Не лает, не кусает, а спецслужб не пускает

На фоне того, что цифровая составляющая маленькой победоносной «спецоперации» дошла уже до нашей местной ячейки современных диссидентов в Нюрнберге, я считаю нужным проконсультировать единомышленников (и всех кому не лень) на тему IT-безопасности. Не пугайтесь термина «IT-безопасность»! 🙂 Я постараюсь всё объяснить так, чтобы поняла даже Ваша бабушка. И не думайте, что Вам всё это не нужно. Индюк тоже думал, но…

Главное – менталитет и последовательность

Только наличие подушки и ремней безопасности в машине и мирного неба над головой ещё не обеспечивает безопасную поездку. Надо для начала пристегнуть те же самые ремни. Ещё не помешает открыть глаза и всё внимание уделить дорожному движению. Водители, которые не соблюдают ни того ни другого, скорее обеспечат зрителей в интернете условно забавными кадрами с автомобильных видеорегистраторов, чем кого-либо безопасной поездкой.

С цифровой безопасностью всё обстоит точно также. Даже все нижестоящие технические советы вместе взятые не помогут Вам без постоянного внимания. Безопасность должна всегда стоять на первом месте! И в Вашем подходе, и в дизайне приборов и программного обеспечения, которым Вы пользуйтесь. Лично я разделяю программное обеспечение на четыре «элемента»:

• Присутствие функций (features). Функции можно при необходимости добавить или оплатить разработчика, чтобы он их добавил.
• Отсутствие ошибок (bugs). То же самое, что и с функциями. В зависимости от конкретной ошибки можно просто её принять как данность и обходить. Например, не заказывать онлайн -42,777 конфет, чтобы не провоцировать систему приёма заказов.
• Производительность (performance). В крайнем случае, если, например, компьютер обрабатывает видео слишком медленно, можно купить ещё один такой же, а затем на одном обрабатывать видео, а на другом делать всё остальное.
• Безопасность (security). Обеспечивается относительно легко, если уделять ей внимание с самого начала и осознанно (так сказать «by design»). В противном случае – очень тяжело (если вообще возможно). В крайнем случае приходится перекапывать всё, отказываться от определённых функций и/или, так сказать, правой рукой доставать левое ухо. Например, уязвимость центральных процессоров под названиями «Meltdown» и «Spectre». Там всё было точно также.

Как Вы видите, всё остальное может подождать. И паранойя вовсе не мешает при работе с компьютером. 🙂

It’s not that everyone on the Internet is trying to attack you, but there’s always someone who wants to break into your system. (…) If you’re not paranoid on the Internet, you’re in trouble.

Michael W. Lucas, книга «Absolute OpenBSD, 2nd edition» (2013), страница «xxix»

Вернее, при использовании интернета. Я бы совершенно спокойно пользовался старейшей операционной системой Windows XP, если бы у моего компьютера не было оборудования для связи с интернетом. Но это было бы неинтересно. 🙂

Звучит странно, но даже нам, сторонникам перемен, здесь крайне полезен подход некоего деда, которому уже давно пора на пенсию: «Кругом враги!» Например, я крайне беззаботно открываю любые электронные письма и ссылки. Но вкладки, в которых открываются эти ссылки, я безусловно(!) воспринимаю как враждебные. Всё от адреса отправителя до содержания можно подделать. Всё, что я туда ввожу, может попасть в руки врагу. Комментарий под пост в открытом доступе? Пожалуйста. Нажать кнопку, чтобы подтвердить что-то там? Без проблем! О, для этого нужны логин и пароль? Нет, спасибо. Тогда я лучше открою новую вкладку из закладок, там введу логин и пароль и открою ссылку из письма заново.

А вложения и файлы, которые я скачал откуда-то там, я открываю вообще только с помощью правой кнопки мышки и «Открыть в программе…» такой-то. (Ну, стараюсь по крайней мере. 😅) И никогда не активирую т. н. макросы. Всё. Я только что, так сказать, лишил работы условного рядового сотрудника Федеральной Службы Бес-опасности Ивана Петровича Сидорова, который только и умеет красиво петь мне по электронной почте («Phishing»). Давайте и более «высоких» чинов выкинем из их тёплых кресел…

Начинаем строительство здания с фундамента

Вернее, с почвы. Почва Вашей личной IT – это местонахождения прибора. Чем меньше людей имеют доступ, тем лучше. Хотя бы – чтобы никто ничего не украл (в буквальном смысле). Фундамент – это сам компьютер и его операционная система. Что такое компьютер, я надеюсь, Вы знаете. А с операционной системой уже не всё так просто.

To kind of explain what Linux is, you have to explain what an operating system is. And the thing about an operating system is that you’re never ever supposed to see it. Because nobody really uses an operating system; people use programs on their computer.

Linus Torvalds (разработчик ОС Linux), интервью в д/ф «Revolution OS» (2001)

Для простоты можно не рассматривать операционную систему отдельно от самого компьютера. Кстати, компьютер. Например, у Вас настольный компьютер или ноутбук. У меня лично ноутбук от компании Apple, т. н. «MacBook». (Операционная система MacOS.) Не пугайтесь цен Apple. Можно купить уже бывшие в употреблении приборы с соответствующей скидкой. Если Вы не доверяете продавцу, можете во время включения держать Command + Option + R, пока не появится глобус. Далее (при наличия соединения с интернетом) Вам будет в частности предложено установить MacOS заново – таким образом начать с чистого листа.

Помимо чисто технических причин, почему MacOS безопаснее чем, например, Windows (основанный на принципах UNIX и т. д.), есть и следующая. И сам компьютер, и операционная система, и много чего ещё от одной и той же компании. Левая рука всегда знает, что делает правая. В плане безопасности это важно. Вот почему: уязвимости «Meltdown» и «Spectre» были, конечно, в центральных процессорах. Но оборудование не так просто поменять. Ну а теперь? Должна (и вообще может) прийти на помощь т. н. «актуализация BIOS» от производителя компьютера? Если да, то что такое эта «актуализация BIOS» и с чем её едят (с точки зрения неопытного пользователя)? Или лучше, если операционная система достаёт правой рукой левое ухо? Или вовсе веб-браузер, который в конечном итоге страдает от всего этого, пусть выкручивается как может?

Вышеупомянутое можно при желании обсуждать ещё дольше, чем то, кто слил протесты на болотной площади (2011). Тем более, если все составляющие компьютера от разных производителей. А если всё от Apple (с недавних времён даже центральный процессор), то они уж как-то договорятся между собой. Пользователю придётся только актуализировать саму систему. Кстати, с телефонами и часами то же самое. Даже затрудняюсь, какой старый iPhone у одного из моих коллег, но актуализации от Apple до сих пор получает.

Интерьер: двухголовые орлы и золотые ёршики

• Делайте на всякий случай резервные копии на внешнем диске, который не(!) подключён постоянно к основному прибору. MacOS: См. Системные настройки / Time Machine. iOS: Подключите iPhone к компьютеру Apple, откройте его в Finder’е и см. опции.
• Шифруйте Вашу систему. MacOS: Системные настройки / Защита и безопасность / FileVault. iOS: Настройки / Face ID & Code, создайте код.
• Актуализируйте Вашу систему. Чем раньше, тем лучше. MacOS: Системные настройки / Обновление ПО. iOS: Настройки / Общие / Обновление ПО.
• Также актуализируйте программы. MacOS: App Store / Обновления. iOS делает это сам.
• Пользуйтесь менеджером паролей. (Например, MacPass.) Можете использовать пароли только с цифрами (но зато подлиннее!), чтобы не было мучительно больно, если придётся вводить вручную.
• Пользуйтесь т. н. многофакторной аутентификацией. Т. е. для входа пароля недостаточно. Вы должны подтвердить вход с помощью мобильного телефона.
• Шифруйте Вашу переписку. Приложения Signal (знак качества: Эдвард Сноуден пользуется им) и WhatsApp (ну извините, принадлежит Facebook/Meta) делают это по умолчанию.

Собственная страница и/или сервер

Если Вы не IT-специалист или не готовы сами с нуля строить буквально всё, т. е. актуализации, резервные копии, наблюдение и т. д. – не заводите собственный (условно виртуальный) сервер. Покупайте т. н. hosting именно того приложения, которое Вам нужно, например, WordPress, у компании, которая профессионально этим занимается. Важно: чтобы услуги включали актуализации и резервные копии.

А если у Вас есть желание, навыки, время и силы на собственный полноценный сервер, прямо с пресловутыми Apache, PHP и MySQL, изучайте операционную систему «OpenBSD». Серьезно. По крайней мере, если Вы цените IT-безопасность. Не то чтобы пресловутый Linux прямо до мозга костей небезопасный, но насколько я знаю, из ОС для серверов только OpenBSD, вернее её разработчики, имеют вышеизложенный менталитет (без компромиссов). И не зря.

More than once I’ve heard „That’s fixed in the latest Linux, and in OpenBSD 3.2.“

Michael W. Lucas, книга «Absolute OpenBSD, 2nd edition» (2013), страница «xxvii»

ОС не особо сложная, она лишь другая. Просто надо знать: где, что и как. Я говорю из личного опыта. Например, все нижеперечисленные сайты расположены на сервере OpenBSD. Нет, не на серверах, а именно на одном сервере. При этом они изолированы друг от друга (простейшим методом). Т. е. даже взлом одного WordPress не обеспечит прямую дорогу в другой.

• blog.al2klimov.de
• manufaktura-elfov.org
• votesmart.nerezidenti.org
• files.al2klimov.de
• bildschirm-sperren.de
• al2klimov.de

Главное, чтобы всё то, что Вы закупаете для того или иного, находилось в стране, где права человека по-настоящему действуют. Лучше всего там, где Вы живёте. Россиянам-резидентам тут, к сожалению, не повезло. И то и другое не получается.

Что НЕ делать:

• Соединять свои приборы с чужими (вкл. флэшки). Флэшка может быть на самом деле враждебной клавиатурой. («Bad USB»)
• Windows. Хотя бы заведите отдельный компьютер для этой системы и делайте там чем меньше, тем лучше.
• Антивирус. Если уж очень нужен Windows, Вам повезло: Windows 10 включает в себя антивирус Windows Defender. Дополнительные продукты = дополнительные проблемы, в частности не во благо, а вопреки безопасности.
• Файрволл. См. предыдущий пункт. В конце концов, дома есть модем/рутер, который действует как файрволл. От сотовой связи я лично ожидаю то же самое за кулисами.
• Наркотики. 🙂

In short: just say NO TO DRUGS, and maybe you won’t end up like the Hurd [operating system] people.

Linus Torvalds (разработчик ОС Linux), groups.google.com/g/mlist.linux.kernel/c/6Yj1ipr6nEc/m/dbhIEkhm4LgJ