Ранее мы разобрались с тем, что нужно защищать и от чего.

Это — два шага из пятиступенчатой системы планирования безопасности в OPSEC. Сегодня мы переходим к третьему — анализу уязвимостей, — шагу, отвечающему на вопрос «чем именно опасны эти угрозы?»

1. Что защищаем? 2. Кто представляет угрозу? 3. Как потенциально могут атаковать?

Уязвимость — конкретная возможность противника (угрозы) выявить нашу критическую информацию для её эксплуатации. Если мы защищаем смартфон с клиентом криптобиржи от людей с потенциальным физическим доступом к нему, то здесь мы оцениваем уязвимости нашей операции (трейдинга) перед людьми, окружающими нас в публичной или приватной обстановке. Например:

  1. Самый ли безопасный способ трейдинга — на смартфоне?
  2. Позволяет ли то, как я держу смартфон, видеть что я гоняю крипту в клиенте биржи?
  3. Если бы я сидел рядом с собой в метро/ресторане/офисе/спортзале/гостях, что бы я видел?
  4. Много ли людей знают о моей деятельности и со многими ли они поделились этим?

Отвечая на подобные вопросы мы выделим количество уязвимостей (если угроз нет — поздравляю, минус 1 головная боль). Ответы можно давать быстро, но чем более сложна угроза, тем тяжелее будут и ответы. Именем Парето, как обычно, отсеим маловероятные и непрактичные уязвимости:

  1. Технически современные смартфоны на стоковой ОС удовлетворительно защищены от атак с физическим доступом — непрактично
  2. Да, угол обзора у смартфонов достаточно хороший — уязвимость
  3. Следуя из п.2 — большинство действий, в т.ч. вход и балансы на счетах — уязвимость
  4. Допустим, человек — с большим опытом торговли. Маловероятно, что он скрывает свой род деятельности. Настолько же, что люди не сплетничают — уязвимость

Здесь всё просто: у нас 3 уязвимости с 2 векторами атак: т.н. shoulder surfing (подсматривание) и излишняя разговорчивость (в американской поговорке она «топит» корабли). Идём к технически более сложному 4-му примеру с арендованным для криптомайнинга и разворачивания VPN сервером:

  1. Самый ли безопасный способ майнинга и поднятия VPN — аренда сервера? Майнинг выполняется локально, т.е. защищен от сторонних наблюдателей (массово сканирующих и брутфорсящих ботов), как и VPN: для цензора — не упомянутой ранее угрозы для VPN — нет никакой разницы на VPS он поднят или на малинке у друга зарубежом — непрактично.

  2. Выдаёт ли мой способ подключения и использования VPS наличие майнера и VPN на нём наблюдателям? Майнинг происходит локально на VPS, поэтому нет, но большинство протоколов VPN уязвимы для DPI и могут быть выявлены цензором — уязвимость.

  3. Если бы я был этим наблюдателем, что бы я мог видеть? Любопытный «сосед» может видеть практически то же, что провайдер, но в чистом виде чувствительные данные никто уже не передаёт, а точка подключения (IP и порт) ценна для цензора — уязвимость.

  4. Действительно ли этот сервер мониторится только хостером? Никак не выяснить — уязвимость.

  5. Использует ли хостер защиту подключения и данных сервера от третьих сторон? Т.к. здесь VPS, а не web-hosting, это больше зависит от юзера. SSH по умолчанию использует сильное шифрование, но стандартные настройки известны и пароль к руту часто брутится ботами, так что это — уязвимость.

Здесь 2 уязвимости: известные цензору сигнатуры протоколов VPN и сервисов на VPS (в т.ч. VPN) и стандартные настройки SSH.

ИМХО:  Не скупитесь на вопросы на этом шаге: они все равно будут оценены на следующем шаге, так же, как и стоимость ваших данных.

Свежее