Кибербезопасность — это ответственность каждого сотрудника компании. Мы поговорили с инженером кафедры информационной безопасности Поволжского государственного университета телекоммуникаций и информатики Михаилом Копашенко. Он объяснил, почему разработчикам нельзя игнорировать базовые правила защиты данных, и как один слабый пароль может привести к масштабному взлому. Выяснили, как создать надежный пароль, зачем нужна двухфакторная аутентификация и почему опасно отключать запрос пароля для sudo.
— Давайте начнем с базовых понятий. Что такое кибербезопасность?
— С постепенным проникновением интернета в повседневную жизнь все более ценные данные попадают в публичную сеть. Их защита — основная задача кибербезопасности. По сути, это комплекс мер, направленных на обеспечение конфиденциальности, целостности и доступности цифровых активов. То есть никто не должен иметь возможность прочитать или изменить конфиденциальные данные, кроме их владельца, у которого должен сохраняться доступ к ним.
— Насколько я понимаю, вопросами кибербезопасности занимаются в компаниях специально обученные люди, то есть отдельный вид специалистов. Зачем основы кибербезопасности нужны разработчикам? Что случится, если у них таких базовых знаний не будет?
— Основы кибербезопасности должны знать и соблюдать все, вне зависимости от занимаемой должности и профессии. Каждый человек в компании важен. Взломав учетную запись сотрудника, злоумышленники могут продвинуться дальше. Например, от имени сотрудника написать начальнику, у которого намного больше возможностей и доступов.
Если разработчики будут игнорировать требования безопасности, это может привести к нарушению бизнес-процессов или даже к закрытию компании. Дело в том, что разработчики обладают доступом к чувствительным данным, например, к программному коду продуктов. Так 26 мая 2024 года хакерская группировка взломала компанию СДЭК, парализовала работу компании на несколько дней и получила доступ к системе резервного копирования данных (бекапам). Хакеры удалили бекапы, что затруднило восстановление работоспособности сервисов. Причина взлома не называлась, но такого же эффекта можно добиться, если взломать аккаунты человека, имеющего доступ к системе резервного копирования.
Поэтому сотрудникам выдаются только необходимые права доступа к различным компонентам. Так в случае компрометации учетной записи одного человека не будут подвергнуты угрозе все компоненты компании.
— Многие взломы происходят из-за слабых паролей. Какие самые простые способы сделать свои аккаунты безопаснее?
— В интернете сайты часто показывают требования к паролям:
- длина минимум 8 символов;
- использовать строчные и заглавные буквы;
- использовать символы (например, ! @#$%^& *);
- рекомендуется не писать реальные слова в паролях, лучше использовать набор символов;
- не использовать один пароль в нескольких местах.
Вот простой пример из комбинаторики. Пароль из восьми символов, состоящий только из цифр от 0 до 9 (10 вариантов), будет иметь 10^8 — более 100 млн комбинаций. Если расширить набор допустимых символов на один (например, добавить ещё одну цифру), то комбинаций становится в два раза больше — 11^8, то есть более 200 млн.
А пароль длиной в восемь символов, в котором есть цифры (от 0 до 9) и еще маленькие буквы (от a до z) будет составлять (10+26)^8 ≈ 2,8 трлн вариантов.
Хороший совет, про который я недавно узнал, добавлять в конце пароля "пробел". Если вы допустите ошибку, и хакер узнает ваш пароль, он будет его проверять и попробует подключиться к учетной записи. Когда он будет вводить ваш пароль, он может не заметить пробел в конце. Но не все системы могут принимать пробел, поэтому такой прием не всегда удастся использовать.
— Что такое двухфакторная аутентификация (2FA), и почему её советуют включать везде?
— Для получения доступа к сайту обычно используется фактор знания: вы должны знать свой пароль. Если ваш пароль узнает злоумышленник, то он получит доступ к сайту, как и вы. Поэтому для дополнительной защиты начали применять второй фактор, обычно — фактор владения. Например, SMS‑код подтверждает владение номером телефона.
Эта простая проверка поможет сохранить аккаунт, даже если ваш пароль будет известен злоумышленникам.
Также существует фактор принадлежности, он включает уникальные биологические характеристики пользователя, такие как отпечаток пальца или сканирование лица.
Несколько вопросов, которые нужно задать себе, когда вам пишет знакомый со странной просьбой: -стиль сообщения похож на обычный? (пробелы, запятые, заглавные буквы, смайлы…)
-ожидаю ли я сообщение от собеседника?
-нет ли в сообщении ничего необычного, что могло бы меня смутить?
-просят ли меня что-то сделать?
— Безопасно ли подключаться по паролю к удаленным серверам?
— Пароли — это простой способ подключиться к удаленному серверу. Но стандартом является доступ к серверам с помощью SSH‑ключей. Это длинные текстовые файлы, которые можно предоставить серверу вместо пароля, и он авторизирует пользователя.
Это надежнее, потому что на данный момент нет способа за реальные временные рамки подобрать его. Информация быстрее станет не актуальной, чем удастся подобрать ключ.
— Некоторые программисты отключают пароль для изменений (sudo). Безопасно ли это?
— При выполнении команд, требующих высоких привилегий, которые могут повлиять на работу системы, современные операционные системы просят ввести пароль. Часто "специалисты" отключают запрос пароля для sudo‑команд.
Поэтому, когда выполняется важная команда, операционная система уже не просит ввести пароль. Из этого возникают две проблемы. Первая — человек может выполнить команду, не понимая, что она важна, и может навредить системе. Вторая — если злоумышленник получит возможность выполнять команды от имени пользователя, он без препятствий сможет нанести ущерб.
— Как безопасно хранить пароли и ключи? Например, если у меня много сервисов и API-ключей?
— Использовать менеджеры паролей. Существуют как платные, так и бесплатные решения.
Например, KeePass, Enpass и Kaspersky Password Manager.
— Фишинг — это когда обманом выманивают пароли. Как не попасться на такое в работе?
— Обращайте внимание на то, кто вам пишет, и помните: аккаунт друга мог быть уже взломан.
Для этого нужно всегда держать голову холодной. Если сомневаетесь в безопасности сообщения, лучше написать в отдел информационной безопасности вашей компании. Сотрудники отдела подскажут, как быть. Это их работа. Всегда можно предложить собеседнику связаться в другом мессенджере или созвониться. Если такой возможности нет, можно задать личный вопрос, например: "как мы познакомились" или созвониться в корпоративном мессенджере.
— Что делать, если мне прислали скрипт или программу, а я не уверен, можно ли её запускать?
— Есть несколько вариантов дальнейших действий. Во-первых, вы можете прочитать код программы и понять, что она делает, к каким ресурсам получает доступ и нужен ли программе этот доступ. Во-вторых, нужно убедиться, что источник — доверенный. То есть вы должны быть уверены, что сообщение вам отправил друг, а не злоумышленник, получивший доступ к его аккаунту через фишинг. В-третьих, можно проверить файл на сайте VirusTotal. И, в-четвертых, вы можете запустить сомнительные файлы в изолированной среде на виртуальной машине.
— Если хакер получит доступ к моему GitHub или почте, что нужно делать в первую очередь?
— Для начала следует сразу сменить пароль. Вторым шагом нужно сообщить своему руководителю и в отдел информационной безопасности об инциденте. Безопасники проверят активность учётной записи и уведомят коллег о возможном инциденте.
Если злоумышленник получает доступ к вашему GitHub, то также потребуется проверить SSH-ключи и токены доступа (access tokens), проверить все репозитории, чтобы убедиться, что в них не внедрён вредоносный код.
Если злоумышленник получает доступ к электронной почте, необходимо срочно проверить письма, полученные за период, когда вы не могли контролировать учётную запись.
При любом из этих сценариев необходимо уведомить всех коллег, с которыми вы вели переписки. Ведь хакер мог их прочитать, а, значит, сможет использовать информацию для дальнейших атак.
— ИТ-отрасль постоянно развивается, а, значит, появляются все новые и новые угрозы безопасности. Как специалистам подстраиваться под постоянно меняющиеся условия? Есть какие-то площадки, где можно получать актуальную информацию?
— Площадок для обмена опытом много. Например, сайт "Хабр" (Habr). Также есть и офлайн-конференции, на которых можно послушать опыт других коллег из IT и самому рассказать что-то новое. Например, полезны могут быть такие конференции, как HighLoad++ или Positive Hack Days с треком для разработчиков.
— Как в целом оцениваете качество образования в России в сфере ИТ? Может ли для будущих айтишников быть достаточным профильное высшее образование для получения хорошей работы в дальнейшем? Или самообучение, получение дополнительных сертификатов — необходимы?
— Устроиться в IT без профильного образования — сложно, но реально. Устроиться и продержаться в IT без самообразования — невозможно. Сейчас на рынке наблюдается инфляция знаний. Те знания, которых раньше хватало для разработчика среднего уровня (middle), теперь считаются минимальными требованиями к начинающему специалисту (junior).
Если стоит выбор между поступлением в университет и самостоятельным обучением, то следует выбирать первый вариант. Если параллельно с университетом заниматься самообразованием, то построить успешную карьеру в IT не составит проблем. Для работодателя диплом — это сигнал, что кандидат способен осваивать то, что от него потребуется на практике. Кроме того, кругозор такого специалиста шире, чем у самоучки, обладающего знаниями только одного набора инструментов. И в университете можно обрасти полезными знакомствами, которые лишними точно не будут.
Материал подготовлен при поддержке гранта Минобрнауки России в рамках Десятилетия науки и технологий.
Базовые правила кибербезопасности:
Итог: сохранять критическое мышление и проверять каждое действие на безопасность.