів, а працівники занадто цікавих спецслужб та інші збоченці.

Ось чому спеціалісти з кібербезпеки змушують вас шифрувати жорсткі диски та не залишати лептопи там, де ви їх не можете бачити. Атака типу «evil maid» (зла покоївка) це сувора реальність, хоча здійснює її скоріше не персонал готелів, а працівники занадто цікавих спецслужб та інші збоченці.

Звісно, що в нормальному режимі використання ноутбуків хвилини вашого розставання нечисленні. Виключення складають ті з нас, хто часто подорожує у справах. Якщо ви згадаєте типову сучасну мандрівку, то зможете легко уявити близько 10 разів коли різні незнайомці можуть отримати неконтрольований доступ до вашого лептопу ще до поселення в готель в місті прибуття.

Історія фізичних атак на сучасні комп’ютери цікава та повна технічних деталей. Якщо дуже спрощувати, є така технологія, Direct Memory Access (DMA). Назва в неї буквальна: вона реалізує доступ зовнішнього пристрою до пам’яті комп’ютера напряму – оминаючи втручання центрального процесора. Це суттєво прискорює роботу системи та, як це буває у разі різкого підвищення продуктивності, створює колосальну ваду безпеки.

Читачі, знайомі з базовими принципами побудови безпечних систем, можуть побачити в цій фічі пряме порушення принципу повної медіації. Щоб у системі була безпека, її треба десь розмістити. Чесно, треба визначити якесь місце (монітор посилань або Reference Monitor), через яке будуть проходити всі стосунки між суб‘єктами (користувачі, процеси, пристрої тощо) та об‘єктами (файли, дані, інші пристрої) системи, та застосувати в ньому політику безпеки – чіткі правила, які змушують систему працювати безпечно.

Це може здаватися непростим завданням, – так і є. А те, що вийде, буде жахливо гальмувати та знижувати продуктивність та зручність. В цьому легко переконатися: в перших рядках пошукової видачі по запиту «Kernel DMA Protection» не лише посилання на опис цієї функції, а й докладні інструкції з її вимкнення. Баланс між безпекою та зручністю – надзвичайно складна інженерна задача, яка здійснюється згідно з іншим принципом безпечної архітектури – принципом психологічної прийнятності (Psychological Acceptability). Але це вже інша історія.

Підсумовуючи, це дуже гарний приклад, як «зрізаючи навпростець», ми можемо забити на важливі та принципові речі та наразити себе на небезпеку. В цьому випадку мова йде про персональні комп‘ютери, сконструйовані до 2019 року, коли з‘явилася технологія Kernel DMA Protection. Докладніше про нову атаку Thunderspy можна прочитати в матеріалі Wired.

Які заходи безпеки можна порекомендувати для захисту лептопів від атак «фізичної близькості»? Поряд із придбанням сучаснішого пристрою з підтримкою Kernel DMA Protection, можу порадити налаштувати систему для повної гібернації під час неактивності та запит автентифікації перед продовженням роботи. Звісно, що із застосуванням повного шифрування диску. Користувачі macOS можуть також поекспериментувати із програмою Do Not Disturb, яка зв’язує ваші макбук та смартфон і надає вам змогу отримувати на телефон повідомлення, коли хтось намагається скористатись вашим ноутбуком. В програми є функція фотографування потенційного нападника, яка не раз покращить настрій вам та вашим близьким.

Бережіться.

В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кібербезпеки

Підсумував думки щодо різниці між чотирма основними типами перевірки рівня кіберзахисту. Подробиці та трохи питань й відповідей можете подивитися у записі. Вийшов непоганий матеріал, але я ще узагальню.

Penetration Test або тест на проникнення це дуже перевантажене поняття. На жаль, так зараз називають все, що завгодно: від переформатовування звітів Nessus та Acunetix до висококваліфікованого редтімінгу. Серед професіоналів з тестування на проникнення, пентестом називають набір вправ з динамічної та інтерактивної перевірки впроваджених заходів безпеки. Тобто, пентест це умовна лінійка, якою ви можете виміряти ефективність вашого захисту проти актуальних загроз кібербезпеки.

Application Security або безпека програмного забезпечення це не лише тестування. Щобільше, тестування програмної безпеки – це навіть не 5% всіх вправ у цій дисципліні. Зорієнтуватися в цій сфері знань найлегше за допомогою проєкту OWASP SAMM. Там лаконічно та доступно перелічені всі поширені практики AppSec та надані напрямки, де шукати більше інформації. Звісно, тестування безпеки входить до п‘яти найважливіших практик захисту програмного забезпечення, поряд з навчанням розробників основам аппсеку, моделюванням загроз, формуванням вимог безпеки, та ревю безпеки програмного коду. Проте, коли люди без досвіду в цій галузі говорять про аппсек, вони зазвичай мають на увазі незалежні тести на проникнення додатків.

Secuity Assessment або оцінка захищеності це перевірка захисту певного скоупу на момент у часі. Тобто, це такий собі снепшот рівня безпеки в порівнянні до загальноприйнятих практик в галузі, вимог певного стандарту або внутрішньої документації: політик, процедур, тощо. Але це точно не аудит, бо вимоги до цього процесу менш строгі, а очікування менш формальні, подробиці в наступному параграфі. Оцінка захищеності це найзагальніше поняття, яке застосовується дуже широко. Та найпоширенішим прикладом звісно ж є оцінка захищеності за стандартом PCI DSS, яку проводять QSA – Qualified Security Assessors.

Information Security Audit або аудит інформаційної безпеки це незалежна перевірка ефективності виконання контролів інформаційної безпеки за певний період. Тобто, якщо у вас аудит, то у вас вже має бути набір вимог, способи їх задовольнити, оцінка ризиків, система внутрішніх контролів, журнали їх виконання тощо, а можливо навіть й підрозділ внутрішнього аудиту. Важливо розуміти, що на відміну від оцінки захищеності, аудит перевіряє не як ви захищаєтесь зараз, а як ви захищалися останні пів року чи рік. Наприклад, якщо сьогодні у вас ввімкнений та налаштований Web Application Firewall, то для ассессора цього буде досить. А от аудитору доведеться показати логи ефективної роботи WAF за шість місяців, і якщо їх десь немає, то контроль безпеки буде визнано неефективним. Аудитори використовують складніші та загальніші стандарти, такі як ISO/IEC 27001 та 27002, SOC 2, ITIL тощо.

Якщо коротко, то це все. Докладніше у відео, слайди нижче.

Не/безпека Zoom і чому я продовжую ним користуватися

Якщо ви ділите програмне забезпечення на безпечне та небезпечне, це означає що ви маєте дуже умовне поняття про безпеку програмного забезпечення. Вибачте, що розчаровую, але це так. Хороша новина в тому, що в певному віці так роблять усі, включно з автором цих рядків. Але в більшості це проходить, а в декого ні.

Все ПЗ вразливе, крапка. Бережа робить понад 50 проектів на рік, десь 40 із них пов’язані з перевіркою безпеки софта. Поодинокі 1-2 проекти завершуються дуже скромними рекомендаціями типу «тут підфарбувати» і «і тут поправить». Решта – мають у звіті досить серйозні зауваження. А деякі вразливості ми повідомляємо одразу, щойно їх знайдено. Тому що відкладати це до початку формування звіту чи навіть до завтра – тупо страшно. І ці вразливості виправляються ще до завершення проекту – з аналогічних міркувань. А ви потім цим софтом користуєтесь.

Безпека софта полягає не в тому, чи є в ньому вразливості. А в тому, як (і з якою швидкістю) з цими вразливостями чинить розробник. І тут справа навіть не в процесах та практиках (хоча за це мене зараз будуть сварити колеги по OWASP), а в рівні культури безпеки. І в цього рівня є очевидні індикатори.

Якщо розробник вразливості сам не шукає, перед іншими заперечує, виправляє повільно та ще й погрожує хакерам – його культура на умовному нулі або нижче. Якщо розробник регулярно робить оцінку захищеності чи хоча б пентест, самостійно тестує безпеку та відкритий до повідомлень про його вразливості, що надходять ззовні – його рівень культури значно вище середнього. Якщо ж розробник навчає безпечній розробці свою команду, має Application Security функцію, приділяє увагу розвитку відповідних навичок персоналу та ще й впроваджує та виконує практики з OWASP SAMM – його рівень десь за хмарами. А рекомендації у звіті про пентест будуть дуже стриманими.

Але все ПЗ вразливе, і колись у його коді (або в коді якоїсь його залежності) знайдуть надстрашну багу. І піонери від безпеки будуть носитися з нею та звинувачувати розробника в тому, що його продукт «небезпечний». А люди з досвідом будуть намагатися пояснити, в чому піонери помиляються, але марно.

А помилка насправді проста: якщо чиясь безпека залежить від вразливостей в окремому програмному забезпеченні, то хтось очевидно зробив свою роботу дуже погано. Взагалі, якщо безпека сконцентрована в якомусь одному місці – хтось десь налажав. Можливо, це відбулося в наслідок того, що я називаю «фаєрвольною ментальністю» – коли спеціаліст скеровується морально застарілою парадигмою «зон та периметру». А можливо, це й не спеціаліст, просто коли він повторює гасла за журналістами кібербезпекових онлайн-таблоїдів, скрадається таке враження.

Мінімальних навичок з моделювання загроз достатньо, щоб навчитися довіряти важливі для вас речі лише перевіреним та надійним інструментам. Плавно переходячи до конкретики – Zoom до цього кола не входить. Не може система, яка дозволяє одночасно спілкуватися вдесятьох та записувати відео в хмару, бути надійним засобом для передачі надконфіденційних даних. Будь-яка мінімально обізнана в безпечній системній архітектурі людина вам це підтвердить. І ніхто з експертів вам ніколи не рекомендував Zoom для передачі конфіденційних даних: я перевірив. «Але ж маркетологи сказали що в них наскрізне шифрування…» Та вгамуйтеся вже з тими маркетологами! Вам Паша Дуров вже казав, що Телеграм безпечний. Що ще кому не ясно?

Залишайтеся вдома та сидіть в безпеці.