Позначка: Паролі

Прекрасний приклад того, як не треба здійснювати просвітницьку діяльність у сфері кібербезпеки від Департаменту кіберполіції Національної поліції України: онлайн-генератор випадкових паролів — https://www.cyberpolice.gov.ua/generate-password/.

Пояснюю, чому це безглузда ідея. Випадкові паролі це дуже-дуже добре, але вони мають сенс лише тоді, коли використовуються з надійним парольним менеджером (або парольним сейфом). Це така спеціальна програма, яка зберігає для вас випадкові паролі, кожен з яких унікальний та відповідає певному вебсайту або іншій системі. Користуючись парольним менеджером, ви можете зробити всі ваші паролі різними та випадковими. Та не хвилюватиметесь, що, зламавши один вебсайт, хакери отримають доступ до пароля, який ви використовуєте скрізь.

І кожен нормальний парольний менеджер має функцію генерації випадкових паролів. Тому просунуті користувачі, які мають парольні менеджери, пропозицією Кіберполіції не скористаються.

А скористаються нею ті користувачі, які парольного менеджера не мають. І в такому випадку у них буде три варіанти використання рандомного пароля:

1. Запам’ятати його та використовувати скрізь.
2. Записати його десь в небезпечному місці.
3. Забути його одразу ж після використання.

Сподіваюся, для всіх очевидно, що усі три наведені сценарії не покращують безпеку, а №3 ще й ускладнює користувачу життя.

Тому, використовувати скрізь унікальні паролі, згенеровані випадковим чином та зберігати їх у парольному менеджері — це набагато більш корисна порада, ніж використання онлайн-генератора. (До речі, вона міститься в цих порадах з персональної кібер-безпеки: https://github.com/sapran/dontclickshit). Достатньо просто трохи поміркувати над моделлю загроз, до якої застосовуються ці два альтернативні заходи безпеки, і все стає зрозуміло. Але ж то багато роботи.

Ще одним прикладом беззмістовної активності з метою продемонструвати, що для кібербезпеки в Україні “щось робиться” є масова розсилка спаму абонентам мобільного зв’язку з рекомендаціями відвідати посилання на поради з персональної кібербезпеки на вебсайті CERT-UA. Спільнота спеціалістів кібербезпеки роками привчала користувачів не клацати підозрілі посилання, але це все марно; там, “на горі”, своє бачення ландшафту загроз, а політикам треба продемонструвати швидку та ефектну дію, а не побудувати надійну та ефективну систему захисту.

Випуск 1. Шторки для веб-камер

Починаємо серію публікацій з розвінчування кумедних міфів про кібербезпеку #кіберзабобони. В першому випуску читайте про шторки для вебкамер.

TL;DR: шторки для вебкамер –  це не більше ніж прикольний аксесуар і вам не варто сподіватися, що вони врятують вас від шпигунства. Якщо дійсно хочете вберегтися від підглядання та підслуховування  –  користуйтеся порадами з персональної кібербезпеки та не працюйте в операційній системі з правами адміністратора. Досвідчені користувачі можуть скористатися спеціальними програмами на кшталт Little Flocker або MicroSnitch.

Тепер по суті. Деякі люди вішають собі на вебкамеру ноутбуку таку невеличку шторку, одну з тих, якими розробники “рішень з безпеки” щедро засівають конференції та виставки. Пересічній людині може здатися, що в такому засобі захисту приватності є зміст. Але подумайте: якщо в вашій системі завівся шпигун (програма/агент віддаленого доступу, яким користується зловмисник), то чи не варто задуматися над перевстановленням операційної системи замість марнування ізострічки та псування поверхні екрану сумнівними сурогатами?

Поміркуймо категоріями оцінки ризиків. Шторка не врятує вас у випадку, коли у вашій системі вже повністю та безроздільно хазяйнує незнайома (або знайома) вам людина. Яка може читати текст, який ви вводите на клавіатурі, слідкувати, куди ви ходите в інтернеті, записувати звуки в зоні дії вашого мікрофону. Чи не безглуздо виглядає при цьому спроба обмежити доступ до відео з вашої вебкамери?

Спокій від придбання шторки для вебкамери — це типовий приклад хибного відчуття безпеки. Краще оновлюйте операційну систему, працюйте в ній з правами звичайного користувача та встановіть якийсь прикольний монітор утилізації ресурсів типу. А до шторки можна ставитись як до прикраси, по типу наліпки на кришці ноутбука, не більше.

Випуск 2. Складність паролів

Продовжуємо серію публікацій #кіберзабобони. Цього разу поговоримо про паролі.

Поки увесь український кібербезпековий beau monde зависає на Першому Міжнародному Саміті з Кібербезпеки, ми з вами поговоримо про те, як вас обдурюють щодо паролів. А вас обдурюють, дурять що аж гай шумить. Дивіться як.

По-перше, вам кажуть, що паролі повинні бути складними: містити великі та маленькі літери, цифри, знаки пунктуації, пентаграми та масонські піраміди. І що це типу зробить ваш пароль складним і безпечним. Маячня.

Дивіться, якщо ви пам’ятаєте з математики, щоб перебрати усі можливі комбінації рядків певної довжини N, складених з алфавіту, який містить M символів, треба виконати M в ступені N операцій (M^N). Тобто спочатку перебрати всі М варіантів на першій позиції в рядку, потім на другій і т.д., і це все перемножити.

Тепер подивіться, що відбувається, коли ви збільшуєте алфавіт, та порівняйте це з тим, що відбувається під час збільшення довжини рядка. Звісно ж, (M+1)^N це набагато менше, ніж M^(N+1), тому що від збільшення алфавіту (складності паролю) кількість варіантів перебору (Work Factor або ентропія) залежить лінійно, а від збільшення довжини — експоненціально.

Тому запам’ятайте: краще довгий пароль помірної складності, ніж короткий, який містить усі можливі типи символів. Проста пасфраза довжиною 16–20 літер з 1–2 цифрами та 1 спецсимволом – ось і все, що вам потрібно.

По-друге, вам кажуть, що паролі не можна записувати, бо якщо вкрадуть, то буде біда. І що типу не можна всі яйця в один кошик складати й таке інше. Єрунда.

Можна всі яйця в один кошик, треба просто щоб це був герметичний, платино-іридієвій кошик з кодовим замком, на злам якого потрібно 100 тис. років, причому у вас завжди є його точна резервна копія десь в безпечному місці. Такі кошики існують, навіть безплатні, й називаються вони парольні сейфи або парольні менеджери. Я користуюся 1Password, ще можу порекомендувати KeePass та його клони.

Отже, коли вам кажуть, що не можна записувати паролі, то мається на увазі, що їх не можна зберігати на папірчику біля монітора та в “захищеному” паролем файлі Excel. А у парольному менеджері – можна і треба.

Випуск 3. (Не) ефективність антивірусів

Продовжуємо тему #кіберзабобони. Давайте тепер про антивіруси.

Багато користувачів знають, що використання антивірусів – необхідний засіб захисту від шкідливого програмного забезпечення або, як його часто називають, комп’ютерних вірусів. Особливо це стосується операційної системи Windows, бо під неї й вірусів більше, і атакують її частіше. Користувачі менш поширених ОС, таких як macOS чи Linux, пишаються тим, що антивіруси на їхні комп’ютери встановлювати не обов’язково. Проте, часто-густо встановлюють, про всяк випадок.

При цьому більшість користувачів вважають, що антивірус є надійним засобом захисту, ефективність якого прямує до 100% та є лише невеличка кількість “найновіших” вірусів, з якими він потенційно може не впоратись. Та насправді це не так. Переважна кількість антивірусних програм не відрізняється високою ефективністю та має ККД, що не перевищує 50%. Решта більш ефективних антивірусів або занадто дорогі для більшості користувачів, або мають досить “драконівську” манеру роботи, тобто сильно заважають користувачеві працювати на комп’ютері. Але й вони часто не встигають за новими вірусами та пропускають унікальні семпли, спеціально підготовлені для уникнення виявлення конкретними антивірусними продуктами.

Отже, насправді ситуація виглядає так. Більшість антивірусів захищають нас від дуже відомих та поширених вірусів, до того ж з певним запізненням. Деякі антивіруси (їх буквально до 10) мають високу ефективність, але вони занадто дорогі та агресивні для більшості користувачів та компаній. І при цьому всі антивіруси можна обдурити, якщо готувати вірус спеціально для уникнення виявлення конкретно цим продуктом.

Дехто може здивуватися або навіть обуритися: як же ж так, результати незалежного тестування показали, що мій антивірус показав там стовідсоткове виявлення всіх відомих вірусів! Змушений вас розчарувати; на жаль, більшість таких рейтингів та тестів складаються лабораторіями, які існують або на спонсорські гроші антивірусних компаній, або на спонсорські гроші тематичних інтернет-видань, які існують на спонсорські гроші антивірусних компаній. Справжнє незалежне тестування в цій індустрії відбувається дуже рідко та на замовлення комерційних або державних установ, які в змозі його профінансувати. Результати таких тестувань рідко стають доступні публічно.

До того ж не треба забувати, що антивіруси це такі самі програмні продукти, як веббраузери та текстові редактори, і що пишуть їх такі самі програмісти. Як наслідок, в антивірусах трапляються вразливості безпеки, подекуди критичні. Високий ризик вразливостей в антивірусах виникає тому, що вони виконуються в системі з високими привілеями та мають прямий доступ до вмісту диску та оперативної пам’яті. Також, антивіруси повинні вміти шикати віруси в колосальному різномаїтті типів файлів, що дуже ускладнює їхню будову. А де більше складності, там більше вразливостей безпеки.

Отже, все сумно на ринку антивірусів. Обрати дієвий продукт важко, скрізь недобросовісна реклама та фейкові результати тестів. Що ж робити пересічному юзеру, який звик до Вінди та не хоче стати жертвою злісних кіберхакерів? Не побоюся прозвучати як стара платівка, але антивірус не допоможе вам в цьому краще, ніж виконання простих порад з персональної кібербезпеки. Більшість заражень відбуваються за участі користувача, отже ваша поведінка онлайн – це найдієвіший захист. А антивірус – лише допоміжний інструмент, який варто мати під рукою, але покладатися на нього не слід.

Як вибрати ефективний антивірус? Якщо чесно, я не знаю відповіді на це питання. Якщо маєте гарні рекомендації, діліться ними в коментах. Можу лише порадити не платити за нього гроші –  є порівняно непогані антивіруси, які мають безплатну версію для персонального використання. Особисто я мав приємний досвід використання MalwareBytes.

Випуск 4. Хмарна безпека

Продовжуємо рубрику #кіберзабобони. Сьогодні поговоримо про безпеку в хмарі.

Багато ІТ-спеціалістів мають діаметрально протилежні погляди на те, чи є використання хмарних технологій більш безпечним, ніж використання власних систем, серверів та приміщень. Причиною таких розбіжностей здебільшого є незнання деталей ситуації. Якщо коротко, то з тих, хто вважає хмарні технології безумовно більш безпечними або безумовно менш безпечними, не праві обидві сторони.

З одного боку, якщо ви обрали надійного постачальника послуг, то ймовірність того, що він зможе захистити ваші дані та системи краще, ніж ви самі, дуже висока. Наприклад тому, що він змушений захищати одразу цілу купу своїх клієнтів, тому профіль ризиків в нього дуже різноманітний, отже й заходи безпеки застосовуються неординарні. А ще тому, що в нього на це банально більше грошей.

З іншого боку, якщо ви вважаєте, що пересунувши пошту, файли, дзвінки та вебсервіси у хмарну інфраструктуру, ви автоматично зробили їх більш безпечними, то змушений вас розчарувати. Зазвичай такого поняття, як безпека за замовчуванням, в хмарних провайдерів немає. Вони надають вам гнучкі та дієві способи організувати безпеку ваших систем та додатків, але не вмикають ці інструменти автоматично. Наприклад, двофакторна автентифікація у хмарному сховищі вмикається парою кліків миші, але ці кліки треба зробити. Повне шифрування даних може бути опціональним. Контроль доступу треба налаштовувати. Тощо.

В ідеалі, ви можете уявити собі провайдера хмарної інфраструктури як один великий суперкомп’ютер, який в мільярди разів потужніший, ніж будь-які обчислювальні ресурси, які ви можете собі дозволити. А безпеку вашої порції цього комп’ютера – це набір опцій, які вам потрібно вивчити, налаштувати та увімкнути й обов’язково в цьому порядку. Інакше, приріст безпеки від переїзду до хмари буде символічним: ви просто почнете використовувати чийсь чужий комп’ютер замість власного.

Бережіться.