(←) предыдущая запись ; следующая запись (→)
образовательное, программистское
В кибербезопасности (и безопасности вообще) есть такое понятие: модель угроз.
Вы можете пытаться защититься от всего вообще, но это абсолютно бесперспективно: идеальная защита бесконечно дорого стоит. И она того не стоит.
Как защищаться правильно? Есть два с половиной пункта:
(1) Вам надо понимать, какие риски для вас реальны, а какие — нет.
Могут ли вас лишить доступа к интернету? К вашей рабочей почте? Могут ли вам взломать личную почту и что они там найдут? Могут ли выкрасть ваш ноутбук? Разблокировать телефон в отделе полиции? Лишить вас доступа к вашему банковскому счёту? Установить на ваш телефон Pegasus? Устроить обыск в вашей квартире? Шантажировать вас публикацией вашего продросткового ЖЖ компромата? Взять в плен вашу любимую собачку? Отправить от вашего имени письмо в масонскую ложу?
Трезво оцените, в какие ситуации вы можете попасть на практике, а какие являются чисто гипотетическими. Защищаться надо от тех рисков, которые есть в вашей модели угроз
(2) Оцените ваш ущерб в случае реализации каждой из угроз. Очень ли страшно, если в масонской ложе узнают, что вы дурачок? Много ли вы потеряете, если у вас выкрадут пароль от вашего криптокошелька?
Если ущерб небольшой, этот риск можно игнорировать.
(2’) У каждого взлома есть цена (измеряемая временем и/или деньгами). Стоимость перебора паролей. Стоимость подделки сим-карты. Стоимость заманивания вас по фишинговой ссылке.
Если вы очень важная птица, и хакер предполагает, что у вас можно украсть миллион, то он вполне готов будет потратить сто тыщ на то, чтобы вас взломать. Но потратить десять миллионов, чтобы заполучить всего один — невыгодное вложение.
Ваша задача — сделать так, чтобы взломать вас было дороже, чем та ценность, которую взломщик от вас потенциально может получить.
———
Ещё раз! Не бывает стопроцентной защиты. Даже самый надёжный шифр можно взломать. Вопрос в том, как дорого и быстро.
Например, современные шифры предолагают, что на современном же оборудовании подбор ключа шифрования займёт несколько лет.
Если вы втайне договариваетесь о сюрпризе для друга на день рождения, вряд ли вы беспокоитесь, что друг, потратив сотни долларов, вас взломает и через два года узнает, что же вы хотели ему подарить на позапрошлый день рождения. Вам достаточно протокола сколь угодно слабой степени безопасности.
А вот если пароль вашего платёжного аккаунта можно подобрать за пару месяцев на персоналке, вы что-то делаете не так.