Новости

Основы безопасности сервисов для хранения конфиденциальной информации

2022-10-09 22:18 Безопасность

Введение

В этой статье мы поговорим о безопасности сервисов со специфическими функциями, как, например, хранение учетных записей и авторизации от имени пользователя. Рассмотрим, как работают эти службы, как поддерживать кибергигиену для защиты от взлома, стоит ли доверять информацию об аккаунтах третье стороне и в конце затронем основные методы взлома подобных приложений.

Базовый обзор приложений

Сторонние сервисы позволяют автоматизировать активности, выполнение которых вручную было бы слишком утомительным занятием. Например, подобными функциями могут быть авторизация в сервисах или управление множеством учетных записей. Высокая конфиденциальность информации, хранимая в подобного рода приложениях, мотивирует хакеров на поиск уязвимостей, позволяющих украсть данные об учетных записях.

Сервисы по управлению финансами

Контроль расходов может оказаться непростым занятием, особенно на постоянной основе, вследствие чего некоторые компании, как, например, Intuit, предлагают решения по управлению финансами.

По больше части управители финансов собирают все ваши расходы и организуют информацию в удобной форме. Преимуществ масса, но основные следующие:

  • Создание бюджетов и планирование будущих расходов.
  • Отображение счетов и оставшихся средств в наглядной форме.
  • Отправка уведомлений в случае появления нетипичных расходов.

Mint – одно из наиболее популярных приложений для ведения бюджета вследствие бесплатности и легкости установки. Наряду с другими менеджерами финансов Mint позволяет вводить информацию о банковских счетах, платежной системы PayPal, кредитных и дебетовых картах. Все введенные сведения отображаются в наглядной форме. Также можно отслеживать счета, займы и инвестиции.

Менеджеры паролей

Эти приложения упрощают управление учетными записями посредством хранения и извлечения из зашифрованный базы данных. Если для каждого аккаунта используется 8-символьный уникальный пароль, то сразу можно представить, насколько упрощается жизнь.

Наиболее популярные менеджеры паролей: Dashlane, 1Password7, KeePass и LastPass. Далее мы поговорим о недостатках этих приложений в плане базовых наилучших практик безопасности.

Большинство сторонних приложений (особенно для управления финансами) не хранят учетные записи и финансовую информацию в одном месте, а используют шифрование банковского уровня в зависимости от конкретного решения. Таким образом, снижается вероятность кражи информации в случае атаки.

Следует ли доверять приложениям для ведения бюджета?

Есть несколько методов, используемых в приложениях для ведения бюджета, которым можно доверять. Например, в Mint трафик шифруется 128-битным шифрованием при помощи проверенных сервисов (например, VeriSign и TRUSTe). На серверах также используется 256-битное шифрование для безопасности файлов. Кроме того, с целью повышения безопасности в приложении есть двухфакторная аутентификация, сканер отпечатков пальцев (Touch ID) и пароли. Однако, как вы узнаете вскоре, мы не можем на сто процентов гарантировать безопасность, а все упомянутые методы лишь затрудняют жизнь злоумышленникам. Самый оптимальный способ обеспечить безопасность – так называемая «кибергигиена».

Если вы решили воспользоваться приложениями для ведения бюджета, придется искать компромисс между безопасностью и удобством. Обычно в банках отговаривают от использования сервисов подобного рода и не безосновательно. Безопасное приложение сегодня, завтра может стать небезопасным, и избегания подобных помощников гарантирует сохранность ваших конфиденциальных сведений.

Как происходит компрометирование учетной записи?

Компрометирование – это когда хакеры успешно получают полный контроль на одной или несколькими аккаунтами по одной или нескольким причинам, приведенным ниже:

  1. Хранение мастер-паролей, секретных ключей и другой конфиденциальной информации в открытом виде в оперативной памяти: сторонние приложения и особенно популярные менеджеры паролей (например, 1Password) имеют проблемы, когда речь заходит о хранении информации в памяти. Используя уязвимости подобного рода, злоумышленники могут создать утилиту для выгрузки паролей из памяти.2. Проблемы с удалением зашифрованного мастер-пароля из памяти: в некоторых менеджерах паролей (например, в 1Password 7) возникают проблемы при удалении из памяти мастер-пароля, секретного ключа или пароля к базе данных, когда приложение находится в заблокированном состоянии. На самом деле, когда база данных разблокирована, 1Password 7 кэширует всю базу паролей в памяти. Очень сомнительное решение, поскольку, как и в предыдущем случае, злоумышленники могут создать утилиту для выгрузки нужных участок памяти, используя которые можно получить контроль над учетной записью.
  2. Проблемы с правильным шифрованием файлов базы данных, хранимых на дисках: шифрование файлов базы данных определяет, сможет ли злоумышленник получить доступ к информации об учетных записях после кражи этих файлов. Соответственно, важно, чтобы механизм шифрования был реализован корректно.

Хотя разработчики и предпринимают меры по защиты мастер-паролей и секретов, на данный момент большинство менеджеров не очень хорошо делают свою работу, когда речь заходит об удалении паролей из памяти. Таким образом, у злоумышленников остается лазейка в плане разработки утилиты с целью кражи конфиденциальной информации.

Как убедиться, что учетные записи в безопасности?

Часть функционала сторонних приложений будет находиться на вашем устройстве. В большинстве случаев есть механизм локальной блокировки (шифрования) и разблокировки (дешифрования) в вашей системе. Соответственно, устройство должно быть защищено. Надежный пароль в уязвимой системе так же плох, как и отсутствие вообще каких-либо мер безопасности. Поэтому:

  1. Обновляйте систему: на всех ваших устройствах должны быть установлены последние обновления операционных систем с целью защиты от атак, компрометирующих всю систему. Как было сказано выше, как только злоумышленник получит доступ к вашей системе, то сможет выгрузить пароли из памяти и затем скомпрометировать учетные записи.
  2. Используйте двухфакторную аутентификацию: двухфакторная аутентификация на устройствах и в учетных записях позволит защититься от неправомерного доступа и сократит вероятность компрометирования аккаунта.
  3. Обновляйте антивирус: обновленный антивирус сможет детектировать червей и других вредоносов, пытающихся воспользоваться неисправленными уязвимостями. Целью подобных атак может быть выгрузка части оперативной памяти с конфиденциальными данными или точками входа в операционную систему, через которые можно осуществить удаленный доступ.
  4. Придерживайтесь правильной кибергигиены: Большинство кибератак так или иначе основаны на социальной инженерии. Часто встречающийся сценарий: отсылка вредоносных файлов и полезных нагрузок с расчетом, что жертва кликнет на привлекательную ссылку. В этом случае никакие патчи не сработают, а поможет только ваша внимательность и осведомленность. Никогда не открывайте неизвестные и сомнительные вложения и избегайте переходить по каждой красивой ссылке во время серфинга в сети.
  5. Убедитесь, что в используемом приложении реализованы надлежащие меры безопасности, регулярно выпускаются обновления, и разработчики активно поддерживают свой продукт.

Как выбрать приложение для управления паролями?

Перед выбором решения для управления учетными записями следует учитывать, что не во всех менеджерах паролей будут нижеуказанные функции, а некоторые из которых могут даже оказаться не столь важными для вас.

  1. Многофакторная аутентификация: в хорошем менеджере паролей должна поддерживаться многофакторная аутентификация для дополнительной безопасности.
  2. Безопасная генерация паролей: как было рассмотрено выше, в некоторых случаях возможны атаки на менеджер паролей. Соответственно, следует убедиться, что в выбранном решении, в зависимости от ваших нужд, поддерживается должный уровень безопасности при генерации, хранении и извлечении паролей.
  3. Автоматическое обновление паролей: До сего момента мы не упоминали Avast Passwords, где происходит автоматическая генерация новых паролей в случае компрометирования учетной записи. Кроме того, на сайте разработчика можно указать электронную почту и узнать, были ли утечки паролей.
  4. Интеграция: Подумайте над тем, чтобы менеджер паролей был интегрирован с плагинами браузера и расширениями для автоматического заполнения форм с доступом на различных платформах (Android, iOS, Linux и Windows). Менеджер паролей также должен поддерживать автоматическую синхронизацию на разных платформах.

Заключение

Конечно, в идеале следует избегать сторонних приложений для управления учетными записями и в то же время придерживаться наилучших практик безопасности паролей. Однако современный ритм не позволяет решить эту задачу подобным образом. Соответственно, большинство людей использует разные приложения для удобства и в ущерб безопасности.

Если у вас похожая ситуация, убедитесь, что в используемом решении реализованы надлежащие меры безопасности, своевременно выходят обновления и отзывчивая служба поддержки. Однако самое важное – придерживаться кибергигиены, поскольку от человеческого фактора нельзя защититься никакими патчами.