Сегодня хотелось бы поговорить о безопасности паролей.
Всем известно, что чем сложнее пароль, тем тяжелее его взломать. Я думаю, если Вы подойдете к своему системному администратору, он Вам скажет тоже самое и если у Вас в компании системный администратор активно бдит за безопасностью, то уверен, что пароли на ресурсы у Вас совсем не простые и их приходится записывать.
Да что там говорить, сами администраторы становятся жертвами собственных правил. Как так может быть? Очень просто.
Средний, ну, скажем так, сильно средний, сейчас поймете почему, системный администратор является носителем нескольких десятков трудно запоминаемых паролей. Кто-то больше, кто-то меньше в зависимости от опыта и ведомых им компаний, друзей. Где он, по-вашему, будет их хранить? В голове? Нет, он их запишет в файле, в телефоне, программе для хранения паролей, облачном сервисе. Что мы получаем? Упрощение задачи получения доступа ко всем ресурсам разом. Множество паролей перестают выполнять свою защитную функцию перед лицом всего одного пароля, который вряд-ли сложнее суммы всех защищаемых.
Конечно, не всё так просто, но технически и математически, а это очень легко доказывается, (приведу пример в конце статьи) взлом одного сложного хранилища паролей проще взлома всех хранящихся за ним паролей. Так что администраторы — это точки отказа. От того, какая политика избрана системным администратором, зависит безопасность компании.
Расскажу один случай из практики.
Российская производственная компания, лидер на рынке в своем сегменте, стала жертвой злоумышленников. В одно, совсем несчастливое утро понедельника, компания, начиная примерно с 10:10, начала лавинообразно сталкиваться с проблемами невозможности доступа к сетевым ресурсам. Те «счастливцы», кто в попытке самостоятельно устранить проблему, отправил компьютер на перезагрузку, в компьютер зайти уже не могли. К 12 часам стало понятно, что событие носит рукотворный характер. К 13 часам сотрудники начали сообщать, что окошки у них самопроизвольно закрываются или открываются. Компания к этому времени прекратила свою деятельность полностью. Ситуация была критическая, а от местного администратора толку практически не было. Я не хочу сказать, что он такой плохой и места не стоит, отнюдь, с поддержкой он справлялся вполне успешно и компания уверенно развивалась. Но развернувшаяся на его поле «игра» была выше его возможностей, он вычищал закладки удаленного доступа хакеров, но они очень быстро отыгрывали всё назад. Пока его отвлекали возней с перехватом управления, в это время на сервере шифровалась база 1С компании. Что творилось на уровне руководства, можно только догадываться.
Когда с нами связались, IT инфраструктура напоминала поле боя, где шла небольшая, но ожесточенная осадная война. Хакеры «выбивали» администратора, тот выбивал их, в результате - полный простой компании составил 2 суток.
Когда все поутихло, сделали анализ, что и откуда пришло, подготовили отчет для подачи заявления в милицию (тогда еще была милиция). Выяснили, что причина этого апокалипсиса заключалась, видимо, в небольшом файлике, который хранился на рабочем столе операционной системы администратора, не обновлявшейся... 3 года! И ведь не потому, что контрафакт, нет! А потому, что администратор считал, что компания Microsoft, следит за пользователями, скачивает во время обновления себе что-то и потому он отключил автообновление системы, считая это правильным — ведь он бдил за корпоративными данными. Судьба оказалась не без чувства иронии.
С тех пор технологии ушли вперед, теперь данные хранятся в облаке в зашифрованном виде и открываются по паролю, но как и в старые добрые времена никто не застрахован от клавиатурного перехватчика, перехватчика данных, передаваемых в оконный интерфейс программы или самого кода программы. Когда мы обращаемся в облако за своими данными, то происходит их расшифровка на лету. Чаще всего расшифрование происходит вызовом какой-то подпрограммы, которой передаётся три параметра: ключ для расшифрования, зашифрованные данные, которые надо расшифровать и место, куда эти готовые к употреблению данные надо положить. Если на компьютер проник вирус, то он и программа исполняются под одной учетной записью. При помощи ряда трюков можно сделать так, что данные, которые обрабатывает программа, станут доступными для вируса, а уж он-то, зная из какой программы это добыто, доставит с нужной пометкой кому следует (своему хозяину-хакеру, сам же пользователь и не будет догадываться, что его данные украдены злоумышленником). Там определят стоимость компании и выложат украденные данные по соответствующему ценнику на «черном» рынке. В описанном случае с высокой вероятностью был заказ. Компания понесла финансовые, репутационные и временные убытки, базу восстановить удалось лишь частично. Хоть бекапы и были уничтожены в числе первых, но удалось восстановить некоторые на основе низкоуровневого анализа данных.
Так вот, возвращаясь к сложным паролям.
Многие, я думаю, помнят рекомендации профессиональных безопасников: придумывайте себе сложный пароль, состоящий из цифр, букв и специальных символов. Пароль в этом случае визуально начинает напоминать «запиканное» идиоматическое выражение. И как его запомнить, если не записать где-нибудь на бумажке?
На днях, а если быть точным в канун «черной пятницы», официальный twitter федерального бюро расследований (@FBI), дал «рекомендацию»: «Shopping online this holiday season? Keep your accounts secure, use strong passwords & change them frequently», что в переводе означает: «Делаете покупки онлайн в этом сезоне? Берегите свои учетные записи, используйте сильные пароли и чаще их меняйте».
Последнее замечание из этой рекомендации подверглось критике со стороны подписчиков.
Считаю её справедливой, но сначала, хочу отдать свой голос ЗА эту рекомендацию. Речь идёт о покупках в онлайн. А это означает, что покупатели начинают активно покупать, зачастую на большие суммы. А любая покупка — это риски утечки ключевых данных кредитных карт и утечки аккаунтов с привязанными к ним кредитными картами. Обман и заманивание к себе на поддельные сайты расцветает, как пустыня во время муссона. Магия черной пятницы. Поэтому лишний раз поменять пароль будет весьма полезно. Вот только лучше будет его запомнить, а не выкладывать в облако, хоть это и удобно. Помните, единственное, чего не научились взламывать удалённо — это мозг, хотя...
А вот теперь критика. Если мы применим данную рекомендацию на корпоративный сектор, то возникнут основания для критики.
Информационные технологии вышли из институтов и я их отношу к точным наукам. В IT практически всё можно изложить в цифрах.
Относительно недавно мы проводили исследование в одной из подшефных компаний.
Согласно политике безопасности, каждый год внутри компании менялись пароли. Пароль должен был состоять из 6 маленьких и больших букв, содержать не менее одной цифры и он не должен быть известным словом. В общем, через неделю после смены на 95% столов мы смогли найти новые пароли, написанные на бумажках.
Пароли в данном случае использовались для входа на рабочие компьютеры. Люди работали в едином пространстве «open-space» и вопрос о необходимости столь зверских мер для людей, работающих в четырех смежных комнатах, был очень актуален в свете тотальной самокомпрометации сотрудников друг перед другом.
Мы провели небольшие изыскания по научным трудам, изучавшим особенности психики, связанные с запоминанием информации и пришли к следующему выводу. Существенно больший эффект будет достигнут, если мы модифицируем правила формирования паролей, что сделает их более запоминаемыми, но при этом сохранит присущую паролям непредсказуемость.
Через неделю после внедрения новых правил мы нашли пароли на столах 70% пользователей.
Провели беседу о недопустимости такого «способа запоминания» и даже «сдали» некоторые места их хранения. Посмеялись все вместе и ещё через неделю получили уже 55%.
После очередного изъятия листочков с паролями, добились 47%, то есть, практически только каждый второй хранил пароль. Собственно, согласно нашей модели безопасности, этого было достаточно, так как в числе «отличников боевой и политической подготовки» должны были быть все, кто выше руководителей отделов, включительно. Этой цели мы достигли.
Выводы которые были сделаны: если пароль не адаптирован под особенности психики среднестатистического пользователя, то мы рискуем получить бумажки с паролями на каждом столе. Чем чаще меняются пароли и чем они сложнее, тем слабее обеспечиваемая ими защита, люди их попросту записывают где-то рядом с местом для ввода. Самый высокий уровень защищенности достигается тогда, когда пароль может «уместиться» целиком в голове. Тогда не будет необходимости его записывать и хранить в условно надежном месте.
На основе полученных знаний мы предложили изменения в политику безопасности, которые были приняты и поставлены в действующую редакцию.
Таким образом, работа с паролями требует прикладного осмысления целей, задач и рисков, связанных с созданием, хранением и особенностями применения паролей для защиты конфиденциальных или корпоративных данных.
IT аутсорсинг, как ни удивительно это будет звучать, работа не с железками, а с людьми, которые оказались в ситуации, когда они вынуждены плотно с этими железками работать. И порой кажется, что наша задача заключается не более, чем в настройке этой пары на удобную работу друг с другом.
На этом мне бы хотелось завершить данную статью, хотя тема безопасности настолько широка и обширна, что вряд ли когда-нибудь её удастся охватить целиком даже обзорно.
Желаю Вам хороших, надежных и легко запоминаемых паролей. Берегите себя и их!
Успехов и удачи!