С начала 2018 я собрираю отчеты о взломах в криптопроектах. За это время поступила информация о кражах почти на миллиард долларов. Одна лишь биржа coincheck проспонсировала кого-то на ~500 миллионов. При этом на некоторых биржах до сих пор нет двухфакторной авторизации. Сайты финансовых компаний используют сторонние скрипты без проверки подлинности. Браузерный кошелек MetaMask светит адрес вашего кошелька всем сайтам без разбора. А самым популярным приемом остается security through obscurity. Но, возможно, все еще хуже и сегодня повсеместно распространена имитация безопасности и летний доклад NIST частично это подтверждает.
Сегодняшний подход к безопасности не учитывает особенностей человека, о чем собственно и говорится в отчете NIST (статья на тему). Вот основные проблемы, которые наблюдаются сегодня:
- Отсутствие ответственности за результат.
- Излишняя строгость правил.
Обе причины демонстрируют инверсию логики. Давайте рассмотрим их подробнее.
Отсутствие ответственности
Производитель продукта не отвечает за последствия взлома, максимальные нежелательные последствия для него – выплата компенсации или банкротство. Руководство компании никак не заинтересовано в повышении требований безопасности. При этом любой пользователь, который обнаружит дыру и сообщит об этом, рискует угодить на скамью подсудимых. Теперь вопрос, что мешает сотрудникам такой компании ограбить самих себя?
Пример компании Дюпон.
Основанная в 1802 году в городе Уилмингтон, штат Делавэр, США, компания Du Pont начала свою деятельность с производства оружейного пороха. Несколько взрывов, произошедших на заре ее деятельности, заставили руководство фирмы осознать важность техники безопасности для успеха предприятия. Руководство компании разработало новую философию безопасности: с одной стороны, на высший руководящий состав предприятия возлагалась особая ответственность за несчастные случаи, а с другой – все работники были обязаны проживать на производственной территории. Таким образом, безопасность труда стала делом личной заботы каждого.Из статьи с сайта ИНЭС
Излишняя строгость правил
В докладе NIST говорится о том, что люди не склонны запоминать сложные и часто меняющиеся пароли. А правила использования сложных парольных фраз из цифр, букв, спецсимволов, математических формул и расчета числа Пи в уме приводит к появлению стикеров с паролями на мониторах. Парадокс выжившего говорит о том, что причина выживания в опасных ситуациях, ничего не сообщает о причине гибели, а следовательно не помогает эту гибель предотвратить. Другими словами взломостойкость сильных паролей, не является способом построить надежную систему.
Разработчики подходят к задаче слишком формально и перекладывают задачу обеспечения безопасности на не слишком-то надежный элемент – человека. В итоге, внедряя более сильные методы защиты, мы ослабляем безопасность в целом.
Недавно я столкнулся с тем, что сайт загруженый по HTTPS не может взаимодействовать с HTTP-протоколом, при этом браузер не спрашивает моего разрешения на осуществление такого действия, а просто отказывается выполнять запрос. В итоге я переключился на HTTP-протокол, после чего уже два ресурса грузятся в небезопасном режиме.
Заключение
Когда я выстраиваю в голове систему безопасности, то безоговорочно проигрываю злоумышленнику – количество элементов требующих настройки, отключения или дополнительной разработки слишком высоко. О работе некоторых компонентов операционной системы я не имею ни малейшего представления и не знаю как определить: работают ли они корректно, кто их произвел, были ли они подменены и т.п. Из-за этого иногда у меня возникает синдром самозванца. Действительно ли я настроил все правильно!?
Я скачал CIS Distribution Independent Linux. Это сборник рекомендаций по настройке linux. В нем 317 страниц, более сотни потенциальных уязвимостей. В процессе чтения у меня всплыл вопрос: как много разработчиков вообще знают о таком документе?
Хаб Информационная Безопасность на втором месте на Хабре (популярнее Программирования в два раза!). Это следствие заботы о безопасности или вариант оберега? Чувствуете ли вы себя уверенно в сфере ИБ?
Комментариев нет:
Отправить комментарий