Позначка: Месенджери

Інтерв’ю каналу Perceptron. Частина I

Перша частина інтерв’ю YouTube-каналу Perceptron. Говоримо про персональну кібербезпеку, як не стати кібержертвою, які є безпечні месенджери та чому це не Телеграм.

Перша частина інтерв’ю YouTube-каналу Perceptron. Говоримо про персональну кібербезпеку, як не стати кібержертвою, які є безпечні месенджери та чому це не Телеграм.

Надзвичайно цікавий та приємний досвід з усіх боків: Максим Зосим чудовий інтерв’юер, команда Perceptron зробила класний контент навіть з “бе” та “ме” клінічного кустарного подкастера, і взагалі, на всіх етапах виробництва ці хлопці змушують вас відчувати себе справжньою зіркою.

В наступному випуску: корпоративна та національна кібербезпека. Не перемикайтесь.

Не/безпека Zoom і чому я продовжую ним користуватися

Якщо ви ділите програмне забезпечення на безпечне та небезпечне, це означає що ви маєте дуже умовне поняття про безпеку програмного забезпечення. Вибачте, що розчаровую, але це так. Хороша новина в тому, що в певному віці так роблять усі, включно з автором цих рядків. Але в більшості це проходить, а в декого ні.

Все ПЗ вразливе, крапка. Бережа робить понад 50 проектів на рік, десь 40 із них пов’язані з перевіркою безпеки софта. Поодинокі 1-2 проекти завершуються дуже скромними рекомендаціями типу «тут підфарбувати» і «і тут поправить». Решта – мають у звіті досить серйозні зауваження. А деякі вразливості ми повідомляємо одразу, щойно їх знайдено. Тому що відкладати це до початку формування звіту чи навіть до завтра – тупо страшно. І ці вразливості виправляються ще до завершення проекту – з аналогічних міркувань. А ви потім цим софтом користуєтесь.

Безпека софта полягає не в тому, чи є в ньому вразливості. А в тому, як (і з якою швидкістю) з цими вразливостями чинить розробник. І тут справа навіть не в процесах та практиках (хоча за це мене зараз будуть сварити колеги по OWASP), а в рівні культури безпеки. І в цього рівня є очевидні індикатори.

Якщо розробник вразливості сам не шукає, перед іншими заперечує, виправляє повільно та ще й погрожує хакерам – його культура на умовному нулі або нижче. Якщо розробник регулярно робить оцінку захищеності чи хоча б пентест, самостійно тестує безпеку та відкритий до повідомлень про його вразливості, що надходять ззовні – його рівень культури значно вище середнього. Якщо ж розробник навчає безпечній розробці свою команду, має Application Security функцію, приділяє увагу розвитку відповідних навичок персоналу та ще й впроваджує та виконує практики з OWASP SAMM – його рівень десь за хмарами. А рекомендації у звіті про пентест будуть дуже стриманими.

Але все ПЗ вразливе, і колись у його коді (або в коді якоїсь його залежності) знайдуть надстрашну багу. І піонери від безпеки будуть носитися з нею та звинувачувати розробника в тому, що його продукт «небезпечний». А люди з досвідом будуть намагатися пояснити, в чому піонери помиляються, але марно.

А помилка насправді проста: якщо чиясь безпека залежить від вразливостей в окремому програмному забезпеченні, то хтось очевидно зробив свою роботу дуже погано. Взагалі, якщо безпека сконцентрована в якомусь одному місці – хтось десь налажав. Можливо, це відбулося в наслідок того, що я називаю «фаєрвольною ментальністю» – коли спеціаліст скеровується морально застарілою парадигмою «зон та периметру». А можливо, це й не спеціаліст, просто коли він повторює гасла за журналістами кібербезпекових онлайн-таблоїдів, скрадається таке враження.

Мінімальних навичок з моделювання загроз достатньо, щоб навчитися довіряти важливі для вас речі лише перевіреним та надійним інструментам. Плавно переходячи до конкретики – Zoom до цього кола не входить. Не може система, яка дозволяє одночасно спілкуватися вдесятьох та записувати відео в хмару, бути надійним засобом для передачі надконфіденційних даних. Будь-яка мінімально обізнана в безпечній системній архітектурі людина вам це підтвердить. І ніхто з експертів вам ніколи не рекомендував Zoom для передачі конфіденційних даних: я перевірив. «Але ж маркетологи сказали що в них наскрізне шифрування…» Та вгамуйтеся вже з тими маркетологами! Вам Паша Дуров вже казав, що Телеграм безпечний. Що ще кому не ясно?

Залишайтеся вдома та сидіть в безпеці.

Безпечні програми для дистанційної роботи

Переходите в дистанційний режим? Вітаю у клюбі. Чесно кажучи, Бережа зовсім нещодавно (десь 2 роки тому) почала використовувати офісне приміщення, до того часу ми працювали хто звідки. І ось третій тиждень як повернулися до “домашнього” формату.

Не буду нависати з порадами, як реорганізувати процеси, бо наша модель консалтингової фірми то штука екзотична і не на всі бізнеси налазить. Натомість, поділюся порадами, які безпечні інструменти варто використовувати. Все з власного досвіду, тому не претендую на істину в останній інстанції та буду радий додатковим порадам в коментах.

Всі наведені нижче варіанти пройшли п’ятирічну еволюцію. В ретроспективі виглядає, що критерії природного відбору були такі:

  • відносна безпека дизайну;
  • непогана репутація;
  • широка доступність на різних платформах.

Отже, по черзі.

1. VoIP та віртуальні мітинги

Це найважливіше і тут треба усвідомлювати: Телеграми, Скайпи та інші Вайбери – це не засоби для захищеного спілкування. З іншого боку, Рікошети та Ретрошари – протилежна крайність, в якій подекуди немає навіть базової функціональності. Тому:

  • Конфіденційні перемовини всередині команди: Wire
  • Синк-коли, стендапи та решта напів-секретних тем: Google Meet
  • Вебінари та інші “відкриті” дзвінки: Zoom

2. Чати та месенджери

Тут важливо для себе вирішити, що у вас в пріоритеті: безпека, чи зручність. Якщо у вас є змога поставити безпеку вище (в мене вона є) то жодні Слаки чи Тімзи для роботи у вас не використовуватимуться. Отже:

  • Робочі питання: для груп Keybase
  • Приватне спілкування між собою та з зовнішнім світом: Signal
  • Операційний смітник для логів, нотифікацій, ботів, алертів тощо: Slack

3. Файли та шари

Якщо роль email у вашому житті можна якось обмежити, то з файлами поки що це не працює. Доводиться працювати в MS Office, як не крути. Але принаймні ви можете шифрувати їх end-to-end та зберігати в захищеному криптографією стані.

  • Boxcryptor згори чого завгодно (Dropbox, Google Drive, OneDrive)
  • Whisply Links (built-in) для передачі файлів назовні. А краще той самий Signal.

4. VPN

Специфіка роботи пентестерів та спеціалістів з Application Security вимагає того, щоб клієнт завжди знав “звідки нас чекати”. Інакше, декілька разів на день доведеться відповідати на питання “це не ви?” Ні, не ми. Ось ми: список IP вихідних точок, на яких розташовані наші джамп-хости та сервери VPN.

Звісно, що деколи доводиться використовувати інструменти, які не просто не є захищеними, а навпаки. Зв’язок з зовнішнім світом буває важливіший за рівень захисту, тому Google Meet та Zoom важко викреслити з життя. Проте не варто забувати, що у програмах, які не створювалися для зберігання та передачі даних у захищений спосіб, не варто зберігати та передавати дані, які потребують захисту. Тут хочеться підкреслити, що електронна пошта не є і ніколи не була засобом конфіденційного спілкування, так само як і мобільний та дротовий телефонний зв’язок.

Використання захищених каналів може створити на початку певні незручності колезі старшого віку або необізнаному клієнту чи партнеру. Але згодом вони будуть вам вдячні за слушну пораду та почнуть змінювати й інші свої звички в бік приватності та безпеки.

P.S. Звісно ж, скрізь бекапи та 2FA. Але це вже зовсім інша історія.

Бережіться.

Нове розуміння приватності

Давайте потроху піднімати питання приватності в її новому розумінні. Почнемо з месенджерів, тому що якщо вам не за 60, то це напевно ваш основний метод комунікацій.

Отже, з приватністю повідомлень все зрозуміло. Спілкування або шифрується наскрізь за замовчуванням, так що у вас просто немає можливості помилитися, або ж ні. Але секретність повідомлень це ще не все.

Для того, щоб отримати про вас цінну інформацію, не потрібно читати ваші повідомлення. Достатньо знати з ким, коли, як часто, в яких об’ємах, з яких пристроїв, та як подовгу ви спілкуєтесь, а також мати уявлення про ваше географічне розташування та ваші дії до та після спілкування. Ці дані називаються метаданими, і їхнє розкриття призводить до компрометації вашої мета-приватності. Масові скупчення метаданих дозволяють сучасним мегакорпораціям, схибленим на поведінковій модифікації, буквально керувати нашими діями, спрямовуючи нашу увагу в потрібний їм бік в моменти, коли ми найбільш вразливі до розміщеного там меседжу. 

Поведінкова модифікація, це основа “економіки дій”, яка є пріоритетом для найбільших корпорацій на планеті – Google, Facebook, Amazon, Microsoft. Всі вони давно навчилися монетизувати метадані та генерувати з них колосальні прибутки. А напрацьовані таким чином моделі даних та алгоритми машинного навчання тепер займаються не лише контекстною рекламою, а й політичною пропагандою. Але зараз давайте зосередимось на тому, як метадані витікають із ваших месенджерів та потрапляють в бази даних цифрових гігантів.

Є така приказка, що коли щось вам дістається безкоштовно – то ви в цій транзакції не покупець, а товар. Це звучить дуже поетично, але насправді в сучасній економіці все давно не так. Все набагато сумніше. Товар це не ви, це ваші метадані. (Або й дані, якщо ви настільки необережні з вибором інструментів.) Ви ж в цій економіці – природний ресурс. Паливо, спалюючи яке, цифрові капіталісти отримують свій капітал – поведінкові алгоритми, навчені на петабайтах згенерованих вами даних. І чим більше в бізнесу даних, тим він успішніший, тому основною задачею сучасної економіки є розташування сенсорів в усіх областях людського життя, та інтенсивне викачування з них поведінкових даних. 

Першість тут звісно ж в холдингу Alphabet, широко відомого по своєму головному бренду Google. Гугл почався як світла надія людства на впорядкування земної інформації в зручному для використання вигляді. Але вже так сталося, що ані заради користі, а щоб тупо не здохнуть, засновники компанії мусили щось робити із фінансовою кризою, яка накрила індустрію буквально за пару років після заснування Гугла. Бум доткомів завершився великим пшиком, коли всі бульбашки голосно луснули, а справжні, чесні стартапи залишилися один на один із розгніваними інвесторами. Які, м’яко кажучи, не поспішали допомагати Силіконовій долині підніматися з колін. Рятуючи компанію від банкрутства, засновники поступилися своїми принципами та суверенітетом, згодувавши його інвестиційному капіталу. Який вимагає від своїх жертв не просто прибутковості, але експоненційного росту. (Бо прибуток обкладається податками, а капіталізація не дуже.) Таким ось чином на світі з’явився Гугл, який останні 15 років ніяка не корпорація добра, а справжнісінький монстр, що харчується метаданими своїх користувачів та монетизує їх у тисячі способів.

Гугл проникає в найбільш потаємні закутки нашого життя та постійно працює над тим, щоб проникнути ще глибше. Почавши з історії пошуку, він дуже швидко перестрибнув в нашу електронну пошту, запустивши 1 квітня 2004 року сервіс Gmail. Після такої перемоги над приватністю, далі справи пішли ще краще, адже ми впустили Гугл в свою пошту, що може бути ще інтимнішим? Якщо не довіряти Гуглу, то кому довіряти? Тому веб-браузер Chrome, смартфони під ОС Android, система супутникового шпіонажу, заснована ЦРУ та ребрендована як Google Earth, Google Maps та Google Street View, на яких можна побачити наші оселі ззовні, та Pokemon Go, який дозволив зазирнути на наш задній двір та за наш поріг – це неповний список перемог Гугла над нашим уявленням про приватність. І скрізь компанія використовувала схожу тактику, стверджуючи, що це нова реальність та новий світовий порядок. А нам не варто сперечатися із сучасними інноваціями, а треба спробувати отримати від них користь. Іншими словами, розслабитись та отримати задоволення.

Гугл завжди був і залишається флагманом нової цифрової економіки. Порівняно із ними Фейсбук, який за останні роки буквально перевернув додолу ногами наше уявлення про демократію та політичні процеси, – це купка криворуких імітаторів. Гугл найбільший інноватор, всі решта або беруть з них приклад, або мріють стати одною із букв Алфавіту. З придбанням Fitbit гугл занурив свої щупальці в тему здоров’я та фізіологічного трекінгу, а про контроль над “розумними домом” я навіть розпочинати не хочу. З іншого боку, якщо ваш телефон працює на стоковому Андроїді, то все написане вище не є найбільшою загрозою вашої приватності.

На цьому зробимо невеличку паузу, а згодом я розповім вам, які трекери метаданих можна знайти в найпопулярніших месенджерах. Ми розберемо декілька прикладів і я поясню, в скількох напрямках викачуються метадані із кожного із них. Якщо у вас є побажання щодо додатків, які нам слід розглянути – запропонуйте їх в коментарях.

Бережіться.

“Як не стати кібер-жертвою” оновлено

Оновлено посібник з персональної кібербезпеки ширше відомий під назвою Don’t Click Shit. Основні зміни: скорочення, оновлення застарілих фрагментів, вилучення нещодавно скомпрометованих опцій, реорганізація вмісту.

tl;dr: 

1. Не натискайте каку

Не відкривайте, не натискайте, та не запускайте підозрілі файли, посилання та програми.
Основне правило: якщо ви на це (лист, файл, посилання тощо) не чекали, це підозріло.

2. Використовуйте парольні менеджери

3. Використовуйте двохфакторну автентифікацію

Посилання на налаштування в різних сервісах: https://twofactorauth.org

4. Використовуйте безпечні месенджери

5. Використовуйте VPN

А також рекомендації з шифрування даних в мережі та на диску, захисту програмного забезпечення, використання персональних антивірусів, фаєрволів, налаштування резервних копій, мобільної та фізичної кібер-безпеки. 

Далі буде.

P.S. Будь ласка, не критикуйте та не викладайте тут коментарі до вмісту посібника. Покажіть, що ви шарите, не тут, а в Pull Request. Дякую.