Mięśnie nie używane zanikają. Żeby więc rozruszać dawno nie używane mięśnie odpowiedzialne za pisanie, zarówno te w dłoniach jak i te w głowie temat lekko techniczny, łatwy, przyjemny. Przy okazji bardzo praktyczny i pożyteczny.

Dzisiaj będzie o osobistym OpSec (Operational Security) w kwestii dostępu. Było mądrze to teraz będzie po polsku – o tym, jak zabezpieczyć rzeczy swoje cyfrowe od strony dostępu do kont.

Skąd temat? Jeden z naszych pracowników w Stanach (naszych == Predica) padł ofiarą SIM Swap. Najprościej mówiąc, ktoś “wyprodukował” duplikat jego karty telefonicznej i użył go do niecnych celów.

Zanim zaczniecie “Ech ci Amerykanie” dwie szybkie myśli:

  • Tak, może jest tam łatwiej to zrobić niż u nas ale to wynika z tego, że ich infrastruktura i procesy dookoła telco mają dużo więcej lat niż nasze, co oznacza też, że jest inercja w zmianach, które to ułatwiają
  • U nas też to się dzieje, wystarczy, że sprawdzicie tak “sim swap” na Niebezpieczniku (https://niebezpiecznik.pl/tag/sim-swap-fraud/)

Całość zdarzenia spowodowała, że jeden z przyjaciół po tamtej stronie Atlantyku zapytał się: “No dobrze, to w takim razie jak się zabezpieczyć przed tym, albo jak Ty zabezpieczasz swoje konta?”

Z drugiej strony, zaraz po tym incydencie wydarzył się inny – dużo bardziej medialny. Konto CEO Twittera na Twitterze zostało “zhackowane” i napisane na nim zostało kilka mniej ciekawych wpisów.

Z analizy potem wyszło, że nie tyle samo konto zostało zhackowane, a właśnie dzięki podszyciu się pod numer telefonu CEO możliwe było wysyłanie wiadomości, przez dawno wprowadzone i zapewne trochę zapomniane API.

Wniosek z tego taki drodzy developerzy i architekci, że warto raz na jakiś czas robić przegląd architektury i modelowanie zagrożeń dla swojej platformy. I to nie tylko w momencie jej tworzenia. Świat się bowiem zmienia i niebezpieczny jest.

Odpowiadając więc na kolejne pytanie z cyklu “Jak żyć?” piszemy … ale zanim o tym.

Dlaczego warto o tym pomyśleć?

To mnie nie dotyczy.

Tak może pomyśleć część z Was. W końcu nic ważnego w sieci nie trzymam, nie mam dużych kwot na kontach, nie prowadzę działalności w sieci.

Nikomu nie będzie się chciało starać o dostanie się do moich kont.

Można by się z tym zgodzić. Ale tylko można by.

Po pierwsze, nawet jak nie prowadzisz działalności w sieci, to jeżeli jesteś w niej obecny(a), to jednak posiadasz zasoby, które w jakiś sposób tworzą Twój profil. Konta społecznościowe, Twoje miejsca w sieci, miejsca gdzie się wypowiadasz.

Może nie jest to dla Ciebie ważne I ma mały zasięg. Dla innych ma to już większe znaczenie – wiąże się z prezentowanym na zewnątrz profilem zawodowym, zdobywaniem zleceń i podobną działalnością.

Tak czy inaczej, że naruszenie tych zasobów, będzie w jakimś stopni negatywnie wpływało na Twój wizerunek.

Niby nic, ale nawet jeżeli nie prowadzicie żadnej działalności on-line, to zapewne nie chcielibyście się tłumaczyć znajomym, z serii idiotycznych wpisów lub zdjęć na Waszych profilach.

Po drugie, to trochę tak jak ze szczepionkami (i nie wchodźmy tutaj w tą dyskusję). Jeżeli zabezpieczysz się Ty, pomaga to też innym.

Dlaczego?

W całkiem teoretycznym (OK, całkiem praktycznym) scenariuszu, celem czyjegoś działania może być inna osoba. Sposobem na dotarcie do niej może być Twój profil na FB / e-mail itp.

Ktoś będzie podszywał się pod Ciebie przez Twoje przejęte konto, aby przesłać coś Twoim znajomym, komunikować się z nimi w Twoim imieniu, wykorzystując jedną z ważnych rzeczy w sieci. Zaufanie!

Jeżeli Ty zadbasz o swoje zasoby, to tym samym utrudniasz potencjalne działania skierowane przeciwko innym

Po trzecie, nie musisz być celem. To może być po prostu wynik masowej akcji, która trafiła też na Ciebie.

Jeżeli z jakiegoś powodu będziesz obiektem celowego działania, sprawy wchodzą na trochę wyższy poziom. Podstawowa higiena zawsze pomaga, ale trzeba założyć, że są gracze, z większymi zasobami i możliwościami, pływający w sieci.

Jeżeli masz podstawy podejrzewać, że może to być Twój problem, to zakładam, że wiesz jak sobie z nim poradzić (aczkolwiek niektóre rozmowy po konferencjach pokazywały, że nie zawsze tak jest).

Jeżeli działanie prowadzi ktoś bez większej wiedzy I zasobów, kto próbuje Ci zaszkodzić z jakiegoś powodu, to podstawowa higiena, o której piszę będzie wystarczająca.

W większości jednak to co Wam zagraża w chwili obecnej to masowe akcje poprzez phishing / rozsyłanie treści, infekowanie stron. Siane szeroko po to, żeby zbierać dostęp do kont, potem próbować je wykorzystać.

Przed tym można się zabezpieczyć stosunkowo łatwo.

 

Jak ja to robię?

Po wstępie teoretycznym, część praktyczna, czyli odpowiedź na pytanie “Dlaczego masz dwa klucze?”.

Jak wygląda moja podstawowa higiena w temacie ochrony dostępu do moich zasobów cyfrowych, w kontekście ochrony dostępu na poziomie logowania / poświadczeń.

Password manager FTW!

Dla każdego konta, czy to trywialne założone tylko na chwilę na zakupy czy też ważne jak konto e-mail (o tym dlaczego jest ważne to za chwilę) hasło generuję z password managera.

Prywatnie używam 1Password (polecam!)

Żadnych haseł wpisywanych ręcznie, powtarzalnych i na chwilę. Jeżeli to jest jednorazowa interakcja i strona na to pozwala, wykonuję operację bez rejestrowania (na przykład zakupy).

Domyślnie długość hasła mam ustawioną na 24-32 znaki (niektóre usług nie przyjmują 32). Długie? Tak. Ale prawie nigdy nie muszę ich wpisywać ręcznie.

Dla tych co się zastanawiają. Tak, synchronizuję hasła przez 1Password w chmurze.

MFA FTW

Jeżeli usługa tylko na to pozwala, włączam dla niej MFA. Jeżeli nie pozwala, nie trzymam tam nic ważnego.

Dla usług ważnych, czyli takich, które dają duży dostęp do moich zasobów lub pozwalają na wykonywanie operacji w moim imieniu, nie ma wyjątku. MFA musi być włączone.

Jakie zasoby określam jako ważne? Kilka przykładów:

  • Konta e-mail
  • Usługi zakupowe takie jak Amazon itp
  • Platformy (iOS, Amazon, Google, Microsoft)
  • Konta social media (FB, Twitter, LIN)

Każde z nich, o ile tylko pozwala na to sama usługa, ma włączony drugi składnik uwierzytelnienia. Przeważnie zajmuje to kilka minut i wymaga zajrzenia do ustawień konta.

Jeżeli tego nie robisz, zadbaj o punkt #1 powyżej, w szczególności w kwestii długości hasła i jego unikalności.

Nie jesteś tak sprytny(a) jak Ci się wydaje i Twoje hasła mogą być podatne na ataki siłowe, czyli po prostu sprawdzenie długiej listy haseł dostępnych w sieci z Twoim adresem e-mail.

MFA tak, ale jakie?

MFA niejedno ma imię. Może być SMS, może być aplikacja a może być I klucz sprzętowy.

Dla mnie kolejność jest taka:

  • Klucz sprzętowy
  • Aplikacja mobilna
  • SMS (jeżeli nie ma innej opcji)

Klucze mam dwa. Jeden zawsze przy sobie, drugi w bezpiecznym miejscu. W ramach usługi zawsze rejestruję oba, na wypadek, gdyby jeden z nich mi zginął, żeby nie zostać odciętym od kont.

Jeżeli to są konta z kategorii ważne (e-mail, platformy social media, platformy związane ze sprzętem) – SMS jest wyłączany obowiązkowo. Jeżeli chcę mieć opcję zapasową, to korzystam z aplikacji mobilnej.

Jeżeli jest to konto krytyczne, i dostawca na to pozwala to zalecam użycie tylko kluczy bezpieczeństwa i wyłączenie też aplikacji mobilnej jako formy uwierzytelnienia.

Tutaj przydają się właśnie te dwa klucze.

Podsumowując: PODSTAWOWE  ZASADY HIGIENY jeżeli chodzi o zabezpieczenie dostępu w sieci:

  1. Tworzymy hasła i przechowujemy je w password managera (1Password)
  2. Zawsze korzystamy z MFA jeżeli tylko usługa na to pozwala. Jeżeli nie pozwala – nie trzymajcie tam nic ważnego.
  3. Jeżeli to jest konto ważne, to dopuszczalne formy MFA to klucz bezpieczeństwa (ewentualnie aplikacja na telefon z opcją push/kodami) – (u mnie Microsoft authenticator)
  4. W przypadku kont krytycznych dwa klucze bezpieczeństwa i wyłączona opcja aplikacji mobilnej. (u mnie klucze – Yubikey)

 

[UAKTUALNIENIE – 2019.10.23]

Dobre wprowadzenie ze szczegółami jak się zabezpieczyć, po co i jak używać kluczy bezpieczeństwa – wpadło z dyskusji pod wpisem na Facebook:

==> Getting started with security keys <==

 

Cyfrowy kill chain! Co to jest konto krytyczne

Dlaczego niektóre konta są krytyczne? Niekoniecznie dlatego, że dają dostęp do moich środków zgromadzonych w banku lub innego konta, które potocznie wiążemy z “wartością”.

Pomyślcie o tym, jako o cyfrowym “kill chain“: Co ktoś musiałby przejąć, żeby zdobyć Twoje cyfrowe życie lub dostęp do naprawdę ważnych rzeczy?

Przeważnie droga prowadzi przez więcej niż jedną usługę.

Prosty przykład: jeżeli przejmę konto e-mail to mogę podszyć się pod właściciela konta w innej usłudze i wywołąć reset hasła.

  • Link do resetu hasła przychodzi na e-mail – potwierdzony jest czasami też kodem na SMS / app (ale rzadko).
  • Żeby przejąć konto e-mail, przejmuję czyjś numer telefony (SIM Swap) lub prościej, jedno z kont na social media I patrzę, czy nie ma w nim na przykład hasła do tego konta.

W takim scenariuszy adres e-mail staje się krytyczny.

Nikt z nas (no OK, mała część z nas zapewne tak) nie utrzymuje oddzielnych adresów e-mail dla każdej usługi. Mamy jeden, dwa … może pięć.

Przez powiązania pomiędzy usługami, niektóre z nich stają się naprawdę ważne. To na nich kończy się łańcuch przejęcia dostępu do wielu z naszych usług.

To samo dotyczy kont do takich usług jak Gmail, Apple ID czy Microsoft Account. Ponieważ kontrolują one dostęp do całego ekosystemu usług, stają się wyjątkowo wrażliwe na potencjalne przejęcie.

Pomyśl czy wiesz w tej chwili, które z Twoich zasobów są krytyczne w Twoim cyfrowym kill chain?

Może wszędzie używasz do logowania się konta Google? Może używasz konta Facebook do logowania się do usług, a konto Facebook masz powiązane z konkretnym e-mail, który używałeś od dawna i masz tam słabe hasło?

Krytyczne zasoby

Tematem wartym opisania w osobnym wpisie w zasadzie jest to, co stało się w chwili obecnej cennymi zasobami w naszym świecie cyfrowym.

Konto w Banku? To proste i przemawia do wyobraźni.

Pomyśl jednak, że tworzysz osobę w sieci (jako wizerunek). Masz bloga, kanał YT, tworzysz treści (obowiązkowo wartościowe), publikujesz książki, kursy on-line, masz kanał Instagram lub swój starannie utrzymywany profil developera na GitHub.

Co by się stało, gdyby ktoś to wszystko przejął? Ile możesz stracić na wizerunku, gdy to zniknie lub wprost w przychodach ze swoich usług.

Niektóre formy działania w sieci są wrażliwe na tego typu straty.

Prosty przykład: Co by się stało gdyby ten blog zniknął vs przejęta została infrastruktura i zasoby Michała Szafrańskiego z jakoszczedzacpieniadze.pl?

Zniknięcie onyszko.com – prawdopodobnie nikt tego nie zauważy. Nie ma to wpływu na moje przychody, mój wizerunek w sieci itp.

Zniknięcie lub przejęcie infrastruktury Michała – od strat wizerunkowych, przez finansowe dla Michała (na przykład utracone wpływy z działalności prowadzonej przez bloga) do potencjalnych strat dla jego użytkowników (duża baza użytkowników, możliwość podłożenia im czegoś do przeglądarki, wpięcie się w proces płatności przy zakupie książki itp.).

Michał zapewne dobrze strzeże dostępu do swoich cyfrowych zasobów.

ODRÓB swoją prace domową!

Przemyśl, jakie są takie ważne zasoby dla Ciebie i czy wiesz, jak wygląda twój kill chain dla tych usług. Zajmie Ci to pewnie mniej niż godzinę, a pozwoli zabezpieczyć się przed nieprzyjemną niespodzianką.

W razie pytań, komentarze są otwarte.

About Author

Leave A Reply

Share This

Share This

Share this post with your friends!