Всички да знаят, че сте богати, но пък имате суперсигурна алармена система, или пък никой в квартала да не подозира кои сте, какви сте, кога сте у дома и какъв е жизненият ви стандарт. Кой от двата варианта дава повече сигурност?
Истински богатите хора често се разделят именно в отговора на тази дилема. Когато обаче нещата са изчистени от човешката суета, правилното решение изглежда доста по-очевидно.
Особено онлайн. Ясно е, че всеки дребен щрих, всяко малко допълнително, ненужно изпуснато знание може да обърне каруцата.
Да ме има или да ме няма
Давам ви един съвсем прост пример от практиката. Работех по проект, изискващ верификация – едно от най-стандартните и често случващи се решения онлайн. Надали някога би ми хрумнало, ако не бяха ме насочили специалистите конкретно в сигурността, че не би трябвало съобщението, което потребителите с регистрация получават при сгрешена парола, да бъде същото като това, ако изобщо такъв потребител не съществува.
Защото едно е, ако зложелателят се опита да влезе като bai_blagoi@abv.bg и получи грешка „Неправилна парола“, а друго, ако съобщението гласи „Няма такъв регистриран потребител“. Със сигурност е от полза за сигурността, макар и като мъничък елемент, ако не всеки знае имате ли регистрация на даден сайт.
Кой се крие в обекта?
Както добре знаем обаче, много често наистина дребните камъчета създават големите проблеми.
Ето още един пример от практиката. В определени моменти, тъй като се променя контекстът на автентикирания в системата потребител, се налага да се обръщаме към бекенда, правейки заявка за моментните данни. Това, което ни трябваше, беше единствено имейлът на актуалния към момента потребител, но получавахме огромен обект с всякакви данни…
Е, на кого му пука, в наше време не е никакъв проблем за технологиите да получаваш доста големи обекти като отговор на заявките си, скоростите на връзката с интернет наистина са главоломни, както и възможностите на компютрите, призвани да управляват тази връзка.
А всъщност просто никой не се беше досетил, че не е много добра идея, получавайки достъп до имейла на потребителя, този, който прави заявката, вече да знае и адски много други „неща“ за него.
Ами ако там имаше например някакви данни за банковата му сметка? Нещо друго особено рисково, или пък просто защитено от GDPR?
More is less
„Сигурност чрез неизвестност“ или Security Through Obscurity е едно от най-тачените решения в областта на безопасността онлайн в зората на интернет – през последните години на миналия век и първите на настоящия. Тогава се е смятало за достатъчно условие да се чувстваш спокоен онлайн, да криеш максимално добре всякаква информация, която е възможно.
Много скоро стана ясно, че тази система не работи, защото зложелателите онлайн имат твърде широк набор от възможности да навредят. Толкова са много, че за всяка от тях вече почти година пишем в блога на ZETTAHOST.bg. И можем да продължим да го правим още много и много години, без да се повтаряме.
Така идеята за „сигурност чрез неизвестност“ отдавна отпадна от основния списък с важни идеи, обединени от темата „киберсигурност“. А не би трябвало, защото тя може да не е първи и основен приоритет, но си е доста важна като начин на мислене. Особено от страна на програмистите, които е добре винаги да имат едно наум дали пък не „отпускат“ повече информация на потребителя, отколкото би трябвало.
Кодиран код
В крайна сметка, най-малкото, не губим кой знае какво, ако имаме в главата си този принцип. Може само да ни помогне.
И така, от бекенда на всеки проект, особено ако по някакъв начин е свързан с по-рискови области като плащания или банкиране, трябва да излиза само минималната, задължителната и наистина използваема информация, която се съхранява. Ако нещо не е нужно, по-добре е да се спести. Принципът е прост, чак елементарен, и все пак е много лесно да го пропуснем и забравим. И да се получат уж дребни грешки, като тези от практиката, които споменахме преди няколко параграфа. Които могат да струват скъпо.
Това може да е малка стъпка на фона на всичко останало, което трябва да спазваме, за да сме спокойни от гледна точка на кибер сигурността, но пък спокойно може да е точно тази, която да обърка нещата. А до голяма степен скептичното отношение на част от специалистите в тази област вероятно се дължи и на факта, че мнозина са се предоверявали на сигурността чрез неизвестност, забравяйки за значително по-фундаментални мерки, като например да поддържаме всичките софтуерни продукти, които използваме, в актуалните им стабилни версии.
Ключът под изтривалката
Всички си спомняте как едно време беше доста популярна практика (а и още е, особено в по-малките населени места) да оставяме ключа под изтривалката. Уж е заключено, уж зложелателите не би трябвало да успеят лесно да проникнат в къщата… но всъщност е напълно безсмислено препятствие. Това е и примерът, с който скептиците към направлението го сравняват.
Разбира се, тази дискусия се води основно през 90-те, когато дори я нямаше практиката паролите да се съхраняват в хаширан вид, а често те се скриваха в скриптове, където са събрани със случаен текст с надеждата, че никой няма да ги намери.
Но пък, както вече стана ясно, малко предпазливост няма как да ни навреди, стига да не ѝ се предоверяваме. А и нещата вече стоят по доста различен начин.
Винаги си струва чрез тези практики поне малко да затрудним „работата“ на хакерите. Защото в днешно време битката срещу тях трябва да включва доста мерки на най-различни звена и сигурността чрез неизвестност съвсем не е излишен слой. Хубаво ще е поне да забавим атакуващия, ако той не е наясно дали потребителят, който ще атакува, има или няма профил в даден сайт. Сменяйки порта по подразбиране, на който работи дадена услуга, може да не я направи напълно обезопасена, но също е нещо, което би отказало някои зложелатели и сериозно би забавило други. А след това само може да надграждаме с други методи, като бял списък на IP-тата с достъп, двуфакторна автентикация и какво ли още не.
Желязната маска
Сигурността чрез неизвестност, така или иначе, не е толкова набор от практики, колкото начин на мислене. Едно от онези неща, на които започвате да обръщате внимание едва след като разберете, че съществуват. И после нещо прещраква в мозъка ви, когато трябва да вземете дадено програмистко решение и решите да скриете част от така или иначе ненужната на потребителя информация.
Но кога си струва наистина да прилагате този начин на мислене и кога това се превръща в мания? Достатъчно е да си зададете въпроса дали наистина дадена мярка би забавила и затруднила атаката срещу сайта ви. Ако отговорът е отрицателен, не си правете труда, но в обратния случай – може би все пак си струва да го направите.
Тук се крие…
Ето и още някои от практиките, които се използват като част от сигурността чрез неизвестност:
– Минимизиране на информацията за цялостната архитектура на системите;
– Затваряне на портове, които не се използват;
– Променяне на всякакви настройки по подразбиране с по-различни, например на базовите портове на някои услуги;
– Нестандартно (разбира се, не без да има конвенция) именуване на среди за разработка, променливи и всякакви други единици, свързани с кода;
– Изтриване на информация, която със сигурност не е нужна, защото един ден може да се използва за атаки;
– Скриване на излишната информация, попаднала в публични данни – например SSL сертификати;
– Внимателна преценка за включването в публични регистри и обхвата на публикуваната информация;
– Максимално скриване на информацията, свързана с конкретните технологии, които се използват в даден проект.
Да люспиш лука
Така или иначе, казахме го много пъти, но нека го затвърдим на финал. Информационната сигурност работи само когато е на много нива, които се допълват и покриват. Липсата дори на едно от тях може да провали всичко.
Темата разглеждаме бавно и внимателно в дълга поредица от публикации в секцията за сигурността в блога на ZETTAHOST.bg.
От списъка с конкретните атаки, за които да сме подозрителни, вече ви разказахме за DoS и DDoS, SQL Injection, Cross-site Scripting, Cross-Site Request Forgery и XXE.
Разгледахме внимателно и човешките фактори от двете страни на темата за сигурността с материали за социалното инженерство и „белите хакери“. Акцентирахме и върху конкретни нашумели технологии като VPN и IoT и рисковете, които идват с тях.
Сигурността за нас винаги е на първо място и това в пълна степен важи за хостинга, който предлагаме. Можете да започнете да го ползвате напълно безплатно тук!
