Модель угроз и модель доверия
Когда вы думаете об анонимности, сначала нужно решить одну вещь.
Это вопрос: "От кого и что я хочу защитить?"
Полностью скрыть всю информацию от всех сторон на практике нереалистично. Кроме того, необходимые меры отличаются от человека к человеку.
У обычного частного лица, журналиста, заявителя о нарушениях, активиста и сотрудника компании различаются и то, что нужно защищать, и предполагаемые противники.
Подход, который помогает разобрать эти предпосылки, называется моделью угроз. А подход, который помогает разобрать, каким сервисам и сторонам вы доверяете, называется моделью доверия.
В этой статье модель угроз и модель доверия разбираются как предпосылки для размышления об анонимности.
Что такое модель угроз
Модель угроз — это способ разобрать, кто на что нацелен и какими средствами возникает риск.
В анонимности начинают со следующих вопросов.
- От кого я хочу защититься
- Что я не хочу раскрывать
- Связывание какой информации создаст проблему
- Какими возможностями обладает противник
- Какой уровень риска можно принять
Например, если вы не хотите, чтобы друзья узнали о другом аккаунте, и если вы защищаете источник от организации с сильными полномочиями, необходимые меры будут совершенно разными.
Если выбирать меры без модели угроз, можно сделать вещи сложнее, чем нужно, или, наоборот, пропустить важный риск.
Определить, что нужно защищать
Сначала нужно подумать, что именно вы хотите защитить.
В анонимности защищают не только настоящее имя.
| Что нужно защищать | Пример |
|---|---|
| Настоящее имя | имя, лицо, удостоверение личности, аккаунт под настоящим именем |
| Принадлежность | место работы, школа, организация, отдел |
| Привычные места | адрес, район поездок на работу, часто посещаемые места |
| Источники и связанные люди | информаторы, помощники, соратники |
| Содержание деятельности | публикации, расследование, сообщение о нарушениях, история просмотров |
| Маршрут связи | IP-адрес, DNS, место назначения, время связи |
Недостаточно просто сказать: "Я хочу быть анонимным". Нужно конкретно подумать, что с чем не должно связываться.
Определить, от кого нужно защищаться
Затем нужно подумать о другой стороне.
В анонимности видимая информация и доступные методы зависят от противника.
| Сторона | Информация, которая может быть видна | На что обратить внимание |
|---|---|---|
| Сайт назначения | IP-адрес, , состояние входа, содержание запроса | связаны журналы сайта и данные аккаунта |
| ISP и оператор связи | время подключения, IP места назначения, объем трафика и т. п. | содержимое HTTPS читать сложнее, но метаданные могут оставаться |
| -провайдер | информация о соединениях пользователя VPN | при использовании VPN доверенная сторона смещается к VPN-провайдеру |
| Пользователи той же Wi-Fi-сети | незашифрованная связь, состояние подключения | особенно важно на публичном Wi-Fi |
| Работа или школа | устройство, сеть, журналы, системы управления | административные права могут быть сильными |
| Исследователь или третья сторона | открытая информация, публикации, изображения, прошлые аккаунты | возможна корреляция через OSINT |
Когда противник определен, нужные меры становится легче увидеть.
Оценить возможности противника
Важен не только вопрос, кто является противником, но и какими возможностями он обладает.
Просто ли друг ищет в соцсетях. Может ли оператор сервиса видеть журналы доступа. Может ли администратор на работе или в школе видеть сетевые журналы. Может ли государственный орган запросить раскрытие записей у оператора связи.
Если возможности различаются, необходимые меры тоже меняются.
| Возможность | Что может быть возможно |
|---|---|
| Поиск открытой информации | искать имена пользователей, изображения, старые публикации |
| Просмотр журналов внутри сервиса | видеть IP-адрес, историю входов, историю действий |
| Управление сетью | видеть места назначения, объем трафика, DNS-запросы |
| Управление устройством | видеть историю браузера, установленные приложения, файлы |
| Юридические полномочия | запрашивать раскрытие записей у провайдеров |
Если предполагать максимальные возможности у каждой стороны, действовать реалистично становится трудно. С другой стороны, слишком низкая оценка возможностей противника опасна.
Нужно думать в реалистичных пределах, соответствующих цели.
Что такое модель доверия
Модель доверия — это способ разобрать, кому вы доверяете и кому не доверяете при использовании механизма.
Когда используются инструменты анонимности, меняется сторона, которой видна информация. Информация не исчезает, а иногда переходит к другой стороне.
Например, при использовании VPN сайт назначения может хуже видеть домашний IP-адрес. Но VPN-провайдер может видеть информацию, связанную с трафиком пользователя.
При использовании сайт назначения может видеть Tor exit node. Однако при ошибочном использовании Tor связь может возникнуть через состояние входа или информацию браузера.
| Метод | Доверенная сторона или механизм | На что обратить внимание |
|---|---|---|
| Обычное подключение | ISP, сервис назначения | может быть виден домашний или рабочий IP |
| VPN | VPN-провайдер | нужно доверять политике журналов и работе VPN-провайдера |
| Tor | дизайн сети Tor, практика использования Tor Browser | при неправильном использовании остаются другие признаки |
| Публичный Wi-Fi | оператор Wi-Fi, среда места | возможна связь с локальными журналами и камерами наблюдения |
| Облачный сервис | оператор сервиса | связаны аккаунт, журналы и сохраненные данные |
Когда вы думаете об анонимности, нужно смотреть не только на вопрос "безопасен ли этот инструмент", но и на вопрос "на доверии к кому построен этот дизайн".
Без модели угроз меры смещаются от цели
Без модели угроз меры легко расходятся с целью.
Например, если вы только не хотите показывать домашний IP сайту назначения, VPN может быть достаточно. Но если VPN-провайдер рассматривается как сторона, которой нельзя доверять, одного VPN может не хватить для вашей цели.
Если вы не хотите связывать аккаунт под настоящим именем с анонимным аккаунтом, Cookie, состояние входа, разделение браузеров, стиль письма и время публикаций иногда важнее маршрута связи.
Если заявитель о нарушениях работает с внутренними материалами организации, важны не только сетевой маршрут, но и метаданные документов, права доступа, история распространения и надежность места консультации.
Меры меняются в зависимости от того, что нужно защищать и от кого.
Думать по уровням риска
Модель угроз нужна не для того, чтобы каждый раз предполагать опасность максимального уровня.
У риска есть уровни. Человек, который хочет публиковать хобби под другим именем, и человек, который сообщает о нарушениях на работе, используют одно и то же слово "анонимность", но нуждаются в разной подготовке.
| Ситуация | Основные противники | Приоритетные меры |
|---|---|---|
| Низкорисковая публикация под другим именем | знакомые, ищущие третьи стороны | не использовать повторно имя пользователя, стиль письма и изображения |
| Консультация, которую не должны узнать на работе | коллеги, оператор сервиса | избегать рабочего устройства, обобщать содержание и время |
| Защита источника | связанные организации, исследователи | смотреть на канал связи, материалы и обратный вывод из опубликованной статьи |
| Сообщение о нарушениях | организация, стороны с юридическими полномочиями | осторожно обращаться с метаданными документов, историей доступа и местом отправки |
| Доступ к информации в условиях цензуры | ISP, государственные органы, операторы сервисов | разделять маршрут связи, устройство и физическую безопасность |
Чем выше риск, тем важнее не принимать решение только по статье.
Использование надежного места консультации, например юриста, организации поддержки или сотрудника редакции, отвечающего за безопасность, тоже является частью модели угроз.
Простая модель угроз, которую стоит составить сначала
С самого начала не нужно строить сложную модель угроз.
Для начала достаточно заполнить следующую таблицу.
| Вопрос | Пример |
|---|---|
| Что нужно защитить | настоящее имя, место работы, источник, привычные места, анонимный аккаунт |
| От кого нужно защититься | сайт назначения, работа, школа, третья сторона, государственный орган |
| Связывание чего создаст проблему | аккаунт под настоящим именем и анонимная публикация, IP и время публикации, документ и автор |
| Что может видеть противник | открытая информация, журналы сервера, журналы связи, информация устройства |
| Кому вы доверяете | VPN-провайдер, сервис публикации, место консультации, среда устройства |
| Что можно принять | низкорисковая анонимная публикация или высокорисковое сообщение о нарушениях |
Даже одно это заметно упорядочивает необходимые меры.
Итоги
Модель угроз — это способ разобрать, от кого и что вы хотите защитить. Модель доверия — это способ разобрать, на доверии к каким сторонам и сервисам строится ваше действие.
В анонимности нереалистично скрыть все от всех сторон. Нужно отдельно думать о том, что вы хотите защитить, о предполагаемом противнике, его возможностях, остающихся признаках и доверенных сторонах.
Смысл таких мер, как VPN, Tor, публичный Wi-Fi, шифрование и разделение аккаунтов, меняется в зависимости от цели.
Начальная точка размышления об анонимности — решить: "От кого, что и в какой степени я хочу защитить?"
Связанные инструменты
WhatIsMyIP
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
Tor Project
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
Proton VPN
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://protonvpn.com/
Mullvad VPN
Внешний ресурс, связанный с этой статьей. Открывайте его только если он подходит вашей ситуации и модели угроз.
Почему указано здесь: Он может помочь с темой статьи, но находится вне Anonymity Sense, поэтому перед использованием его нужно проверить.
URL : https://mullvad.net/