Информационная безопасность? Нет, не слышали

Один мой друг спросил меня сегодня про гигиену цифрового поведения. Постараюсь кратко изложить принципы, следуя которым, вы повысите уровень своей безопасности в сети.

В этой статье я постарался идти от совсем банальных советов до довольно сложно реализуемых. Каждый должен решить самостоятельно, какой уровень безопасности приемлем лично для него. Тут все точно так же, как с сейфами: есть сейф за сто долларов, есть сейф за сто тысяч долларов. Глупо хранить миллионы долларов в первом, и горстку мелочи — во втором.

Если у вас есть важная информация, и вы боитесь ее потерять, а одна мысль о том, что эти сведения могут попасть к вашим недругам, вас пугает, то вам стоит задуматься об информационной безопасности.

fv8of-z0ujlhnskk0tinpwej2nu.jpeg

Ну, а серьезно подходить к защите данных, когда данные ничего не стоят — это просто потеря времени.

Принципы безопасности


Если вы хотите обезопасить свою информацию, то первое, что вам нужно сделать — понять основные принципы.

Если у вас есть опыт в ИБ, то смело пролистывайте до следующей главы.

В наиболее полном объеме про это можно почитать в книге от Кевина Митника, которая называется «Искусство обмана» (The Art of Deception). Там огромное количество историй о том, в какие проблемы попадали компании из-за того, что не обучали своих сотрудников базовым принципам защиты своей информации.

Но если все-таки дать пару универсальных советов, то они будут такими:

  • Не используйте легкие пароли: пароли, которые могут быть связаны с вами или найдены в словаре.
  • Не используйте одинаковые пароли для различных сервисов.
  • Не храните пароли в открытом виде (недавняя история с google-документами, которые были проиндексированы яндексом, это показала).
  • Никому не говорите пароль. Даже сотрудникам службы поддержки.
  • Не используйте бесплатные Wi-Fi сети. А если используете, будьте аккуратны и старайтесь не работать на сайтах без https-соединения.


Больше вы узнаете из книги. Там описано много интересных историй, и хотя некоторые из них уже устарели из-за прогресса, но сама суть вряд ли когда-либо перестанет быть актуальной.

«Да кому я нужен?»


Люди часто задают такой вопрос, когда речь заходит о защите данных. Что-то вроде: «Да зачем компании мои данные?» или «Для чего хакеру меня взламывать?» Не понимая, что взламывать могут не их. Могут взломать сам сервис, и пострадают все пользователи, зарегистрированные в системе. То есть важно не только самому соблюдать правила информационной безопасности, но и правильно выбрать инструменты, которые вы используете. Для того, чтобы было понятнее, я приведу несколько примеров:

Когда немного обострился

Буквально пару дней назад мы все узнали о том, что приложение Бургер Кинг, которое находится в Google Play и Apple Store записывает все, что делает пользователь. И там совсем не обезличенные данные, как нам говорят представители Бургер Кинга. Записывается буквально все: как пользователь вводит свое имя, фамилию, адрес, и даже данные кредитной карты. Видео записывается всегда.

Вы думаете, что это единственное приложение, которое фиксирует все, что вы в нем делаете?

AppSee

Я работаю в компании, которая занимается созданием ПО. И у нас была парочка случаев.

В феврале 2016 к нам пришел клиент с мобильным приложением и попросил добавить туда некоторый функционал.

Мы посмотрели код и увидели, что используется штука для аналитики, которая называется AppSee. Попросили у заказчика доступ к ней, а он ответил, что и сам не знает откуда она там взялась, и что доступа к ней нет. Мы долго общались с поддержкой и потратили много времени на то, чтобы восстановить доступ. 

И увидели, что предыдущий разработчик настроил AppSee так, чтобы записывать видео с некоторых экранов. И некоторыми экранами были те, где пользователь вводил данные кредитки или пейпала.

Шифруй пароли

Второй случай был, когда к нам пришел заказчик с довольно большим проектом, на котором было примерно два миллиона зарегистрированных пользователей. Мы начали работу, заказчик предоставил нам доступ к коду и базе. А в базе все пароли пользователей в незашифрованном виде.

Я думаю вы понимаете, какие могли бы быть последствия, если бы база попала в плохие руки.

А вы уверены, что все сервисы, которыми вы пользуетесь, очень трепетно относятся к безопасности, не сливают ваши данные, и никогда не будут использовать ваши данные против вас? Я вот не уверен.

И самое страшное:, а что если сервисы для хранения паролей, такие как 1password, LastPass, KeePass не смогут безопасно хранить ваши пароли? Что если они утекут? Лично я даже боюсь про это думать.

Возможное решение


Какой я вижу выход? На мой взгляд, это Open Source.

Используя Open Source приложения вы получаете один большой плюс и один большой минус. Минус — в отсутствии поддержки, все риски — только на вас. Плюс в том, что тут нет еще одного звена, которое хранит ваши данные: вы исключаете вероятность того, что это звено потеряет, продаст или скомпрометирует ваши данные. Само собой, Open Source сам по себе — это не панацея, и не дает гарантии того, что разработчик не засунет в код что-нибудь плохое. Доверять стоит только тем проектам, в которых большое комьюнити.

Дальше я расскажу о том, что использую лично я.

Я знаю, что любая тема, в которой начинаются разговоры о том, что лучше: mac или win, win или linux, скатывается в безрезультатный спор. Пожалуйста, не делайте так.

Операционная система — это всего лишь инструмент. И вряд ли профессионалы будут спорить о том, что им лучше использовать — отвертку или молоток. Для каждого случая они найдут наиболее подходящий инструмент. Давайте к операционным системам и другому ПО относиться точно так же.


Менеджер паролей


Не случайно на первом месте. Ведь это — самая важная часть в вашей безопасности. Тут хранится все. И, потеряв доступ к менеджеру паролей, можно получить огромную кипу проблем.

Как я уже сказал ранее, я не представляю, что случится, если все мои пароли утекут. Поэтому я использую pass. Это терминальная программа, в которой вы можете хранить свои пароли в зашифрованном виде.

Она есть для всех операционных систем
. Есть приложения для iOS и Android. И так же есть плагины для Chrome и Firefox.

Программа полностью открытая и свободная, использует свободную библиотеку GPG. Она шифрует каждую запись вашим ключом GPG. На мой взгляд, это наиболее безопасный вариант.

rkyxev444uktuj2dgzz0b9hihfk.png

xop8iezemgkkmfkgcy3edy68if0.png

dfike9r58olmhlj7ryto8ubdnyq.png

rp6euhuzhpyblj0e1hwqjbna85o.png

Операционная система


На мой взгляд, наиболее безопасными являются свободные ОС с открытым кодом. Их довольно много. Можно начать с самой простой в установке и использовании — Ubuntu. Но лично мне она не очень нравится тем, что в ней есть различные сервисы, вроде popularity-contest, которые отправляют какие-то данные разработчикам.

Кроме того, убунта уже немного подорвала репутацию, использовав так называемый «шпионящий поиск» до версии 16.04.

Лично я свой выбор сделал в пользу arch linux, хотя он сложнее в установке. Хотя аналогов довольно большое количество, и не могу сказать, что они хуже.

Смартфон


На мой взгляд отличная ОС с открытым кодом — LineageOS. Она очень стабильная и довольно часто обновляется. Сейчас это очень свежий Android 8.1.0, который работает отлично. Не забудьте после установки залочить bootloader.

Вместе со свободной ОС рекомендую использовать магазин со свободным ПО, который называется F-Droid.

Задумайтесь о том, как вы разблокируете ваш смартфон.

На мой взгляд, разблокировка по лицу — не очень надежный метод, существует огромное количество проблем.

Отпечаток пальца — тоже довольно спорный метод. Фактически, если вы не доверяете Гуглу или Эпплу и используете не их операционные системы, но при этом разблокировали телефоны своим отпечатком, то можете считать, что ваш отпечаток уже скомпрометирован. И вам уже нельзя использовать отпечаток пальца для защиты чего-то важного.

hozbun3vsu-4qtnfclyqrmuxgfc.png

Хранение файлов


Вместо Google Drive или Dropbox я использую NextCloud на своем сервере. Плюсов есть несколько.

  • Безопасность. Я уверен, что ни у кого больше нет доступа к моим данным. И даже если он появится, то все данные на NextCloud зашифрованы. Так же, как и Дропбокс, он имеет клиенты для всех операционных систем, включая мобильные.
  • Гибкость. Я могу использовать такой объем хранилища, который мне нужен. Я легко могу сделать как 100Гб, так и 20Тб.
  • Плагины. NextCloud предлагает довольно удобные дополнения. Такие как заметки, календарь, таск-менеджер. И все это синхронизируется и так же работает на смартфоне.


Browser


Наверное, точно так же, как с предыдущими пунктами. Лучше всего использовать браузеры с открытым исходным кодом: Firefox, Chromium, Brave, Icecat. По удобству использования и другим характеристикам они не уступают тому же хрому.

Поисковик


Мне не очень нравится то, что поисковик знает про меня слишком много. Вот примеры того, что Гугл знает про вас.

myactivity.google.com/myactivity
maps.google.com/locationhistory
adssettings.google.com/authenticated? hl=en

Надо сказать, что Гугл действительно хорошо ищет. Бесплатных аналогов, которые уважают вашу приватность довольно мало. Фактически есть только DuckDuckGo, который ищет не идеально.

Шифрование на лету


Есть такие программы, как TrueCrypt, которые позволяют вам шифровать на лету вашу информацию.

Сама программа TrueCrypt считалась самой надежной для полного шифрования диска или создания контейнеров. Но вот только разработчики опубликовали сообщение, в котором посоветовали всем пользователям перейти на Bitlocker. В этом сообщении сообщество увидело так называемое «свидетельство канарейки», то есть попытку сказать что-то, ничего не сказав и предоставив намек на свою неискренность. Так как разработчики всегда высмеивали Bitlocker.

Кроме того, некоторые пользователи захотели сделать форк проекта. Но автор TrueCrypt ответил кратко и емко: «Очень жаль, но я думаю, что вы просите невозможного. Мне не кажется форк TrueCrypt хорошей идеей».

Исходя из этого, я считаю, что TrueCrypt, и все его аналоги вроде VeraCrypt, — не являются безопасными.

Других аналогов я не знаю. Хотя я слышал про Tomb, всегда хотел его попробовать, но никак не доходили руки. Если вы можете что-то посоветовать, то напишите в комментариях.

Важные дополнения


Шифруйте весь диск

Знаете, что будет, если вы потеряете свой ноутбук, и его найдет плохой человек? 

Он включит его с любой загрузочной флешкой и спокойно получит доступ ко всем вашим данным.

Поэтому очень важно зашифровать весь диск. Чтобы при потере вашего девайса человек не смог получить к нему доступ.

Делайте бекапы (и шифруйте их)

Точно так же важно не потерять самому все ваши данные. По этому делайте бекапы. И обязательно шифруйте их. Ну и, само собой, не храните бекапы на том же носителе.

Следите за доступом

Когда вы продаете свои девайсы, то не забывайте удалять их из ваших учетных записей. Это очень важно.

myaccount.google.com/device-activity
www.dropbox.com/account/security
www.icloud.com/#settings

Следите за тем, какой уровень доступа требуют у вас приложения и плагины.

Бывают ситуации, когда поставишь какое-либо приложение, а оно требует полный доступ к папке Дропбокса. Хотя казалось бы, этому приложению совершенно не нужен такой доступ. Ну, на крайний случай, ему хватило бы Access type: «App folder». Такие вещи для Дропбокса можно проверить тут:

www.dropbox.com/account/connected_apps

А некоторые приложения требуют доступ к Google Drive. Я не очень понимаю, для чего им доступ к моим документам. Это можно проверить по этой ссылке:

myaccount.google.com/permissions

Двухфакторная аутентификация

Используйте двухфакторную аутентификация везде, где только можно. Этот очень эффективный дополнительный уровень безопасности. Их существует несколько видов.

  • Синхронизированные по времени пароли. На мой взгляд, один из самых распространенных, безопасных и самых удачных вариантов двухфакторной аутентификации. Вам показывается QR-код, который вам нужно сфотографировать приложением, и у вас появится строка с вашим одноразовым паролем, который меняется каждые 30 сек. Рекомендую вам каким-то образом хранить картинки этих QR-кодов или использовать приложения, которые могут экспортировать базу с вашими записями.
  • Аппаратный ключ FIDO U2F. На мой взгляд, это тоже довольно удачный вариант, но меня смущают некоторые моменты. Например, не понятно, что делать, если этот ключ сломается и просто перестанет работать. Все-таки это техника, а любая техника когда-нибудь, да ломается. Так же мне не понятно, что делать, если я его просто потеряю.
  • Список одноразовых паролей — сносный вариант, если нет ничего другого. Проблема с этим вариантом в том, что пользователь чаще всего будет хранить пароль и список одноразовых паролей в одном месте.
  • SMS-аутентификация. Мне совершенно не нравится данный способ, и я стараюсь его не использовать, хотя иногда не получается, так как некоторые сервисы предлагают только его. Проблема в том, что есть огромное количество способов завладеть вашим номером телефона.

© Habrahabr.ru