Хибні стереотипи в області кібербезпеки

Випуск 1. Шторки для веб-камер

Значіт начінаєм серію публікацій з розвінчування кумедних міфів про кібер-безпеку #кіберзабобони. В першому випуску читайте про шторкі для веб-камер.

TL;DR: шторки для веб-камер — це не більше ніж прикольний аксесуар і вам не варто сподіватися, що вони врятують вас від шпигунства. Якщо дійсно хочете вберегтися від підглядання та підслуховування — користуйтеся порадами з персональної кібер-безпеки та не працюйте в операційній системі з правами адміністратора. Досвідчені користувачі можуть скористатися спеціальними програмами на кшталт Little Flocker (macOS) та (я буду вдячний за підказку аналогу для Windows).

Тепер по-порядку.

Деякі люди вішають собі на веб-камеру ноутбуку таку невеличку шторку, одну з тих, якими розробники “рішень з безпеки” щедро засівають конференції та виставки. Пересічній людині може здатися, що в такому засобі збереження приватності є зміст. Але подумайте: якщо в вашій системі завівся шпигун (програма/агент віддаленого доступу, яким користується зловмисник), то чи не варто задуматися над перевстановленням операційної системи замість марнування ізолєнти та псування поверхні екрану сумнівними засобами безпеки?

Ні, серйозно, давайте міркувати категоріями оцінки ризиків. Шторка “врятує” вас у випадку, коли у вашій системі вже повністю та безроздільно властвує незнайома (або знайома) вам людина. Яка може реєструвати текст, який ви вводите, слідкувати за вашими відвідуваннями в інтернеті, записувати звуки в зоні дії вашого мікрофону. Чи не безглуздо виглядає при цьому спроба обмежити його доступ до відео з вашої веб-камери?

Спокій від придбання шторкі для веб-камери — це типовий приклад хибного почуття безпеки. Краще оновлюйте ОС, працюйте в режимі низьких привілеїв та встановіть якийсь прикольний монітор утилізації ресурсів типу Little Flocker (now XFence) https://campaigns.f-secure.com/xfence/ або (Windows analogue here). А до шторки можна ставитись як до прикраси, на рівні стікера на кришці ноутбука, не більше.

Випуск 2. Складність паролів

Продовжуємо серію публікацій #кіберзабобони. Цього разу поговоримо про паролі.

Поки увесь український кібер-безпековий beau monde зависає на Першому Міжнародному Саміті з Кібербезпеки, ми з вами поговоримо про те, як вас обдурюють щодо паролів. А вас обдурюють, дурять шо аж гай шумить. Дивіться як.

По-перше, вам кажуть, що паролі повинні бути складними: містити великі та маленькі літери, цифри, знаки пунктуації, пентаграми та масонські піраміди тощо. І що це типу зробить ваш пароль складним і безпечним. Ма-яч-ня.

Дивіться, якщо ви пам’ятаєте з математики, щоб перебрати усі можливі комбінації рядків певної довжини N з певного алфавіту, який містить M символів, треба виконати M^N^ операцій. Тобто спочатку перебрати всі М варіантів на першій позиції в рядку, потім на другій і т.д. і це все перемножити.

Тепер подивіться, що відбувається, коли ви збільшуєте алфавіт, та порівняйте з тим, що буде під час збільшення довжини рядка. Звісно ж, (M+1)^N^ це набагато менше, ніж M^(N+1)^, тому що від збільшення алфавіту (складності паролю) кількість варіантів перебору (work factor або ентропія) залежить лінійно, а від збільшення довжини — експоненціально.

Тому запам’ятайте: краще довгий пароль помірної складності, ніж короткий, який містить усі можливі типи символів. Проста пасфраза довжиною 16–20 літер з 1–2 цифрами та 1 спецсимволом — ось і все, що вам потрібно.

По-друге, вам кажуть, що паролі не можна записувати, бо якщо вкрадуть то буде біда. І що типу не можна всі яйця в один кошик складати і таке інше. Є-рун-да.

Можна всі яйця в один кошик, треба просто щоб це був герметичний платиново-іридієвій кошик з кодовим замком, на злам якого потрібно 100 тис. років, причому десь в безпечному місці у вас завжди є його точна резервна копія. А такі кошики є і вони здебільшого безкоштовні, називаються парольні сейфи або парольні менеджери. Я користуюся 1Password, ще можу порекомендувати KeePass та його клони.

Отже, коли вам кажуть, що не можна записувати паролі, то мається на увазі, що їх не можна зберігати на папірчику біля монітора та в “захищеному” паролем файлі Excel. А у парольному менеджері — можна і треба.

Випуск 3. (Не) ефективність антивірусів

Продовжуємо тему #кіберзабобони. Давайте тепер про антивіруси.

Багато користувачів знають, що використання антивірусів — необхідний засіб захисту від зловмисного програмного забезпечення або, як його часто називають, вірусів. Особливо це стосується операційної системи Windows, бо під неї і вірусів більше, і атакують її частіше. Користувачі менш поширених ОС, таких як macOS чи Linux, пишаються тим, що антивіруси на їхні комп’ютери встановлювати не обов’язково. Але тим не менш часто-густо встановлюють, про всяк випадок.

При цьому більшість користувачів вважають, що антивірус є надійним засобом захисту, ефективність якого прямує до 100% та є лише невеличка кількість “найновіших” вірусів, з якими він потенційно може не впоратись. Проблема полягає в тому, що насправді це не так. Переважна кількість антивірусних програм не відрізняється високою ефективністю та має КПД, що не перевищує 50%. Решта антивірусів, які мають вищу ефективність, або занадто дорогі для більшості користувачів та компаній, або мають досить “драконівську” манеру роботи, тобто сильно заважають користувачеві виконувати задачі на комп’ютері. Але й вони часто “не встигають” за новими вірусами та пропускають унікальні семпли, спеціально підготовлені для уникнення виявлення конкретними антивірусними продуктами.

Отже, насправді ситуація виглядає так. Більшість антивірусів не справляються з новими загрозами та захищають нас від дуже відомих та поширених вірусів, до того ж з певним запізненням. Деякі антивіруси (їх буквально до 10) мають високу ефективність, але вони занадто дорогі та агресивні для більшості користувачів та компаній. І при цьому всі антивіруси можна обдурити, якщо готувати вірус спеціально для уникнення виявлення конкретно цим продуктом.

Дехто може здивуватися або навіть обуритися: як же ж так, я бачи(в/ла) результати “незалежного тестування” і мій антивірус показав там 100%-ве виявлення всіх відомих вірусів! Змушений вас розчарувати; на жаль, більшість таких рейтингів та тестів складаються лабораторіями, які існують або на спонсорські гроші антивірусних компаній, або на спонсорські гроші тематичних інтернет-видань, які існують на спонсорські гроші антивірусних компаній. Справді незалежне тестування в цій індустрії відбувається дуже рідко та на замовлення комерційних або державних установ, які здатні його профінансувати. Результати таких тестувань рідко стають доступні публічно.

Отже, все сумно на ринку антивірусів. Обрати дієвий продукт важко, скрізь недобросовісна реклама та фейкові результати тестів, де продукт спонсора ловить 100% вірусів. Що ж робити пересічному юзеру, який звик до вінди та не хоче стати жертвою злісних “кібер-хакерів”? Не побоюся прозвучати як стара платівка, але антивірус не допоможе вам в цьому краще, ніж виконання простих порад з персональної кібербезпеки (https://github.com/sapran/dontclickshit). Більшість заражень відбуваються за участі користувача, отже ваша поведінка онлайн — головний рубіж захисту. А антивірус — лише допоміжний засіб, який варто мати під рукою, але покладатися на нього не варто.

Як вибрати ефективний антивірус? Якщо чесно, я не знаю відповіді на це питання. Якщо маєте гарні рекомендації, діліться ними в коментах. Можу лише порадити не платити за нього гроші — є порівняно непогані антивіруси, які мають безкоштовну версію для персонального використання. Особисто я мав приємний досвід з використанням Avira, Avast, MalwareBytes і ще щось, що я вже не пригадаю.

Випуск 4. Хмарна безпека

Продовжуємо рубрику #кіберзабобони. Сьогодні поговоримо про безпеку в “хмарі”.

Багато ІТ-спеціалістів мають діаметрально протилежні погляди на те, чи є використання так званих “хмарних” технологій більш безпечним, ніж використання власних “фізичних” систем, серверів та приміщень. Причиною таких розбіжностей є, здебільшого, незнання деталей ситуації. Якщо коротко, то з тих, хто вважає хмарні технології безумовно більш безпечними або безумовно менш безпечними, не праві обидві сторони.

З одного боку, якщо ви обрали “правильного” постачальника послуг, то ймовірність того, що він зможе захистити ваші дані та системи краще, ніж ви самі, дуже висока. Наприклад тому, що він змушений захищати одразу цілу купу своїх клієнтів, тому профіль ризиків в нього ну дууже різноманітний, отже й заходи безпеки застосовуються неординарні. Або тому, що в нього на це елементарно більше грошей.

З іншого боку, якщо ви вважаєте, що пересунувши пошту, файли, дзвінки та веб-сервіси у хмару, ви автоматично зробили їх більш безпечними, то змушений вас розчарувати. Зазвичай такого поняття, як безпека за замовчуванням, в хмарних провайдерів немає. Вони надають вам гнучкі та дієві способи організувати безпеку ваших активів, але не вмикають ці інструменти автоматично. Наприклад, двохфакторна автентифікація у хмарному сховищі вмикається парою кліків миші, але ці клікі треба зробити. Повне шифрування даних може бути опціональним. Контроль доступу треба налаштовувати. Тощо.

В ідеалі, ви можете уявити собі хмарного провайдера як один великий суперкомп’ютер, який в мільярди разів потужніший, ніж будь-які обчислювальні ресурси, які ви можете собі дозволити. А безпеку вашої “порції” цього комп’ютера — як набір “опцій”, які вам потрібно вивчити, налаштувати та увімкнути й обов’язково в цьому порядку. В противному випадку, приріст безпеки від переїзду до хмари буде символічним: ви просто почнете використовувати чийсь чужий комп’ютер замість власного.

Бережіться.