Спеціалісти з кібербезпеки часто вчать, як треба захищатися. Однак мало хто з них ділиться інформацією про заходи безпеки, які використовує сам. Частково через те, що інструментів спеціаліста може бути занадто для пересічного користувача. Частково тому, що є у цій професії певна аура секретності, здебільшого непотрібної та безглуздої.
У відповідь на численні запитання, я вирішив опублікувати перелік інструментів, які використовую на своїх пристроях. І сьогодні я почну з заходів безпеки на лептопі. Моя основна робоча операційна система це macOS і цей вибір я також частково зробив з міркувань безпеки. Вона непогано підтримується, добре інтегрована з залізом Apple, і створює значно менше проблем, ніж Windows.
До того ж під капотом в macOS справжній Unix, славетний нащадок гілки BSD, тому й для роботи в кібербезпеці ця ОС підходить найкраще. Щоб завжди мати під рукою усі потрібні робочі інструменти, користувачам Windows треба постійно крутити у віртуалці якийсь Linux, а лінуксоїдам – Вінду. На Макосі ця проблема просто не існує: пакетний менеджер Homebrew задовольняє всі ваші потреби, і вам вдається об’єднати в одній системі зручний графічний інтерфейс та продуктивність командного рядка. Ну і зекономити при цьому гігабайти оперативної пам’яті. Але це я вже відхилився від теми, повернімося до власне інструментів особистої безпеки.
На першому місці тут звісно персональний мережевий екран, ширше відомий як фаєрвол. У мене це Little Snitch, але в безплатний Lulu майже так само потужний та гнучкий в налаштуванні. Основна задача фаєрвола на десктопі – це контроль вихідних з’єднань, адже з вхідним трафіком може впоратися й вбудований брандмауер. Навіщо контролювати вихідні з’єднання? З багатьох причин: наприклад, щоб не дозволити шкідливій програмі з’єднатися з сервером керування. Або щоб заборонити занадто відвертій програмі зливати аналітику в служби стеження за поведінкою користувачів. Little Snitch вимагає трохи уваги на початку, коли ви його навчаєте ваших звичок та вподобань. Але вже через кілька годин ви забуваєте про його існування й згадуєте про нього лише коли якийсь новий софт починає стукатись на свої сервери.
Далі йде Micro Snitch. Це родич героя попереднього абзацу, який відстежує спроби доступу програм до мікрофона та камери, і повідомляє про них користувачу. Іншими словами, коли ви розпочнете дзвінок у Zoom чи Skype, Micro Snitch повідомить вам про те, що ці утиліти мають доступ до звукових та відео пристроїв. Те саме він зробить, коли цей доступ отримають невідомі вам фонові програми. До присутності Мікросніча у системі теж треба звикнути, і це теж відбудеться дуже швидко.
Рухаємося далі до більш професійного набору інструментів. Тут на macOS впевнено лідирує Patrick Wardle та його проєкт Objective-See. Я користуюся такими інструментами з цього сімейства програм:
- KnockKnock – сканер програм, встановлених в операційній системі та налаштованих на автозапуск. Надзвичайно зручна штука, яка як і більшість інструментів Objective-See дозволяє зручно просканувати підозрілі програми на VirusTotal.
- BlockBlock – монітор спроб програм встановити персістенс в системі: такий собі KnockKnock в реальному часі.
- TaskExplorer – менеджер процесів, який не дуже зручно використовувати як основний, але треба тримати напоготові через все ту ж зручну інтеграцію з VT.
- KextViewr – ще один сканер, цього разу розширень ядра та драйверів, які використовуються операційною системою.
- RansomWhere? – монітор звернень до файлової системи, який повідомляє про спроби процесів розпочати шифрування файлів на диску.
Усі ці програми доступні безплатно, а ще на сайті Objective-See ви можете завантажити безкоштовні аналоги Little Snitch (Lulu) та MicroSnitch (OverSight). Ну і ще багато інших більш специфічних утиліт на будь-який смак.
У якості VPN-клієнта я використовую штатний WireGuard встановлений з AppStore. Він трохи тупить в момент виходу ОС з режиму сну, але загалом працює досить стабільно. Ну і ще прикольно, коли діти з сусідньої кімнати кричать: “– Тато, в мене Дракон перезапустився!” Я робив спроби налаштувати VPN-тунелі на рівні системних служб. Але тоді вони чомусь починають споживати непристойно багато системних ресурсів, тому я відкотився до програми рівня користувача. А, і ще у мене звісно ж є ProtonVPN, за допомогою якого я удаю своє розташування в інших країнах просто змінюючи VPN-сервер. Дуже зручно, особливо під час подорожі.
Мій парольний менеджер це 1Password. Ще з тих часів, коли в екосистемі Apple йому не було достойної альтернативи. Звісно, зараз вже не важливо, який саме з популярних парольних менеджерів ви використовуєте – аби використовували хоч якийсь.
Для моніторингу та перевірки безпечних налаштувань ОС я використовую OSQuery та Lynis. І якщо перший це тема для окремої статті або навіть книги, то другий під силу опанувати кожному, бо це просто скрипт, який робить кілька десятків перевірок та генерує зручний звіт.
А ще, сюрприз-сюрприз, у мене є антивірус. Хто мене давно знає або читає, той в курсі мого скептичного ставлення до цього класу заходів безпеки. Але є один антивірус, який я використовую сам, і який можу порадити іншим. Це Malwarebytes. Звісно, він у мене рідко ввімкнений на моніторинг процесів та файлової системи, але я регулярно запускаю в ньому повне сканування.
Якщо ж ви хочете глибше зануритися в тему безпечних налаштувань macOS, ось тут є чудовий мануал з харденингу цієї операційної системи. Наразі це все, чим я хотів із вами поділитися. Інші поради з персональної кібербезпеки ви завжди можете знайти на сторінці Don’t Click Shit. А в одному з наступних постів я розповім, які практики безпеки я застосовую, і чому.