Интересно Популярные заблуждения об ИБ

daddydwarf

Support
Seller
Мес†ный
Регистрация
12 Июн 2019
Сообщения
1.854
Репутация
527
Реакции
1.064
edfee03d5d797baf73f22.png


В сети полно мифов и заблуждений, связанных с информационной безопасностью, сегодня развеем некоторые из них. Без лишних слов, начнем.

"ПО с открытым исходным кодом всегда безопасно" или "Проприетарное ПО менее безопасно"
Доступность исходного кода и способ лицензирования программного обеспечения по своей сути никак не влияют на его безопасность. Программное обеспечение с открытым исходным кодом потенциально может быть более безопасным, чем несвободное программное обеспечение, но нет абсолютно никакой гарантии, что это именно так. При оценке программного обеспечения следует обращать внимание на репутацию и безопасность каждого инструмента в отдельности.

Программное обеспечение с открытым исходным кодом может быть проверено третьими сторонами, то есть зачастую оно более прозрачно в отношении потенциальных уязвимостей, чем проприетарные аналоги. Открытая лицензия также позволяет вам самостоятельно изучить код и отключить любую подозрительную функциональность, которую вы обнаружите. Однако, если вы этого не сделаете, нет никакой гарантии, что код когда-либо оценивался. Особенно опасно это в небольших проектах. К тому же открытый процесс разработки также иногда используется для внесения новых уязвимостей даже в крупные проекты.

С другой стороны, проприетарное программное обеспечение менее прозрачно, но это не означает, что оно небезопасно. Крупные проекты несвободного программного обеспечения могут подвергаться внутреннему аудиту и аудиту сторонних организаций, а независимые исследователи безопасности все еще могут находить уязвимости с помощью таких методов, как обратная разработка.

Чтобы избежать необъективных решений, крайне важно оценить стандарты конфиденциальности и безопасности используемого программного обеспечения и решить для себя, доверяете ли вы тому или иному разработчику, или нет.

Если вы не разбираетесь в программировании, самостоятельно адекватно проанализировать структуру ПО на уязвимости не получится. Поэтому, выбирая открытое ПО, вы полагаетесь (1) на честность разработчика и (2) на то, что кто-то уже за вас проверил ПО. Помните об этом всегда и не думайте, что FOSS – это панацея.

"Доверившись X вместо Y, мы повысим безопасность"
Когда вы пользуетесь коммерческим VPN, вы "доверяете" безопасность не провайдеру интернета, а VPN-сервису. И хотя это защищает ваши данные от провайдера, выбранный вами провайдер VPN все равно имеет доступ к данным просмотра, то есть ваши данные не защищены от всех сторон. Это означает, что:

  1. Вы должны проявлять осторожность при выборе провайдера (в широком смысле), которому вы будете доверять.
  2. Для полной защиты данных следует использовать продвинутые методы, например, E2EE.
"Решения, ориентированные на конфиденциальность, априори заслуживают доверия"
Сосредоточившись исключительно на политике конфиденциальности и маркетинге инструмента или провайдера, вы можете не заметить его слабые стороны. Если вы ищете более приватное решение, вам следует определить, в чем заключается основная проблема, и найти технические решения этой проблемы. Например, вы, возможно, захотите избежать Google Drive, который предоставляет корпорации Google доступ ко всем вашим данным. В этом случае основной проблемой является отсутствие E2EE. Убедитесь, что провайдер, на которого вы переходите, действительно реализует E2EE. Или используйте инструмент (например, Cryptomator), который обеспечивает этот протокол на любом облачном провайдере. Переход к другому поставщику облачных услуг, "ориентированному на конфиденциальность" (но который все равно не реализует E2EE), не решит вашу проблему: он просто смести доверие с Google на этого провайдера.

Политика конфиденциальности и деловая практика выбранных вами провайдеров очень важны, но должны рассматриваться как вторичные по отношению к техническим гарантиям вашей конфиденциальности.

"Чем сложнее система, тем лучше"
Не создавайте чрезмерно сложные модели угроз. Вы можете подумать, что сложное решение по умолчанию безопасно. Но со сложными техническими решениями часто трудно и неудобно работать в реальности. Повышенная безопасность достается ценой удобства. Чтобы выбирать адекватные технические решения, придерживайтесь трех советов:

  1. Действия должны служить конкретной цели. Подумайте, как сделать то, что вы хотите, с наименьшим количеством действий и условий.
  2. Устраните человеческий фактор (по возможности). Мы терпим неудачи, устаем и забываем. Не полагайтесь на процессы, которые нужно выполнять вручную и можно легко автоматизировать. А еще не полагайтесь на память – она обязательно вас подведет в неподходящий момент.
  3. Подумайте, так ли вам нужны продвинутые решения. Они часто требуют специальных знаний и, как правило, не являются тем, что вам на самом деле нужно. Нет смысла строить сложную модель угроз для анонимности, если вас можно легко деанонимизировать по простому недосмотру.
Модель угроз на основе типов онлайн-личности
В качестве бонуса рассмотрим пример модели угроз, которая основана на разделении разных типов интернет-идентичности:

  • Известная личность. Известная личность используется в тех случаях, когда необходимо объявить свое имя. Существует множество юридических документов и контрактов, где требуется идентификация личности. Это может быть открытие банковского счета, подписание договора аренды недвижимости, получение паспорта, таможенное декларирование при импорте товаров или другие действия, связанные с правительством. Не рекомендуем использовать Tor и другие анонимайзеры для этих целей, поскольку ваша личность уже известна другими способами.
При совершении покупок в интернете использование камеры хранения посылок может помочь сохранить ваш физический адрес в тайне.
  • Неизвестная личность. Неизвестная личность может быть постоянным псевдонимом, который вы регулярно используете. Он не является анонимным, поскольку не меняется. Если вы являетесь членом онлайн-сообщества, вы можете захотеть сохранить личность, которую знают другие. Этот псевдоним не является анонимным, поскольку, если за ним достаточно долго наблюдать, то можно получить дополнительную информацию о его владельце, например, о манере письма, общих знаниях по интересующим вас темам и т.д. В таких ситуациях можно использовать VPN, чтобы скрыть IP-адрес.
  • Анонимная личность. Даже при наличии опыта анонимность невероятно трудно поддерживать в течение длительного времени. Лучшее решение – одноразовые и недолговечные идентичности, которые регулярно меняются. Обсуждение того, как это реализовать, выходит за рамки статьи.
Автор: Vergil

Chipollino Onion Club
 
Назад
Сверху Снизу