Интернет-контрразведка в действии: создаем персональную систему менеджмента информационной безопасности

    В предыдущих статьях мы рассматривали разведывательные способы добывания информации о человеке в интернете, но ни разу не затронули тему защиты от подобных действий со стороны наших недоброжелателей. Теперь время пришло, и мы это сделаем. Перед погружением в сегодняшнюю тему небольшой дисклеймер:


    Все события и участники являются вымышленными. Любые совпадения случайны. Автор не несет ответственности за любые негативные последствия в случае внедрения рассматриваемых контрмер, в том числе физические травмы, полученные в результате неконтролируемого приступа ревности, возникшего у вашей второй половинки. Помните: усиление мер защиты может привлечь ненужное внимание и вызвать подозрения.



    Для рассмотрения логики создания эффективной персональной системы менеджмента информационной безопасности нам придется создать целый ряд действующих лиц со своими мотивами, компетенциями и угрозами.


    Действующие лица


    Иван Доброглюк – программист из города N, большой поклонник Хабра, хорошо вписывается в портрет среднего хабровца, который мы вычислили в статье Интернет-разведка в действии: who is Mr./Ms. Habraman?. Иван — разработчик в молодой инновационной ИТ-компании «Матрешка Продакшн». Живет со своей девушкой Машей Легкой, которой уже сделал предложение.


    Маша Легкая – очень любит Ивана и ревнует его ко всем девушкам. Читает Хабр. Учится на 5-м курсе на факультете информационных технологий в N-ском политехе.


    Миша Косяк – администратор в провайдере «Шустринет», бывший одноклассник Маши Легкой. Пассивно влюблен в Машу, считает Ивана своим кровным врагом.


    Анжела Сучкова (ударение на второй слог) – коллега Ивана. Работает программистом в RnD-отделе. Анжеле нравится Иван, и она очень расстроилась, узнав о его помолвке. Анжела ведет двойную жизнь. По ночам она выходит в сеть под ником badgirl314 и подрабатывает хакером. Специализируется на взломе личных компьютеров, «пробиванием» людей в интернете, иногда проникает в компьютерные сети организаций. Сильная и независимая девушка.


    Выявление информационных активов


    Ранним субботним утром Иван проснулся в холодном поту. Ему приснилось, что кто-то взломал его компьютер и удалил папку с фотографиями, которые он бережно собирал еще со школы. Этот знак заставил нашего героя принять твердое решение защитить свои данные от вероятных угроз.


    Иван провел инвентаризацию всех данных, представляющих ценность, и определил, где они хранятся и обрабатываются:


    Данные Место хранения
    1 Пароли к интернет-сервисам: почта, социальные сети, облачные хранилища данных и т.п. собственная голова, файл passwords.txt на рабочем столе на ноутбуке, некоторые пароли записаны в заметках на iPhone
    2 Финансовая информация: доходы/расходы почтовый ящик (почтовые оповещения от банка), iPhone (смс)
    3 Переписка с друзьями почтовый ящик, почтовый клиент на ноутбуке, мессенджеры на iPhone, мессенджеры на личных страницах в социальных сетях.
    4 Персональные данные: контакты, биография, психологический профиль социальные сети, данные о деятельности в интернете (ноутбук, сайты)
    N Папка с коллекцией фотографий жесткий диск ноутбука

    Теперь у Ивана получится четко сформировать список личных информационных активов. Иван помнил, что актив — это информация и средства ее обработки, соответственно это могут быть данные в любом виде, программное и аппаратное обеспечение, информационные системы и т.д.


    Иван составил на салфетке следующий список:


    • Ноутбук;

    • Смартфон;

    • Аккаунт на сервисе электронной почты;

    • Аккаунт в социальной сети «ВКонтакте»;

    • Аккаунт в социальной сети Facebook;


    Выявление угроз


    После того, как Иван понял, что нужно защищать, он попробует определить, какие угрозы ему нужно рассматривать. Для этого он будет использовать информацию об активах, зафиксированную выше, а также свои предположения относительно источников угроз.


    Иван, немного подумав, сформировал перечни угроз, группируя по источникам.


    Его невеста Маша Легкая может:


    • подсмотреть пароль;

    • прочитать сообщения от друзей и подруг;

    • прочитать сообщения от банка о поступлении средств и расходах.


    Мотивы Маши: контроль за женихом. Она не хочет, чтобы у него появились какие-либо поклонницы, нежелательные друзья или заначки от нее.


    Ивану было известно со слов Маши о ее странном поклоннике Мише Косяке, и он знал, что тот работает в интернет-провайдере, предоставляющем им доступ к интернету.


    Миша Косяк может:


    • перехватывать интернет-трафик Ивана;

    • следить за его активностью в социальных сетях.


    Основные мотивы Миши: любопытство и упоение своей безответной любовью к Маше.


    Наш Иван также догадывается и о возможностях своей коллеги Анжелы Сучковой, так как недавно был свидетелем того, как содержимое ее сумочки случайно оказалось на полу офиса, и его меткий глаз выделил среди различных женских штучек новенький Wi-Fi адаптер Alfa AWUS051NH, который любят использовать хакеры для взлома Wi-Fi-сетей.


    Анжела Сучкова может:


    • попытаться взломать компьютер Ивана;

    • попытаться получить доступ к его аккаунтам в социальных сетях, электронной почте и т.п.


    Угрозы социальной инженерии, исходящие от Анжелы, наш Иван сразу исключает. Он искренне любит Машу, поэтому красная мини-юбка Анжелы прилива эмоций у него не вызывает.


    Мотивы Анжелы: расстроить свадьбу Ивана, найдя компрометирующую информацию на кого-либо из любящей пары, а также «прощупать» финансовые возможности Ивана.


    При составлении списка угроз Иван не забывает и об угрозах физической безопасности и окружающей среды, таких как:


    • кража/потеря ноутбука/смартфона;

    • сбои в работе ноутбука/смартфона.


    Обратим внимание на то, что выявленные угрозы сформулированы не очень детально, но и не очень абстрактно. Излишняя детализация может привести к большому количеству ненужной информации, с которой мы не сможем справиться, например, описывая, что именно может сломаться в ноутбуке. Максимальное абстрагирование может привести к «отрыву» от реальности и невозможности получать конкретные оценки, например, для каждого актива рассматриваются лишь абстрактные угрозы нарушения конфиденциальности, целостности и доступности, без привязки к конкретным злоумышленникам, сценариям и т.п.


    Оценка рисков информационной безопасности: методика


    Понимание угроз само по себе очень полезно, но нам необходим инструмент, который позволит дать им оценку, чтобы мы смогли своевременно «обработать» их. Таким инструментом является оценка рисков.


    Что такое риск мы все прекрасно понимаем на интуитивном уровне: это вероятность чего-то плохого. Соответственно, риск является комбинацией вероятности угрозы и последствий от ее реализации, и мы можем вывести следующую простую формулу:


    R = P * I,


    где R – оценка риска, P – вероятность, I – последствия.


    Наш Иван формирует следующие критерии для оценки последствий:


    I Финансы Имидж Отношения с Машей
    Н Потеря до 10 000 рублей Что-то плохое об Иване узнают до 10 человек Маша отругает
    С Потеря от 10 000 рублей до 100 000 рублей Что-то плохое об Иване узнают от 10 до 100 человек Маша может обидеться и вечером скажет, что болит голова
    В Потеря более 100 000 рублей Что-то плохое об Иване узнает весь интернет Иван и Маша расстанутся

    Аналогичная таблица формируется для оценки уровня вероятности угрозы:


    P

    Статистика Подверженность угрозе

    Мотивация


    злоумышленника

    Н Иван сталкивается с угрозой раз в год. Низкая. Уязвимости отсутствуют. Имеются эффективные средства защиты. Низкая. Угроза будет реализована в случае благоприятных обстоятельств. Потенциально низкий выигрыш
    С Иван сталкивается с угрозой раз в месяц. Средняя. Имеются уязвимости. Средства защиты внедрены не полностью. Средняя. Имеются признаки подготовки злоумышленником для реализации угрозы. Потенциально средний выигрыш.
    В Иван сталкивается с угрозой раз в неделю. Высокая. Имеется множество уязвимостей. Отсутствуют средства защиты. Высокая. Есть уверенность в подготовке злоумышленника к реализации угрозы. Потенциально высокий выигрыш.

    Для определения итогового значения риска Иван формирует следующую таблицу:




    Оценка собственной защищенности


    Для большинства критериев можно практически сразу понять, куда мы попадаем с конкретной угрозой, а вот оценивать уровень вероятности по критерию, связанному с наличием/отсутствием уязвимостей и мер защиты, лучше по результатам качественного обследования (аудита).


    Как оценить защищенность своих активов от выявленных угроз? Аудиторы-профессионалы никогда не гнушаются таким инструментом, как чеклист, в котором отмечаются моменты, которые стоит проверить. Иван решил не изобретать велосипед и скачал чеклисты для Windows 10, Google Chrome и iOS 10 с сайта Center of Internet Security.


    Windows 10


    Чеклист от CIS для Windows 10, включающий 931 страницу, так поразил Ивана, что ему пришлось взять на вооружение такой аудиторский метод, как выборочное тестирование контрмер. Он проверил только некоторые настройки: обновления, приватность, Wi-Fi сетей (соответственно, в поиске надо набирать “privacy”, ”updates”, “Wi-Fi”).


    Уровень обновлений системы Иван дополнительно проверил с помощью команды systeminfo, получив список установленных исправлений:



    Зайдя на сайт Microsoft: https://support.microsoft.com/en-us/help/4000825/windows-10-and-windows-server-2016-update-history Иван увидел, что еще пара обновлений были выпущены после последнего KB3213986, установленного у него:



    Изучив описание недостающих обновлений, наш герой убедился, что нет никаких исправлений, связанных с безопасностью, и сделал вывод, что уровень обновления операционной системы довольно приличный.


    В результате анализа Иван обнаружил лишь, что ноутбук может «сливать» ненужную информацию, раз у него включена служба определения местоположения и целый ряд функций слежения за деятельностью пользователя.


    Google Chrome


    На собственном опыте Иван знал, что нехорошо, когда браузеры сохраняют историю посещений, запоминают пароли, используют устаревшие версии плагинов, да и сами не обновляются.


    Иван также решил вручную просмотреть настройки браузера Google Chrome с чеклистом от CIS на коленке (chrome://settings/), и дополнительно воспользоваться парой онлайн-сервисов:



    В результате Иван обнаружил, что:


    • в браузере хранятся пароли для доступа к социальным сетям «ВКонтакте» и Facebook;

    • браузер не блокирует данные и файлы cookie сторонних сайтов (Настройки->Дополнительные настройки->Настройки контента), соответственно излишне любопытные сайты могут отслеживать в каких социальных сетях он авторизован.


    iOS 10


    Аналогичным образом Иван проверил настройки и своего iPhone, обнаружив несколько недостатков:


    • не активировано стирание всех данных на телефоне после 10 попыток подбора;

    • включена синхронизация заметок с iCloud, а как мы помним Иван записывал в них некоторые пароли и был уверен, что они остаются только в телефоне;

    • выключена функция отправки заголовка «Do not track» в настройках браузера Safari.


    Социальные сети


    Руководствуясь логикой, Иван составил 6 пунктов, по которым и проверил свои аккаунты в сетях «ВКонтакте» и Facebook:


    1. В списках друзей должны быть только доверенные люди, так как друзья, как правило, имеют более широкий доступ к данным;

    2. Настройки приватности должны адекватно разграничивать, что видно всем, а что – только друзьям;

    3. Опубликованные данные (включая посты) содержат только ту информацию, которой хотим поделиться;

    4. Необходимо проверить, есть ли на опубликованных фото лишняя информация (номера машин, адреса, телефоны, координаты и т.п.);

    5. Переписка с контактами не содержит личной информации;

    6. Среди авторизованных приложений только те, которые действительно нужны.


    Facebook


    Создатели Facebook не так давно создали функцию «Проверка конфиденциальности», которая позволяет провести экспресс-аудит основных настроек конфиденциальности.



    Также через пункт меню «Быстрые настройки конфиденциальности» можно просмотреть и поменять другие настройки. Иван не забыл и о настройках безопасности аккаунта: https://www.facebook.com/settings?tab=security


    ВКонтакте


    Интерфейс российской социальной сети более удобный и требуется только выбрать меню «Настройки» https://vk.com/settings?act=security и посмотреть параметры в подменю «Безопасность», «Приватность», а также настройки приложений.


    В результате данного анализа Иван обнаружил, что:


    • среди его друзей в социальных сетях присутствуют мало знакомые личности, которые никакой активности не проявляют, но, возможно, отслеживают все, что он публикует, и можно предположить, что за одной из таких личностей скрывается известный нам Миша Косяк;

    • за годы присутствия в социальных сетях накопилась целая масса сторонних приложений, имеющих доступ к его контактным данным и не только.


    Gmail


    Зайдя в свой аккаунт на Gmail, наш герой расстроился, так как обнаружил:


    • аккаунт почты превратился в настоящую помойку, которую он ни разу не чистил. При этом в этой помойке можно было найти весьма чувствительные вещи: личную переписку, информацию о поступлении и списании денежных средств, пароли для доступа к различным аккаунтам;


    • была включена функция Smart Lock для паролей https://passwords.google.com, которая насобирала множество паролей к различным сайтам.


    Выявление возможных инцидентов


    Помимо оценки своей защищенности неплохо также посмотреть, а нет ли сейчас следов того, что кто-то воспользовался нашей невнимательностью и уже читает нашу переписку в социальных сетях или в том же Gmail. Сейчас это сделать довольно легко, так как этот функционал во всех рассмотренных сервисах реализован:


    Gmail


    1. контроль подключений устройств: https://myaccount.google.com/device-activity

    2. история подключений Gmail: заходите на Gmail.com и в правом нижнем углу нажимаете на «Дополнительная информация».


    ВКонтакте


    https://vk.com/settings?act=security


    Facebook


    https://www.facebook.com/settings?tab=security&section=sessions&view


    Журналы Windows можно посмотреть в Event Viewer, набрав в командной строке eventvwr.


    В ходе проверки Иван обнаружил, что в списке устройств, с которых были подключения к его аккаунту, фигурирует посторонний компьютер под управлением ОС Linux. Он сразу же подумал об Анжеле Сучковой. Печали Ивану добавил еще тот факт, что было включено отслеживание его действий (https://myactivity.google.com/myactivity), и Анжела наверняка узнала о том, какие сайты посещал Иван, и о его тайном увлечении интересными фотографиями.


    Оценка рисков информационной безопасности: результаты


    Поняв угрозы информационной безопасности и имеющиеся уязвимости Иван применил разработанную им методологию оценки рисков. Для каждого актива Иван сформулировал риски и зафиксировал возможные источники угрозы.


    Оценка рисков проводилась примерно следующим образом:


    «Маша может найти мой ценный фото-архив на ноутбуке. Она может все понять неправильно, подумать что со мной что-то не так и, возможно, даже бросит… Как она может получить доступ? Может подойти с включенной камерой на смартфоне и записать, как я ввожу пароль… Или я забуду заблокировать экран. Анжела может трояна закинуть и «прошерстить» весь диск. Вероятность высокая, последствия, как минимум, средние. Риск, конечно же, высокий».


    Иван фиксирует оценку рисков информационной безопасности:


    Актив Формулировка риска Источник угрозы Вероятность Последствия Оценка риска
    1 Ноутбук Кража Неизвестный Н В В
    2 Ноутбук Выход из строя с потерей данных Природа Н В В
    3 Ноутбук Перехват трафика Миша В С В
    4 Ноутбук Компрометация пароля Windows Маша В С В
    5 Ноутбук Несанкционированный доступ к файлам Маша, Анжела В С В
    6 Ноутбук Заражение вредоносным ПО Анжела С В В
    7 Смартфон Кража Неизвестный С С С
    8 Смартфон Выход из строя Природа Н С С
    9 Смартфон Несанкционированный доступ к сообщениям Маша В С С
    10 Аккаунты в соцсетях Несанкционированный доступ к переписке с контактами

    Маша,


    Анжела

    С С С
    11 Аккаунты в соцсетях Утечка «чувствительной» информации Миша, Маша, Анжела С С С
    12 Аккаунт в сервисе электронной почты Несанкционированный доступ к электронной переписке

    Маша,


    Анжела

    С В В
    13 Пароли Несанкционированный доступ к паролям

    Миша,


    Маша,


    Анжела

    С С С

    Выбор и внедрение контрмер


    Иван оценивал риски не просто из любви к искусству, а для того, чтобы затем выбрать соответствующие методы обработки рисков.


    Вариантов обработки рисков всего четыре:


    1. минимизация – внедрение контрмер;

    2. избежание – изменение процесса таким образом, что риск перестает быть актуальным;

    3. передача – передача риска третьему лицу (например, аутсорсинг);

    4. принятие – сознательное согласие с возможностью реализации угрозы и ее последствий.


    Самый распространенный принцип работы с рисками следующий: оценить риски, после чего низкие сразу принять, а высокие и средние — минимизировать посредством внедрения контрмер, и принять уже низкие остаточные.


    У нашего Ивана 13 рисков и все их нужно минимизировать. Он снова садится за Excel и начинает думать, какие меры позволят риски свести к минимуму:


    Актив Формулировка риска Контрмеры
    1 Ноутбук Кража
    • не оставлять ноутбук без присмотра;


    • следовать политике «чистого экрана»;


    • шифрование данных на жестком диске;


    • гарантированное уничтожение данных на жестком диске.


    2 Ноутбук Выход из строя с потерей данных
    • резервное копирование на внешний носитель.


    3 Ноутбук Перехват трафика
    • шифрование сетевого трафика;


    4 Ноутбук Компрометация пароля Windows
    • не вводить пароль при свидетелях;


    • выбрать сложный пароль.


    5 Ноутбук Несанкционированный доступ к файлам
    • шифрование данных на жестком диске;


    • гарантированное уничтожение данных на жестком диске.


    6 Ноутбук Заражение вредоносным ПО
    • использование антивируса;


    • использование персонального межсетевого экрана;


    • использование специальной виртуальной машины.


    7 Смартфон Кража
    • не оставлять без присмотра;


    • удаление информации в случае попытки подобрать пароль.


    8 Смартфон Выход из строя
    • резервное копирование в облако;


    9 Смартфон Несанкционированный доступ к сообщениям
    • выключить уведомления мессенджеров;


    10 Аккаунты в соцсетях Несанкционированный доступ к переписке с контактами
    • двухфакторная аутентификация;


    • удаление личной переписки.


    11 Аккаунты в соцсетях Утечка «чувствительной» информации
    • «чистка» персональных данных и публикаций;


    • «чистка» фальшивых друзей;


    12 Аккаунт в сервисе электронной почты Несанкционированный доступ к электронной переписке
    • удаление ненужной переписки;


    • архивация нужной переписки на внешний носитель;


    13 Пароли Компрометация паролей (несанкционированный доступ, отгадывание и т.п.)
    • сокращение количества мест хранения паролей;


    • смена паролей.



    Получив список контрмер, наш герой стал искать соответствующие решения. Так как он втайне от Маши копил ей на свадебный подарок, то он ориентировался на бесплатные средства защиты информации или на те, что требуют минимальных затрат.


    Рассмотрим реализацию нескольких ключевых мер.


    Шифрование данных на жестком диске


    Иван внимательно изучил список решений, опубликованный на Wikipedia https://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software и останавил свой выбор на VeraCrypt


    Нашему герою была хорошо известна и обратная сторона использования шифрования данных: если что-то пойдет не так и целостность крипто-контейнера будет нарушена, восстановить что-либо будет скорее всего невозможно.


    Гарантированное уничтожение данных на жестком диске


    Иван знал, что по-настоящему удалить файл не так уж и просто. Даже удаление из корзины не лишает злоумышленников, получивших физический доступ к компьютеру, возможности восстановить его с помощью специальных утилит для работы с жесткими дисками.


    В интернете Иван нашел проект Eraser и устанавил утилиту. Теперь он стал работать с файлами, содержащими критичную для него информацию следующим образом: файл создается и хранится в крипто-контейнере, созданном с помощью VeraCrypt, если файл оказывается вне крипто-контейнера, то после работы с ним он удаляется с помощью Eraser. Также Иван запланировал ежедневную очистку папки «Downloads», в которой вечно скапливается мусор, среди которого можно найти и файлы с интересной для злоумышленников информацией.


    Шифрование сетевого трафика


    Шифрование данных, передаваемых по сети, может обеспечиваться различным способом и для различных сервисов.


    Web-трафик: все мы знаем, что для скрытия от любопытных глаз используется HTTPs. Для автоматического переключения на HTTPs (там, где это возможно) Иван решает использовать специальный плагин для Chrome: HTTPS Everywhere.


    Почтовый трафик: для доступа к почтовым серверам необходимо использовать протоколы, защищенные SSL.


    Иван решает для себя, что особо критичную переписку он защитит с помощью криптографии с открытым ключом. Для этого ему понадобится почтовый клиент, например, Thunderbird, пакет ПО для шифрования Gpg4win и плагин для Thunderbird, который называется Enigmail. Иван генерирует пару открытый/закрытый ключ. Открытый сообщает своим друзьям, а закрытый сохраняет в надежном месте.


    Иван подумывает над тем, чтобы шифровать весь свой трафик, проходящий через недоверенного провайдера, в котором работает Миша. Наш герой рассматривает варианты VPN-сервисов такие как https://torguard.net/pcmag-vpn-discount.php или https://www.hidemyass.com, также думает, а не арендовать ли ему внешний сервер, на котором поднять прокси и OpenVPN, но пока этого не делает, так как это требует затрат, а он копит деньги на подарок любимой Маше.


    Защита от вредоносного программного обеспечения


    Еще со школьной скамьи Иван знает, что выходить в интернет без хорошего антивируса небезопасно. Поэтому он не пожалел денежки и купил надежный антивирус. Иван также знает, что 100%-ную гарантию защиты не даст даже его любимый антивирус, и поэтому на всякий случай создает виртуальные машины с Linux и Windows для работы с потенциально опасными данными. Например, если приходит письмо, которое может содержать с одинаковой вероятностью как «зловред», так и интересную информацию, Иван запускает виртуальную машину из снапшота и загружает данные, затем отключает для виртуальной машины сеть и открывает файл. Если там был зловред вместо полезной информации, то ничего страшного не произойдет — ведь оригинальный снапшот остался.


    Пароли


    Нет страшней уязвимости, чем слабый пароль. Современный человек и так постоянно перегружен информацией, а тут еще нужно помнить пароли к многочисленным сервисам. Как быть? На самом деле нет необходимости помнить большое количество паролей. Можно запомнить лишь два пароля: пароль от своего основного почтового ящика, к которому привязаны все сервисы и пароль от базы паролей, в которой хранятся все остальные пароли, сгенерированные по всем лучшим практикам: длинные, со специальными символами, с символами в различных регистрах. Такую базу паролей можно вести с помощью бесплатной утилиты KeePass. Сама база паролей конечно же шифруется, но для дополнительной защиты можно ее записать на надежный внешний носитель и работать с данными только на нем. Ваши пароли будут храниться всего в двух местах – в вашем кармане и в голове.


    Наш герой так и поступил.


    Угрозы начинают реализовываться


    Создав персональную систему менеджмента информационной безопасности, Иван стал спать намного спокойнее, ведь теперь его ценный фото-архив хранится в зашифрованном виде, да еще и в двух экземплярах. Периодически Иван проводил оценку защищенности, смотрел логи, думал о новых рисках и при необходимости корректировал свои меры защиты информации.


    Прошло несколько месяцев, день свадьбы Ивана и Маши приближался. В отчаянии Анжела решилась на последний рывок: Иван получил от нее письмо на свой практически заброшенный ящик, размещенный на почтовом сервере известного нам провайдера «Шустринет». Тема письма: «Мои фото в твою коллекцию». Интуиция подсказала Ивану, что лучше письмо не открывать, но любопытство взяло верх: вдруг получится пополнить свой архив новыми материалами. Иван со всеми предосторожностями запустил специальную виртуальную машину-песочницу и открыл полученные файлы. Троян, подготовленный Анжелой, запустился, но ничего интересного в пустой виртуальной машине не нашел и даже не смог сообщить своей хозяйке о негативном результате, так как доступ к интернету отсутствовал. Иван разочарованно обнаружил в письме интимные фото Анжелы и убедился в правильности своего выбора в пользу Маши.


    Миша Косяк давно перехватывал письма, поступавшие на ящик своего врага на подконтрольном ему сервере, но в последнее время это происходило очень редко, так Иван использовал почту на Gmail и включил шифрование. Миша с интересом открыл перехваченное письмо и увидел на фотографиях девушку своей мечты. Он тут же забыл про свою любовь к Маше Легкой.


    Анжела Сучкова с нетерпением ждала входящего соединения от искусно подготовленного трояна, и вот удача: есть контакт. Анжела просмотрела содержимое диска скомпрометированного компьютера и поняла, что это не ноутбук Ивана. Она послала команду, чтобы установленная камера сделала фото человека, сидящего за монитором. Получив фото, она поняла, что это ее судьба. Запустила удаленно на компьютере Миши notepad и весь вечер они провели, обсуждая в нем японскую поэзию.


    Обе пары вскоре поженились, и у них началась счастливая и беззаботная жизнь. В первую брачную ночь Иван открылся Маше и показал свою коллекцию фотографий НЛО. Маша нашла это увлечение очень интересным.


    Вместо заключения пара слов об ISO 27001


    Рассмотренный кейс нам может показаться немного несерьезным, но на самом деле мы только что рассмотрели принципы функционирования системы менеджмента информационной безопасности (СМИБ). В серьезных организациях СМИБ внедряется на базе международного стандарта ISO/IEC 27001:2013, который содержит описание шагов, которые должна предпринять организация для построения эффективной системы менеджмента. Эти шаги соответствуют известному циклу Шухарта-Деминга Plan-Do-Check-Act. Ядром системы является рассмотренная оценка рисков информационной безопасности и внедрение соответствующих контрмер. Если нашему читателю интересны практические подробности, а его работодатель готов вложиться в повышение квалификации своего сотрудника, то приглашаем на наши курсы, авторизованные British Standards Institution (организация, стоявшая у истоков стандарта ISO 27001). Если же хочется что-нибудь прочитать про основы информационной безопасности, то не пропустите нашу книгу: Семь безопасных информационных технологий / Под. ред. А.С.Маркова. М.: ДМК Пресс, 2017. 224 с.


    И самое главное, дорогие читатели Хабра, будьте бдительны и держите «горячие» угрозы в фокусе!

    Эшелон 40,34
    Компания
    Поделиться публикацией
    Комментарии 52
    • 0
      Возник новый объект «резервное копирование на внешний носитель», он выпал из анализа ;-)

      Хорошая статья! Большое спасибо!
      • –2
        Спасибо) Вы правы, диск с копией данных — такой же актив. Поэтому система должна работать в цикле
      • –3

        Сказ об Иване-параноике и его враге Мише Косяке.

        • +1
          Нет, тут до настоящей паранойи еще далеко. Иван просто освоил принципы ISO 27001)) Этот стандарт, кстати, сейчас шагает по стране и любому, интересующемуся ИБ, стоит его хотя бы пролистать.
        • +1
          За живой стиль повествования отдельное спасибо. У автора определенно талант.
          • 0

            Хорошее изложение. :) В контексте борьбы с паролями стоило бы упомянуть про другие подходы (и их риски) — двухфакторная аутентификация, биометрия, и т.п., благо сейчас это доступно даже не особо продвинутым людям.

            • 0
              Спасибо! Пароли — обширная тема и будет отдельная статья, а то эта публикация в книгу превратилась бы)
              • 0

                Скажите, а как вы относитесь к сервисам хранения паролей типа LastPass?

                • 0
                  чем меньше мест хранения паролей, тем лучше. Чтобы выкладывать их куда-то нужно обладать очень сильной верой в надежность владельцев подобных сервисов.
                  • 0

                    Просто паролей много. Пока для себя использую этот сервис для хранения паролей к малозначимым ресурсам. Все остальное — голова или KeePass. На мой взгляд — золотая середина

            • +1
              У Вас корпоративный сайт (из профиля) не работает или это «квест»?
              • –1
                Не, не «квест», видимо, сбой был
              • 0
                Такую базу паролей можно вести с помощью бесплатной утилиты KeePass. Сама база паролей конечно же шифруется, но для дополнительной защиты можно ее записать на надежный внешний носитель и работать с данными только на нем.

                Во-во, вот на эту KeePass и надо проводить атаку, dll-шку подменить, чтобы она шифровать перестала, а пользователь будет думать, что он защищён. Активности никакой, просто база вся в открытом виде лежит.

                А ещё на Excel, который помогает ему вычислять планы рисков и гипотезы, — самое то для прослушки. Или просто ради прикола программка типа Punto Switcher будет вносить изменения в эти планы.
                • –1
                  Ну это классическая дилемма. Как лучше? Размазать все по чуть-чуть и все немного защищать, в надежде, что все не поломают и или централизация, в ходе которой создается супер-критичный актив. Нужно оценивать риски))
                  • 0
                    Я долго думал, как сделать у себя, в итоге пришёл к выводу, что надо комбинировать и то и это. А пароли не в программе хранятся, а в голове. Просто их надо помнить и для усложнения просто транслировать в сложную последовательность через какой-нибудь алгоритм (секретный), по которому в случае компрометации не поймёшь, как он составлен. Но, как известно, пароли сейчас не являются самым слабым звеном, потому что они легко тырятся, какие бы сложные они ни были, через сторонние дыры. Поэтому важно, чтобы при их получении в количестве десяти штук нельзя было понять, как они получены, иначе тогда откроются все неизвестные пароли сразу. Да и пароли уже не крадут, а крадут сразу данные, используемые для аутентификации, для получения которых и используются пароли. Так что вот эти все вещи типа брутфорса и прочая фигня уже давно устарели и считаются непрофессиональными.
                    • –1
                      Все зависит от цели. Если речь идет о защищенной среде организации, в которой масса средств защиты, то запуск эксплойта, который позволит «стырить пароль» равносилен попытке в полночь открыть дверь подъезда, стреляя по ней из гранатомета.
                      • 0
                        Если целевая атака и предварительно уже разведано, что там внутри, то, конечно, никакого запуска эксплоита тупого не произойдёт. А то, что оно разведывается сначала, — это 100%. По случайным взломам, когда кто-то просто сканирует сеть на поиск любой жертвы, можно вообще минимально защищаться, так как вероятность проникновения довольно мала. В современном мире ты уже получаешь дистрибутив системы с настроенной минимальной защитой и даже не узнаёшь об этом. Это раньше было всё открыто, но сейчас есть талмуды по дырам, автоматическое ПО для тестирования на дыры и прочие фишки. Не так просто сейчас проникнуть в свежую систему, поставленную неспециалистом.
                      • 0
                        Просто их надо помнить и для усложнения просто транслировать в сложную последовательность через какой-нибудь алгоритм (секретный), по которому в случае компрометации не поймёшь, как он составлен

                        В данном случае сразу две проблемы — нарушение принципа Керкго́ффса и… в общем, смотрите статью — вы опасно некомпетентны в криптографии, — была на хабре.


                        Но, как известно, пароли сейчас не являются самым слабым звеном, потому что они легко тырятся

                        Вы не правы. Пароли тырятся довольно редко. Если и тырятся в массовых количествах, то хеши паролей. И вот тут слабость паролей играет ключевую роль — слабые пароли легко подбираются по таблицам.


                        Так что вот эти все вещи типа брутфорса и прочая фигня уже давно устарели и считаются непрофессиональными.

                        О, да! Потырили хацкеры хеши и сказали такие — не, подбирать их непрофессионально, не будем из принципе! Смешно.

                        • 0
                          Пароль нет смысла подбирать, потому что его поменяют. Ты подбирал их две недели, а их поменяли за один день — и ты просто идёшь лесом со всей проделанной работой двухнедельной. Если бы ты этим занимался когда-нибудь, ты бы через это прошёл один раз и больше бы никогда не подбирал бы ничего.

                          В данном случае сразу две проблемы — нарушение принципа Керкго́ффса

                          Теоретик виден сразу.
                          • –1
                            Пароль нет смысла подбирать, потому что его поменяют.

                            О, да! С регулярность раз в пять лет. Или в десять. На другой словарный :).


                            Теоретик виден сразу

                            Профессиональный скрипт-кидди? А, ну журнал ксакеп в руки и барабан на шею.

                    • +3
                      Про KeePass ерунду не пишите.

                      Во-первых — сложно подменить dll-ку, если программа состоит из одного exe-шника :D

                      Шифрация в него прямо и встроена. Кроме того он постоянно проверяет консистентность базы.
                      Не верите — посмотрите исходники — они лежат в открытом доступе.

                      Во-вторых, имея доступ, который позволяет что-то подменять на компьютере жертвы, украсть пароли — вообще не проблема и способов миллион.
                      • –3
                        Шифрация в него прямо и встроена. Кроме того он постоянно проверяет консистентность базы.
                        Не верите — посмотрите исходники — они лежат в открытом доступе.

                        Речь о том, что никто не проверяет, что там куда сохраняется. Есть файл — значит, всё нормально. Он говорит «я вот в KeePass сохраню всё и оно будет защищено», а ты думаешь он проверяет целостность постоянно? Нет, он один раз при скачивании проверил (и то, если понимает), а потом на автомате по окну делает вывод, что перед ним всё та же проверенная программа (и то, если он проверял вообще). Любые известные программы (массовые), они все под прицелом.
                        • 0
                          Вы как бы вообще не поняли, что я написал.
                          Он === KeePass, и он постоянно следит за своей базой — при открытии, при закрытии и т.д.

                          Другое дело про пользователя.

                          Но если Вы — реально параноик, то за одной основной программой следить — не проблема, не так ли?

                          Я вот помню последние 4 цифры CRC проги, в которой держу все свои пароли и каждый раз при запуске у меня запускается тулза, которая считает ее CRC и показывает это мне, затем уже запускает программу.
                          Довольно просто все.

                          Ну и как всегда — защита зависит от тебя самого, серебряной пули нет.
                          И KeePass тут не причем :)
                          • –2
                            Он === KeePass, и он постоянно следит за своей базой — при открытии, при закрытии и т.д.

                            Я имею в виду, что это всё можно изобразить. А то, что CRC там проверяешь, это тоже легко ломается. Типа «дорогой пользователь, у нас вышла новая версия KeePass, приглашаем вас её скачать», ты такой «ой, что-то я ссылку не помню на сайт их, а открою-ка я вот эту» — и всё, и пошёл ты и скачал то, что тебе зарядили. Там даже тебе повесят md5 на «сайте», чтобы ты проверил, что всё правильно и CRC себе новую сделал, но уже сам (об этом даже знать не надо, вот в чём фишка-то).
                            • 0
                              ты такой «ой, что-то я ссылку не помню на сайт их, а открою-ка я вот эту»
                              Вот не надо меня с собой путать :D
                              Такого рода программы я обновляю только сам и только вручную (причем в этом конкретном случае я еще и сам из исходников собираю) и только, когда считаю важным.
                              Мало того — если я увижу такое поведение — оно мне сразу однозначно просигнализирует о компрометации.

                              Ну и никакие «MD5» на сайте не сканают — при запуске покажется реальная CRC.

                              А то, что CRC там проверяешь, это тоже легко ломается.
                              Для этого надо это знать и предусмотреть, ну и «сломать» это весьма не просто. Для этого надо оставить программу либо как есть и использовать хуки и подмену при запуске или юзать коллизии — что уже само по себе — высший пилотаж.
                              • 0
                                Для критично важных приложений должны быть не md5 или другие чексуммы, а gpg-подписи (криптостойкие).
                                Как, собственно, у KeePass и сделано: http://keepass.info/integrity_sig.html
                                • –2
                                  Для критично важных приложений должны быть не md5 или другие чексуммы, а gpg-подписи (криптостойкие).

                                  Ну, засунули тебе gpg-подпись, дальше что? Как ты читаешь gpg-попись? У тебя даже приём этой gpg-подписи никак не контролируется. Ты даже с уверенностью сказать не можешь, что тебе пришла по https та gpg-подпись, которую ты на сайте запрашивал. Почему? Потому что ты их не сравниваешь.
                                  • +1
                                    > Потому что ты их не сравниваешь.

                                    Как говорили в FIDOnet, отучаемся говорить за всех. Кто не проверяет — тому и страдать от возможной подмены.
                                    • 0
                                      Давайте я объясню, как это устроено, вы, видимо, плохо себе представляете.

                                      Есть разработчик, у него есть пара gpg-ключей, приватный и публичный. Приватный ключ лежит на его машине, он секретный и он его никому никогда не даёт. Публичный лежит в паблике, его можно взять с официальных доверенных сайтов типа https://pgp.mit.edu/.

                                      Разработчик при релизе подписывает бинарь своим приватным ключом, и получает gpg-подпись. Кладёт релизный бинарь и gpg-подпись на сайт, который работает по https.

                                      Пользователь качает бинарь и gpg-подпись. На своей машине считает подпись бинаря и сравнивает с тем, что скачал с сайта. Это делается программой GPG, которой для проверки нужно дать публичный ключ того, кто подписывал бинарь. Который можно/нужно взять с сайтов-хранилищ ключей, типа https://pgp.mit.edu/.

                                      И я не вижу атаки, при которой можно подменить бинарь на сайте. Кроме ситуации, когда взломали и сайт, и украли ключи с машины разработчика, а он почему-то про это не сообщил и не отозвал свой ключ в тот момент, когда узнал о взломе.

                                      И да, я проверяю gpg-подписи важных для меня приложений, которые использую.
                                      • –3
                                        Это всё полная туфта. Когда тебя взломают, ты вспомнишь, что я тебе говорил.
                                        И я не вижу атаки, при которой можно подменить бинарь на сайте.

                                        Потому что ты не знаешь нихрена, и вас таких тут большинство.
                                        • +1
                                          Ну наконец-то кто-то разоблачил никому не нужную процедуру создания и сверки подписей. И в самом деле — все эти IDS, тому подобная муть — всё равно ж взломают.

                                          Предложите альтернативное решение?
                                          • 0
                                            Это всё полная туфта.

                                            Вы мало того, что высказываете ничем не подкреплённое мнение, используя аргументы школьного уровня,


                                            ты не знаешь нихрена, и вас таких тут большинство.

                                            так вдобавок ещё и откровенно хамите.

                                            • 0
                                              Сам Касперски пожаловал к нам в тред?
                                              • 0
                                                А через 2 дня после этого коммента новость о гибели мыщъх-а. RIP
                              • 0

                                Тут ведь еще вопрос потенциальной ценности данных. Не слишком ли сложный вариант вы описали для кражи данных у рядового пользователя?

                              • +1
                                Недопонял, при чём тут «контрразведка». И зачем дана подробная модель WiFi адаптера?

                                Хотя написано вполне живо, да, согласен.
                                • 0
                                  Под контрразведкой обычно понимается противодействие разведке противника. Наши враги же могут не только по открытым источникам нас пробивать, могут и попробовать залезть и в личный ноут, смартфон, почту и т.п.

                                  Wi-Fi-адаптеры Alfa на хорошем счету у ребят, «работающих» с Wi-Fi.
                                • 0
                                  Спасибо, интересно!

                                  Ps по управлению рисками — в исо 27001 не прописывается конкретная модель. имеется конечно же 27005, но то что вы привели в статье — не совсем по 27005. впрочем, исо 27001 вы со своим подходом пройдете)
                                  • –2
                                    В ISO 27001 требования к методам оценки риски даны довольно в общем виде, но аудиторы примут любую методику, где есть оценка двух составляющих риска: вероятности и последствий. В целом по управлению рисками лучше читать ISO 31000, а по конкретным методам — ISO 31010.
                                  • 0
                                    Иванушка настроил виртуальную машину, но не догадался не открывать «интимные фото.exe»?
                                    • –2
                                      exe — грубая работа, сейчас так уже не делают.
                                      • 0
                                        Просто хотел посмотреть, что там есть, кроме вируса.
                                        По тексту, фото там были…
                                        • 0

                                          Там вообще постараться надо, чтобы оно адресату в ящик попало. GMail не принимает письма, содержащие исполняемые файлы. Даже в архивах. Только если архив зашифрован с шифрованием имен файлов.

                                        • 0
                                          Пару вопросов:

                                          1.

                                          — шифрование данных на жестком диске;
                                          — гарантированное уничтожение данных на жестком диске

                                          Покажете сценарий, при котором второй пункт не является излишним при правильном соблюдении первого?

                                          2.
                                          резервное копирование в облако;

                                          Как при этом мы оцениваем риск несанкционированного доступа к копии данных?
                                          • –2
                                            1) Пользователь загружает файл из почты в папку downloads и только потом переносит, куда следует, или не переносит вовсе, забывая ее навечно.

                                            2) Все зависит от того, какие именно данные синхронизируете, как оцениваете последствия от их компрометации, как соотносятся последствия от потери данных с последствиями от несанкционированного доступа. Главное, не забыть про данный риск.
                                            • 0
                                              1) Пользователь загружает файл из почты в папку downloads и только потом переносит, куда следует, или не переносит вовсе, забывая ее навечно.


                                              Ну так это же и есть неправильное (неполное) соблюдение первого пункта? Почему папка downloads на нешифрованном разделе?

                                              2… Главное, не забыть про данный риск.

                                              Я именно к этому и вел. Я бы подчеркнул в тексте, что делегирование защиты данных в облаке администратору облака — не повод не оценивать связанные с этим риски
                                            • 0
                                              — шифрование данных на жестком диске;
                                              — гарантированное уничтожение данных на жестком диске
                                              Покажете сценарий, при котором второй пункт не является излишним при правильном соблюдении первого?

                                              Появление в будущем квантовых компьютеров? Обнаружение уязвимости алгоритма шифрования/бэкдора в VeraCrypt?

                                              • 0
                                                Это вектор, а не сценарий. Я не могу себе представить ситуации, в которой ущерб от кражи стертых фалов хотя бы сравним с ущербом от кражи сохраненных.
                                                Т.е. я предполагаю, что важную информацию пользователь хранит, неважную или потерявшую актуальность — удаляет. Взломали шифрование? Ок, получают доступ к важной. Гарантированное удаление от этого не защищает.
                                                Я не утверждаю, что такого сценария нет, но я его не вижу.
                                                • 0
                                                  Отвечу без привязки к тексту статьи и ноутбуку, исключительно в разрезе выбора защитных мер для предотвращения несанкционированного доступа (нюансы можно додумать самостоятельно):
                                                  Цель: защитить данные от разглашения
                                                  Мера 1: Шифрование.
                                                  Мера 2: Уничтожение.

                                                  Мера 1 защитит данные, но может повысить риск применения методов криптоанализа типа «паяльник».
                                                  В случае Меры 2 (если уничтожение произошло) может быть обойдётся и без «паяльника».
                                              • 0
                                                В табличке это у вас угрозы, а не риски.
                                                • –1
                                                  Сначала угрозы, а когда мы оцениваем вероятность и последствия, то они уже становятся рисками. Исходим из того, что угроза — причина нежелательного инцидента, а риск — комбинация вероятности реализации угрозы и ее последствий.
                                                • 0
                                                  А кто что скажет насчет хранителя паролей Password Boss?
                                                  Уже много лет пользуюсь им, пока воровства паролей не замечено…

                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                  Самое читаемое