Onion Links 2.0
OPSEC 101 — Анализ уязвимостей • Хештеги: #opsec #основы #безопасность Ранее мы разобрались с тем, что нужно защищать и от чего. Это — два шага из пятиступенчатой системы планирования безопасности в OPSEC. Сегодня мы переходим к третьему — анализу уязвимостей, — шагу, отвечающему на вопрос «чем именно опасны эти угрозы?» 1. Что защищаем? 2. Кто представляет угрозу? 3. Как потенциально могут атаковать? Уязвимость — конкретная возможность противника (угрозы) выявить нашу критическую информацию для её эксплуатации. Если мы защищаем смартфон с клиентом криптобиржи от людей с потенциальным физическим доступом к нему, то здесь мы оцениваем уязвимости нашей операции (трейдинга) перед людьми, окружающими нас в публичной или приватной обстановке. Например: 1. Самый ли безопасный способ трейдинга — на смартфоне? 2. Позволяет ли то, как я держу смартфон, видеть что я гоняю крипту в клиенте биржи? 3. Если бы я сидел рядом с собой в метро/ресторане/офисе/спортзале/гостях, что бы я видел? 4. Много ли людей знают о моей деятельности и со многими ли они поделились этим? Отвечая на подобные вопросы мы выделим количество уязвимостей (если угроз нет — поздравляю, минус 1 головная боль). Ответы можно давать быстро, но чем более сложна угроза, тем тяжелее будут и ответы. Именем Парето, как обычно, отсеим маловероятные и непрактичные уязвимости: 1. Технически современные смартфоны на стоковой ОС удовлетворительно защищены от атак с физическим доступом — непрактично 2. Да, угол обзора у смартфонов достаточно хороший — уязвимость 3. Следуя из п.2 — большинство действий, в т.ч. вход и балансы на счетах — уязвимость 4. Допустим, человек — с большим опытом торговли. Маловероятно, что он скрывает свой род деятельности. Настолько же, что люди не сплетничают — уязвимость Здесь всё просто: у нас 3 уязвимости с 2 векторами атак: т.н. shoulder surfing (подсматривание) и излишняя разговорчивость (в американской поговорке она «топит» корабли). Идём к технически более сложному 4-му примеру с арендованным для криптомайнинга и разворачивания VPN сервером: 1. Самый ли безопасный способ майнинга и поднятия VPN — аренда сервера? Майнинг выполняется локально, т.е. защищен от сторонних наблюдателей (массово сканирующих и брутфорсящих ботов), как и VPN: для цензора — не упомянутой ранее угрозы для VPN — нет никакой разницы на VPS он поднят или на малинке у друга зарубежом — непрактично. 2. Выдаёт ли мой способ подключения и использования VPS наличие майнера и VPN на нём наблюдателям? Майнинг происходит локально на VPS, поэтому нет, но большинство протоколов VPN уязвимы для DPI и могут быть выявлены цензором — уязвимость. 3. Если бы я был этим наблюдателем, что бы я мог видеть? Любопытный «сосед» может видеть практически то же, что провайдер, но в чистом виде чувствительные данные никто уже не передаёт, а точка подключения (IP и порт) ценна для цензора — уязвимость. 4. Действительно ли этот сервер мониторится только хостером? Никак не выяснить — уязвимость. 5. Использует ли хостер защиту подключения и данных сервера от третьих сторон? Т.к. здесь VPS, а не web-hosting, это больше зависит от юзера. SSH по умолчанию использует сильное шифрование, но стандартные настройки известны и пароль к руту часто брутится ботами, так что это — уязвимость. Здесь 2 уязвимости: известные цензору сигнатуры протоколов VPN и сервисов на VPS (в т.ч. VPN) и стандартные настройки SSH. • ИМХО: Не скупитесь на вопросы на этом шаге: они все равно будут оценены на следующем шаге, так же, как и стоимость ваших данных. Автор: Кекчик @OnionLinks2 — даркнет и безопасность на пальцах