Moja spowiedź bezpieczeństwa 2023 – wersja tekstowa

dodał 26 lutego 2023 o 19:13 w kategorii Info  z tagami:
Moja spowiedź bezpieczeństwa 2023 – wersja tekstowa

Od roku 2016 co mniej więcej dwa lata opisuję stosowane przez siebie rozwiązania i mechanizmy bezpieczeństwa. Urządzenia, procedury, zabezpieczenia, usługi – zapraszam do lektury opisującej stan faktyczny mojego życia cyfrowego w lutym 2023.

W tym roku wersję tekstową poprzedziła prezentacja na żywo w formie webinaru oraz sesji pytań i odpowiedzi. Sesja została nagrana – pełne nagranie (prawie 3h) możesz zobaczyć pod tym linkiem (w modelu „płać, ile zechcesz” od 0 PLN). Dwie godziny to moja opowieść, a 45 minut – odpowiedzi na ok. 100 pytań słuchaczy.

Tekst poniżej jest streszczeniem webinara, uwzględniającym część pytań oraz uwag z ankiet. Na webinar zapisało się ponad 2500 osób, do tej obejrzało 1600, znakomita większość sprawia wrażenie zadowolonych.

Poprzednie edycje spowiedzi:

Wcześniejsze edycje opierały się o tekst oryginalny – ta została napisana od zera, bo w starych wpisach było coraz więcej poprawek.

Wyjaśnienie

Moje wybory nie muszą być twoimi wyborami. Prowadzę „podwójne” życie. Z jednej strony jestem osobą publiczną, którą w mediach społecznościowych obserwują tysiące użytkowników, z drugiej staram się zapewniać sobie rozsądny poziom prywatności. Do tego najwyżej cenię czas i nerwy, więc zdarza mi się płacić za coś, co można mieć taniej / za darmo, lecz poświęcając więcej czasu i wysiłku. A do tego wszystkiego mam spory apetyt na ryzyko. W moim przekonaniu racjonalny, ale pewnie z wieloma moimi decyzjami się nie zgodzicie.

Komputery

Mam dwa, oba podstawowe. Używam MacBooka (14″, M1 Max, RAM 64 GB, 1 TB SSD) w zasadzie równolegle z desktopem (Ryzen 7 3700X, RTX 3070, RAM 32 GB, dużo dysków) z Windowsem 10. Dlaczego tak? Dobrze czuję się zarówno w MacOS-ie, jak i Windowsie, lubię swojego MacBooka, ale nie lubię go wpinać do stacji dokującej. Jak wchodzę do biura, to chcę mieć od razu system gotowy do pracy, więc desktop stoi w ciągłej gotowości. Prościej także mieć zestawione studio audio-wideo, niż przepinać wszystko dwa razy dziennie. Do tego moi klienci używają zarówno Windowsa, jak i MacOS-a i chcę na bieżąco używać obu systemów, by znać odpowiedzi na ich pytania. Szacuję, że czas „komputerowy” dzielę po połowie na oba środowiska.

Programy na komputerach

Nie będę się nad poszczególnymi pozycjami rozwodził, ale chociaż listy wrzucę. To aktualny stan aplikacji innych niż systemowe na moich komputerach.

Windows: Chrome, Dropbox, VirtualBox, IrfanView, VLC, 7zip, MS Office, Zoom, Teams, Skype, KeepassXC, OBS, Greenshot, EditpadLite, TextExpander, qbittorrent, Everything, sterowniki drukarki, Thunderbird, SimplySign, Skype4Business, Discord, Streamdeck.

MacOS: Chrome, Tor Browser, Spotify, KeepassXC, VLC, MS Office, Parallels, Jottacloud, Dropbox, Todoist, Bear, Filezilla, TextExpander, BBEdit, Zoom, GPG Keychain.

Urządzenia mobilne

Moim głównym telefonem jest iPhone 13 Pro, słuchawką zapasową Google Pixel 7 Pro. Dlaczego tak? Android pozostaje najpopularniejszym systemem operacyjnym na urządzeniach mobilnych u moich klientów (no, może poza szkoleniami dla zarządów). Muszę wiedzieć, co w nim nowego słychać. A do tego Pixel robi piękne zdjęcia i dostaje ekspresowo wszystkie aktualizacje. Używam go też jako „nośnika” moich alternatywnych tożsamości z uwagi na łatwość przełączania różnych profili użytkowników.

Tę gromadkę uzupełnia iPad Air 10.9 (edycja 4), który czasem zastępuje MacBooka (np. Netflix), a czasem iPhone’a (np. Twitter). Do kompletu używam też Apple Watcha (edycja 7), który monitoruje tętno, sen i spalane kalorie oraz wyświetla najważniejsze powiadomienia.

Programy na telefonach

Na Pixelu mam prawie same narzędzia systemowe.

iPhone to centrum zarządza wszechświatem: Gmail, Allegro, mBank, InPost, Meteo, Todoist, WordPress, Dashlane, InFakt, Google Maps, Spotify, Storytel, Netflix, SkyCash, Bear, Tiny Scanner, Ceneo, Jottacloud, Firefox, Canva, Tacx Training, Webex Meet, Wysokościomierz, Flowbird, maree.info, WhatsApp Business, Warszawa 19115, YT Studio, MojeIKP, SimplySign, E-TOLLPL BILET, Speedtest, Youtube, Keepass Touch, Authenticator, Medicover, Amazon, Vyke, Kindle, Mój T-Mobile, Fiverr, Ember, SleepWatch, PGP Encrypt, iVerify, OLX, FITIV Pulse, BLE Scanner, Kanarek, mObywatel, eDO App, FeedlerPro. Do tego komunikatory / sieci społecznościowe, których używam: Signal, WhatsApp, Messenger, Slack, FB Business Suite, Metatext, Discord, Telegram, Twitter oraz komunikatory / sieci społecznościowe, które mam, ale ich nie używam: Session, Jami, Element, GaduGadu, UseCryptMessanger, Threema, TikTok.

Dostęp do urządzeń

Jak odblokowuję swoje urządzenia? Ufam biometrii i używam jej tam, gdzie to możliwe:

  • desktop: hasło dysku + hasło Windows,
  • MacBook: odcisk, hasło systemowe,
  • iPhone: FaceId, PIN 8 cyfr, Apple Watch,
  • Pixel: odcisk, PIN 8 cyfr,
  • iPad: odcisk, PIN 8 cyfr,
  • Apple Watch: PIN 8 cyfr (były 4, ale słuchacze mi uświadomili, że jest opcja włączenia dłuższego).

Rzeczy podłączone do internetu

Staram się podłączać tylko to, co daje mi dodatkowe korzyści i nie ma zdalnego zarządzania / monitorowania lokalnego. Lista nie jest krótka, ale też nie wydaje mi się przesadnie długa. Są na niej: klimatyzatory, oczyszczacze powietrza, odkurzacze, żaluzje, zewnętrzny czujnik smogu, kamery. Do tego oczywiście urządzenia domowników (komputery, tablety, telefony, zegarki, czytniki e-booków) oraz urządzenia multimedialne (Chromecast, Apple TV, projektor – telewizora nie podłączam, bo ma 12 lat i Wi-Fi ma tylko teoretycznie, rozłącza się po kilku sekundach). Pliki serwuję z desktopa, QNAP poszedł w kąt, dość miałem zabawy z konfigurowaniem wszystkiego w oparciu o 17-stronicowe wątki na forum. Do internetu nie podłączam żadnego asystenta głosowego, ponieważ nie posiadam, Siri też mam wyłączoną. Nie chce mi się mówić po angielsku i nie czuję się komfortowo, rozmawiając z komputerem.

Internet

Zmieniłem dostawcę internetu – UPC z wolnym i drogim łączem na Orange z szybkim i tanim łączem (oba FTTH, ale koszt jednostkowy w Orange w przeliczeniu na Mb mam teraz dosłownie 100 razy niższy – 10 razy taniej i 10 razy szybciej). Do tego pozbyłem się routerów Linksys Velop (5 sztuk) i Aruby (2 sztuki). Wszystko zastąpił FunBox6 z extenderem SmartBox6 – w efekcie mam internet w miejscach, w których wcześniej mogłem o nim tylko pomarzyć. Nie wiem, dlaczego tak słabo działał mesh, a tak dobrze działa prostsza konfiguracja, ale bardzo mnie to cieszy. Używam zarówno sieci 5 GHz, jak i 2,4 GHz (niektóre urządzenia nie potrafią 5 GHz), hasło WPA2 ma kilkanaście znaków. Nie mam segmentacji sieci w domu, wszystkie urządzenia pracują we wspólnej podsieci. Jeśli ktoś ma 0-daya na mój sprzęt domowy i dobierze się do niego, mimo iż stoi za NAT-em, to i z segmentacją sieci sobie pewnie bez problemu poradzi. Nie stosuję też w domowej sieci żadnego firewalla – połączenia przychodzące nie mają portów do połączenia (żadnego nie wystawiam), a wychodzących i tak nie potrafiłbym przy tej skali ruchu przeanalizować.

Używam domyślnych serwerów DNS operatora plus mam w domu filtrowanie zapytań DNS realizowane za pomocą Pi-Hole.

Poza domem używam 4G od T-Mobile. Chciałbym 5G, ale mój abonament nie obejmuje, a nie mam czasu szukać kogoś uczciwego, kto mnie nie oszuka przy podpisywaniu nowej umowy. Używam też publicznych sieci Wi-Fi, nie stosuję w nich żadnej dodatkowej ochrony, ufam matematyce stojącej za bezpieczeństwem algorytmów zabezpieczających połączenia HTTPS.

Jak przeglądam internet

Używam trzech przeglądarek, ale jednej bardziej. Moim głównym wyborem jest Google Chrome. Używam go na MacBooku i na desktopie. Głównym powodem, jak w przypadku innych usług i produktów Google, jest ogromne zaufanie, którym darzę zespoły bezpieczeństwa tej firmy. Znam kilkanaście osób tam pracujących, mam pojęcie, jak wyglądają wysiłki firmy, by jej klienci byli bezpieczni i jestem przekonany, że Google jest w tej kwestii o rząd wielkości przed konkurencją. Nad żadną przeglądarką nie pracuje ani tak duży, ani tak wykwalifikowany zespół inżynierów. W Chrome używam kilku wtyczek: uBlock Origin, Archive.org, Dashlane, Dotgit, User Agent Switcher i Edit This Cookie. Dzięki uwagom słuchaczy zrezygnuję z dwóch ostatnich, tylko nauczę się je zastępować funkcjami narzędzi dla deweloperów.

Na iPhonie i iPadzie używam Safari, czasem korzystam też z Tor Browsera do przeglądania sieci Tor.

Jakiego antywirusa używam

Jako osoba analizująca internetowe zło mogę nie chcieć używać antywirusa, bo przeszkadzałby w mojej pracy. Mimo tego mam na komputerze kilka mechanizmów o podobnych funkcjach.

Windows 10 posiada wbudowanego antywirusa o nazwie Defender. Co zabawne, jako użytkownik Windowsa 10 mogę w sklepie aplikacji znaleźć Defendera, pobrać go i zainstalować (jest częścią pakietu Office 365). Co więcej, podczas tego procesu Microsoft mówi o Defenderze, że „współpracuje z wbudowaną aplikacją Zabezpieczenia Windows” – mimo iż ta wbudowana aplikacja to właśnie Defender. To jest Defender w Windowsie 10 czy nie? Według komentarzy słuchaczy webinaru Defender jest domyślnie w Windowsie 10, a wersja doinstalowywana daje kilka dodatkowych funkcji z zakresu zarządzania różnymi urządzeniami lub (w innej wersji) lepszą ochronę stacji użytkownika. Microsoft mógłby to jaśniej komunikować.

Kolejnym elementem jest lista ostrzeżeń CERT Polska, zaimplementowana na serwerze DNS przez mojego dostawcę internetu – Orange. Dzięki temu wiem na przykład, czy znalezioną złośliwą domenę jest jeszcze sens zgłaszać na incydent.cert.pl, czy już jest zablokowana.

Następnym elementem jest Cyber Tarcza Orange. Korzystam z wersji wbudowanej w usługę (darmowej), ale nie wiem za bardzo, czym różni się od wersji płatnej w zakresie blokowania złośliwych domen.

Kolejną warstwą ochrony jest domowy serwer DNS oparty o Pi-Hole, który posiada swoją listę blokowanych adresów.

Do tego należy dodać także wbudowany system analizy złośliwych stron Google Chrome.

Czy to wystarczy, by tzw. zwykły użytkownik czuł się bezpiecznie? Moim zdaniem tak, można ten cel dzisiaj realizować bez instalowania dodatkowego systemu antywirusowego. Ochrona na poziomie DNS dodatkowo pomaga chronić także inne urządzenia w sieci domowej.

Jak podnoszę prywatność

Nie używam zaślepek do kamery laptopa – wystarcza mi mechanizm zielonego światełka, pojawiającego się, gdy aktywowana jest kamera. Używam za to filtru na ekran, by nie był on widoczny dla osób siedzących obok mnie.

Moje główne konta pocztowe są obsługiwane przez Gmaila, ale używam usługi „ukryj mój adres e-mail” oferowanej w ramach usługi iCloud Apple. To niepowtarzalne adresy e-mail, które mogę podawać w różnych usługach, by nie rozdawać swojego prawdziwego e-maila. Od wprowadzenia tej usługi używam jej przy każdej okazji. Korzystam też z „przekazywania prywatnego” – innej usługi Apple, która ukrywa mój adres IP, gdy używam przeglądarki Safari.

Numer telefonu ukrywam za pomocą aplikacji Vyke – wirtualnych numerów telefonów, także z polskiej numeracji. Mam ich kilka i podaję w różnych miejscach zamiast swojego głównego.

Używam także – choć sporadycznie – usługi VPN Mullvad. To jedna z usług, które nie wzbudziły na pierwszy rzut oka podejrzeń nieuczciwym marketingiem i mają prosty schemat cenowy i płatności. Do tego przydaje mi się w śledztwie, gdzie obserwuję przestępców, którzy są jej użytkownikami. Jeśli zatem łączę się do tych samych adresów, co oni, nie są w stanie tego zauważyć.

Zarządzanie hasłami

Lokalnie używam KeepassXC (Keepass Touch na iPhonie) z plikiem synchronizowanym przez Dropboksa (tylko na hasło). Do tego część haseł zapamiętał kiedyś Chrome. Do tego część haseł zapamiętał pęk kluczy Apple. Do tego używam od ponad roku Dashlane, gdzie po kawałku przenosiłem hasła, lecz nie miałem czasu dokończyć tego procesu. Do tego mam część kodów jednorazowych w aplikacji Authenticator+. Do tego mam kilka Yubikeyów, które podłączam wszędzie tam, gdzie to możliwe. Tak, zdecydowanie należy to uporządkować, tylko jeszcze nie jestem pewien, jak. Mam nadzieję, że podam wam rozwiązanie za dwa lata. Trzymać lokalnie czy w chmurze? Trzymać kody 2FA razem z hasłami? Zaufać Apple? Trudne pytania.

Szyfrowanie

Dyski szyfruję rozwiązaniami systemowymi – Bitlockerem i FileVaultem. Kontenery głównie na MacBooku, więc FileVault plus z archiwum TrueCrypt i PGP Disk. E-maile szyfruję PGP, głównie w przypadku zgłaszania podatności, korespondencji z informatorami czy z niektórymi klientami. Używam do tego wtyczki GPG Mail na MacOS-ie lub PGP Everywhere na iOS-ie. Komunikację tekstową i głosową szyfruję używając Signala (z ludźmi z branży) lub WhatsAppa (cała reszta).

Bankowość

Główne konta powierzyłem lata temu mBankowi i na razie nie widzę powodu, by to zmieniać. Mobilna aplikacja autoryzuje przelewy, ja śpię spokojnie. Używam też intensywnie BLIK-a tam, gdzie to praktyczne (wypłaty z bankomatu, płatności internetowe). W sklepach fizycznych najczęściej płacę za pomocą Apple Watcha i usługi Apple Pay. Na wakacjach i przy zagranicznych zakupach / abonamentach online używam prawie wyłącznie Revoluta, dzięki sensownym produktom walutowym.

Kopie bezpieczeństwa

Na MacBooku używam Time Machine do regularnego zgrywania danych na zaszyfrowany dysk zewnętrzny. Na iPhonie wszystko, co się da, kopiuję automatycznie do iClouda. Pliki między Windowsem a MacOS-em synchronizuję Dropboksem, przy okazji używając go jako backupu do najważniejszych danych (mam 2 TB miejsca). Oprócz Dropboksa na Windowsie nie mam żadnego innego backupu, ale przed awarią dysku zabezpieczam się za pomocą RAID 1 – wszystkie dyski pracują w parach. Część danych archiwalnych trzymam jeszcze w chmurze Jottacloud, ale pewnie wkrótce zmigruję je do Dropboksa.

Studio audio-wideo

Co prawda nie chciałem, ale musiałem i zbudowałem małe studio AV. W skrócie: obraz rejestruje Canon EOS RP z obiektywem RF 50 F 1.8 STM, sygnał HDMI przechwytuje Camlink 4K, światło z przodu to FalconEyes RX-18TD, z tyłu 2 x Yongnuo YN-300 AIR, za mną stoi greenscreen Elgato, głos zbiera Shure SM 7 B, wzmacnia najpierw Klark TeknikMic Booster CM-1, a potem PreSonusRevelator io24, odsłuch robią Beyerdynamic DT770 PRO (80 Ohm), wspomaga StreamDeck Mini, a montuje OBS. Wygląda to tak, jak poniżej (to biurko przygotowane do prowadzenia webinaru).

Hosting i usługi firmowe

Główny serwer ZaufanejTrzeciejStrony (i kilku innych projektów) stoi w OVH. Serwer zapasowy w DigitalOcean. Ciężar ruchu (czasem niezbyt naturalnego) przyjmuje na siebie Cloudflare. Inne usługi, z których korzystam, to MailerLite (mailingi), Vimeo (hosting wideo), Skyier (platforma sprzedaży wideo), StreamYard, Buzzsprout, Auphonic, HappyScribe (podcasty), Canva (grafiki), Zoom (moja ulubiona platforma do prowadzenia szkoleń dla klientów), Kahoot (konkursy dla klientów), GSuite (poczta firmowa), WeTransfer (duże transfery plików, zastąpię pewnie Dropboksem), TextExpander (szablony odpowiedzi), NinjaForms (formularz kontaktowy), Hunchly (narzędzie OSINT-owe) i InFakt (księgowość).

Za jakie usługi jeszcze płacę

Rozrywka: Netflix, Spotify, YouTube, Storytel, TVN24Go, Wired. Składowanie danych: Dropbox, Jottacloud, Google One, iCloud 2 TB. Narzędzia: MS Office, Parallels. Komunikatory: Discord, Signal (dobrowolna miesięczna darowizna). Sport: Rouvy i FITIV (jedyna aplikacja, która potrafiła pokazać mi na telefonie odczyt na żywo pulsu z Apple Watcha). Organizacja: Bear i Todoist. Pozostałe: Dashlane, Kanarek, Vyke.

Podsumowanie

To oczywiście tylko streszczenie webinara – zapraszam do obejrzenia całych 2 godzin 42 minut, gdzie odpowiadam dużo więcej na każdy temat.

Tematy, których nie poruszyłem powyżej ani na webinarze, są tylko dwa: automatyka domowa (nie opisuję kwestii bezpieczeństwa fizycznego) oraz miejsca, w których inwestuję (słuchajcie raczej Michała Szafrańskiego w tej kwestii).

Jeśli w komentarzach pojawi się sporo pytań, to powstanie kolejny artykuł z odpowiedziami. A jeśli już tęsknicie za kolejnym moim występem na żywo, to zapraszam za niecały miesiąc na webinar o prowadzeniu śledztw OSINT na Discordzie.