Категорія: Кібербезпека

з шинкою та моцарелою

На тлі подій, які розгорнулися цього тижня щодо партнерства одного українського кібербезпекового івенту та російського журналу “Хакер”, в багатьох колег, а тим більше в людей з-поза меж “кібер-тусовки”, виникло багато питань. Я за останні два дні трохи втомився на них відповідати, але залишати їх без відповіді не можна. Тому ось вам невеличкий екскурс в українську хакерську геополітику.

Почнемо з того, що більш за все дезорієнтує стороннього спостерігача, який волею-неволею зіштовхується з так званою спільнотою кібербезпеки. Немає ніякої спільноти. Звісно, є досить велика група людей, які ведуть діяльність в спільній, хоч і досить різнобарвній, області знань. Але цілісної спільноти вони не утворюють. Скоріше, це декілька утворень, які мають різні погляди, інтереси та цінності. Розрізнити такі утворення можна за двома ознаками: яке в його учасників бачення індустрії кібербезпеки як явища, та які в його учасників етичні пріоритети.

Бачення спільноти в людей буває або одного з трьох типів, або поєднує ці типи в комбінації. Перші розглядають кібербезпеку як бізнес та бачать тут лише роботу або підприємницьку діяльність. Другі бачать в кібербезпеці професію, область знань та предмет вивчення й подальшого розвитку. Треті бачать в кібербезпеці певну субкультуру, яку називають хакерською. Типи сприйняття накладають відбитки на поведінку своїх носіїв, наприклад, перші вимагають один від одного певної ділової етики, другі інвестують час у допомогу менш досвідченим колегам, а треті створюють та розганяють тематичні інтернет-меми. Комбінації двох бачень трапляються досить часто. Цілком ймовірно, що хтось наб’є собі тату з лого Kali Linux та поїде так виступати по світових конференціях. Але поєднання всіх трьох світоглядів в одній голові зустрічається дуже рідко. Проте нерідкі випадки, коли носії одного світогляду успішно імітують інший або навіть інші два. Але в підсумку для когось з нас кібер це бізнес, для когось — спільнота однодумців, а для когось — хакерська субкультура. І цей світогляд певною мірою визначає нашу поведінку.

Етичні пріоритети, це відповідь на питання, що для вас важливіше із отакого короткого списку:
1. Бути хорошою людиною
2. Бути хорошим членом суспільства
3. Бути хорошим громадянином
4. Бути хорошим професіоналом та працівником
Давати означення категоріям вище я не буду, адже це марна трата часу: в людей, в яких вони мають суттєві відхилення від загальноприйнятих, все настільки запущено, що в чомусь їх переконувати не має сенсу, а в решти із цим все добре. Ключові відмінності в етичних пріоритетах настільки важливі, що можуть розділяти цілі цивілізації. Наприклад, представники західної цивілізації набагато більші індивідуалісти та менше довіряють державі, тобто для них 2>3. Мешканці Сходу навпаки — більші колективісти, а інтереси держави ставлять вище особистих, хоч і не завжди добровільно. Наші рішення залежать від того, в якому порядку в нашій свідомості розташовані ці іпостасі. Для когось професійна діяльність та бізнес важливіші за громадянську позицію, тому він може продовжувати вести справи із представниками країни-агресора в умовах війни. А для когось життя та свобода людини важливіші за професійні обов’язки, тому замість виконання обов’язків за контрактом він організовує пікет під будинком суду.

Тип світогляду та моральні пріоритети визначають як люди поводяться та як вони організовуються у групи. Важко уявити собі цілісну спільноту, в якій співпраця із резидентами країни-агресора одними учасниками схвалюється, а іншим піддається критиці. Тому професіонали гуртуються за спільними цінностями й утворюють спільноти, яким ці цінності характерні. Все починається із виникнення лідера або лідерів, які розділяють світогляд один одного, та закладають фундамент майбутньої спільноти. Далі до лідерів приєднуються перші послідовники, які становлять ядро спільноти. А далі до нової спільноти приєднуються всі інші охочі учасники, які розділяють її ідеологію.

В результаті, українська професійна тусовка розпадається на ізольовані групи, які більшість часу ігнорують одна одну. Групи несуть різну ідеологію, від відверто ватно-миролюбної, де вважається за честь підтримувати дружні стосунки із російськими колегами, відвідувати російські професійні конференції та навіть брати участь в їхній організації; крізь, наскільки це можливо, нейтральну, де процвітає віра в “хороших русских”, які не цікавляться політикою та не схвалюють дії свого уряду; до радикально антиросійської, де сама ідея спілкування із росіянами, запрошення їх у доповідачі на конференціях та будь-яка інша співпраця розцінюється в кращому випадку як невдала спроба пожартувати. Ці розбіжності з професійної та субкультурної площин перетікають в бізнесову: компанії, точніше їхні працівники, прискіпливіше обирають, яку із спільнот підтримувати матеріально, коли намагаються уникати асоціацій із певними ідеологічними принципами або їхньою відсутністю. Зрештою, світогляд та етика переплітаються в певний орнамент, який визначає характер спільноти та її успіх в цільової аудиторії. Народжуються символічні гасла та меми, як то “мы за дружбу”, “хакери вне политики” та “чей Крым?”, спільноти-носії яких явно себе ідентифікують, чим притягують нових членів та відштовхують ідеологічних противників. (Про всяк випадок розшифрую гасла: “мы за дружбу хакеров России и Украины”; “хакеры вне политики”, а той факт, що кібератаки становлять чи не найгарячіший домен геополітичного протистояння, ми ігноруємо; “чей Крым?” — і ви можете подумати, що відповідь на це питання визначить перспективу нашого подальшого спілкування, але скоріш за все ми просто над вами знущаємось).

Діяльність спільнот протікає в більш-менш спокійному темпі, допоки в діях однієї з них не виникне вчинок, який кардинально суперечить світогляду іншої або інших. Спільноти в різній формі обмінюються критикою, форма якої, як і реакція на неї, буває досить різноманітною та залежить від освіченості, вихованості та настрою лідерів та учасників спільнот: від “дякую за конструктивне зауваження” до “іди умнічай в своєму чаті”. Загалом, більшість часу все доволі тихо та взаємні випади максимально нівелюються небажанням розводити черговий срач в чатах та коментах. Але серйозні косяки викликають обурення, яке викликає рефлексію, а там і до ланцюгової реакції недалеко. Останнім часом такими косяками стають вчинки, які кидають тінь на усе умовне українське “ком’юніті”, якого, як я написав на початку, фактично не існує. І саме тому все більше людей та спільнот хочуть відмежуватися один від одного та зруйнувати цей стереотип про єдину спільноту.

Сподіваюся, наступного разу, коли ви будете читати статтю, що починається зі слів “експерт з кібербезпеки вважає…”, “українські хакери стверджують…” або “хакерська конференція запросила до партнерства…”, ви не станете узагальнювати та застосовувати її вміст до усіх представників нашої професії.

В одному з попередніх постів я писав про топ-5 способів зламу, які користувалися надзвичайною популярністю в минулому році. В цьому дописі мова піде про топ-5 способів захистити себе та своїх клієнтів, якими компанії могли б скористатися, але вперто не цього роблять.

---

1. Двохфакторна автентифікація.

Цей найпростіший спосіб радикально підвищити безпеку вперто ігнорують більшість компаній. “Фактор” автентифікації в перекладі з англійської означає “множник”. Тобто, додаючи до паролю другий фактор (скажімо, одноразовий код, який генерується мобільним додатком), можна умовно збільшити складність зламу системи удвічі.

Навіть сумнозвісні одноразові паролі з доставкою по SMS, якщо використовувати їх разом з звичайними паролями, а не замість них, — це просто колосальний приріст безпеки за доволі помірні гроші. А переважна більшість додатків та сервісів, особливо корпоративних, вже давно надає можливість увімкнути так звану двохетапну перевірку.

Та де там — такі вправи не для пересічних користувачів, а про клієнтів й мови немає — вони одразу ж від нас повтікають до конкурента, який не обтяжує їх введенням ще одного значення в веб-форму. Я вам більше скажу: у списку розсилки OWASP Leaders, в якій тусять керівники відділень та проектів OWASP, пару тижнів тому розгорілася дискусія про те, чи доцільно ввімкнути нарешті примусовий другий фактор у домені Google Apps цієї організації. Якщо серед лідерів OWASP знаходяться люди, які ставлять під питання необхідність цього заходу, то що вже казати про нормальних людей?

2. Вставка з буферу обміну в поле паролю.

Ось як буває, коли рішення щодо заходів безпеки приймають не менеджери, а програмісти. Соромно сказати, але в 2019 році на веб-сайтах деяких банківських установ користувачам все ще доводиться вводити пароль ручками. Парольні менеджери? Ні, не чули.

Замість того, щоб згенерувати собі складний та унікальний пароль з 20 символів та автоматично вставляти його у форму під час входу в систему, клієнт повинен страждати. Він повинен вигадувати пароль самостійно, зберігати його в голові, та вводити пальцями кожен раз, коли відвідує веб-сайт. При цьому, клієнт помилиться мовою вводу або натисне неправильні клавіші, заблокує свій обліковий запис, та піде із паспортом на уклін до відділення банку, щоб його розблокувати. Тому що таке вже в програміста було уявлення про безпеку.

3. Захист від фішингу.

Два прості кроки з захисту працівників від фішингу: ввімкнути анти-спуфінг електронної пошти (декілька заголовків DNS) та відмічати усі вхідні повідомлення, скажімо, словом EXTERNAL в полі Subject. Таким чином зловмисникам стане складніше підробляти електронні листи так, ніби вони надходять із ваших корпоративних поштових доменів, а фішинг з саморобних доменів та безкоштовних поштових сервісів привертатиме увагу позначкою про походження зовні.

Як соціальний інженер з багаторічним досвідом, я стверджую, що ці дії можуть убезпечити персонал від фішингових атак відсотків на 95, а решта 5 закривається тренінгом та “інцидентною практикою”. Проте, на жаль, багатьом організаціям набагато простіше звинуватити користувачів в тупості, обізвати прокладкою між кріслом та монітором, та налякати покаранням за кожне натиснуте посилання.

4. Відокремлення юзерів від адмінів.

Мені важко уявити умови, в яких в бізнес-середовищі користувачам можуть знадобитися права адміністратора в додатках та операційній системі. Тим не менш, в багатьох організаціях звичайним користувачам часто надають щонайменше права локальних адмінів на їхній робочій машині.

Звісно ж, так набагато простіше для всіх: адміни можуть розслабитись та рідше відриватися від “справжньої роботи”, а юзери можуть за потреби встановити собі потрібну програму або драйвер нового пристрою. Але це спрощення може стати причиною повної компрометації інфраструктури компанії в наслідок зламу всього одного робочого місця. І мені не відомі випадки, коли користувачів позбавляли підвищених привілеїв до того, як траплявся такий тотальний інцидент.

Тому що, ясна річ, у всіх “топів” на лаптопах та сама картина, а в разі чого хто винен? Та ніхто, бо як же ж від тих хакерів захиститись? Стихійне лихо…

5. Відокремлення мереж за призначенням.

Буквально всі організації починають будувати свої мережі не за принципом бізнес-необхідності, а з міркувань територіальної розподільності. Тобто, окремі мережі отримують київський, львівський та харківський офіси, а не окремі департаменти.

Це може здаватись логічним, але насправді є ще одним шляхом найменшого спротиву, який веде до компрометації. Адже різні підрозділи виконують різні функції, мають різні стосунки з зовнішнім світом, і наражають організацію на ризики різного рівня. Наприклад, ІТ-департамент довго обирає постачальника нового ІТ-рішення, потім місяці випробовує його в віртуальній лабораторії, після чого розгортає в ізольованій мережі та поступово відкриває до нього доступ іншим підрозділам. В той час, як департамент розробки програмного забезпечення повинен мати змогу протягом 10–15 хвилин розгорнути з шаблону нове середовище розробки та під’єднати його до власної мережі, мережі клієнта та дикого інтернету.

Звісно ж, в разі компрометації менш суворо захищеної мережі, коли між нею та іншими підмережами немає надійної політики контролю доступу, інцидент швидко поширюється в усі боки та бізнес зупиняється повністю. В той час, як у випадку правильної сегментації наслідки будь-якого проникнення можна обмежити рамками однієї бізнес функції.

---

Сподіваюся, ці рядки надихнуть когось переглянути своє ставлення до зазначених проблем та щось змінити в цьому світі. Але сподіваюся не дуже сильно, адже така ймовірність дуже мала. Принаймні до наступного глобального мережевого вірусу, який вкладе пів інтернету.

Бережіться.

(enigma.ua, blogs.korrespondent.net тощо)

На жаль, факту блокування Enigma.ua та низки інших веб-сайтів приділяється занадто мало уваги в ЗМІ та соціальних медіа. А ось дуже шкода, тому що це якраз ті перші кроки з наближення нашого суспільства до тоталітаризму, про які ми з колегами попереджали вас ще за часів блокування російських веб-сайтів та соціальних мереж.

Давайте я спрощу для вас ситуацію. Відтепер, якщо якомусь/якійсь судді цього захочеться, “заблокувати” в Україні можна будь-що. Ще раз, щоб заблокувати медійний ресурс, достатньо переконати одну людину в тому, що якийсь контент на цьому ресурсі підпадає під критерії, визначені в анти-конституційному указі, згідно з яким попередня влада типу заблокувала ВК, Однокласники та решту пацакської шушвалі. Ми з колегами попереджали тоді, що даючи державі владу над нашим доступом до інформації, ми даємо їй змогу маніпулювати цією владою. І що найгірше, цей дозвіл пошириться на, та перейде у спадок до наступного уряду.

Узурпація контролю за доступом до інформації в інтернеті — це волога мрія будь-якого популіста, з яких, як відомо з історії, виходять досить пристойні тоталітарні диктатори. Зараз цього ще не помітно, але вже настав час нагадувати, що “ми ж вам казали.”

Що можна зробити? Для початку, було б чотко, якщо хтось би оце наважився моніторити подібні судові рішення та оновлювати “мапу несвободи” українського вебу. Динаміка розвитку подій підкаже наступні кроки. Скоріш за все свободу, яку ми так вигідно обміняли на швидку політичну дію під гаслом “дуси пацаків”, доведеться все ж таки виборювати взад, щодо методів прогнозів не роблю.

Але як мінімум варто розпочати (нарешті) використовувати якийсь пристойний VPN з виходом в цивілізованій країні десь в Бенелюксі чи Північній Європі. Згадаєте мої слова, ця штука вам ще знадобиться. І пам’ятайте — інтернет-провайдер вам в цій ситуації не друг, а скоріш навпаки. Провайдер тут для того, щоб заробляти свої бабки, і він змушений виконувати правила гри, нав’язані йому державою.

І ані провайдеру, ані державі, ані будь-кому в цьому світі немає діла до того, які сайти ви відвідуєте, якщо цим ви прямо не порушуєте закон.

або чому бізнес не змінив ставлення до кібербезпеки

Я нічого не писав про річницю неПеті, висновки що їх (не) зробила українська держава та бізнес тощо. Зокрема тому, що дуже хотілося почути думки колег і не тільки, а вже потім виносити свої спостереження на публіку. Свою думку щодо цього дуже часто висловлюю і журналістам, і колегам, і навіть клієнтам, але вони її чомусь далі не транслюють. Можливо, вона змушує їх задуматись, а може й ні. З огляду на таку реакцію, я собі зробив висновок, що моя позиція по цій темі непопулярна, хоча поки що ніхто не висунув цікавих контраргументів. Тому давайте-но я її озвучу широко.

Інцидент з неПетєю довів українській державі та бізнесу те, що вони і так знали: кібербезпека не така й важлива, та інвестувати в неї (в тому вигляді, як це пропонує робити ринок) немає особливого сенсу.

Звісно, є певні виключення: деякі компанії, які були геть не готові, нарешті почали робити хоч щось. Деякі компанії, яких зачепило сильніше, ніж конкурентів, зробили корисні висновки. Деякі компанії навіть зробили гасло “ніколи знову” частиною бізнес-стратегії. Але тут йдеться про десятки організацій, всім іншим — відверто все одно.

І з економічної точки зору вони абсолютно праві. По-перше тому, що тотальний інцидент, який накриває весь ринок (вертикаль/галузь/регіон) рівномірно, не складає аж такої великої загрози. Ось вам приклад: коли збитків зазнають всі конкуренти в певній ніші, жодного з них це особливо не топить, адже ніхто не втрачає клієнтів через брак альтернативи. Ця ментальність дуже поширена і з точки зору бізнесу вона вірна.

По-друге, будемо відверті: ніхто не вмер, нікому не відтяло кінцівку, нікого не посадили у в’язницю. Жодна компанія не повідомила про те, що в наслідок неПеті вона збанкрутіла та припинила існування. А недоотриманий прибуток — це просто гроші, їх можна потім заробити (чи як ви їх там здобуваєте). Ці думки заспокоюють бізнес, а безкарність заспокоює чиновників.

Щоб розділяти думку бізнесу треба трохи розібратися в економіці кібербезпеки, а не лише в кібербезпеці. Інвестиції в захист — це sunk cost, бабки які вже ніяк не вдасться повернути. А корисність цього вкладення дуже сумнівна, адже в найкращому випадку із вами просто нічого не станеться. Тому з точки зору керування бізнесом, реінвестиція в бізнес набагато ефективніша, ніж інвестиція в його захист. А через те, що нічого відмінного від інвестиції в захист “класичний” ринок кібербезпеки бізнесу запропонувати не може — тут я цілком на боці бізнесу.

Звісно, окрім захисту в кібербезпеці є ще два місця, куди можна інвестувати з метою уникнення чи зменшення ризиків: це побудова безпечних та живучих систем (security engineering) та підготовка до інцидентів (incident response). Перше дозволяє в процесі побудови зменшити ризики експлуатації систем, а друге — з меншими наслідками пережити атаку, якщо/коли вона відбудеться. Ці два напрямки інвестицій, навпаки, є досить дієвими і значно менш ресурсомісткими. Але “це складно”, чи принаймні складніше за побудову КСЗІ або придбання джентльменського набору фаєрвол + антивірус.

Ось такі в мене думки на тему неПеті. Дива не сталося, бізнес не “прозрів”, це цілком логічно і здебільшого правильно. Молодці ті, хто правильно підходить до інвестицій в кібербезпеку. Шкода тих, хто вишикувався в чергу за новими блимаючими скриньками. А для решти нічого не змінилося і звинувачувати їх немає в чому.

Бережіться розумно.

Якщо вам цікаво розібратися в тематиці фундаментально, почніть із цих публікацій:

• Measuring the Changing Cost of Cybercrime — WEIS 2019 (https://bit.ly/31jye6p)

Our conclusions remain broadly the same as in 2012: it would be economically rational to spend less in anticipation of cybercrime (on antivirus, firewalls, etc.) and more on response.

• Cybersecurity is not very important — dtc.umn.edu (https://www.dtc.umn.edu/~odlyzko/doc/cyberinsecurity.pdf)

There is a rising tide of security breaches. There is an even faster rising tide of hysteria over the ostensible reason for these breaches, namely the deficient state of our information infrastructure. Yet the world is doing remarkably well overall, and has not suffered any of the oft-threatened giant digital catastrophes. This continuing general progress of society suggests that cyber security is not very important.