Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
На днях мы рассмотрели целый ряд книг о рисках в ИТ, социальной инженерии, вирусах и истории хакерских группировок. Сегодня попробуем перейти от теории к практике и посмотрим, что каждый из нас может сделать для защиты персональных данных. На Хабре и в СМИ можно найти большое количество базовых советов: от использования менеджеров паролей и двухфакторной аутентификации до внимательного отношения к письмам и потенциальным признакам фишинга.
Несомненно, эти меры важны в качестве основы кибергигиены, но не стоит ограничиваться только ими. Рассказываем о менее очевидных моментах, касающихся ИБ при работе с интернет-сервисами.
Фото — Bianca Berg — Unsplash
Менеджеры для работы со сложными паролями исключают необходимость их запоминать. Однако password manager — это всегда компромисс между удобством и надежностью. У разработчиков порой случаются утечки. Например, в 2015 году хакеры украли у LastPass электронные адреса и секретные вопросы пользователей.
С учетом этого ряд экспертов по ИБ (в том числе представители отделения ФБР в Портленде) отдает предпочтение альтернативному варианту работы с аутентификаторами — парольным фразам. Их проще запомнить, чем цифробуквенные пароли со специальными символами.
При этом они считаются более надежными — еще в 2015 году специалист в области информатики Евгений Панферов математически доказал, что для усиления защиты от брутфорс-атак необходимо удлинять идентификатор, а не увеличивать его сложность за счет цифр, решеток и звёздочек (стр.2). Эту концепцию также проиллюстрировал автор комикса xkcd про будни разработчиков.
Фото — Erik Mclean — Unsplash
Поддерживают идею с парольными фразами и инженеры из Фонда электронных рубежей (EFF). Они даже предложили необычный способ их генерации — с помощью игральной кости. В EFF составили список из 60 тыс. английских слов, сопоставив с каждым определенную последовательность цифр, выпадающих на кубике.
Достаточно выбрать шесть слов, чтобы получить случайный идентификатор из 25–30 знаков. Кидать кубик рекомендуют потому, что человеческий мозг не способен сгенерировать случайную последовательность чисел. Мы подсознательно стремимся выбирать цифры, которые имеют для нас какое-либо значение. Поэтому еще в 1890 году английский психолог Фрэнсис Гальтон (Francis Galton) писал, что игральная кость — это наиболее эффективный «генератор случайности».
Все мы сталкивались с требованиями менять пароль от какого-либо аккаунта раз в месяц или полгода. Но глава ИБ-компании Spycloud Тэд Росс (Ted Ross) говорит, что подобная ротация бессмысленна.
Она подталкивает пользователей лишь незначительно модифицировать пароли и переиспользовать прошлые идентификаторы. Все это вредит безопасности учетной записи. Также считают и в Национальном институте стандартов и технологий США (NIST). Там разрабатывают новый фреймворк для работы с паролями. К слову, его уже внедрили в Microsoft — с прошлого года Windows перестала требовать от пользователей регулярно придумывать новые аутентификационные данные.
Менять идентификаторы следует лишь в том случае, если они скомпрометированы. Для проверки этого факта существуют специальные инструменты — например, знакомый многим сервис Have I been Pwned. Достаточно ввести адрес своей почты, и он покажет, был ли email «засвечен» в каких-либо утечках. Также можно настроить уведомления — в случае нового «слива», поступит нотификация.
Фото — Nijwam Swargiary — Unsplash
Заменить утекшие в сеть пароли следует и для аккаунтов, которые долгое время не были активны. Но лучше вообще удалить эти учетные записи. Оставленные без внимания, они могут стать причиной компрометации персональных данных. Даже небольшой фрагмент информации поможет злоумышленникам собрать недостающие сведения о «жертве» в остальных сервисах.
На некоторых ресурсах процедура закрытия учетных записей не так проста. Иногда приходится общаться с техподдержкой, а иногда — подолгу искать нужную кнопку в интерфейсе. Однако существуют инструменты, способные упростить и эту задачу. Например, JustDeleteMe — каталог кратких инструкций и ссылок для отключения учетных записей. Это — расширение для Chrome, добавляющее в омнибар специальную кнопку. По клику на неё откроется страница для отключения аккаунта на текущем ресурсе (если это возможно). Дальше остается следовать инструкциям.
Примерно 38% вирусов выдают себя за док-файлы. Сегодня это один из самых распространенных векторов хакерских атак. Защититься от зловредов, распространяемых подобным образом, можно, если открывать подозрительные документы в облачных редакторах. Эксперты EFF отмечают, что в этом случае можно практически наверняка предотвратить установку вредоносного ПО. Но такой метод не подходит для конфиденциальных документов — есть риск сделать их публичными. Например, в 2018 году в общий доступ попали личные гугл-документы пользователей — их проиндексировала поисковая система.
Инженеры из Фонда электронных рубежей говорят, что одним из способов обезопасить себя от вирусов в PDF и DOC может стать установка специальной операционной системы (можно в облаке IaaS-провайдера) для чтения электронных документов — например, Qubes. В ней действия ОС и пользователя выполняются на отдельных виртуальных машинах. Поэтому, если один из компонентов будет скомпрометирован, вредоносное ПО окажется изолировано и не сможет получить доступ ко всей системе.
ИБ-эксперты — например, инженеры из Tech Solidarity и FOSS Linux — рекомендуют настраивать автоматическую установку обновлений безопасности для операционных систем и приложений. Однако эту точку зрения разделяют не все.
Фото — Rostyslav Savchyn — Unsplash
Значительной части взломов ИТ-систем действительно можно избежать, если вовремя их обновить. Ярким примером может быть утечка персональных данных 140 млн резидентов США из бюро Equifax. Злоумышленники использовали уязвимость во фреймворке Apache Struts (CVE-2017-5638), связанную с ошибкой в обработке исключений. Патч для неё появился за два месяца до атаки на Equifax. Но автоматическое обновление может привести к не самым приятным последствиям. Возникают ситуации, когда свежие «заплатки», решая одну проблему, создают другую — более серьезную. В 2018 году Microsoft пришлось остановить распространение новой версии операционной системы из-за ошибки, удаляющей личные файлы пользователей.
Можно сделать вывод, что обновления нужно ставить как можно скорее, но при этом проявлять осмотрительность. Прежде чем «накатывать» патч, стоит изучить его поведение, почитать отзывы и принимать решение уже исходя из найденной информации.
В следующий раз мы продолжим рассказывать о необычных рекомендациях, которые помогут защитить ИТ-системы от вмешательства злоумышленников. Нам также интересно послушать, какие решения для повышения информационной безопасности используете вы, — делитесь ими в комментариях.
Мы в 1cloud.ru предлагаем услугу «Частное облако». Вы можете арендовать виртуальную инфраструктуру для своих проектов. Новым клиентам — бесплатное тестирование.
Мы используем оборудование enterprise-класса от Cisco, Dell, NetApp. Виртуализация построена на гипервизоре VMware vSphere.
Несомненно, эти меры важны в качестве основы кибергигиены, но не стоит ограничиваться только ими. Рассказываем о менее очевидных моментах, касающихся ИБ при работе с интернет-сервисами.
Фото — Bianca Berg — Unsplash
Парольные фразы вместо паролей
Менеджеры для работы со сложными паролями исключают необходимость их запоминать. Однако password manager — это всегда компромисс между удобством и надежностью. У разработчиков порой случаются утечки. Например, в 2015 году хакеры украли у LastPass электронные адреса и секретные вопросы пользователей.
С учетом этого ряд экспертов по ИБ (в том числе представители отделения ФБР в Портленде) отдает предпочтение альтернативному варианту работы с аутентификаторами — парольным фразам. Их проще запомнить, чем цифробуквенные пароли со специальными символами.
При этом они считаются более надежными — еще в 2015 году специалист в области информатики Евгений Панферов математически доказал, что для усиления защиты от брутфорс-атак необходимо удлинять идентификатор, а не увеличивать его сложность за счет цифр, решеток и звёздочек (стр.2). Эту концепцию также проиллюстрировал автор комикса xkcd про будни разработчиков.
Фото — Erik Mclean — Unsplash
Поддерживают идею с парольными фразами и инженеры из Фонда электронных рубежей (EFF). Они даже предложили необычный способ их генерации — с помощью игральной кости. В EFF составили список из 60 тыс. английских слов, сопоставив с каждым определенную последовательность цифр, выпадающих на кубике.
Достаточно выбрать шесть слов, чтобы получить случайный идентификатор из 25–30 знаков. Кидать кубик рекомендуют потому, что человеческий мозг не способен сгенерировать случайную последовательность чисел. Мы подсознательно стремимся выбирать цифры, которые имеют для нас какое-либо значение. Поэтому еще в 1890 году английский психолог Фрэнсис Гальтон (Francis Galton) писал, что игральная кость — это наиболее эффективный «генератор случайности».
Ротация паролей не нужна
Все мы сталкивались с требованиями менять пароль от какого-либо аккаунта раз в месяц или полгода. Но глава ИБ-компании Spycloud Тэд Росс (Ted Ross) говорит, что подобная ротация бессмысленна.
Она подталкивает пользователей лишь незначительно модифицировать пароли и переиспользовать прошлые идентификаторы. Все это вредит безопасности учетной записи. Также считают и в Национальном институте стандартов и технологий США (NIST). Там разрабатывают новый фреймворк для работы с паролями. К слову, его уже внедрили в Microsoft — с прошлого года Windows перестала требовать от пользователей регулярно придумывать новые аутентификационные данные.
Менять идентификаторы следует лишь в том случае, если они скомпрометированы. Для проверки этого факта существуют специальные инструменты — например, знакомый многим сервис Have I been Pwned. Достаточно ввести адрес своей почты, и он покажет, был ли email «засвечен» в каких-либо утечках. Также можно настроить уведомления — в случае нового «слива», поступит нотификация.
Фото — Nijwam Swargiary — Unsplash
Заменить утекшие в сеть пароли следует и для аккаунтов, которые долгое время не были активны. Но лучше вообще удалить эти учетные записи. Оставленные без внимания, они могут стать причиной компрометации персональных данных. Даже небольшой фрагмент информации поможет злоумышленникам собрать недостающие сведения о «жертве» в остальных сервисах.
На некоторых ресурсах процедура закрытия учетных записей не так проста. Иногда приходится общаться с техподдержкой, а иногда — подолгу искать нужную кнопку в интерфейсе. Однако существуют инструменты, способные упростить и эту задачу. Например, JustDeleteMe — каталог кратких инструкций и ссылок для отключения учетных записей. Это — расширение для Chrome, добавляющее в омнибар специальную кнопку. По клику на неё откроется страница для отключения аккаунта на текущем ресурсе (если это возможно). Дальше остается следовать инструкциям.
Работа с документами на специальной ОС
Примерно 38% вирусов выдают себя за док-файлы. Сегодня это один из самых распространенных векторов хакерских атак. Защититься от зловредов, распространяемых подобным образом, можно, если открывать подозрительные документы в облачных редакторах. Эксперты EFF отмечают, что в этом случае можно практически наверняка предотвратить установку вредоносного ПО. Но такой метод не подходит для конфиденциальных документов — есть риск сделать их публичными. Например, в 2018 году в общий доступ попали личные гугл-документы пользователей — их проиндексировала поисковая система.
Инженеры из Фонда электронных рубежей говорят, что одним из способов обезопасить себя от вирусов в PDF и DOC может стать установка специальной операционной системы (можно в облаке IaaS-провайдера) для чтения электронных документов — например, Qubes. В ней действия ОС и пользователя выполняются на отдельных виртуальных машинах. Поэтому, если один из компонентов будет скомпрометирован, вредоносное ПО окажется изолировано и не сможет получить доступ ко всей системе.
(НЕ) автоматическая установка обновлений
ИБ-эксперты — например, инженеры из Tech Solidarity и FOSS Linux — рекомендуют настраивать автоматическую установку обновлений безопасности для операционных систем и приложений. Однако эту точку зрения разделяют не все.
Фото — Rostyslav Savchyn — Unsplash
Значительной части взломов ИТ-систем действительно можно избежать, если вовремя их обновить. Ярким примером может быть утечка персональных данных 140 млн резидентов США из бюро Equifax. Злоумышленники использовали уязвимость во фреймворке Apache Struts (CVE-2017-5638), связанную с ошибкой в обработке исключений. Патч для неё появился за два месяца до атаки на Equifax. Но автоматическое обновление может привести к не самым приятным последствиям. Возникают ситуации, когда свежие «заплатки», решая одну проблему, создают другую — более серьезную. В 2018 году Microsoft пришлось остановить распространение новой версии операционной системы из-за ошибки, удаляющей личные файлы пользователей.
Можно сделать вывод, что обновления нужно ставить как можно скорее, но при этом проявлять осмотрительность. Прежде чем «накатывать» патч, стоит изучить его поведение, почитать отзывы и принимать решение уже исходя из найденной информации.
В следующий раз мы продолжим рассказывать о необычных рекомендациях, которые помогут защитить ИТ-системы от вмешательства злоумышленников. Нам также интересно послушать, какие решения для повышения информационной безопасности используете вы, — делитесь ими в комментариях.
Мы в 1cloud.ru предлагаем услугу «Частное облако». Вы можете арендовать виртуальную инфраструктуру для своих проектов. Новым клиентам — бесплатное тестирование.
Мы используем оборудование enterprise-класса от Cisco, Dell, NetApp. Виртуализация построена на гипервизоре VMware vSphere.