Comments 52
Возник новый объект «резервное копирование на внешний носитель», он выпал из анализа ;-)

Хорошая статья! Большое спасибо!
Спасибо) Вы правы, диск с копией данных — такой же актив. Поэтому система должна работать в цикле
UFO landed and left these words here
Нет, тут до настоящей паранойи еще далеко. Иван просто освоил принципы ISO 27001)) Этот стандарт, кстати, сейчас шагает по стране и любому, интересующемуся ИБ, стоит его хотя бы пролистать.
За живой стиль повествования отдельное спасибо. У автора определенно талант.

Хорошее изложение. :) В контексте борьбы с паролями стоило бы упомянуть про другие подходы (и их риски) — двухфакторная аутентификация, биометрия, и т.п., благо сейчас это доступно даже не особо продвинутым людям.

Спасибо! Пароли — обширная тема и будет отдельная статья, а то эта публикация в книгу превратилась бы)

Скажите, а как вы относитесь к сервисам хранения паролей типа LastPass?

чем меньше мест хранения паролей, тем лучше. Чтобы выкладывать их куда-то нужно обладать очень сильной верой в надежность владельцев подобных сервисов.

Просто паролей много. Пока для себя использую этот сервис для хранения паролей к малозначимым ресурсам. Все остальное — голова или KeePass. На мой взгляд — золотая середина

У Вас корпоративный сайт (из профиля) не работает или это «квест»?
Такую базу паролей можно вести с помощью бесплатной утилиты KeePass. Сама база паролей конечно же шифруется, но для дополнительной защиты можно ее записать на надежный внешний носитель и работать с данными только на нем.

Во-во, вот на эту KeePass и надо проводить атаку, dll-шку подменить, чтобы она шифровать перестала, а пользователь будет думать, что он защищён. Активности никакой, просто база вся в открытом виде лежит.

А ещё на Excel, который помогает ему вычислять планы рисков и гипотезы, — самое то для прослушки. Или просто ради прикола программка типа Punto Switcher будет вносить изменения в эти планы.
Ну это классическая дилемма. Как лучше? Размазать все по чуть-чуть и все немного защищать, в надежде, что все не поломают и или централизация, в ходе которой создается супер-критичный актив. Нужно оценивать риски))
Я долго думал, как сделать у себя, в итоге пришёл к выводу, что надо комбинировать и то и это. А пароли не в программе хранятся, а в голове. Просто их надо помнить и для усложнения просто транслировать в сложную последовательность через какой-нибудь алгоритм (секретный), по которому в случае компрометации не поймёшь, как он составлен. Но, как известно, пароли сейчас не являются самым слабым звеном, потому что они легко тырятся, какие бы сложные они ни были, через сторонние дыры. Поэтому важно, чтобы при их получении в количестве десяти штук нельзя было понять, как они получены, иначе тогда откроются все неизвестные пароли сразу. Да и пароли уже не крадут, а крадут сразу данные, используемые для аутентификации, для получения которых и используются пароли. Так что вот эти все вещи типа брутфорса и прочая фигня уже давно устарели и считаются непрофессиональными.
Все зависит от цели. Если речь идет о защищенной среде организации, в которой масса средств защиты, то запуск эксплойта, который позволит «стырить пароль» равносилен попытке в полночь открыть дверь подъезда, стреляя по ней из гранатомета.
Если целевая атака и предварительно уже разведано, что там внутри, то, конечно, никакого запуска эксплоита тупого не произойдёт. А то, что оно разведывается сначала, — это 100%. По случайным взломам, когда кто-то просто сканирует сеть на поиск любой жертвы, можно вообще минимально защищаться, так как вероятность проникновения довольно мала. В современном мире ты уже получаешь дистрибутив системы с настроенной минимальной защитой и даже не узнаёшь об этом. Это раньше было всё открыто, но сейчас есть талмуды по дырам, автоматическое ПО для тестирования на дыры и прочие фишки. Не так просто сейчас проникнуть в свежую систему, поставленную неспециалистом.
Просто их надо помнить и для усложнения просто транслировать в сложную последовательность через какой-нибудь алгоритм (секретный), по которому в случае компрометации не поймёшь, как он составлен

В данном случае сразу две проблемы — нарушение принципа Керкго́ффса и… в общем, смотрите статью — вы опасно некомпетентны в криптографии, — была на хабре.


Но, как известно, пароли сейчас не являются самым слабым звеном, потому что они легко тырятся

Вы не правы. Пароли тырятся довольно редко. Если и тырятся в массовых количествах, то хеши паролей. И вот тут слабость паролей играет ключевую роль — слабые пароли легко подбираются по таблицам.


Так что вот эти все вещи типа брутфорса и прочая фигня уже давно устарели и считаются непрофессиональными.

О, да! Потырили хацкеры хеши и сказали такие — не, подбирать их непрофессионально, не будем из принципе! Смешно.

Пароль нет смысла подбирать, потому что его поменяют. Ты подбирал их две недели, а их поменяли за один день — и ты просто идёшь лесом со всей проделанной работой двухнедельной. Если бы ты этим занимался когда-нибудь, ты бы через это прошёл один раз и больше бы никогда не подбирал бы ничего.

В данном случае сразу две проблемы — нарушение принципа Керкго́ффса

Теоретик виден сразу.
Пароль нет смысла подбирать, потому что его поменяют.

О, да! С регулярность раз в пять лет. Или в десять. На другой словарный :).


Теоретик виден сразу

Профессиональный скрипт-кидди? А, ну журнал ксакеп в руки и барабан на шею.

Про KeePass ерунду не пишите.

Во-первых — сложно подменить dll-ку, если программа состоит из одного exe-шника :D

Шифрация в него прямо и встроена. Кроме того он постоянно проверяет консистентность базы.
Не верите — посмотрите исходники — они лежат в открытом доступе.

Во-вторых, имея доступ, который позволяет что-то подменять на компьютере жертвы, украсть пароли — вообще не проблема и способов миллион.
Шифрация в него прямо и встроена. Кроме того он постоянно проверяет консистентность базы.
Не верите — посмотрите исходники — они лежат в открытом доступе.

Речь о том, что никто не проверяет, что там куда сохраняется. Есть файл — значит, всё нормально. Он говорит «я вот в KeePass сохраню всё и оно будет защищено», а ты думаешь он проверяет целостность постоянно? Нет, он один раз при скачивании проверил (и то, если понимает), а потом на автомате по окну делает вывод, что перед ним всё та же проверенная программа (и то, если он проверял вообще). Любые известные программы (массовые), они все под прицелом.
Вы как бы вообще не поняли, что я написал.
Он === KeePass, и он постоянно следит за своей базой — при открытии, при закрытии и т.д.

Другое дело про пользователя.

Но если Вы — реально параноик, то за одной основной программой следить — не проблема, не так ли?

Я вот помню последние 4 цифры CRC проги, в которой держу все свои пароли и каждый раз при запуске у меня запускается тулза, которая считает ее CRC и показывает это мне, затем уже запускает программу.
Довольно просто все.

Ну и как всегда — защита зависит от тебя самого, серебряной пули нет.
И KeePass тут не причем :)
Он === KeePass, и он постоянно следит за своей базой — при открытии, при закрытии и т.д.

Я имею в виду, что это всё можно изобразить. А то, что CRC там проверяешь, это тоже легко ломается. Типа «дорогой пользователь, у нас вышла новая версия KeePass, приглашаем вас её скачать», ты такой «ой, что-то я ссылку не помню на сайт их, а открою-ка я вот эту» — и всё, и пошёл ты и скачал то, что тебе зарядили. Там даже тебе повесят md5 на «сайте», чтобы ты проверил, что всё правильно и CRC себе новую сделал, но уже сам (об этом даже знать не надо, вот в чём фишка-то).
ты такой «ой, что-то я ссылку не помню на сайт их, а открою-ка я вот эту»
Вот не надо меня с собой путать :D
Такого рода программы я обновляю только сам и только вручную (причем в этом конкретном случае я еще и сам из исходников собираю) и только, когда считаю важным.
Мало того — если я увижу такое поведение — оно мне сразу однозначно просигнализирует о компрометации.

Ну и никакие «MD5» на сайте не сканают — при запуске покажется реальная CRC.

А то, что CRC там проверяешь, это тоже легко ломается.
Для этого надо это знать и предусмотреть, ну и «сломать» это весьма не просто. Для этого надо оставить программу либо как есть и использовать хуки и подмену при запуске или юзать коллизии — что уже само по себе — высший пилотаж.
Для критично важных приложений должны быть не md5 или другие чексуммы, а gpg-подписи (криптостойкие).

Ну, засунули тебе gpg-подпись, дальше что? Как ты читаешь gpg-попись? У тебя даже приём этой gpg-подписи никак не контролируется. Ты даже с уверенностью сказать не можешь, что тебе пришла по https та gpg-подпись, которую ты на сайте запрашивал. Почему? Потому что ты их не сравниваешь.
> Потому что ты их не сравниваешь.

Как говорили в FIDOnet, отучаемся говорить за всех. Кто не проверяет — тому и страдать от возможной подмены.
Давайте я объясню, как это устроено, вы, видимо, плохо себе представляете.

Есть разработчик, у него есть пара gpg-ключей, приватный и публичный. Приватный ключ лежит на его машине, он секретный и он его никому никогда не даёт. Публичный лежит в паблике, его можно взять с официальных доверенных сайтов типа https://pgp.mit.edu/.

Разработчик при релизе подписывает бинарь своим приватным ключом, и получает gpg-подпись. Кладёт релизный бинарь и gpg-подпись на сайт, который работает по https.

Пользователь качает бинарь и gpg-подпись. На своей машине считает подпись бинаря и сравнивает с тем, что скачал с сайта. Это делается программой GPG, которой для проверки нужно дать публичный ключ того, кто подписывал бинарь. Который можно/нужно взять с сайтов-хранилищ ключей, типа https://pgp.mit.edu/.

И я не вижу атаки, при которой можно подменить бинарь на сайте. Кроме ситуации, когда взломали и сайт, и украли ключи с машины разработчика, а он почему-то про это не сообщил и не отозвал свой ключ в тот момент, когда узнал о взломе.

И да, я проверяю gpg-подписи важных для меня приложений, которые использую.
Это всё полная туфта. Когда тебя взломают, ты вспомнишь, что я тебе говорил.
И я не вижу атаки, при которой можно подменить бинарь на сайте.

Потому что ты не знаешь нихрена, и вас таких тут большинство.
Ну наконец-то кто-то разоблачил никому не нужную процедуру создания и сверки подписей. И в самом деле — все эти IDS, тому подобная муть — всё равно ж взломают.

Предложите альтернативное решение?
Это всё полная туфта.

Вы мало того, что высказываете ничем не подкреплённое мнение, используя аргументы школьного уровня,


ты не знаешь нихрена, и вас таких тут большинство.

так вдобавок ещё и откровенно хамите.

А через 2 дня после этого коммента новость о гибели мыщъх-а. RIP

Тут ведь еще вопрос потенциальной ценности данных. Не слишком ли сложный вариант вы описали для кражи данных у рядового пользователя?

Недопонял, при чём тут «контрразведка». И зачем дана подробная модель WiFi адаптера?

Хотя написано вполне живо, да, согласен.
Под контрразведкой обычно понимается противодействие разведке противника. Наши враги же могут не только по открытым источникам нас пробивать, могут и попробовать залезть и в личный ноут, смартфон, почту и т.п.

Wi-Fi-адаптеры Alfa на хорошем счету у ребят, «работающих» с Wi-Fi.
Спасибо, интересно!

Ps по управлению рисками — в исо 27001 не прописывается конкретная модель. имеется конечно же 27005, но то что вы привели в статье — не совсем по 27005. впрочем, исо 27001 вы со своим подходом пройдете)
В ISO 27001 требования к методам оценки риски даны довольно в общем виде, но аудиторы примут любую методику, где есть оценка двух составляющих риска: вероятности и последствий. В целом по управлению рисками лучше читать ISO 31000, а по конкретным методам — ISO 31010.
Иванушка настроил виртуальную машину, но не догадался не открывать «интимные фото.exe»?
Просто хотел посмотреть, что там есть, кроме вируса.
По тексту, фото там были…

Там вообще постараться надо, чтобы оно адресату в ящик попало. GMail не принимает письма, содержащие исполняемые файлы. Даже в архивах. Только если архив зашифрован с шифрованием имен файлов.

Пару вопросов:

1.

— шифрование данных на жестком диске;
— гарантированное уничтожение данных на жестком диске

Покажете сценарий, при котором второй пункт не является излишним при правильном соблюдении первого?

2.
резервное копирование в облако;

Как при этом мы оцениваем риск несанкционированного доступа к копии данных?
1) Пользователь загружает файл из почты в папку downloads и только потом переносит, куда следует, или не переносит вовсе, забывая ее навечно.

2) Все зависит от того, какие именно данные синхронизируете, как оцениваете последствия от их компрометации, как соотносятся последствия от потери данных с последствиями от несанкционированного доступа. Главное, не забыть про данный риск.
1) Пользователь загружает файл из почты в папку downloads и только потом переносит, куда следует, или не переносит вовсе, забывая ее навечно.


Ну так это же и есть неправильное (неполное) соблюдение первого пункта? Почему папка downloads на нешифрованном разделе?

2… Главное, не забыть про данный риск.

Я именно к этому и вел. Я бы подчеркнул в тексте, что делегирование защиты данных в облаке администратору облака — не повод не оценивать связанные с этим риски
— шифрование данных на жестком диске;
— гарантированное уничтожение данных на жестком диске
Покажете сценарий, при котором второй пункт не является излишним при правильном соблюдении первого?

Появление в будущем квантовых компьютеров? Обнаружение уязвимости алгоритма шифрования/бэкдора в VeraCrypt?

Это вектор, а не сценарий. Я не могу себе представить ситуации, в которой ущерб от кражи стертых фалов хотя бы сравним с ущербом от кражи сохраненных.
Т.е. я предполагаю, что важную информацию пользователь хранит, неважную или потерявшую актуальность — удаляет. Взломали шифрование? Ок, получают доступ к важной. Гарантированное удаление от этого не защищает.
Я не утверждаю, что такого сценария нет, но я его не вижу.
Отвечу без привязки к тексту статьи и ноутбуку, исключительно в разрезе выбора защитных мер для предотвращения несанкционированного доступа (нюансы можно додумать самостоятельно):
Цель: защитить данные от разглашения
Мера 1: Шифрование.
Мера 2: Уничтожение.

Мера 1 защитит данные, но может повысить риск применения методов криптоанализа типа «паяльник».
В случае Меры 2 (если уничтожение произошло) может быть обойдётся и без «паяльника».
Сначала угрозы, а когда мы оцениваем вероятность и последствия, то они уже становятся рисками. Исходим из того, что угроза — причина нежелательного инцидента, а риск — комбинация вероятности реализации угрозы и ее последствий.
А кто что скажет насчет хранителя паролей Password Boss?
Уже много лет пользуюсь им, пока воровства паролей не замечено…
Only those users with full accounts are able to leave comments. Log in, please.