OPSEC 101 — Анализ уязвимостей
Ранее мы разобрались с тем, что нужно защищать и от чего.
Это — два шага из пятиступенчатой системы планирования безопасности в OPSEC. Сегодня мы переходим к третьему — анализу уязвимостей, — шагу, отвечающему на вопрос «чем именно опасны эти угрозы?»
1. Что защищаем? 2. Кто представляет угрозу? 3. Как потенциально могут атаковать?
Уязвимость — конкретная возможность противника (угрозы) выявить нашу критическую информацию для её эксплуатации. Если мы защищаем смартфон с клиентом криптобиржи от людей с потенциальным физическим доступом к нему, то здесь мы оцениваем уязвимости нашей операции (трейдинга) перед людьми, окружающими нас в публичной или приватной обстановке. Например:
- Самый ли безопасный способ трейдинга — на смартфоне?
- Позволяет ли то, как я держу смартфон, видеть что я гоняю крипту в клиенте биржи?
- Если бы я сидел рядом с собой в метро/ресторане/офисе/спортзале/гостях, что бы я видел?
- Много ли людей знают о моей деятельности и со многими ли они поделились этим?
Отвечая на подобные вопросы мы выделим количество уязвимостей (если угроз нет — поздравляю, минус 1 головная боль). Ответы можно давать быстро, но чем более сложна угроза, тем тяжелее будут и ответы. Именем Парето, как обычно, отсеим маловероятные и непрактичные уязвимости:
- Технически современные смартфоны на стоковой ОС удовлетворительно защищены от атак с физическим доступом — непрактично
- Да, угол обзора у смартфонов достаточно хороший — уязвимость
- Следуя из п.2 — большинство действий, в т.ч. вход и балансы на счетах — уязвимость
- Допустим, человек — с большим опытом торговли. Маловероятно, что он скрывает свой род деятельности. Настолько же, что люди не сплетничают — уязвимость
Здесь всё просто: у нас 3 уязвимости с 2 векторами атак: т.н. shoulder surfing (подсматривание) и излишняя разговорчивость (в американской поговорке она «топит» корабли). Идём к технически более сложному 4-му примеру с арендованным для криптомайнинга и разворачивания VPN сервером:
Самый ли безопасный способ майнинга и поднятия VPN — аренда сервера? Майнинг выполняется локально, т.е. защищен от сторонних наблюдателей (массово сканирующих и брутфорсящих ботов), как и VPN: для цензора — не упомянутой ранее угрозы для VPN — нет никакой разницы на VPS он поднят или на малинке у друга зарубежом — непрактично.
Выдаёт ли мой способ подключения и использования VPS наличие майнера и VPN на нём наблюдателям? Майнинг происходит локально на VPS, поэтому нет, но большинство протоколов VPN уязвимы для DPI и могут быть выявлены цензором — уязвимость.
Если бы я был этим наблюдателем, что бы я мог видеть? Любопытный «сосед» может видеть практически то же, что провайдер, но в чистом виде чувствительные данные никто уже не передаёт, а точка подключения (IP и порт) ценна для цензора — уязвимость.
Действительно ли этот сервер мониторится только хостером? Никак не выяснить — уязвимость.
Использует ли хостер защиту подключения и данных сервера от третьих сторон? Т.к. здесь VPS, а не web-hosting, это больше зависит от юзера. SSH по умолчанию использует сильное шифрование, но стандартные настройки известны и пароль к руту часто брутится ботами, так что это — уязвимость.
Здесь 2 уязвимости: известные цензору сигнатуры протоколов VPN и сервисов на VPS (в т.ч. VPN) и стандартные настройки SSH.
ИМХО: Не скупитесь на вопросы на этом шаге: они все равно будут оценены на следующем шаге, так же, как и стоимость ваших данных.
По теме
Свежее
- **Veilid — P2P-фреймворк от хактивистов** **• Хештеги: ****#софт**** ******** ****#сети** **• Ссылка:** <span class="spoiler">veilid.com</span> Tor и I2P— для анонимного серфинга и построения сетей, но что, если нужен инструмент для создания приложений, где каждый клиент — полноценный узел, без центральных серверов и выходных-нод? Такой инструмент теперь есть. Veilid — открытый фреймворк для создания децентрализованных приложений с фокусом на приватность. Представлен на DEF CON 31 в августе 2023 года группой Cult of the Dead Cow (cDc) — старейшим хакерским коллективом США, основанным в 1984 году. Именно cDc придумали термин «hacktivism» и участвовали в разработке Tor. Архитектура Veilid представляет собой полностью децентрализованную DHT-сеть, очень похожую на Kademlia. В отличие от Tor, здесь нет выходных нод — каждый узел равноправен. Чтобы следить за пользователями, нужно мониторить всю сеть целиком, а не отдельные точки. Криптография современная: XChaCha20-Poly1305 для шифрования, Ed25519 для подписей, x25519 для обмена ключами, BLAKE3 для хеширования, Argon2 для паролей. Все соединения — end-to-end зашифрованы и подписаны. Прямо-таки база-база — стандартный, но вполне себе грамотный подход. В качестве демонстрации возможностей разработчики выпустили VeilidChat — простой 1-to-1 мессенджер. Пока это концепт: только текст, нет групп, звонков и push-уведомлений. Соответственно, ожидания не стоит завышать — это витрина технологии, а не готовый продукт. Формального аудита безопасности пока не проводилось. 📌 **Детали** ~ Исходный код на Rust, Dart, Python ~ лицензия Mozilla Public License 2.0 ~ SDK для Flutter, Python, Rust ~ работает на Linux, macOS, Windows, Android, iOS, WASM ~ существует как некоммерческий проект Veilid Foundation. **• ИМХО:** Сам по себе Veilid пока не даёт рядовому пользователю ничего — VeilidChat сырой, других приложений на базе протокола ещё нет. Но за проектом стоит следить: если на Veilid начнут появляться мессенджеры, файлообменники или соцсети — а на это требуется время — это будет интересная альтернатива существующим решениям. Будем наблюдать, а если что-то дельное и появится — оно обязательно появится не только на канале, но и в нашем агрегаторе ссылок **[OLinks](https://olks.io/)**. *Автор: Миг* **[ > Обменник без AML/KYC ](http://t.me/bit_bridge_bot?start=r_bzkv0q2emy)** **[ > Наш агрегатор ссылок ](https://olks.io/)** **[OLinks Review](https://t.me/olinksreview_bot)**** — обзоры софта и сервисов для дарка**
- **Отменяем подписку на все стриминги** — в сети нашли, где посмотреть ЛЮБОЙ сериал, фильм и передачу, не заплатив ни копейки. Забираем нужное: • Платный Disney — бесплатный [Netmirror](https://netmirror.gg/1/en) • Платный HBO Max — бесплатный [Moviebox ](https://moviebox.ph/) • Платный Apple — бесплатный [Streamly ](https://streamlytv.com/) • Платный Netflix — бесплатный [Flixio](https://docs.elfhosted.com/app/flixio/) • Платный Prime Video — бесплатный [CineHub](https://cinehub-vf.org/) • Платный YouTube Premium — бесплатный [VidPlus](https://vidplus.to/) или [Brave](https://brave.com/ru/) • Платный Apple Music — бесплатный [Esound ](https://esound.app/) • Платный Spotify — бесплатный [Lyra](https://play.google.com/store/apps/details?id=com.musicapp.lyra&hl=ru) • Платный Hulu — бесплатный [ShowZone](https://showzone.gg/) • Платный Paramount + — бесплатный [EpicFlix ](https://epicflix.com/) • Платный Crunchyroll — бесплатный [jutsu](https://jut.su/plus/) • Платный Starz — бесплатный [Kinorium](https://ru.kinorium.com/) • Платный Tubi — бесплатный [Plex](https://watch.plex.tv/) Сохраняем #сайт #подборка [🛜 ](http://t.me/nishebot_nishebot)[Крутой VPN](http://t.me/VPNo4ka_Robot) | [Смс 💣 бомбер](http://t.me/Bomb_berry_bot) | [Telegram Stars со скидкой](http://t.me/rock_stars_bot) 🌟
- Невил Маскелайн — первый хакер в истории беспровода