Категорія: Кібербезпека

Переходите в дистанційний режим? Вітаю у клюбі. Чесно кажучи, Бережа зовсім нещодавно (десь 2 роки тому) почала використовувати офісне приміщення, до того часу ми працювали хто звідки. І ось третій тиждень як повернулися до “домашнього” формату.

Не буду нависати з порадами, як реорганізувати процеси, бо наша модель консалтингової фірми то штука екзотична і не на всі бізнеси налазить. Натомість, поділюся порадами, які безпечні інструменти варто використовувати. Все з власного досвіду, тому не претендую на істину в останній інстанції та буду радий додатковим порадам в коментах.

Всі наведені нижче варіанти пройшли п’ятирічну еволюцію. В ретроспективі виглядає, що критерії природного відбору були такі:

• відносна безпека дизайну;
• непогана репутація;
• широка доступність на різних платформах.

Отже, по черзі.

1. VoIP та віртуальні мітинги

Це найважливіше і тут треба усвідомлювати: Телеграми, Скайпи та інші Вайбери – це не засоби для захищеного спілкування. З іншого боку, Рікошети та Ретрошари – протилежна крайність, в якій подекуди немає навіть базової функціональності. Тому:

• Конфіденційні перемовини всередині команди: Wire
• Синк-коли, стендапи та решта напів-секретних тем: Google Meet
• Вебінари та інші “відкриті” дзвінки: Zoom

2. Чати та месенджери

Тут важливо для себе вирішити, що у вас в пріоритеті: безпека, чи зручність. Якщо у вас є змога поставити безпеку вище (в мене вона є) то жодні Слаки чи Тімзи для роботи у вас не використовуватимуться. Отже:

• Робочі питання: для груп Keybase
• Приватне спілкування між собою та з зовнішнім світом: Signal
• Операційний смітник для логів, нотифікацій, ботів, алертів тощо: Slack

3. Файли та шари

Якщо роль email у вашому житті можна якось обмежити, то з файлами поки що це не працює. Доводиться працювати в MS Office, як не крути. Але принаймні ви можете шифрувати їх end-to-end та зберігати в захищеному криптографією стані.

• Boxcryptor згори чого завгодно (Dropbox, Google Drive, OneDrive)
• Whisply Links (built-in) для передачі файлів назовні. А краще той самий Signal.

4. VPN

Специфіка роботи пентестерів та спеціалістів з Application Security вимагає того, щоб клієнт завжди знав “звідки нас чекати”. Інакше, декілька разів на день доведеться відповідати на питання “це не ви?” Ні, не ми. Ось ми: список IP вихідних точок, на яких розташовані наші джамп-хости та сервери VPN.

• Do it Yourself: Algo, OpenVPN AS.
• ProtonVPN як сервіс, коли перший пункт недоступний
• Jump Hosting: DigitalOcean (по-багатому), Amazon LightSail (трохи скромніше).

Звісно, що деколи доводиться використовувати інструменти, які не просто не є захищеними, а навпаки. Зв’язок з зовнішнім світом буває важливіший за рівень захисту, тому Google Meet та Zoom важко викреслити з життя. Проте не варто забувати, що у програмах, які не створювалися для зберігання та передачі даних у захищений спосіб, не варто зберігати та передавати дані, які потребують захисту. Тут хочеться підкреслити, що електронна пошта не є і ніколи не була засобом конфіденційного спілкування, так само як і мобільний та дротовий телефонний зв’язок.

Використання захищених каналів може створити на початку певні незручності колезі старшого віку або необізнаному клієнту чи партнеру. Але згодом вони будуть вам вдячні за слушну пораду та почнуть змінювати й інші свої звички в бік приватності та безпеки.

P.S. Звісно ж, скрізь бекапи та 2FA. Але це вже зовсім інша історія.

Бережіться.

Другий день зачитуюсь в Kostiantyn Korsun в коментах, як люди без жодного професійного сертифіката з кібербезпеки дискутують про їхню потрібність чи непотрібність. Чесно, думав що ці часи в минулому, але ніколи не кажи ніколи. Тому спробую пояснити свою позицію, яку я напрацював у глобальному диспуті на цю тему. Адже ні для кого не секрет, що українська спільнота кібербезпеки переживає ті самі срачі, що й західна професійна тусовка, але із запізненням в 5-7 років.

Отже, по-перше: професійні сертифікати з кібербезпеки не мають стосунку до вендорських сертифікатів. Навіть якщо вендор з кібербезпеки. Навіть якщо сертифікація дуже об‘ємна, іспит складний, та вимагає неабиякого практичного досвіду. Сертифікати вендорів – це артефакти системи контролю якості доставлення їхніх продуктів та сервісів уздовж ланцюга постачання. Іншими словами, щоб некваліфіковані та недосвідчені люди не стали на перешкоді бізнес-моделі вендора. Фарбу там не подряпали, не в ту розетку штекер не встромили тощо.

Звісно, я тут трохи накидую на фен, адже топові вендорські сертифікати вимагають фундаментальних знань з базових технологій, системної інженерії, архітектури тощо. Але колись давно я мав задачу в рекордні терміни провести близько 50 співбесід з потенційними архітекторами безпеки, половина з яких була обвішана шпалерами з логотипами Cisco, IBM, RSA, Microsoft, CheckPoint, McAfee… Я мав тоді на ці заходи дуже небагато часу, тому моїм першим питанням було: «Існує 10 фундаментальних принципів побудови захищених систем. Назвіть 3 з них». Таким чином я відфільтровував для продовження співбесіди 2 з 10 кандидатів.

По-друге, професійні сертифікати з кібербезпеки відрізняються між собою просто драматично. Є дуже базові, є середнього рівня, є такі що цілком підходять для вивчення самостійно, а є такі що здобуваються дуже нелегко та вимагають спеціального навчання.

По-третє, і в цьому головний прикол, – всі вони після отримання здаються не такими вже й цінними. Це нормальна реакція мозку людини, і основа цього явища пояснюється неврологічними процесами, які я навряд чи зможу зараз описати. Підкреслю лише, що довга та виснажлива робота винагороджується досягненням мети, та з часом і досягнення здається не таким вже й героїчним, і робота – не такою вже й важкою. Всі наші рішення, вчинки, помилки змінюють нас. І сьогодні, з висоти цих змін, наші минулі дії, думки та емоції виглядають по-іншому. Ми можемо посміхнутися, згадавши минулі страхи, зніяковіти, пригадавши минулі слова та вчинки, та без особливої гордості сприймаємо професійні здобутки. Здав і здав.

І ми не маємо манери приховувати ці думки від наших колег, які з того цілком логічно роблять висновки, що нічого складного та цінного в сертифікатах немає. Бо так сказала людина, яка пройшла квест з отримання того папірця. Тут немає нічого неприродного – людина, яка не має уявлення про предмет, спирається в його сприйнятті на досвід людини, яка має про предмет повніше уявлення. Ось і маємо, що несертифіковані спеціалісти «перестрибують» ментальний бар’єр та «зрізають» до результату, яким з ними поділилися інші. Але при цьому вони все ще не мають уявлення про те, що говорять, бо формулюють запозичені погляди, у формуванні яких не брали участі.

Я в жодному разі не стверджую, що люди без професійних сертифікатів не повинні обговорювати їхню відносну цінність. Люди можуть обговорювати все, що заманеться, якщо в них на те є час та натхнення. Просто годі сподіватися, що в результаті цих обговорень вони домовляться про щось конструктивне. Їхні аргументи лежать в площині, яка паралельна дійсності: вони можуть запозичити факти та переказати їх зі слів очевидців, але не мають змоги оцінити їхню справжність. Це теорія без експериментів, бодай подумки.

Саме тому я в певний момент прийняв рішення не обговорювати цінність сертифікатів із колегами, які їх не отримали. А з тими, хто їх має, залюбки пліткую, кепкую з ляпів в програмах навчання, та навіть жартую про їхню зарозумілість, безглуздість та відірваність від реальності. Можемо навіть зібратися якось після завершення чергового трирічного циклу та спалити наші CISSP/CISA/CISM тощо, хто зі мною?

Шкода, що деколи ці наші балачки чують ті, хто не в темі.

P.S. Тут напевно буде доречним вказати, що автор цього допису володіє CISSP, CISA та OSCP. Я, також, мав змогу отримати SCSA (Sun), CCNA (Cisco), CEH, та ISO27001LA, але продовжувати їх не став. Це може щось вам сказати про перші три згадані ачівки, але то вже зовсім інша історія.

Неможливо зробити щось одночасно легким для запам‘ятовування та важким для вгадування. 

Як людина, роботою якої довгий час було вгадування паролів, я вважаю цей текст одним з найкращих узагальнень в цій області знань.  Немає змісту перекладати чи наводити тут основні тези: читати треба повністю.

Мораль: не користуйтеся паролями. Користуйтеся парольним менеджером, який захищений нереально крутою пасфразою на 20+ символів. А ще краще – замикайте свій парольний сейф фізичним смарт-ключем.

https://wpengine.com/unmasked/

Дозвольте накинуть.

Перевірка програмного забезпечення на безпеку. Загалом у вас є три шляхи:
1. Автоматичне сканування ультрадорогою вундервафлею, яка згенерує вам 100,500 хибних підозр на вразливості, що не існують. Якусь частину з них ви виправите, а на решту заб’єте для ясності.
2. Методичне тестування за допомогою «провідних методологій» на відповідність «галузевим стандартам» та «найкращим практикам». В мене для вас погані новини: наші методології все ще сирі, нормальних стандартів в цій галузі немає та не може бути, а найкращі практики зблизька виявляються методичками для інтернів, як робити те, про що не маєш уявлення.
3. Вибір досвідченого та авторитетного постачальника послуг, який створює комфортні умови праці для найкращих експертів у цій професії. І потім сподіватися на те, що вони добре зроблять свою справу.

Все ще вагаєтесь? Я спрощу вам задачу. Який би такий приклад обрати… Якби я не пішов в Application Security, то скоріш за все присвятив би себе нейрохірургії. Надто сильно люблю покопирсатися в якійсь незрозумілій фігні. Отже, питання до вас: кому б ви радше довірили операцію?
1. Новітньому медичному роботу, який виріже вам 70-80% мозку, бо з ними «щось не так».
2. Випускнику медичного коледжу із найкращим підручником з нейрохірургії, до якого він може заглядати протягом операції.
3. Або експерту-нейрохірургу (досвід 15 років) із командою асистентів (досвід 2, 5 років) в яких рухи відточені до автоматизму на сотнях операцій, а експертна інтуїція навчена тисячами історичних та практичних історій хвороб?

Голосуйте в коментах.

P.S. Конференц-сезон 2020 року я вирішив присвятити висвітленню зв‘язку між тим, як програми та люди підставляють одне одного. Слідкуйте за анонсами.

Сьогодні Мін’юст США нарешті оголосив звинувачення (заочно) китайським державним хакерам, які брали участь у зламі Equifax. Через тиждень після того, як серед усього іншого суд зобов’язав компанію-жертву витратити один мільярд доларів на кібербезпеку. Та це лише початок історії.

Те, що китайці зламали Equifax, в певних колах вже давно публічна інформація. Ми в Berezha Security в програмі нашого тренінгу з безпечної розробки використовуємо злами Equifax, Anthem та Office for Personnel Management (OPM), як стандартний приклад обрання мішеней для операцій міжнародного кібершпіонажу. Звучить пафосно, але насправді все дуже просто, дивіться.
1. Зламавши страхову компанію із монопольним держзамовленням Anthem, китайці отримали список усіх держслужбовців у США.
2. Зламавши глобальний відділ кадрів держагенцій OPM, китайці отримали список усіх держслужбовців США, які не мають доступу до інформації з грифом “SECRET” та “TOP SECRET”. Бо їх, як і скрізь у світі, супроводжують не звичайні кадри, а “режимщики-секретчики”.
3. Зламавши бюро кредитних історій Equifax, китайці отримали дані про те, як люди яких немає в другому списку, але які є в першому, вносять платежі по кредитах. І якщо раптом хтось із них запізнився два-три рази зробити внесок, чуйні китайці готові допомогти їм розв’язати ці матеріальні складності в обмін на шматочок батьківщини.

Ось така елементарна вправа з теорії множин. Тому, офіційна заява, що один із трьох інцидентів виконали китайські хакери в погонах, ставить крапку в обговоренні можливих версій щодо виконавців усіх трьох операцій. У диванних експертів, для яких усе це теорія змови, можуть виникнути сумніви. Розумію, не всі люди однаково обдаровані інтелектом. Але думаю, що посперечатися їм буде краще не зі мною, а з сім’ями страчених американських розвідників, яких китайському уряду вдалося виявити у схожий спосіб серед дипломатів, що знаходилися у Китаї.

Дехто іронізує, що звинувачення американської правоохоронної системи китайцям до одного місця. Це не так. По-перше, це не просто звинувачення, це повна деанонимізація оперативників супротивника та чіткий сигнал усім і всюди: так буде з кожним. По-друге, не треба забувати, що список країн, що мають зі Штатами угоду про екстрадицію, дуже довгий. І по-третє, в американської правоохоронної системи дуже довга пам’ять.

https://www.justice.gov/opa/pr/chinese-military-personnel-charged-computer-fraud-economic-espionage-and-wire-fraud-hacking