Пятничное: Безопасность и парадокс выжившего

    С начала 2018 я собрираю отчеты о взломах в криптопроектах. За это время поступила информация о кражах почти на миллиард долларов. Одна лишь биржа coincheck проспонсировала кого-то на ~500 миллионов. При этом на некоторых биржах до сих пор нет двухфакторной авторизации. Сайты финансовых компаний используют сторонние скрипты без проверки подлинности. Браузерный кошелек MetaMask светит адрес вашего кошелька всем сайтам без разбора. А самым популярным приемом остается security through obscurity. Но, возможно, все еще хуже и сегодня повсеместно распространена имитация безопасности и летний доклад NIST частично это подтверждает.


    Сегодняшний подход к безопасности не учитывает особенностей человека, о чем собственно и говорится в отчете NIST (статья на тему). Вот основные проблемы, которые наблюдаются сегодня:


    • Отсутствие ответственности за результат.
    • Излишняя строгость правил.

    Обе причины демонстрируют инверсию логики. Давайте рассмотрим их подробнее.


    Отсутствие ответственности


    Производитель продукта не отвечает за последствия взлома, максимальные нежелательные последствия для него – выплата компенсации или банкротство. Руководство компании никак не заинтересовано в повышении требований безопасности. При этом любой пользователь, который обнаружит дыру и сообщит об этом, рискует угодить на скамью подсудимых. Теперь вопрос, что мешает сотрудникам такой компании ограбить самих себя?


    Пример компании Дюпон.


    Основанная в 1802 году в городе Уилмингтон, штат Делавэр, США, компания Du Pont начала свою деятельность с производства оружейного пороха. Несколько взрывов, произошедших на заре ее деятельности, заставили руководство фирмы осознать важность техники безопасности для успеха предприятия. Руководство компании разработало новую философию безопасности: с одной стороны, на высший руководящий состав предприятия возлагалась особая ответственность за несчастные случаи, а с другой – все работники были обязаны проживать на производственной территории. Таким образом, безопасность труда стала делом личной заботы каждого.

    Из статьи с сайта ИНЭС

    Излишняя строгость правил


    В докладе NIST говорится о том, что люди не склонны запоминать сложные и часто меняющиеся пароли. А правила использования сложных парольных фраз из цифр, букв, спецсимволов, математических формул и расчета числа Пи в уме приводит к появлению стикеров с паролями на мониторах. Парадокс выжившего говорит о том, что причина выживания в опасных ситуациях, ничего не сообщает о причине гибели, а следовательно не помогает эту гибель предотвратить. Другими словами взломостойкость сильных паролей, не является способом построить надежную систему.


    Разработчики подходят к задаче слишком формально и перекладывают задачу обеспечения безопасности на не слишком-то надежный элемент – человека. В итоге, внедряя более сильные методы защиты, мы ослабляем безопасность в целом.


    Недавно я столкнулся с тем, что сайт загруженый по HTTPS не может взаимодействовать с HTTP-протоколом, при этом браузер не спрашивает моего разрешения на осуществление такого действия, а просто отказывается выполнять запрос. В итоге я переключился на HTTP-протокол, после чего уже два ресурса грузятся в небезопасном режиме.


    Заключение


    Когда я выстраиваю в голове систему безопасности, то безоговорочно проигрываю злоумышленнику – количество элементов требующих настройки, отключения или дополнительной разработки слишком высоко. О работе некоторых компонентов операционной системы я не имею ни малейшего представления и не знаю как определить: работают ли они корректно, кто их произвел, были ли они подменены и т.п. Из-за этого иногда у меня возникает синдром самозванца. Действительно ли я настроил все правильно!?


    Я скачал CIS Distribution Independent Linux. Это сборник рекомендаций по настройке linux. В нем 317 страниц, более сотни потенциальных уязвимостей. В процессе чтения у меня всплыл вопрос: как много разработчиков вообще знают о таком документе?


    Хаб Информационная Безопасность на втором месте на Хабре (популярнее Программирования в два раза!). Это следствие заботы о безопасности или вариант оберега? Чувствуете ли вы себя уверенно в сфере ИБ?

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Оцениваете свои знания в сфере ИБ
    Считаете ли вы, что ваша рабочая инфраструктура надежна?
    Считаете ли вы, что ваша домашняя инфраструктура надежна?
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 40
      0
      Отсутствие ответственности это повсеместная проблема, иначе бы не было регулярных тем о том, как кто-то легко взломал или случайно отправил 100500 данных пользователей «не туда». Думаю введение ответственности в виде запрета занимать должность, с наказанием всех по цепочке включая начальство — быстро бы начало исправлять ситуацию.
        +3
        Думаю введение ответственности в виде запрета занимать должность, с наказанием всех по цепочке включая начальство — быстро бы начало исправлять ситуацию.
        Наказание — да, а вот запрет — скорее обратный эффект произойдёт. Люди, один раз обжёгшиеся и понимающие, что безопасность — это не антураж… потеряют возможность ей заниматься.

        Как крайняя мера в случае если проблемы не исправлены — да, конечно.
          0
          Там имелось ввиду наказание операторов(которые слили данные) и начальство этих операторов:
          которым плевать на безопасность
          которые могут вообще не иметь сотрудников по ИБ
          которые не хотят тратить на тех.оснащение по безопасности
          которые не хотят повышать квалификацию сотрудников ИБ

          PS:
          в этом случае всегда надо смотреть на умысел и сложность взлома/утечки. Если там всё дыряво изначально — не вижу смысла давать «второй шанс».
            0
            PS:
            в этом случае всегда надо смотреть на умысел и сложность взлома/утечки. Если там всё дыряво изначально — не вижу смысла давать «второй шанс».
            Невозможно вот прямо так взять шест — и прыгнуть на 6 метров. Планку нужно постепенно поднимать.

            Сейчас её вообще нет, так что выставлять её на 4 или 5 метров — глупо.
              0
              Не ставить планку вообще тоже не вариант.
                +1
                К сожалению это то, что реализовано сейчас. Поставьте её там, где вы предлагаете — и получите обратный эффект: 99% предприятий не смогут соответствовать этим требованиям и бо́льшая часть «откупится»… а если деньги уже уплочены, то зачем их тратить ещё и на то, чтобы реально что-то там налаживать?
              0
              Есть 152-ФЗ по которому пилят деньги на макулатуре и говножелезках местного производства, только к реальной защите ПНд это отношения не имеет.
          +6
          Хаб Информационная Безопасность на втором месте на Хабре (популярнее Программирования в два раза!). Это следствие заботы о безопасности или вариант оберега?

          Это, к сожалению, всего лишь индикатор популярности у аудитории статей вида "как я со своего мака ломанул соседский вайфай".

            +1
            Я думаю, вы читали довольно экспрессивную статью про то, что все сломано. На самом деле, внедрения наказаний и прочего за взломы не особы бы помогло, потому что грамотных ИБ специалистов просто капля в море и на все компании их не разорвать, а безумно увеличивающиеся количество интегрируемых компонентов в современных системах (новые базы данных, протоколы, библиотеки и прочее) не позволяют большинству людей возможности оценить потенциальные угрозы.

            И наказания тут не помогут, максимум, безумно взвинтят стоимость разработки.
              0
              Возможно ошибаюсь, но мне кажется, что реальное наказание простимулирует рост кол-ва специалистов. Например через создание площадок обмена опытом, меньше соблазна найти крайнего в виде сообщившего об уязвимости(при условии что оператор+начальник будут наказаны всё равно) и тд
                0

                Ну вот рост профессиональных программистов почему-то не стимулирует ничего, хотя надо их хоть лопатой греби. Вместо этого у нас куча средних. Так же будет и с специалистами по ИБ. Они будут применять базовые инструкции, будут мучать всех заменой удобных инструментов на "безопасные" ну и так далее, но реального профита это принесет разве что в стартапы, которые теперь будут вынуждены нанимать специалиста по ИБ и не торчать портами баз без паролей наружу, но проблема то не в них.

                  0
                  Я изначально дал ситуацию с идеальными исходными, само собой ни отстранять не будут ни вкладываться в развитие отрасли на федеральном уровне. Потому как для этого нужен хороший руководитель-организатор, которых так же мало как и хороших програмеров или безопасников.
                  0

                  После того как 20 миллионов паролей утекли в сеть — Испания разорилась м бала продана за символический рубль тем, кто разбирается в защите? Так если компании не разоряются после подобных инцидентов они должны увольнять свое руководство? Нет никого, кто был бы заинтересован в этой самой безопасности. Вы например уходите с сайтов, где прошел взлом на другой, более стойкий? Ну вот и причина, почему это не особо кому-то нужно.

                    0
                    Ошибаетесь только лишь в случае, когда на предприятии/в компании «автоматизируется бардак». Но, такая ситуация не всем очевидна. Для многих руководителей допущения вроде «называть бледно красное иногда ярко-розовым или т.п.» могут по понятиям бардаком далеко и не являться. Но, это не так. И именно с этого для службы ИТ, а впоследствии и для ИБ может начаться «сущий ад» и, как следствие, следующая за этим выдача желаемых результатов своей работы за действительные. И наказания тут проблему действительно не исправят.
                      +1

                      "мне кажется, что реальное наказание простимулирует рост кол-ва специалистов"
                      а мне кажется, что как раз наоборот. лично я 10 раз подумаю, а надо ли мне лезть в такое болото, если надо-мной будет висеть угроза сильного наказания. вот если при этом увеличить количество "плюшек", которые получат оставшиеся храбрецы… спецов будет немного, но они будут реально крутые

                      0

                      Хорошо, если будет больше специалистов, разбирающихся в ИБ. Боюсь, что просто начнут "готовить специалистов по ИБ".
                      Как дурной пример подобного подхода, прежняя работа: в службе безопасности было больше админских учёток с правами на все филиалы, чем собственно админов в этих филиалах. Безопасность, все-ж таки, создаётся админами и программистами. Тупое наращивание "контролеров и охранников" не даст эффекта.

                      +7
                      Безопасных систем не бывает. Если кто-то очень хочет взломать систему, то это обязательно случится. В то же время во всех организациях где я работал были проблемы с безопасностью (где-то больше, где-то меньше). Но просто закрутить гайки или ввести наказания не получится, т.к. безопасность важна пока она не начинает мешать основному бизнесу, а наказания вообще ничего не решают — обучение и проверки (без наказания) намного полезнее…
                      А вообще даже если создать идеальную систему безопасности, то уязвимость найдётся в людях (социальная инженерия, взлом домашних аккаунтов в надежде, что на работе используется такой же пароль и т.д.)
                        0
                        А вообще даже если создать идеальную систему безопасности, то уязвимость найдётся в людях

                        Отож. Многие взломы осуществлялись без единой строчки кода, только болтовня с сервисом.

                          0
                          а наказания вообще ничего не решают — обучение и проверки (без наказания) намного полезнее…
                          Не надо только в крайности вдаваться. Обучение и проверки без наказания работают очень недолго. И наказывать надо и поощрять — но в меру. Выкидывать «на мороз» специалиста, который один раз накосячил глупо: вероятность что человек без опыта накосячит больше, чем вероятность что кто-то, кого один раз наказали такое повторит…
                            +1

                            да. я вот однажды дропнул боевую базу (перепутал с тестовой). восстановили, конечно, из бэкапа. но с потерей данных за несколько часов (около 10). лично мне было ужасно стыдно перед всеми и без дополнительного наказания. а если бы за это меня вышвырнули на мороз, то ещё неизвестно, кому в итоге стало бы хуже ;) А так, были сделаны выводы и предприняты определённые меры по предупреждению-недопущению подобных инцидентов

                              0
                              Вы правда не понимаете разницы?
                              Может всё же есть разница в ответственности и главное последствиях когда утекают данные реальных людей, большую часть которых поменять проблематично или невозможно т.е. необратимыми последствиями, и дропнул базу и восстановил за 10 часов?
                              А то, что написано "+наказание начальства" совсем не заметно?
                              Давайте на вашем примере поясню, что имелось ввиду:
                              «Дропнуть базу» случайно, в том или ином виде случалось у многих специалистов по причинам от не опытности до авралов.
                              Но это давно пройденный и известный этап уже десяток лет минимум, и от него можно защититься заранее, т.е. то что вы сделали «после», можно было сделать «до».
                              И тут, я лично так считаю, вина вашего начальства заметно больше, чем ваша.

                              PS:
                              Выгонять на мороз и прочие репрессивные методы — зло.
                              В первом сообщении написано «запрет занимать должность», это подразумевается, но не всем очевидно раз такая ветка получилась. Уточню:
                              Запрет занимать должность — начальству допустившему халатное отношение, а уже длительность в зависимости от серьёзности утечки и уровнем пофигизма(отсутствие исправлений безопасности, отсутствие файрвола, отсутствие простой «защиты от дурака» и тд).
                              При этом не было ни слова про запрет продолжать проф. деятельностью оператору/админу.
                                0
                                Может всё же есть разница в ответственности и главное последствиях когда утекают данные реальных людей, большую часть которых поменять проблематично или невозможно т.е. необратимыми последствиями, и дропнул базу и восстановил за 10 часов?

                                В ответственности и последствиях — есть разница. Но чтобы она от этого появилась в принятых мерах по отношению к виновнику — надо думать в концепции мести, а не поиска и устранения причины. Месть предполагает, что 1) совершивший проступок не меняется и будет его совершать и дальше, 2) другие, видя это, будут осторожнее.
                                Да, наше общество и цивилизация пропитаны концепцией мести — уголовный и административный кодекс просто от и до и насквозь. Да, в общем случае нет разумной работающей альтернативы, когда всепрощение приводит к тому, что кто-то тут же садится на голову. Но это не значит, что в конкретных случаях нельзя разобраться, что же именно произошло и, даже если вина кого-то, что его заменять будет безусловно лучше.


                                Извините, тут многовато философии. Но без этого сложно объяснить, почему же не изгоняют за малейший косяк.


                                А вот на более высоком уровне — важные данные стоило бы защищать получше. Может, даже нанять трёх спецов вместо одного, но чтобы действия одного в принципе не могли сломать/продырявить всё. (Это тоже давно известный и проверенный метод.)

                            +1

                            "безопасность важна пока она не начинает мешать основному бизнесу"
                            Пожалуй единственная весомая фраза во всём обсуждении, говорящая почему оно так как есть, и почему так и будет.

                              0

                              +100. Занесу это в свой цитатник :) Отличное дополнение для всяких "хотели как лучше, а получилось как всегда".

                            0
                            Ждем инклюзии (без злой иронии) спецов по безопасности в понятие команда разработки.
                            Удивлен, что до сих пор нет в гибких методиках секьюрити стори, ну и если будет необходимо хакер стори.
                            Как в статье сказано, нет целостного взгляда на безопасность, и оказывается, пользователь, чтобы что-то осмысленное и вовремя сделать вынужден снижать общую безопасность( стикеры с паролями ), или, часто меняющийся пароль, но с одной цифрой счетчиком внутри, по-сути не меняющийся и легко подбираемый в случае компрометации «старого» пароля.
                            И так далее, тема только сейчас стала осознаваться индустрией.
                              –3
                              Цитата: «правила использования сложных парольных фраз из цифр, букв, спецсимволов, математических формул и расчета числа Пи в уме приводит к появлению стикеров с паролями на мониторах».
                              А что, таким пользователям никто не может подсказать простой бесстикерный способ доработки своего «любимого простого пароля» до относительно безопасного? Добавьте ему алгоритм лёгкого изменения. Пример для женщин: берём имя мужа + дату свадьбы, в имени переставляем местами вторую букву с третьей и вставляем между ними разрешённый системой паролей спецсимвол ($ например), а от даты оставляем просто сумму числа месяца и года. Готово. После нескольких повторений ввода — пароль запоминается очень легко. И даже если по выходу из отпуска таки его забыла, то легко «на коленке» вспомнить алгоритм и пароль восстановить. И стикер не нужен совсем (случай, когда он на время отпуска оставляется специально «для МарьИванны» — отдельный и здесь сейчас не рассматривается).
                                +4

                                Этот алгоритм ещё сложнее запомнить, чем набор случайных символов, а безопасность снижает ещё больше: знаешь алгоритм, в котором практически нет случайных данных — знаешь пароли всех женщин в системе.

                                  0
                                  Два действия: символьное и простое математическое. Что там запоминать?
                                  А насчёт знаешь пароли всех женщин — тут вы зря лукавите. Вы прекрасно увидели, что алгоритм этот — с адаптируемыми настройками. У одной первая и вторая буква. У другой — первая и последняя. Как угадать у кого какая меняется? То же и с математикой. Вариативность со вполне достаточной избыточностью, чтобы понять, что подбор получится чистым гаданием на кофейной гуще.
                                    0

                                    С большой вероятностью, если вы дадите пользователям организации эту инструкцию для составления паролей, то даже спецсимвол будет именно $ у большинства, не смотря на то, что явно указано "например".

                                      0
                                      Это не относится к обсуждению алгоритмических паролей. Каждый опытный социолог скажет, что результаты соцопроса сильно зависят от постановки вопроса. Поэтому при составлении инструкций необходимо заменить такие формулировки на нейтральные.

                                      Я бы тот камень в конкретный предложенный алгоритм кинул, что имена мужей и даты свадеб в женском коллективе обнародованы и всем известны, потому в качестве seed использоваться не могут.
                                        0
                                        Простое решение: во все «например» пихать JavaScript'ом что-нибудь криптостойкое, чтобы даже copy-paste не было проблемой…
                                    0
                                    И даже если по выходу из отпуска таки его забыла, то легко «на коленке» вспомнить алгоритм и пароль восстановить.


                                    Это вы, наверное, по выходу из отпуска никогда не забывали детали такого алгоритма. Напрочь.
                                      0
                                      Пользуюсь лет 20 уже (как додумался до такого). Конкретный набор букв и цифр в паролях — да, забывал бывало. А вот сам алгоритм и свои настройки к нему — не забывал ни разу. :)
                                      0
                                      И что делать, когда пароль надо сменить — например, сайт взломали и пароли утекли?
                                      Специфичный алгоритм для каждого сайта? Это ещё сложнее для запоминания.
                                        0
                                        Зачем всё так усложнять? Нда, похоже, без пояснения всей концепции не обойтись.
                                        «Для каждого сайта» можно использовать набор из двух алгоритмов:
                                        1. безопасного (с регулярной сменой исходного набора данных для пароля или же изменением параметров алгоритма, т.к. тут по другому никак — безопасность требует телодвижений. этот подход для данных, которые опасно терять).
                                        2. расходного (один взломали или утёк в чужие руки — тупо меняем на другой, но не боимся снова «потерять» его — это для большинства сайтов, где пароли просят для обычной приватности)
                                        0
                                        Что люди только не делают, лишь бы менеджеры паролей не использовать.
                                          +1
                                          Разве менеджер паролей не компромисс между проблемой выбрать правильно+запомнить и безопасностью подразумевающей знание пароля только владельцем, без посредников в виде особого ПО?
                                            0
                                            Я больше доверяю программе с открытым кодом, которая синхронизирует пароли с моим личным сервером, чем своей памяти. И не вижу тут никаких компромиссов — менеджер паролей выдаёт и запоминает сложнейшие пароли, уникальные для каждого сайта, и в итоге нужно запомнить только пароль на менеджер, и вот он может быть весьма сложный, такой, который вводить на сайты просто будет лень.
                                              0
                                              Я так понимаю, если что, то вместе с менеджером — теряем сразу всё? Да и для ввода «суперпаролей» явно же потребуются телодвижения по переносу их на ПК с которого осуществляется вход (где не всегда могут иметься подходящие тебе способы подключения твоего менеджера).
                                                0
                                                Я так понимаю, если что, то вместе с менеджером — теряем сразу всё?

                                                Поэтому у меня копия хранится на трёх устройствах и своём сервере.
                                                Да и для ввода «суперпаролей» явно же потребуются телодвижения по переносу их на ПК с которого осуществляется вход

                                                В смысле? KeePass стоит на конечном устройстве, и сам вводит пароли. На ПК конечно удобнее всего- для браузера есть дополнение, и ввод пароля ничем не отличается от родного менеджера паролей браузера, на мобильном чуть посложнее, лично у меня стоит типа специальной клавиатуры, которая даёт выбирать аккаунты и вводит пароль. Но решений полно, софт гибкий, настраивайте как вам угодно, балансируя между удобством и паранойей.

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                      Самое читаемое