Как защитить свои данные и код

Поговорили с Никитой Медведевым, руководителем безопасности сервисов Поиска и Рекламы Яндекса, как придумать сложные пароли и где хранить данные, чтобы их никто не украл

Расскажи, что или кто угрожает нашим данным

Наши личные устройства — это центры принятия решений и действий нашей повседневной жизни. Сайты или сервисы предлагают средства защиты, например двухфакторную аутентификацию при смене пароля или подписании документа. Но этого мало: безопасность цифровой личности человека зависит от мер, которые он принимает для защиты своих устройств каждый день.

Главная уязвимость для фишинговых атак — мессенджеры, которые используются для личных и рабочих задач. Даже если в вашей переписке нет ничего секретного: для злоумышленников ценны ваши контакты и связи. Сначала взламывают аккаунт одного пользователя, пишут всем его друзьям и просят перейти по ссылке, перевести деньги, установить что-то. Два-три человека откликаются, и тогда их аккаунты и устройства тоже взламывают. Так опасность распространяется по цепочке.

Взлом устройства может привести к компрометации всех личных аккаунтов и всей цифровой личности человека. На каждом устройстве, где вы подключались к вашим аккаунтам в браузере, соцсетях и мессенджерах, остаются куки. Это небольшие файлы, где хранится информация о посещении сайта. Если их украсть, можно зайти на сайт с теми же данными и выполнять те же действия, что были доступны пользователю. Фактически таким образом злоумышленник получает доступ ко всем аккаунтам.

К финансовым потерям может привести стиллер. Это вирус или кейлоггер, который собирает нажатия клавиш. Его через сторонние приложения грузят на устройство пользователю, а дальше по комбинациям клавиш крадут пароли. Так злоумышленники узнают номера ваших банковских карт, CVV-коды и пароли от личных кабинетов банковских аккаунтов.

От личной ответственности и защищённости сотрудников зависит безопасность их компаний. Угрозы кибербезопасности для компании могут быть внутренними и внешними:

  • Внутренние — это действия сотрудников. Важно понимать, что они не всегда злонамеренные. Часто внутренние угрозы возникают из-за ошибок или небрежности.

  • Внешние — фишинговые атаки и взломы. Их последствия — заражение вирусом, использование устройства в DDOS-атаках или для дальнейших атак на компанию.

Преступники часто пытаются получить права администратора в защищённой сети, отключить сервисы безопасности и запустить вредоносное ПО для шифрования корпоративных данных. Кроме того, они могут оставить бэкдор, который будет работать даже в случае выявления атаки и закрытия доступа к сети. Это приводит к утечке конфиденциальной информации, атакам на сеть и устройства компании, нарушению бизнес-процессов и репутационным потерям.

Что угрожает разработчикам?

Если вы разработчик, злоумышленники могут сделать закладки в код так, что вы не заметите. Им достаточно в одном из файлов кода добавить пару строчек. При пул-реквесте никто может не обратить внимания, что что-то изменилось. По такой схеме работают атаки на крупные компании, которые пользуются заражённым софтом.

В ходе атаки Sunburst в 2020 году хакеры проникли в софтверную компанию SolarWinds и заразили обновление программы Orion. Клиенты компании сами загружали вредоносный код, считая, что это новая версия. Следы хакеров не могли обнаружить полгода. Среди пострадавших в той атаке были Microsoft, Cisco, FireEye, Министерство финансов США, Национальное управление по телекоммуникациям и информации США (NTIA), Госдепартамент и другие государственные учреждения США.

Стало страшно! Длинные пароли смогут нас защитить?

Пароль должен быть не просто длинным, с большой энтропией, но и уникальным. Он не должен встречаться ни в каких утечках данных. За последнее десятилетие утечки затронули многие компании. Если у вас есть учётные записи в интернете, то хакеры уже слили данные по крайней мере из одной.

Энтропия показывает, насколько надёжен пароль, и отражает сложность его случайного подбора. Она рассчитывается исходя из того, сколько в пароле букв верхнего регистра, нижнего регистра, сколько цифр, есть ли специальные символы. Энтропия измеряется в битах на символ.

Если хотите знать, какие из ваших учётных записей были скомпрометированы, проверьте свой адрес электронной почты на Have I Been Pwned и определите, в каких утечках присутствуют ваши данные. Это только малая часть известных утечек.

Важное правило: пароль должен быть лёгким в использовании. Часто люди создают большой пароль, потом долго его запоминают. Проблема в том, что такую комбинацию можно забыть, а если записать — её могут подглядеть.

Есть классное решение: взять три случайных слова, связать их в одно, добавить один символ, чтобы увеличить энтропию. Это легче запомнить. Три слова делают пароль длинным, а длина влияет на энтропию больше, чем вариации символов.

Но возникает новая проблема: люди используют везде один пароль. Это тоже опасно: как только подберут пароль к одной вашей учётке, сразу зайдут в остальные. Простое решение: модифицировать пароль, добавляя к нему название сайта. Правда, у такого подхода есть недостаток: если атака будет на вас, злоумышленник найдёт ваши пароли среди дампов утечек, увидит закономерность и угадает остальные. От целенаправленных атак это не сильно поможет.

Ot

Где тогда хранить такое разнообразие паролей?

В корпорациях служба безопасности или IT-отдел выдают сложные пароли сотрудникам, рассчитывая, что это обезопасит вход в учётные записи. Но часто сотрудники, вместо того чтобы запоминать пароли, сохраняют их на устройствах, чтобы потом копировать. Обычно они хранят пароль в файле на рабочем столе или в заметках. Соответственно, если злоумышленник проникнет внутрь периметра компании и взломает компьютер, он легко получит доступ ко всем возможностям сотрудника. Аналогичная ситуация сложится, если хранить пароли на бумажке: можно украсть её или подглядеть.

Лучшее решение — использовать парольные менеджеры, которые генерируют пароли под разные сервисы. Нужно один раз запомнить длинный мастер-пароль от аккаунта менеджера и пользоваться им. Идея не только в том, чтобы разгрузить память, но и в том, чтобы человек не знал свой пароль, не набирал его на клавиатуре. Это защитит от взлома, даже если в системе установлен кейлоггер.

Менеджер паролей отслеживает учётные записи на предмет нарушений безопасности, предлагает сменить слабые пароли и синхронизировать ваши пароли между компьютером и телефоном. Есть бесплатные, которые офлайн ставятся на компьютеры, например KeePass. Из платных рекомендую LastPass, Bitwarden и 1Password.

Есть ещё более надёжный вариант: пользоваться беспарольными средствами аутентификации в виде лица, отпечатка пальца или дополнительного электронного устройства. Например, можно заказать устройство YubiKey — аппаратный токен, в котором есть ячейки памяти, строки для генерации уникальных кодов. Его можно всегда носить с собой, например с ключами. Когда нужно зайти на сайт, вы прикладываете его к телефону и получаете доступ.

Я часто работаю через открытые Wi-Fi-сети, это опасно?

Атаки через Wi-Fi-сеть в кафе теоретически возможны, но крайне редки. Такие атаки были опасны, когда не было SSL- и TLS-сертификатов. Сайты работали по HTTP — протоколу, который представляет собой plain text. Подключаясь к публичной Wi-Fi-сети, пользователи раскрывали всем свои логины, пароли и контент, который летит от сайта и обратно.

В эпоху HTTPS, подключаясь к интернету в публичных сетях, достаточно следить за тем, чтобы в адресной строке браузера отображался значок защиты. Некоторые браузеры показывают замочек или зелёную иконку. Этого хватит для безопасного сёрфинга.

Более реальный риск, связанный с работой удалённо в публичных местах, — это камеры. Когда вы вводите пароль вручную, его можно подглядеть и перепечатать. А NDA-документы и презентации могут утечь.

Как безопасно хранить мои фотографии, файлы и другие данные?

Безопасность данных — это сохранение трёх свойств информации:

  1. Конфиденциальности — никто не знает, кроме вас.

  2. Целостности — информация неизменна.

  3. Доступности — в любой момент вы получаете доступ к вашим данным.

Сохранность данных нужно рассматривать через эти три аспекта. То есть никто посторонний не должен иметь доступ, никто не должен ничего менять, данные должны быть доступны вам. При этом не стоит забывать о резервном копировании.

Простой способ надёжного хранения — копировать с одного жёсткого диска на другой и хранить всё в одном месте. Но при частом копировании это может стать утомительным.

Другой вариант — собрать Network Attached Storage на технологии RAID и удалённо скидывать все данные, которые дублируются в рейд-массиве сразу на нескольких жёстких дисках. Можно поставить криптоконтейнер, пароль от которого держать в голове, и хранить в нём самую ценную информацию. Но что, если квартира, где находится NAS, сгорит? Данные будут утрачены. Поэтому лучше хранить данные в облаке и настроить двухфакторную аутентификацию.

Poetomu

Какими «советами по безопасности» пользуешься ты сам?

Каждый раз, когда меня побуждают перейти по ссылке, прочитать, ввести фразу, зарегистрироваться, посмотреть видео, я думаю: «Кто и почему мне это предлагает?» Тысячу раз проверяю. Даже если просят с аккаунта друга, я перезвоню ему и перепроверю, что это именно он. Проблема мессенджеров и соцсетей — в отсутствии возможности убедиться, что на той стороне сидит владелец аккаунта. Поэтому приходится перезванивать и проводить «голосовую проверку».

Ещё я не сижу под административной учётной записью. Лучше использовать отдельную административную учётку для настройки устройства, а самому сидеть под пользовательской. Если появится вирус, то он запустится с правами учётки, из-под которой вы сидите. Соответственно, если вредоносное ПО запустится из-под пользовательской, злоумышленники не смогут изменить системные настройки компьютера, глубоко и надолго закрепиться в системе. Пострадают лишь ваши пользовательские данные и аккаунты.

Какие три небольших действия могут защитить данные уже сейчас?

Посмотрите текущие открытые сессии с указанием местоположения и устройства. Все подозрительные входы, которые вы не можете вспомнить, лучше закрыть.

Поменяйте пароли в мессенджерах и почтовых ящиках, установите двухфакторную аутентификацию.

Установите парольный менеджер и начните пользоваться исключительно им.

Краткий пересказ от YandexGPT