Spowiedzi bezpieczeństwa ciąg dalszy – odpowiedzi na Wasze pytania

dodał 10 lutego 2016 o 17:55 w kategorii Info  z tagami:
Spowiedzi bezpieczeństwa ciąg dalszy – odpowiedzi na Wasze pytania

Ostatni wpis na temat stosowanych przeze mnie zabezpieczeń wywołał ciekawą dyskusję w komentarzach. Zgodnie z obietnicą postaram się dzisiaj odpowiedzieć na wszystkie Wasze wątpliwości oraz zadane pytania.

Cieszę się bardzo, że tak wiele osób, choć niekoniecznie zgadzających się z moim podejściem, zrozumiało jego filozofię – to moja ocena istniejących przeciwników i zagrożeń leży u podstaw podjętych decyzji. Większość odpowiedzi na Wasze pytania będzie oscylowała właśnie wokół modelu zagrożeń – i dobrze, bo faktycznie za mało o nim wcześniej napisałem.

Kopie bezpieczeństwa

Dlaczego Jotta? Gdy szukałem oferty backupu w chmurze był to jedyny dostawca z nielimitowaną usługą w sensownej cenie (miałem do wrzucenia powyżej 1 TB danych), a do tego oferował oprogramowanie zarówno dla Windows jak i Androida, pobieranie plików przez WWW a lokalizacja w Norwegii wydawała mi się dużo przyjaźniejsza niż w USA. Jotta obiecuje, że nie będzie monitorować moich plików i nie da ich nikomu dopóki nie dostanie nakazu wydanego przez norweski sąd. Na skali koszt vs pojemność vs prywatność Jotta jest w moim przypadku rozwiązaniem idealnym. Używam od ponad roku i nigdy nie miałem żadnych problemów.

Co z szyfrowaniem backupów? Jak niektórzy słusznie zauważyli, szyfruję dane poufne (TC lub PGP) bez względu na to czy robię ich kopie czy nie. Jeśli coś jest poufne, to jest poufne również na dysku lokalnym, zatem gdy robię backup dysku do chmury to nie muszę się przejmować tym czy wszystko co trzeba zaszyfrowałem i w backupie lądują po prostu dyski TC obok plików jawnych.

Dlaczego wrzucam plik KeePassa bez dodatkowego szyfrowania do chmury? KeePass ma wbudowane silne szyfrowanie a moje hasło jest takiej długości, że trzeba by NSA by do niego podejść. O tym dlaczego nie obawiam się NSA będzie w osobnym akapicie.

Szyfrowanie

A co z luką bezpieczeństwa w TrueCrypcie (CVE-2015-7358)? A nic. Umożliwia ona podniesienie uprawnień ze zwykłego użytkownika. Oznacza to, że jeśli ktoś będzie mógł wykonać dowolny kod na moim komputerze i zorientuje się, że potrzebuje uprawnień administratora i mam TrueCrypta, to będzie mógł za jego pomocą sobie uprawnienia podnieść. Uważam, że jeśli ktoś będzie wykonywał bez mojej wiedzy kod na moim komputerze z takimi uprawnieniami jak ja, to jest już bardzo źle i uzyskanie uprawnień administratora przez atakującego mojej sytuacji znacznie nie pogorszy. A TrueCrypta lubię, zatem dopóki szyfruje prawidłowo to będę go używał.

Antywirus

Paru komentatorów było zdziwionych wyborem antywirusa. Obstawiam, że jakiego bym nie wybrał, zawsze kilku się znajdzie. Nie sądzę by którykolwiek z antywirusów z listy tych bardziej popularnych był wart więcej od pozostałych. W żadnym nie pokładam zbyt wysokich nadziei – wiem, że świeże binarki zawsze przez co najmniej kwadrans lub dwa pozostaną niewykryte (a dobre kryptery ominą także metody emulacji kodu czy inne techniki heurystyczne) i antywirusa traktuję jako ostatnią linię obrony przed własną głupotą, gdyby mnie akurat coś zaćmiło i chciałbym kliknąć gdzie nie trzeba. I nie ma znaczenia czy będzie to Avast, Avira czy cokolwiek innego. W każdym odkryto fatalne błędy (i pewnie zostanie ich jeszcze wiele odkrytych), ale dla mnie korzyści z ich posiadania przewyższają potencjalne zagrożenie, jakie powodują. Wirusów jest mnóstwo a celowanych ataków na posiadaczy antywirusów nie kojarzę.

Hasła

Ilu używam plików KeePassa? Jednego, w zupełności wystarcza. Przełączanie się między dwoma bazami to duże obniżenie użyteczności które pewnie i tak kończy się tym, że obie są cały czas uruchomione i odblokowane, co kwestionuje sens posiadania dwóch.

Dlaczego nie używam losowych haseł zapisywanych w przeglądarce do mało znaczących serwisów? Jestem przeciwnikiem zapisywania haseł w przeglądarce, poza tym naprawdę w tych serwisach nie mam niczego istotnego, zatem jedno i to samo hasło niczemu nie przeszkadza.

Poczta

Pytanie o sens posiadania wielu skrzynek – ja nie mam z nimi problemu, po prostu z niektórych korzystam bardzo rzadko. Jeść nie wołają, ważne emaile tam nie przychodzą.

Czy mają sens skrzynki tymczasowe np. 10minutemail? Tak, co kto lubi. Ja korzystam ze skrzynki „stałej” bo wygodniej mi potem przypomnieć sobie login czy odzyskać hasło – przynajmniej pamiętam adres email, jaki podawałem przy rejestracji.

Przeglądarka

Czy blokowanie JavaScriptu to nie przesada? Nie, dlaczego? Odblokowanie dla danej strony to jedno – dwa kliknięcia a zawsze trochę mniej okazji na wykonanie jakiegoś nieautoryzowanego kodu. Odblokowuję tylko jeśli coś, czego akurat potrzebuję, nie działa. Sporo witryn działa i bez JS.

Czym się różni uBlock od uBlock Origin? Autor oryginalnego uBlocka przyjął do projektu drugą osobę, która próbowała sobie przypisać wszystkie zasługi, zatem stworzył osobną wtyczkę (właśnie Origin) by odróżnić ją od tej przejętej w nieciekawych okolicznościach.

Gmail, Chrome i Google

Często przewijał się wątek „Jak można używać Chroma” lub „Ojej poczta na Gmailu”. Zacznę od tego, że jeśli ktokolwiek obawiający się inwigilacji Google nie używa Chrome i Gmaila za to korzysta z Google to robi to źle. Sama historia zapytań do Google wystarcza do stworzenia tak dokładnego profilu człowieka, że Gmail i Chrome to już tylko wisienki na torcie. Zatem niech pierwszy rzuci kamień ten co binga (binguje?) wszystkie informacje. Ja bez Google nie potrafię pisać artykułów, zatem nie będę z jego usług rezygnował bo żadnej korzyści mi to nie da.

Kto nie korzysta z Gmaila niech sprawdzi, jaki procent jego wiadomości jest Gmailowi znany (czytaj: jaki procent przychodzi z Gmaila lub do niego wychodzi). Wszystkie wyniki poniżej 50% można uznać za spory sukces. Warto też zaznaczyć, że Gmail jest idealnym narzędziem do walki z malware (i przy okazji spamem) – przez 4 lata zbierania próbek jeszcze mi się nie zdarzyło, by jakiś złośliwy program Gmail przeoczył.

Co do Chrome – kto używa innej przeglądarki ten jest w dziedzinie bezpieczeństwa samobójcą (no poza niszowymi produktami czy innymi Lynxem). Firefoks – wolne żarty, jedyna przeglądarka bez wbudowanego sandboksa (a mamy rok 2016!), na którą nie dalej jak w zeszłym roku był 0day używany do prawdziwych ataków. No, może Edge, który dokonał wielkiego skoku w dziedzinie bezpieczeństwa wkrótce dorówna Chromowi, ale dajmy mu kilka miesięcy. Chrome dzięki działaniom Google nie miał w historii dostępnego exploita który umożliwiałby zdalne wykonanie kodu. Amen.

Ktoś zawsze patrzy

Ktoś zawsze patrzy

System operacyjny

Dlaczego Windows? Dlaczego nie Linux? Uważam, że Windows, szczególnie wersja 10, której instalację rozważam, to nie jest ten sam Windows który był obiektem żartów przez tyle lat. Microsoft dokonał niesamowitych postępów i dzisiaj Windows jest bardzo bezpieczny (i mówię o bezpieczeństwie, nie o prywatności, choć doniesienia o naruszaniu prywatności przez Windows 10 ciągle czekają na dowody rzeczowe). Oczywiście to wrażenie psuje użytkownik, który klika w linki bez opamiętania, ale ja nie klikam. Windows daje poziom bezpieczeństwa porównywalny z każdym innym dojrzałym systemem operacyjnym. Błędy są szybko łatane, system automatycznych aktualizacji wygodny, nie widzę powodu, by z niego nie korzystać.

Hobbystycznie czasem uruchamiam sobie wirtualkę na której zmienia się od czasu do czasu wersja Linuksa – aktualnie oglądam Minta. Popracuję z nim kilka godzin w czasie których np. uda mi się ustawić pobieranie polskich napisów do filmów pod prawym przyciskiem myszy a potem wracam do Windowsa, gdzie zajmuje mi to 30 sekund. Z rozwiązań linuksowych korzystam głównie zdalnie – kilka serwerów pomaga ogarniać jakieś analizy, przetwarzanie plików, zbieranie danych – może nie jestem mistrzem awka ale uniksowe narzędzia do obróbki danych tekstowych są niezastąpione.

Telefony komórkowe

Jeden z komentatorów twierdzi że śmiesznie brzmi brak zabezpieczeń przed fałszywymi BTSami przy jednoczesnym zabieraniu za granicę jednorazowego sprzętu. Nie wszędzie zabrałbym sprzęt jednorazowy – na większość swoich wyjazdów zabieram sprzęt używany codziennie. Fałszywych BTSów się nie obawiam ponieważ nie sądzę, by ktokolwiek posiadający taki sprzęt i odpowiedni personel próbował atakować mój telefon. Co więcej, nawet gdyby go podsłuchał, to i tak znakomita większość informacji przesyłana jest kanałami zaszyfrowanymi a skoro korzystam z Signala to mogą podsłuchiwać do upadłego. Zatem nie boję się fałszywych BTSów.

Czy zrootowałem telefon? Nie, do tej pory nie miałem takiej potrzeby (chociaż jakiś AdBlock kusi).

WiFi

Dlaczego nie RADIUS? Bardzo się cieszę, że padło to pytanie, bo to właśnie klasyczny objaw przekombinowania w dziedzinie bezpieczeństwa. Jak szybko można łamać WPA2? Załóżmy że ktoś znalazł mój adres, zaczaił się z komputerem i anteną i przechwycił odpowiednie pakiety z mojej sieci WiFi. Sensowna karta graficzna może osiągnąć 500 tysięcy prób hasła na sekundę. Niech atakujący ma 4 takie karty. Podręczny kalkulator mówi, że łamanie w tym tempie 15-znakowego hasła składającego się z małych i dużych liter, cyfr oraz znaków specjalnych zajmie ok. 256208276528740 lat. Oto odpowiedź na pytanie dlaczego WPA2 w zupełności mi wystarczy.

Jeden z komentatorów uważa, że podawanie modeli ruterów naraża mnie na niepotrzebne ryzyko. Nie zgadzam się. Nie jest trudno ustalić mój adres IP – podeślijcie mi ciekawego linka a pewnie kliknę. Teraz znacie także moje modele ruterów. Mogę Wam też podać wersje softu. I co z tym zrobicie? Może jest wśród Czytelników tego wpisu kilka osób, które potrafią znaleźć 0daya w oprogramowanie rutera – ale kto powiedział, że ruter jest dostępny z internetu? Kto powiedział, że mój komputer udostępnia swoje porty prosto do sieci? Naprawdę, jeśli chcecie rysować scenariusze zagrożeń to musicie je doprowadzić do momentu, w którym dochodzi do zagrożenia, a nie tylko wydaje się Wam, że coś jest niebezpieczne.

Czy dd-wrt nie jest za stary? Nie sądzę, wiek systemu nie ma dla mnie znaczenia tak długo jak błędy są usuwane w kolejnych wersjach. Błędy? Jakie błędy? :)

Dlaczego nie boję się NSA

W moim modelu zagrożeń nie ma miejsca dla NSA, GRU czy służb Izraela lub Chin. Po pierwsze nie uważam się za osobę która dysponuje wiedzą interesującą dla obcych wywiadów. Prowadzę niszowego bloga w niszowym kraju i nie posiadam żadnej tajemnej wiedzy ani umiejętności. Nie sądzę, by obce wywiady w ogóle wiedziały o moim istnieniu a już na pewno nie będą na mnie marnować swoich 0dayów.

Drugim powodem jest fakt, że jeśli Twoim wrogiem jest NSA, to powinieneś wyłączyć komputer, zjeść dysk twardy i udać się w Bieszczady bo żadne szyfrowanie ani brak konta na Facebooku nie uchroni Cię przed implantem w kablu monitora lub dodatkowymi linijkami kodu w oprogramowaniu sterownika klawiatury, którego nawet nie potrafisz zgrać do pliku, o jego analizie nie wspominając. Jeśli ktoś myśli, że się przed NSA zabezpieczy i nie jest Joanną Rutkowską to tkwi w błędzie.

Na mojej liście wrogów nie ma również Google czy Microsoftu – bez wahania oddaję w ich ręce sporą część swojego bezpieczeństwa, ponieważ nie widzę żadnych dowodów na to, by mieli stanowić dla niego zagrożenie. Nikt tak nie obroni serwera poczty jak zespół ekspertów Google a nie sądzę, by czytanie poczty użytkowników było popularną rozrywką wśród Googlersów. To samo dotyczy Androida – jego najnowsza wersja ma porównywalny poziom bezpieczeństwa z iOS i nie widzę powodu, by z niego rezygnować.

Pytania pozostałe

Czy bezpieczne jest korzystanie z darmowego VPNa w otwartych sieciach WiFi? A co to znaczy „bezpieczne”? Kogo się obawiasz, co i przed czym chcesz się chronić? Zacznij od odpowiedzi na te pytania, dalej będzie z górki. I tak, szyfrowanie ruchu nawet darmowym VPNem jest lepsze od nieszyfrowania, choć jego „darmowość” może sprawiać, że przenosisz ryzyko gdzie indziej.

Czy nie boję się zostawiać laptopa w sejfach hotelowych? Gdzieś zostawiać czasem trzeba, do morza go nie zabiorę. Sejfy da się otworzyć, ale nie zrobi tego tani złodziejaszek a nie słyszałem by obsługa kradła laptopy z sejfów.

Podsumowanie

Chyba odpowiedziałem na wszystkie pytania które pojawiły się pod ostatnim tekstem. Dziękuję wszystkim, którzy je zadawali. Mam nadzieję, że choć kilka osób spojrzało inaczej na swoje reguły bezpieczeństwa, kilka haseł uległo wydłużeniu, aplikacje zostały aktualizowane a stosowane poziomy zabezpieczeń zostały dopasowane do rzeczywistych zagrożeń. Na ewentualne przyszłe pytania będę odpowiadał tradycyjnie w komentarzach.