Категорія: Кібербезпека

Есе, рекомендації та думки на професійні теми: кібербезпека, аппсек та пентести.

Онлайн-генератор випадкових паролів від української кіберполіції

Прекрасний приклад того, як не треба здійснювати просвітницьку діяльність у сфері кібербезпеки від Департаменту кіберполіції Національної поліції України: онлайн-генератор випадкових паролів — https://www.cyberpolice.gov.ua/generate-password/.

Онлайн генератор випадкових паролів

Пояснюю, чому це безглузда ідея. Випадкові паролі це дуже-дуже добре, але вони мають сенс лише тоді, коли використовуються з надійним парольним менеджером (або парольним сейфом). Це така спеціальна програма, яка зберігає для вас випадкові паролі, кожен з яких унікальний та відповідає певному вебсайту або іншій системі. Користуючись парольним менеджером, ви можете зробити всі ваші паролі різними та випадковими. Та не хвилюватиметесь, що, зламавши один вебсайт, хакери отримають доступ до пароля, який ви використовуєте скрізь.

І кожен нормальний парольний менеджер має функцію генерації випадкових паролів. Тому просунуті користувачі, які мають парольні менеджери, пропозицією Кіберполіції не скористаються.

А скористаються нею ті користувачі, які парольного менеджера не мають. І в такому випадку у них буде три варіанти використання рандомного пароля:

  1. Запам’ятати його та використовувати скрізь.
  2. Записати його десь в небезпечному місці.
  3. Забути його одразу ж після використання.

Сподіваюся, для всіх очевидно, що усі три наведені сценарії не покращують безпеку, а №3 ще й ускладнює користувачу життя.

Тому, використовувати скрізь унікальні паролі, згенеровані випадковим чином та зберігати їх у парольному менеджері — це набагато більш корисна порада, ніж використання онлайн-генератора. (До речі, вона міститься в цих порадах з персональної кібер-безпеки: https://github.com/sapran/dontclickshit). Достатньо просто трохи поміркувати над моделлю загроз, до якої застосовуються ці два альтернативні заходи безпеки, і все стає зрозуміло. Але ж то багато роботи.

Ще одним прикладом беззмістовної активності з метою продемонструвати, що для кібербезпеки в Україні “щось робиться” є масова розсилка спаму абонентам мобільного зв’язку з рекомендаціями відвідати посилання на поради з персональної кібербезпеки на вебсайті CERT-UA. Спільнота спеціалістів кібербезпеки роками привчала користувачів не клацати підозрілі посилання, але це все марно; там, “на горі”, своє бачення ландшафту загроз, а політикам треба продемонструвати швидку та ефектну дію, а не побудувати надійну та ефективну систему захисту.

Відгук: Bruce Schneier –  Click Here To Kill Everybody

Ревю без подробиць

Одним рядком

Брюс знову написав цікаву та корисну книжку для широкого загалу, в якій він оповідає про сучасні та майбутні виклики індустрії кібербезпеки.

Загальні враження

В мене стійке враження, що з часом Брюс Шнаєр зрозумів свою головну мету в житті – створити інфопростір, в якому технологи, гуманітарії та політики зможуть спілкуватися та знаходити продуктивні рішення проблем сучасного людства. Він цілком розуміє недосяжність цієї мети найближчим часом, але докладає неймовірних зусиль для того, щоб, можливо, хтось інший досягнув її в майбутньому.

Найважливіші висновки

Інтернет й досі не цікавий політикам з точки зору безпеки, адже з його допомогою не так вже й легко когось вбити. Internet of Things виправляє це прикре неподобство.

Все більше і більше об’єктів в реальності під’єднуються до інтернету та навіть отримують певну автономність. Тому цілком можливо що найближчим часом катастрофи з використанням автономних та під’єднаних до інтернету механізмів – автомобілів, кардіостимуляторів, холодильників тощо – стануть буденною реальністю. Інтернет вразливий, він таким задумувався і за останні 30 років ми не зробили нічого, щоб це виправити. Тепер ми вирішили під’єднати до нього пристрої, які готують нам їжу, регулюють дозування ліків, та ведуть аудіо та відео спостереження у спальнях наших дітей.

Невдовзі після того, як інтернет почне складати реальну загрозу людським життям, до праці візьмуться політики, які спробують його регулювати. Поточні спроби цензури та обмеження доступу до окремих ділянок інтернету будуть виглядати на фоні цього регулювання іграми в пісочниці. Брюс малює ескізи успішних, не дуже успішних та відверто провальних сценаріїв американського та глобального регулювання такого роду.

Загалом книжка вийшла дуже цікава, без зайвого трагізму та драматизму. Буде цікавою усім, хто має в сфері інтересів вплив технологій на суспільство. І особливо тим, кому доводиться регулярно пояснювати ці концепції іншим в освітній та просвітницькій діяльності.

Моя власна оцінка: 8/10.

https://www.schneier.com/books/click_here/

Ризики MobileID

Чому я не поділяю ентузіазм з приводу ЕЦП на SIM-картах

Що людям, які у захваті від запуску MobileID, треба нагадати про безпеку:

  1. Технологія MobileID використовує смарткарту в SIMці для ідентифікації користувача та створення цифрового підпису. Який, як багатьом відомо, у нас прирівняно до підпису звичайного, з усіма наслідками.
  2. SIM-картки, банківські картки, та картки супутникового телебачення — три наймасовіші застосування смарткарт у світі. Наймасовіші слід читати як найдешевші.
  3. Картки супутникового ТВ — ламані й переламані. Банківські картки… та що я вам буду розказувати. SIM-картки пройшли крізь не менш драматичну історію становлення.
  4. І найголовніше: з цих трьох типів смарткарт SIMки — найдешевші. Адже донедавна ризик втрати або викрадення SIMки обмежувався втратою номера телефону. Використання номеру телефону для ідентифікації в месенджерах і для доставки одноразового паролю в протоколах аутентифікації підняло ставки, але не занадто.

А ось тепер вам має бути ще радісніше від того, що у вас з’явилася можливість використовувати SIMку для укладання договорів, відкриття та припинення бізнесу, та здійснення онлайн-доступу до історії хвороби. Мої вітання!

Якщо ж серйозно, відчуття ризиків тут можна отримати інтуїтивно. SIMки створювалися для набагато менш ризикованих застосувань, тому в їхню безпеку вкладалася адекватна, тобто невелика, кількість грошей. Щойно вигода від успішної атаки на SIM-карти виросте (а так і буде, адже тепер це ваш паспорт, підпис, та відбиток пальця на шматочку силікону), виросте й цікавість з боку нападників, до якої ця технологія не готова.

Ну і нарешті, гарантія безпеки, підтверджена державною експертизою — це фраза, яка в спеціалістів з безпеки нічого крім іронії не викликає. Гарантія тут полягає в тому, що держава впевнена, що все, що підписано цифровим підписом з вашим MobileID — ваше і ви від цього не відхреститесь. Тобто, ця безпека не на вашу користь, а якраз навпаки.

Найбільш яскрава метафора, яка спадає на думку: ви усе життя отримували пошту у поштову скриньку на першому поверсі, яку зачиняли на невеличкий замочок, відімкнути який можна за 5–10 хв без жодної підготовки звичайним сірником. До того ж, громіздку конструкцію з десяти поштових скриньок, розташовану у вашому під’їзді, можна трохи відхилити від стіни, до якої вона прикріплена лише згори, простягнути руку в утворений отвір, та занурити пальці до вашої (?) скриньки, адже задньої стінки в ній немає — напевно з метою економії матеріалу. Всі згадали про що я?

Так ось, тепер вам пропонують отримувати зарплатню у чеках на пред’явника, які надсилатимуться вам звичайною поштою.


Як зробити так, щоб якомога менше людей мали доступ до даних про ваші дзвінки, листування та…

про дзвінки, листування та місцезнаходження

“A hypothetical question, Miss Rey. What price would you pay, as a journalist I mean, to protect a source?” Luisa doesn`t consider the question. “If I believed in the issue? Any.” “Prison, for example, for contempt of court?” “If it came to it, yes.” “Would you be prepared to… compromise your own safety?” “Well…” Luisa does consider this. “I… guess I’d have to.”

– Cloud Atlas by David Mitchell

Давайте я розповім, як зробити так, щоб ані Генеральна прокуратура, ані СБУ, ані ФСБ не мали доступу до даних про ваші дзвінки, листування та місцезнаходження. Але спочатку, про те, що саме неправильно з наданням доступу до даних листування, дзвінків та розташування журналістів. Особливо тих журналістів, які ведуть антикорупційні журналістські розслідування.

Я буду спрощувати. Деколи в корумповані державні структури волею долі потрапляють порівняно чесні люди, які ставлять інтереси суспільства вище, ніж “професійну етику” також відому як кругова порука та “захист своїх системою”. Уявіть, що існує посадовець правоохоронних органів, який є свідком корупційної діяльності своїх колег і готовий повідомити про це у відповідні компетентні органи. Як йому бути, якщо в нього немає впевненості, ні, немає навіть надії на те, що представники компетентних органів не задіяні в корупційній схемі? Більше того, як бути, якщо факти корупції спостерігаються у відомстві найвищого рівня, яке здійснює контроль над всіма іншими відомствами?

Один з реалістичних планів дій, це надати фактам правопорушень публічний розголос. Для цього в цивілізованому ліберально-демократичному суспільстві існує вільна преса. Та преса, яка пес демократії, а не та що на зарплаті в Кремля та олігархів. Справжня преса, справжня слідча журналістика, базується саме на таких джерелах суспільно значимої інформації, яка може та повинна використовуватися для здійснення громадського контролю над роботою відомств, які відомі своєю культурою закритості та секретності. Вільна преса — це відповідь на запитання, хто буде охороняти охоронців та судити суддів.

Без вільної преси неможлива демократія, а вільна преса неможлива без свободи слова та внутрішніх джерел інформації про зловживання на держслужбі. І так само, як нам треба захищати свободу слова, журналістам треба захищати свої джерела. Не лише тому, що вони надають цінну інформацію та дозволяють готувати “бомби” та “сенсації”. А ще й для того, щоб чесні люди, які працюють “в системі” та спостерігають її збочені корумповані прояви, мали надію на захист та анонімність, менше боялися помсти “системи” й частіше виводили її адептів на чисту воду.

Тому ухвала суду про надання слідчим генпрокуратури доступу до метаданих дзвінків, листування та розташування антикорупційного журналіста, який веде розслідування про зловживання в генпрокуратурі та ймовірно спілкується з відповідними джерелами, повинна мати дуже серйозне підґрунтя. Інакше вона є не просто неприйнятною з професійної та етичної точки зору. Вона є прямою загрозою категоріям, які ми називаємо “правовою державою”, “європейським вибором”, “демократією” тощо. Що може стати підґрунтям для такого ризикованого виключення? Наприклад, підозра в шпигунстві на користь ворожої держави. Або підозра в державній зраді. Або підозра в терористичній діяльності. Або підозра в виготовленні дитячої порнографії. Але точно не роль свідка в антикорупційній справі.

Тепер про земне: як зробити так, щоб надавати доступ не було до чого.
Спочатку давайте визначимось щодо характеру даних, які зберігаються вашим оператором мобільного зв’язку. Зазвичай мова йде про метадані, тобто дані про дані. Тут спочатку трохи складно, але ви звикнете.

Дані — це те, що ви передаєте під час листування та спілкування голосом. Тобто це текст повідомлень та запис дзвінків. Дані оператори не зберігають, або принаймні не повинні це робити, бо це незаконно. Точніше так, дані дзвінків оператори не зберігають, а дані СМС зберігають короткий час поки вони не знайшли ще свого отримувача та “застрягли” на сервері оператора.

Метадані — це те, що залишається в оператора після того, як дані були передані. Тобто, це відомості про те, що, коли, між ким, в якій формі, та як довго відбувалося. Кожне передане СМС та кожна телефонна розмова залишає по собі запис в якійсь базі даних (насправді в декількох), для того, щоб оператор зміг тарифікувати свої послуги та виставити вам рахунок, а також — за вимогами законодавства — саме для таких випадків, коли слідчим можуть знадобитися деталі листування або список контактів, скажімо, наркодилера. Звичайно ж, ці дані не застраховані від нецільового використання, але зараз не про це.

Окрему категорію метаданих складає геолокація, тобто приблизні (або точні) координати абонента. Оператор має доступ до вашого розташування, тому що згідно з протоколами мобільного зв’язку він завжди в курсі, на якій базовій станції ви зареєстровані, та які інші базові станції знаходяться поруч з вами. Маючи координати трьох найближчих до вас базових станцій та дані про відповідну силу сигналу, оператор може застосувати алгоритм триангуляції та визначити ваше географічне розташування з точністю до десятків метрів або й ліпше.

Що ж робити для того, щоб залишати по собі якомога менше метаданих? Відповідь очевидна: не користуватися СМС та дзвінками. Я серйозно.

Замість СМС використовуйте захищені месенджери — програми передачі миттєвих повідомлень — які здійснюють шифрування вашого листування з кінця в кінець. Якщо хочете найкращого захисту, використовуйте Signal — це повністю наскрізь зашифрований месенджер, користуючись яким ви не залишаєте по собі жодних метаданих: були прецеденти, коли до оператора серверів Signal приходили тамтешні “маски-шоу” і в них буквально нічого було показати в якості метаданих про спілкування абонентів. Якщо хочете екстриму — спробуйте Ricochet, він додає анонімності але не дуже популярний серед звичайних користувачів. І пам’ятайте: WhatsApp хоч і шифрує ваші дані цілком аналогічно Signal-у, але при цьому ділиться метаданими з Facebook, тому точно десь їх зберігає і в це десь можна прийти з обшуком.

Замість мобільних дзвінків використовуйте IP-телефонію. FaceTime або дзвінки у WhatsApp можуть бути непоганим варіантом, але для кращого захисту, не дивуйтеся, я рекомендую той самий Signal. З причин висвітлених в попередньому абзаці, плюс вони останнім часом непогано підросли по якості зв’язку та додали відео-дзвінки. Одне зауваження: жоден з безпечних способів спілкування голосом не передбачає групових дзвінків. Але що то у вас за секрети, які мають знати більше двох?

Я навмисно пропускаю опис вад всіх решти месенджерів, адже це тема, яка вже неодноразово висвітлювалася в тому числі і мною.
Отже, користуючись для листування та дзвінків захищеним застосунком, який підтримує End-to-End шифрування та не був помічений в співпраці з правоохоронними органами, ви залишаєте вашому оператору мобільного зв’язку метадані про ваш СМС-спам та дзвінки телемаркетерів, а також метадані про ресурси в інтернеті, які ви відвідуєте та якими користуєтесь. Ці метадані містять IP-адреси та імена хостів (з яких можна зробити висновок про те, якими месенджерами та сайтами ви користуєтесь), а також коли і якими об’ємами даних ви з ними обмінюєтесь. Щоб приховати цю чутливу інформацію, вам слід скористатися послугами віртуальної приватної мережі (Virtual Private Network, VPN) або мережі Tor (The Onion Router). Також, використовувати їх можна одночасно, але то вже екзотика.
VPN підійде вам у всіх випадках, коли вашою основною загрозою є хтось крім спецслужб супер-держав. Головне правильно обрати сервіс-провайдера, точніше юрисдикцію, в якій він розташований. Я всім рекомендую ProtonVPN, але можуть бути варіанти. Використовувати “саморобні” VPN-сервери може бути зручніше та дешевше, але будьте готові до непорозумінь з Netflix та розпізнавання мостів, автобусів та пішохідних переходів на картинках re-captcha від Google. До того ж, цей варіант надає вам менше псевдонімності в інтернеті, тому що ви не зможете “розчинитись” в декількох сотнях тисяч інших користувачів комерційного VPN-сервісу.

На останок, не дуже приємна новина. Дані геолокації від оператора зв’язку приховати нереально, тому що без цієї функціональності мобільний зв’язок не працюватиме й передача даних буде неможлива.
Сподіваюся, ці поради допоможуть вам більш впевнено почуватися у стосунках з вашим мобільним оператором.

Трохи про блокчейн, штучний інтелект, машинне навчання та великі дані в кібербезпеці

Якщо ви спитаєте в людини, яка хоч трохи знається на кібербезпеці, поради щодо найефективніших засобів захисту від кібер-загроз, то почуєте приблизно таке.

  1. Оновлюйтесь. От просто оновлюйте регулярно софт і операційну систему і все. Бажано автоматично. Всі тотальні кібер-інциденти з трагічними наслідками ставалися через застаріле та вразливе програмне забезпечення. (Підказка: доведеться заплатити за всі ліцензії, а шо ви думали).
  2. Не використовуйте однакові паролі. Якшо ваш пароль утирять в одному місці, його одразу ж спробують використати в усіх інших. Буде якось по-дурному втратити поштову скриньку через вразливість у веб-крамниці парфумів. (Підказка: ну ви здогадалися, шо паролі мають бути складні, але вам суттєво спростить життя використання парольного менеджеру).
  3. Увімкніть скрізь другий фактор. Бо він вже скрізь є. І тоді складність викрадення у вас облікового запису одразу ж відлітає в космос. Якщо його десь нема, то це десь — неважливе. А скрізь де важливо — він вже є. (Підказка: популярні парольні менеджери допоможуть централізовано зберігати матеріал другого фактору та надійно його бекапити).
  4. Використовуйте шифрування комунікацій з кінця в кінець. Всі поважні месенджери це підтримують за замовчуванням, а решта надають як опцію. Якшо хтось не підтримує — видаляйте. З Е2Е-шифруванням ваші комунікації будуть захищені найкращим чином, щоправда деякі розробники все ще будуть мати змогу відслідковувати з ким ви спілкуєтесь. (Підказка: Signal найкращий вибір, а WhatsApp хоч і належить Facebook, але поки що найближча альтернатива).
  5. Не вимикайте Defender у Windows. Всі антивіруси неефективні, цей принаймні йде на здачу з віндою і за нього не треба платити окремо. (Підказка: тут є підгрунтя для дискусії, але я я дуже впертий, тому ви все одно капітулюєте).

Отже, ці п’ять порад захистять вас від переважної більшості загроз та зловмисників. Тепер увага, питання: де тут є простір для застосування блокчейну, бігдати, машинльорнінгу або, тьфу-тьфу-тьфу, штучного інтелекту?

Що з цього є настільки складною інженерною задачею, щоб вимагати використання розпіарених новітніх технологій? Хіба що п’ятий пункт про антивіруси. І навернуті таким чином двіжкі будуть мати набагато більше хибних спрацьовувань, вимагатимуть постійної уваги кваліфікованого персоналу, та коштуватимуть просто нереальних бабок. А у випадку виконання пунктів 1–4 будуть майже так само непотрібними, як і звичайні сигнатурно-евристичні авери.

Тому на мою скромну думку в користувацькій (AKA consumer) кібербезпеці поки що немає місця для баззвордів типу Blockchain, Big Data, AI, ML та решти булшиту. І якщо ви бачите рекламу, яка намагається виїхати на використанні цих новомодних слівець — скоріш за все до вас підкрадаються шахраї.

Дякую за увагу, тисніть лайки та рекомендуйте друзям. І не забудьте підписатися натиснувши Follow. Тому що кожен раз, коли в мене з’являється новий фоловер, десь у цьому світі неповнолітній хакер обирає світлу сторону. Тру сторі.