Моделиране на заплахи

Публикувано на 2018-01-15 || Последна промяна на 2018-02-04

За кои неща трябва да ми пука? Това е въпросът, с който трябва да започнем когато мислим за това какво да направим за собствената си сигурност онлайн.

Сигурността винаги е относителна. Едно нещо е повече или по-малко сигурно в сравнение с друго нещо, най-много или най-малко сигурното в контекста на няколко неща. Последствията от различни видове заплахи имат различна сериозност и вероятността за въпросните заплахи може да бъде много различна. Това прави сигурността преди всичко въпрос на баланс между различни фактори.

  • За много хора съвсем реална възможност е злонамерен познат или бивш партньор да се опита да се докопа до лична информация, която не биха искали да споделят или пък да им навреди като получи нужния достъп да се представя за тях на различни места онлайн.

  • В същото време опасността държавата, службите или друга произволна организация със завидни технически и финансови възможности да се опитва да ни навреди лично е нещо, което за повечето от нас не е реален проблем.

Горните две твърдения интуитивно звучат верни. До тях можем да достигнем и с относително формалния процес на моделиране на заплахи. Общо взето той се изразява в търсенето на отговор на някои генерални въпроси:

  • Какви възможни заплахи съществуват?
  • Колко са вероятни тези заплахи?
  • Какви биха били негативните последици от тях?
  • Какво трябва да направим за предпазване от тях и колко би „струвало“?
  • Колко риск е допустим? Иначе казано: „За кои неща да ми пука?

Какви са възможните заплахи?

Няма добра конкретна дефиниция за „заплаха“. Всеки сам решава какво смята за разумно да очаква, че може да му се случи и какво смята за невъзможно или твърде невероятно. Всяко от следните може да бъде разглеждано като заплаха:

  • Ако оставя лаптопа или телефона си отключен без надзор на публично място, някой може да се възползва от това и просто отваряйки браузъра ми да получи достъп до всичките ми онлайн профили, или до списък с паролите за тях.
  • Някой може да открадне телефона ми в градския транспорт, което да му даде достатъчно време „на саме“ с него, за да може да получи достъп до информация, която не искам да попада в чужди ръце.
  • По невнимание или от незнание мога да заразя телефона или лаптопа си с вирус, който да даде достъп до устройствата ми на хората създали или разпространили вируса.
  • Кадърен и силно мотивиран хакер може да се опита да компрометира мое устройство, тъй като аз по някаква причина съм важен.
  • Може да съм цел на различни държавни или международни служби, които искат да ме компрометират или чрез мен да получат информация, до която аз имам достъп.

За някои от тези заплахи всеки би се замислил и повечето хора най-вероятно полагат грижи да се предпазят от тях. Обикновено никой не би оставил телефона или лаптопа си на масата в кафене, докато отиде до тоалетната.
Други по-скоро не са приложими за повечето хора. Ако не заемате важна държавна позиция или нямате достъп до ценна фирмена информация, инвестицията на време, пари и умения за насочена към конкретен човек атака е твърде висока, за да има логика да очаквате, че може да бъдете обект на такава.

Лична и служебна информация

Както може би се вижда от горните примери, разделението между лични и служебни данни е важно, когато решаваме за кои заплахи има смисъл да мислим.

В този контекст лични данни могат да са съобщения с членове на семейството или приятели, лични снимки, видеа, информация за финанси, имоти и прочее.

Служебни данни от друга страна биха били документи за финансови движения на работодателя, различни договори, документи за собственост или документи за вътрешна употреба, описания и планове за проекти.

  • При атака на конкретен човек, най-често целта на нападателите е достигане до важна информация, до която жертвата има някаква форма на специален достъп. Обикновено това е информация свързана с големи фирми или държавни учреждения.

  • Личните ви данни обаче имат нужда от предпазване и без да сте конкретна цел на никого. При така наречените ransomware атаки чрез масово разпространяван на зловреден софтуер се криптира информацията на дадено устройство и за декриптирането ѝ се иска откуп. Когато жертвите на тези масови атаки са лични компютри това може да означава загуба на различни важни лични документи, дори и това да са само такива със сантиментална стойност.

Важно е да се отбележи и че когато някой получи достъп до личните ви данни, това може да бъде лесен начин за него да се докопа и до служебна информация. Получаването на достъп до фейсбук акаунта ви примерно позволява на нападателя да се представя за вас. Това означава, че от ваше име някой ще може да комуникира с колеги или приятели и използвайки социалните ви контакти и репутация да прилъгва други хора да правят неща, мислейки си че ви правят услуга. Предвид огромната роля на социалните мрежи в комуникацията на хората, това ефективно е вид кражба на самоличност. Подобни тактики често се използват за проникване в компании или дори държавни институции.

Каква е вероятността на различни заплахи?

Всяка от заплахите, споменати до тук е реална. Поне до толкова до колкото съществуват хора, за които тези заплахи са част от ежедневието им.

Докато несъмнено съществуват хора, които са обект на целенасочен шпионаж от различни големи мощни организации обаче, то за средно статистически човек опасността от кражба в градския транспорт е далеч по-реална и целта да се предпази от негативните последици от нея е далеч по-смислена и постижима.

Какви биха били последствията?

Вече споменахме някои от възможните последствия когато някой получи достъп до телефона ви. Ако става въпрос за злонамерен познат или пък някой, който е откраднал телефона ви в градския транспорт, най-вероятно е това да бъде инструмент или за изнудване или директно за кражба. Всеки от тези варианти е крайно неприятен и значително влошава ситуацията, в която се намирате. За такъв тип нападатели, телефона или лаптопа на жертвата им е най-ценното „слабо място“, чрез което могат да им навредят най-много.

В другата хипотетична ситуация с голямата организация (компания или разузнавателна агенция), негативните последствия от достъп до информацията ви, макар и немалки, не са непостижими и с други нетехнически методи, предвид че говорим за големи силни организации. Това ще рече, че предпазването от конкретната заплаха има малък ефект що се отнася до предпазване от негативните последствия.

Колко „струва“ да се предпазим?

Отново ще използваме същите два примера, тъй като те добре илюстрират две относително крайни точки от множеството на възможни заплахи.

Когато говорим за физически достъп до устройствата ви от други хора, в почти всички случаи прости решения като заключване на екрана и криптиране на запаметяващото устройство решават проблема практически изцяло. Това са функционалности, които съвременните операционни системи поддържат и производителите се стараят достъпът до тях да бъде възможно най-лесен и безпроблемен, без значение какво е нивото на технически познания на потребителите.

От друга страна всички възможни видове разузнавателни агенции или организации с големи финансови и технически възможности, обикновено имат на разположение технически сложни, не тривиални за противодействане инструменти и похвати за получаване на различен вид достъп до различни устройства и системи. Очакването обикновен, или дори високо технически умел потребител да може да направи нещо адекватно, за да се предпази в случай, че стане цел на подобна организация е крайно нереалистично.

Тогава за кое да ни пука?

В силно синтезирана форма, най-важното от всичко казано до тук може да се визуализира по следния начин:

за какво да ни пука

Къде е границата?

Този въпрос не е тривиален и отговора му е обект на лична преценка. Може да се говори за „санитарен минимум“ на усилията, които полагаме за да се предпазваме, но със сигурност няма предписание за това коя е точката, след която няма смисъл да полагаме повече усилия.

Освен за тези, които ясно знаят, че попадат в екстремни високо рискови групи, границата на допустим риск, според крайно грубите очертания на горната графика, логично би била някъде тук:

къде да спре да ни пука

Лесните решения

В днешно време повечето компании предлагащи онлайн услуги или различни видове персонални устройства, все повече наблягат на имплементирането на предпазни мерки срещу най-честите видове заплахи.

  • Повечето нови устройства поддържат криптиране на цялото си запаметяващо устройство (Full Disk Encryption).
  • Онлайн услугите все по-масово имплементират двуфакторни форми на идентификация (2 Factor Authentication).

Тези инструменти се усъвършенстват непрекъснато и тяхната използваемост се подобрява постоянно. Това ги прави все по-достъпни и ефективни начини да се защитаваме в различни потенциално опасни ситуации онлайн или във връзка с достъпа до устройствата ни.

Ако имате коментари по статията или предложение за подобрения, може да отворите pull request или issue в GitHub: https://github.com/sanesecurityonline/sane-security.online.


Можете и да ни пишете мейл на contact@sanesecurity.online.

Powered by Hugo & Kiss.