logo~stef/blog/

szekuriti

2014-07-16

(this post has been translated by rhapsodhy to english)

Mostanában előkerül egyre több ember, aki kezdi kapiskálni milyen szerencsétlen kelepcébe került az interneten és valamit tenni akar ez ellen, de nincs szükséges kapacitásuk ehhez és így nem tudják meglépni (pl gmail/facebook elhagyása). De azért mindenképpen akarnak csinálni valamit. Ha mást nem, akkor annak ekvivalensét, hogy nem lehet folyadékot repülőgépen szállítani. Így hetente jelenik meg egy-egy webes, de "katonai szintű" kripto-chat alkalmazás. Vagy valaki előbújik valami lyukból, aki megmenti az emailt. Önjelölt szakértők hada kripto-partikat szervez 5-10 évvel ezelőtti ellenség modellek ellen készült technológiákat tukmálva ismerőseiknek. Ez utóbbiaknak szól leginkább a következő poszt, hogy ez nem partizás, ez nagyon felelősségteljes és esetenként veszélyes móka:

  1. a biztonság egy tudatos, gazdasági és többrétegű folyamat,
  2. bizonyos ellenfelek jól motiváltak, és több kapacitással rendelkeznek,
  3. védekezőként csak veszíthetsz, erre fel kell készülni, minimalizálni kell a támadás értékét és felületét,
  4. ismerni kell az ellenfeleket és kapacitásaikat, ennek megfelelően kell védekezni,
  5. környezeti/közvetett támadások,
  6. nem-technikai vetületek,
  7. sok mitigácíós stratégia nagyon macerás a védekezőnek.

Tudatosság, gazdaságosság és többrétegűség: minél jobban ismered és kontrollálod az eszközöd, annál jobban felismered, hogy mikor csinál olyat, amihez nem járultál hozzá. Ha nem értesz hozzá ki vagy neki szolgáltatva. Tudatosan kell a biztonságot folyamatosan értékelni és megfelelő mitigációs stratégiákat alkalmazni. Ez egy gazdasági folyamat is, 1. egyrészt ha nem célzott támadásról van szó, akkor a támadások nagy része kivédhető, ha a te védekezésed marginálisan drágább megtörni, mint az átlagét. 2. A nem célzott támadó is gazdaságos, minimalizálja a költségeket és maximalizálja a hasznot. 2014-ben a PC-s világban még mindig a Windows/Adobe felhasználók a leggazdaságosabb célcsoport. Van olyan becslés [citation welcome], hogy az Apple felhasználok kb. 18%-os piaci részesedéskor válnak hasonlóan zsíros falattá. Innen fakad, hogy a diverzifikálás egy hatékony védekezés, ha egyedi a rendszerünk (és ez sajnos drága), a támadónak is egyedi - azaz drága - támadást kell kifejlesztenie. 3. túlköltekezni sem érdemes, klasszik példa a 30e forintos bicikli lakat, 10e forintos biciklin. A többrétegűség azt jelenti, a mitigációs stratégiákat rétegszerűen alkalmazzuk, ha az egyik védelem besül, a következő újabb akadályt jelent, és fura mód itt már támadási költség növelő hatása lehet a security-by-obscurity-nak, de csak valós mélységi védelemmel kombinálva.

Kapacitások: mivel ez egy gazdasági rendszer is, ezért a védekezésre befektetett energia és a támadásra költött energia egy bizonyos szint után a biztos vereséget jelenti egy megfelelően erőforrás-gazdag ellenféllel szemben. Másképp: egy megfelelően elszánt és "gazdag" támadó ellen nincs védekezés.

Csak veszíthetsz: támadóként van egy sikermetrika, sikerült elérni a célt. Védekezőként, ha jól csinálod a legjobb, amit csinálhatsz, hogy nem veszítesz. Akkor sem lehetsz biztos, hogy ez nem azért van mert nem vetted észre a támadást. Amatőrként profikkal szemben állni, azt valószínűsíti hogy a védelem elbukik (ld. pl. sony). Emiatt minimalizálni kell a várható veszteséget és ugyanígy a nyújtott támadófelületet is. Az egyik leghatékonyabb módja az adatspórolás, azaz minimalizálod az adatok mennyiségét. pl. nem osztasz meg magadról semmit és rendszeresen törlöd a fél évnél régebbi dolgokat a rendszereidről.

Ellenfél ismerete: 1. tudni kell kik az ellenfelek, 2. mik a képességeik, 3. milyen erőforrásokkal rendelkeznek? 4. mik a lehetséges mitigációs stratégiák Nagyon leegyszerűsített ellenfél osztályok a következők: 4c adversary model: citizen, criminal, corporation, country. Ahol a citizen az átlagos felhasználó. A criminal nyilván mindenfele törvényen kívül szervezett és kevésbe szervezett elem. A corporation az lehet akár google/facebook, de pl akár lehet a munkáltatód is, ha pl bluecoat-ozik - talán ez az egyik leggumibb kategória. És az utolsó osztály az állami szintű ellenfél, ez elsősorban más államoknak van, de ugye vannak pl. mindenféle ellenzéki és kisebbségeket képviselő aktivisták, újságírók, whistleblowerek, akik környezete esetenként kiérdemelnek mindenféle figyelmet.

Környezeti/közvetett támadások: egy támadó számára nem csak a célszemély lehet közvetlen célpontja, hanem annak a környezete is. Így az ellenfél ismerete nem csak a saját ellenfél modellre kell alkalmazni, hanem végig kell gondolni például, hogy a kommunikációs partnereim közül van-e olyan akinek az "ellenfél-modellje" esetleg magasabb szintű, mint az enyém, erről az ellenfél osztályról milyen ismereteim vannak? Látható hogy célszemély kiterjedt közösségi hálója ugyanúgy (ld facebook fényképes taggelés, nsa selfie adatbázis) támadási felület mint bármi más, ami a célpont környezetéhez tartozik. A tudatos támadó a leggyengébb láncszemet igyekszik támadni. És ha ez valami ismerős, aki kevésbé tudatosan védekezik, akkor azt.

Egyéb vetületek: sajnos? a támadások és a mitigációs stratégiák nem mindig technikaik. Gazdasági, oktatási, társadalmi és jogi vetületek is vannak. Sajnos sokan akik leginkább tehetnének valamit, azok ellenérdekeltek. Például jogi szinten várható hogy, mind a hálósemlegességi, mind az adatvédelmi szabályozást el fogják szabotálni az Európa Tanácsban. A lehallgatással kapcsolatban úgy néz ki nem lesz komoly reakció. Az adatmegőrzési irányelv Európai bíróság eltörölte, de lépni még nem léptek a tagállamok. Ezen kívül van a szűkebb jogi vetület - nekünk a törvényen belül kell mozognunk, ez nem minden ellenfélre igaz. És azok akikre ez igaz és lehetőségük van rá folyamatosan tágítják, ami jogszabály-módosításokkal vagy bírósági döntésekkel való legitimációja bizonyos új támadásoknak (ld alkotmánybíróság és a kommentek). Néhány szabályzási javaslat, ami sokat dobna jelenlegi (globális, nem magyar-specifikus) helyzeten:

  • általános jogi sérthetetlenség mindenki számára, aki biztonsági lyukakat tár fel, a saját infrastruktúrák hackolásának ösztönzése - nem üldözése, oktatás,
  • gyártói felelősség nem-szabad szoftverek esetén (azok gyártó nélkül is javíthatók),
  • komoly pénzbeli kártérítések személyes adatokkal való visszaélés esetén,
  • minden incidensre nyilvános értesítés és teljes jelentés az incidensről,
  • adatvédelmi, hálózatsemlegességi szabályozások bevezetése, adatcsere és adatgyűjtő egyezmények és hasonlók beszüntetése,
  • digitális hozadék egy jelentős részét "nem-engedélyköteles" frekvenciaként felszabadítani.

A védekezés macerás: sajnos sok mitigációs stratégia nagyon körülményes a védekezőnek is, így vagy ritkán hajt végre ehhez kapcsolódó tevékenységet, vagy teljesen elhagyja az alkalmazását. Olyan ez mint a fogmosás, nem azért csináljuk, mert úgy élvezzük, hanem azért mert ennek a tevékenységnek a hozadéka nem csak egészségügyi előnyei vannak, hanem a fajfenntartás esélyeit is javítja. Lehet macerás, de vannak dolgok, amiket érdemes alaposan végigcsinálni. Az alaposság fontos, mivel az ördög az implementációs részletekben rejlik (ld openssl pl), és így ez sajnos általában nem triviális. Főleg, ha a rendelkezésre álló eszközök ilyen-olyan okokból még akadályozzák is a triviális használatot.

Egy védekezőnek nyilván az lenne a jó, ha ez az egész pofon egyszerű lenne. A támadó erre a legritkább esetben van tekintettel.

A'tuin Terry Pratchett Discworld világában annak a teknős neve, aki a saját hátán hordja világot, és alatta is végig teknősök vannak ("turtles, all the way down"). Ez jó analógia, arra hogy minden biztosított réteg alatt van meg egy nem-biztosított: a'tuin -> intézményi -> fizikai -> pszichológiai -> böngésző -> OS -> HW -> hálózat -> hálózati OS -> hálózati hw -> tempest sugárzások -> egyéb side-channel -> a'tuin.

A böngészőkre külön kitérek, mert azt mostanában sokan szeretik használni mindenféle snakeoil security megoldás terjesztésére. Ezek a böngészők már rég nem azt szolgálják, hogy böngésszünk weboldalakat. Ezek arra vannak, hogy reklámokat fogyasszunk, online szolgáltatásokat vegyünk. Kiváló példa firefox, akik reklámokat akartak a kezdőlapra, tabokat fényesítettek Snowden óta és DRM-et építenek be a böngészőbe. Ezzel el is jutottunk 7 alapvető ökölszabályhoz, amivel a snakeoil security megoldások 99%-át ki tudjuk szűrni, a legújabb hype snakeoil ha:

  1. nem szabad szoftver
  2. böngészőben fut
  3. telefonon fut
  4. nem a felhasználó generálja és kizárólagosan birtokolja a titkosításhoz szükséges titkos kulcsokat
  5. nem tartalmaz megalapozott threat modellt.
  6. cyber/kiber, katonai, stratégiai, vagy egyéb marketing-szuperlatívuszok használata.
  7. figyelmen kivül hagyja a végpontok biztonságának szomorú valóságát.

És akkor befejezésül és gondolatébresztőnek három "költői" kérdés:

  1. milyen gyakran frissíted a rendszereid?
  2. az emailes jelszavad más weboldalon is használod jelszóként?
  3. hány ismerősödnek van gmailes címe, vagy tartod vele facebookon vagy skype-on a kapcsolatot?

Javaslom minden kedves érdeklődőnek bemelegítésnek a https://myshadow.org -ot végigcsinálni és végiggondolni. Aztán jöhet a'tuin. ;)

permalink


next posts >
< prev post

CC BY-SA RSS Export
Proudly powered by Utterson