YOUstrangers (opportunistic)acquaintancesservice providerslaw enforcementnation-statewhich adversaries actually apply?

Модель личной угрозы

11 минута чтенияКонфиденциальность

Общий совет по конфиденциальности — «используйте VPN, включите 2FA, используйте Signal» — работает, потому что он оправдан практически для всех. Но «от кого вы на самом деле защищаетесь?» — это вопрос, который превращает общие советы в полезный выбор. Модель личной угрозы — это основа для выяснения этого без впадения в паранойю.

Полный текст статьи на английском языке представлен ниже.

A Модель угроз представляет собой структурированный анализ того, кто может захотеть напасть на вас, что они реально могут сделать и какие средства защиты имеют смысл с учетом этого. Один и тот же человек может подвергаться высокому риску одной угрозы и не беспокоиться о другой; без модели вы равномерно распределяете усилия между обоими. С одним вы фокусируетесь.

Четыре вопроса

Классическая система моделирования угроз Electronic Frontier Foundation задает вопросы:

  1. Что вы хотите защитить? (активы)
  2. От кого вы хотите защитить его? (противники)
  3. Насколько вероятно, что вам придется его защищать? (вероятность угрозы)
  4. Насколько плохи последствия в случае неудачи? (воздействие)
  5. На сколько проблем вы готовы пойти, чтобы предотвратить это последствия? (бюджет усилий)

Первые два вопроса легко задать, но на них сложно ответить конкретно. В третьем и четвертом случаях большинство любительских моделей угроз терпят неудачу — переоценка вероятности угрозы и последствий для сценариев с низкими ставками. фото

  • Коммуникации — текстовые сообщения, звонки, электронные письма, с кем и когда вы разговариваете
  • Финансовые — банковские счета, способы оплаты, криптокошельки, налоговая информация
  • Доступ к учетной записи — учетные данные и вторые важные факторы услуги
  • Документы — рабочие файлы, личные записи, журналы, фотографии
  • LИстория местоположений — где вы находитесь, куда вы идете
  • История просмотра и потребления — что вы читаете, смотрите, поиск

    • Общие категории злоумышленников

    • Незнакомцы (оппортунистические) — случайные воры, мошенники, ботнеты, подтасовывающие учетные данные. Они не знают, что вы существуете; они опрыскивают и собирают урожай.
    • Незнакомцы (мотивированные) — тот, у кого есть личная причина нацелиться конкретно на вас. Сталкер, презираемый бывший, онлайн-преследователь.
    • Знакомства — семья, партнер, бывший партнер, коллеги. Они что-то знают о вас и могут иметь доступ к вашим устройствам.
    • Работодатели — корпоративные ИТ-специалисты отслеживают и могут законно украсть данные о рабочих устройствах.
    • Поставщики услуг — Google, Apple, Meta, ваш интернет-провайдер, ваш телефонный оператор. У них огромные данные; их использование является их политикой.
    • Местные правоохранительные органы — могут получать данные посредством ордеров, повесток в суд, запросов в неотложных обстоятельствах.
    • Национальные разведывательные агентства — возможности вплоть до массового сбора, целенаправленная компрометация конечных точек, нераскрытое сотрудничество с технологиями компании.
    • Иностранные правительства — сильно различаются; для журналистов, активистов или деловых путешественников в некоторых странах угроза является острой.

    У большинства пользователей есть небольшая группа соответствующих злоумышленников

    Классическая ошибка: обычный пользователь планирует борьбу с противниками на национальном уровне, оставляя 2FA на основе SMS на своем основном электронном письме. Реальными противниками для большинства людей являются первые три категории. Планируйте их хорошо; более высокие категории являются излишними для обычной жизни.

    И наоборот, классическая ошибка, идущая в другом направлении: кто-то, у кого есть надежный противник в виде национального государства (журналист с интересами иностранного правительства, активист в авторитарной стране), использует защиту потребительского уровня и доверяет ей.

    Бюджет усилий

    Каждая защита требует затрат времени, денег, трение или способность. Их список:

    • Почти бесплатно. Надежные уникальные пароли от менеджера, включение 2FA для важных учетных записей, использование Signal для конфиденциального общения, настройки конфиденциальности браузера.
    • Самая низкая стоимость. Надежная подписка на VPN, аппаратный ключ безопасности, менеджер паролей подписка.
    • Значительные усилия. Использование только зашифрованных служб электронной почты, самостоятельное размещение служб ключей, настройка брандмауэров для каждого приложения, управление собственными ключами PGP.
    • Изменения образа жизни. Жизнь без смартфона, использование только наличных, избегание социальных сетей целиком.

    Правильный уровень зависит от того, что поставлено на карту. Большинство людей получают огромную выгоду от конфиденциальности на «почти бесплатном» уровне, а за его пределами отдача быстро уменьшается.

    Проработанный пример

    Обычный профессионал, обычная жизнь, умеренное внимание к конфиденциальности:

    • Активы: финансовые счета, электронная почта, рабочие файлы, фотографии.
    • Противники: Оппортунистические преступники (подброс учетных данных, фишинг, кража устройств), работодатели (мониторинг рабочих устройств является разумным), Google/Apple/Meta (использование коммерческих данных, не вредоносное, но не согласованное).
    • Защита: менеджер паролей + аппаратный ключ 2FA для электронной почты и финансов, полнодисковое шифрование на ноутбуках, браузер, уважающий конфиденциальность, блокировщик рекламы, периодическое использование сигналов для конфиденциальных данных темы.
    • Не преследует: Tor для всего, автономное размещение электронной почты, шифрование каждого документа, разделение личных данных. Затраты перевешивают выгоду для этой модели угроз.

    Журналист с источниками в цензурированной стране:

    • Активы: Идентификаторы источников, сообщения, черновики статей, история местоположений.
    • Противники: иностранное правительство, возможно, правительство-партнер, конкуренты работодателя.
    • Защита: Сигнал для всех источников связи, Tails или Qubes для работы с высоким риском, Tor для исследований, отдельные устройства для источников и повседневной жизни, отсутствие облачного хранения исходных материалов, SecureDrop для подсказок.
    • Агрессивное преследование: разделение, минимизация метаданных, дисциплина OPSEC.

    Одни и те же общие категории советов, совершенно разные конкретные решения.

    Ошибка мышления, основанного на единственной угрозе

    Люди часто строят безопасность вокруг одной заметной угрозы («правительство»), игнорируя при этом более вероятные («мой бывший», «случайное мошенничество»). Или наоборот. Реальная модель угроз учитывает одновременно несколько противников и допускает, что некоторые из них не будут устранены.

    Наиболее вредные нарушения конфиденциальности для большинства людей совершаются людьми, которых они знают, а не правительствами или незнакомцами. Домашнее насилие, преследование, споры об опеке, месть при приеме на работу. Защита от этих угроз выглядит иначе, чем защита от слежки со стороны государства.

    Просматривайте периодически

    Модели угроз меняются. Новая работа, новые отношения, новая политическая среда, новое состояние здоровья, новое хобби — все это может изменить то, что вы защищаете и от кого. Модель, которая соответствовала вашей жизни пять лет назад, сегодня может оказаться неправильной. Просматривайте четыре вопроса примерно раз в год.

    Часто задаваемые вопросы

    Действительно ли мне нужна модель угроз?
    Если ваш выбор конфиденциальности кажется вам тревожным или противоречивым, да. Модель не является документом; это основа для мышления. Даже 15-минутная мысленная прогулка по четырем вопросам обычно показывает, где вы вкладываете недостаточно или чрезмерно.
    Полезна ли паранойя?
    Конкретная, выверенная озабоченность. Генерализованная паранойя утомляет и не улучшает результаты — тревога сама по себе не делает вас безопаснее. Суть моделирования угроз заключается в том, чтобы направить беспокойство на конкретные действия и затем перестать беспокоиться об остальном.
    Что, если я не смогу идентифицировать своих противников?
    Большинство обычных людей подвержены типичным оппортунистическим угрозам. «У меня нет никого, кто специально нацелился бы на меня» обычно означает, что достаточно стандартных средств защиты — менеджер паролей, 2FA, осторожный переход по ссылкам, разумный браузер. Модель становится более конкретной, как и ваше фактическое воздействие.
    Как мне сбалансировать конфиденциальность и удобство?
    Сначала выберите наиболее мощную защиту (почти бесплатный уровень выше) и добавляйте больше трений только там, где угроза оправдывает это. Большинство потерь конфиденциальности происходит из-за отсутствия простых средств защиты, а не из-за пропуска продвинутых.
    Существуют ли стандартные шаблоны моделей угроз?
    На сайте EFF по самообороне наблюдения есть руководства для конкретных сценариев (журналист, активист, адвокат и т. д.). Security in a Box имеет руководства для конкретных регионов. Оба являются отправными точками; Ваша конкретная ситуация потребует адаптации.
    Построение модели личных угроз: как думать о конфиденциальности, не сходя с ума