Безопасность — основы

Не так давно в Slack зашел разговор про кибербезопасность. Итогом этого разговора можно считать данную статью, написанную одним из участников нашей группы.

Немного обо мне. Специальность — Искусственные системы принятия решений (по сути ИИ), работаю в IT сфере достаточно давно, долгое время работал на проекте, имеющим прямое отношение к безопасности в Интернет — рекламном бизнесе. Покупали трафик, перепродавали его ребятам побольше. Почему-то это принятно в РУ сфере называть “арбитражем” — не знаю почему, но если кому-то так понятнее — хорошо.

Почему эта сфера так близко лежит к безопасности? Вот ряд вопросов, с которыми мы сталкивались:
1) рекламодатели, которые подсовывали нам под видом объявлений (фиды на простые гифки, например) мини-скрипты, которые качали программы побольше, которые качали программы для воровства данных пользователей
2) рекламодатели, которые перекидывали наших пользователей на фишинг-сайты где воровали кредитки или ставили вирусы
3) вебмастера, которые подсовывали ботов под видом живых пользователей
4) намешанный трафик с уже установленными вирусами, который никак не конвертился
Теперь возводим это в степень и добавляем к каждому пункту “..и принимали достаточно хитрые меры, чтобы мы этого не заметили” и получаем “типичный день работы в онлайн-рекламе”. За несколько лет я близко познакомился со всевозможными схемами мошенничества и маскировки мошенничества в Интернет, и имею хорошее представление что “бывает”, чего “не бывает”; как работают вирусописатели, ботмастера, антивирусы и крупные компании (Yahoo, Google, Bing, etc).

Основная идея и мой подход к безопасности — она должна быть эффективной, а именно:
• затраты (трудозатраты также) на меры безопасности должны быть адекватны защищаемой ценности
• безопасность должна приносить минимум неудобств
• правило Паретто работает и тут — достаточно закрывать 80% проблем

Если у вас есть компьютер\телефон с доступом в Интернет — вас можно похачить. Если есть какие-то возражения про “просмотренную 100500 экспертами 100% безопасную систему” просто почитайте про StuxNet, либо посмотрите документальный фильм — если смогли похачить станцию по обогащению урана — то с домашним ноутом подавно справятся. За несколько лет своей работы я сталкивался с 0-day sploit (это обнаруженная хакером уязвимость, которую никто нигде еще не закрыл) для драйвера сетевой карты (один), для вай-фай роутеров (более 30 раз), для Windows разных версий (порядка 15 раз), для Java (миллион раз). Это — уязвимости которые никто еще не видел. Их находят\разрабатывают хакеры, и после этого продают на BlackSEO форумах; цены разнятся от $x,xxx до $xxx,xxx в зависимости от % успеха, поддерживаемых систем и сложности использования. Любая система может быть взломанна; вопрос на самом деле только — будет ли кто-то этим заморачиваться или нет.

Если вы используете широкораспространенную ОС (Windows\Android) шансы вас похачит растут экспоненциально. Я на самом деле очень люблю Windows, но сейчас работаю (и планирую пока продолжать) на MacOS. Причина банальна — эта ось менее распространена, и любой хак\вирус под нее будет менее экономически выгоден. Та же история с Android.

Файрвол существенно лучше антивируса. Антивирусы работают достаточно примитивно и зачастую очень медленно. Проблема быстродействия заключается в том, что антивирус должен приостановить процессы, происходящие в ОС чтобы провести проверки. При этом оптимизация в современных многоядерных процессорах выполнена таким образом, что в большинстве случаев команды выполняются не попорядку, а “когда выгоднее” для вычислительных тактов. Таким образом антивирус (которому как-то надо самому тоже исполняться в процессе) должен “замораживать” достаточно много потоков. В дополнении к этому развитие криптографии и полиморфности делает практически бесполезным попытки вычленить новый вирус после криптовки\морфа. В дополнении к этому много вирусов нацелены на обезвреживание самых популярных антивирусов (тут есть смысл напомнить про предыдущий абзац). Файрвол, с другой стороны, может блокировать взаимодействие с хостами злоумышленников — им станет неоткуда получать команды, обновления; некуда отпрвлять украденную у вас информацию. Но его куда сложнее настраивать. И по умолчанию обычные файрволы разрешают все исходящие, что не поможет в этой ситуации.

Самого простого антивируса из бесплатных достаточно. Если вы не хотите слишком сильно заморачиваться с настройками программ, которые будут вызывать проблемы в работе ОС — то просто включите встроенный файрвол и поставьте самый простой из бесплатных антивирусов (Avast, Avira, AVG) — они решат проблему случайно скачанных зараженных файлов. Этот совет сродни совету “ночью по стремному району лучше передвигаться на такси”.

Пароли ОБЯЗАНЫ быть сложными. Буквы+цифры как минимум. Самое опасное звено в вашей цепочке безопасности — это человек. Злоумышленники всегда бьют в самое легкое место. Придумывание паролей — это сложная задача (их же еще надо будет в случае чего вспомнить — не все пароли можно сохранить\записать). Поэтому я советую использовать следующие трюки для сохранения паролей:
• Используйте серийные номера\названия моделей. Ставите пароль в телефоне? Переверните его и посмотрите на серийный номер, патент либо название кода модели. Скорее всего там будет набор букв-цифр-кодов.
• Надо записать пароль? Запишите вместо вашего 34SuperSecure98 его в виде 1234Super2Secure198 и запомните что 1 и 2 нужно убрать.
Идея в том, что надо помнить идею паролей, а не сами пароли.

Всю действительно важную информацию храните на отдельном девайсе и оффлайн. Если нет возможности использовать второй компьютер — поставьте VMware и удалите оттуда всю сеть. Если у вас действительно есть секретная программа\информация, которую надо хранить на компьютере — пусть это будет отдельное устройство, без расшаренных дисков, буфера обмена и доступа к сети. История из жизни — на одной из работ я узнал, что наш общий удаленный сервер, к которому все подключались под _разными_ сессиями, имел общий буфер обмена. И некоторые сотрудники использовали этот буфер для копирования важной информации со своего компа на удаленный. соответственно, любой человек из другого отдела\начальник\подчиненный мог получить доступ к личной информации, которую просто копировали через CTRL+C. “Разрешения” в мире софта — это достаточно эфемерное понятие. Если информация может быть получена — она будет получена.

Private browsing подходит только для просмотра порно, чтобы ваша жена\девушка не спалила (если она запрещает). Для идентификации пользователей мы чаще всего использовали набор метрик таких, которые ваш браузер отдает в любом случае. Например — айпи, размер экрана, установленные шрифты, версия браузера, версия ОС, время.. тысячи их. Детально можно глянуть тут https://panopticlick.eff.org. Более того, если вы используете Private Mode — то вас проще вычислить. Так как людей в Private Mode не так много, а уж если добавить ОС\разрешение\язык\время\установленные шрифты — то эта задача для школьника.
Еще — сюрприз! — настройки типа “не отслеживать меня” просто передаются сайту. А как себя сайт дальше ведет — отслеживает вас либо нет — уже вопрос такой себе… Тоже самое касается куки. Если вы выключили себе куки — то будете в списке “особых персон”. Самый простой способ “спрятаться” онлайн — это слиться с толпой. Ставьте Хром+Адблок, все настройки по умолчанию+впн в какой-то большой город+региональные настройки соответствующие городу с VPN.

2FA защищает вас только от тех людей, которые могут сесть за ваш комп, больше ни от чего. Да и то в случае если у вас нет Authy (и подобных программ) на компе, а только на телефоне.
Одна из самых забавных и бесполезных штук в современной безопасности — это 2FA. Пришла она из мира людей, которые владеют большими деньгами, но не очень разбираются в безопасности. Логика простая: если в системе два пароля, а не один — то система в два раза более безопасна. Однако вопрос следующий: как можно украсть ваш первый пароль? Либо обойти систему авторизации на сайте (т.е. увести базу целиком, допустим) либо получить доступ на ваше устройство, где вы храните пароль. Теперь вопрос — какому из этих хаков повредит 2FA? Правильно, никакому. Почему же тогда его используют? Отвечу как человек, работавший с онлайн-платежами и знакомый с PCIDSS (а также еще я спрашивал у друга из CEX.io по секрету) — когда вас сертифицируют как “особо безопасную систему” — чаще всего это PCIDSS-compliant либо Visa certified\verified — вы должны иметь галочку “у нас есть 2FA”. По сути просто бюрократический подход а-ля-СССР, который стал модным. Не говоря уже о том, что все эти коды генерируются на основне мастер-ключа, воровство которого дает возможность сгенерировать код для любого аккаунта.

Вам не нужно защищать ВСЮ информацию ВСЕМИ способами. Достаточно быть более защищенным чем 80% пользователей. Любое преступление имеет свое экономическое обоснование. Всегда выгоднее хакнуть более легкую\дорогую цель. Подумайте об этом как об разводе патрульной полиции. Если у вас нарушений нет\они мелкие + вы себя ведете корректно и не сдаетесь сразу — выгоднее остановить троих других, чем тратить на вас время. Однако в IT сфере есть такое понятие как “боты”, которые могут окучить сразу и быстро много целей. Однако такие решения чаще всего очень примитивны — например попробовать перебором проверить все айпи на разрешенный удаленный доступ и типичный набор паролей\логинов либо старый известный бесплатный сплойт из общего доступа (или просто из набора Kali Linux).

Обновляйте ВСЕ системные штуки. Ось, антивирус, драйвера. Если вы уж поставили антивирус — то обновляйте базы как можно чаще. Любая программа со временем накапливает известные уязвимости. Чем раньше вы их закроете — тем меньше шансов что именно вас похачат. Особенно хочу отметить такое убожество как Java, Remote Desktop, Flash — у этих ребят уязвимость обычно сидит на уязвимости и ей же погоняет. Советую вообще удалить эту чепуху, если возможно. Или хотя бы закрыть ей доступ в интернет.

HTTPS и зелененькая иконка ничего не значит. Есть такая поговорка “it is the strong swimmers who drown”, что в литературном переводе обозначает — те, кто переоценили свои силы — потерпели поражение. В вопросе безопасности зачастую люди, которые слепо верят в волшебные меры (https, 2fa, публичный аудит) и попадаются. На это зачастую рассчитывают хакеры (вспомните недавный скам со страничкой Бинанс с HTTPS сертификатом и одной поменяной буквой, либо MEW и измененным айпи) — человек “знает” что “https — значит надежно” и не будет проводить дополнительные проверки. Если вам что-то кажется подозрительным — не поленитесь и перепроверьте. Также корневые сертификаты часто воруют либо выдают кому попало:
• https://www.computerworld.com/article/2510797/security0/hackers-stole-google-ssl-certificate--dutch-firm-admits.html
• https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/fyJ3EK2YOP8
• https://www.thesslstore.com/blog/symantec-google-working-together-to-solve-mis-issuance-errors/

Удалите по возможности все расширения браузера. Оставьте только минимум. Сейчас 80% вирусов и прочего хлама распространяется через расширения. Схема элементарна. Набирается большое количество инсталлов, и после этого в код расширения добавляется зловредный код. То есть полгода-год расширение было хорошим и вы его всем советовали, а потом в один день оно у всех украло пароли. Просто удалите все расширения. А затем посмотрите без каких вы жить не можете… И в идеале их все же не возвращайте.

Microsoft+Apple+Google+Facebook+ваш интернет провайдер знает о вас все. Ребята, которые написали весь код, что позволяет работать вашей системе могут сделать так, чтобы следить за вами незаметно. И зачастую делают. Windows вместе с апдейтами может насильно устанавливать любой код, которые будет отсылать обратно в MS всю нужную информацию. И затем выдаст эту инфу законодательным органам. Если вы занимаетесь чем-то незаконным — пожалуйста, не делайте это через gmail, skype, и прочие сервисы.

Если надо погуглить что-то супер секретное — используйте интернет кафе+в идеале VMware Player, на своей флешке и переустановите образ после использования заново. Для ситуаций когда нужно спрятаться от конкурентов\друзей\родственников используйте отдельный компьютер или хотя бы бразуер, но не просто поисковик. Реклама будет таргетирована по вашему айди+соц аккаунту+вашим страницам+ключевикам+поиску, и это запросто можно отследить. Если вы не понимаете при чем тут соц сети к вашим поискам на сторонних ресурсах — установите Ghostery, Firebug или просто посмотрите куда ваш браузер отправляет запросы с любого сайта. Скорее всего в списке будут FB, Yahoo, VK, Twitter, Yandex и кто-то еще из этой братии. Сейчас практически на любой странице стоит “счетчик” либо “партнерская программа” или какая-то еще чушь в этом роде, и они обычно меняются вашим айди между собой — это называется ретаргетинг.

В заключении скажу — не переживайте про свою приватность — ее давно уже украли; и не переживайте сильно о безопасности — ее нет в Интернете. Благодаря огромному количеству людей без особого образования и\или интеллекта в Интернет сегодня — соблюдение минимальных мер безопасности сведет ваш риск “попасться” к минимуму.

Bonus: для интересующихся очень хороший сайт исследователя https://krebsonsecurity.com