Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Не то чтобы это требовалось для разработки и ведения более безопасной ОС, но и де Раадт, и Рутковская известны своим интеллектом и случайной социальной абразивностью. Они не боятся задеть чувства других, когда отстаивают свою позицию или высказывают мнение, особенно когда сталкиваются с давней, но ошибочной догмой. Они применяют эту бескомпромиссность и к продуктам, которые разрабатывают. Вам необязательно использовать OpenBSD или Qubes для обеспечения относительно безопасной ОС, но их использование, как правило, облегчает получение уровня безопасности выше среднего.

Большинство популярных операционных систем имеют относительно надежные значения и параметры по умолчанию, но они не всегда соответствуют рекомендуемым лучшим параметрам безопасности. Например, Windows 10 поставляется с минимальным значением длины пароля всего 6 символов, хотя Microsoft и большая часть мира безопасности рекомендует минимум 12, а то и 16 символов. Проблема в том, что популярные операционные системы должны обращаться к широкому кругу людей и сценариев безопасности. Казалось бы, безвредные параметры безопасности, такие как минимальная длина пароля, если они включены в «рекомендуемых» настройках, могут вызвать проблемы в работе в большом количестве сред и даже потенциально привести к ухудшению безопасности. Поэтому большинство производителей ОС делают акцент на один параметр, хотя и рекомендуют использование дополнительной защиты.

Эти рекомендации можно загрузить у вендоров и некоторых сторонних организаций. Например, рекомендации корпорации Microsoft можно загрузить по ссылке https://blogs.technet.microsoft.com/secguide/2016/07/28/security-compliance-manager-4-0-now-available-for-download/, а рекомендации Apple – с https://support.apple.com/en-gb/HT202739. Центр стандартов интернет-безопасности (https://benchmarks.cisecurity.org/downloads/) – один из самых популярных источников для третьих сторон.

Вендоры ОС и третьи стороны предлагают средства и программы для безопасной настройки различных операционных систем и приложений. У Microsoft есть свои рекомендации по безопасности (ссылка представлена в предыдущем разделе). Многие дистрибутивы Linux начинаются с экрана настройки на основе графического интерфейса пользователя, который задает несколько общих вопросов безопасности во время установки, чтобы помочь вам настроить ОС. Центр стандартов интернет-безопасности также предлагает участникам коммерческие средства настройки. Есть без преувеличения сотни инструментов настройки безопасности. Все они призваны помочь конечному пользователю или администратору легче применять параметры безопасности и управлять ими.

Мир ИБ полон надежных консорциумов промышленной безопасности, которые пытаются сделать вычисления более безопасными. Две группы, которые оказали большое влияние в последнее время, – это Группа надежных вычислений и Альянс FIDO.

Моя любимая отраслевая Группа надежных вычислений (https://trustedcomputinggroup.org/) работает над тем, чтобы придумывать и стандартизировать более безопасное оборудование и программное обеспечение. Она отвечает за многие из наиболее широко принятых, безопасных по умолчанию стандартов безопасности, таких как чип доверенного платформенного модуля и опаловые жесткие диски с самошифрованием. Если вы хотите узнать, что потребуется для создания действительно безопасных устройств и операционных систем, прочитайте все, что публикует эта Группа.

FIDO (быстрая онлайн-идентификация) Альянс (https://fidoalliance.org/) специализируется на замене простого входа в систему аутентификации паролем с более сильной альтернативой. Основанная в 2012 году, FIDO ориентирована на более надежную аутентификацию через браузеры и устройства безопасности при доступе к веб-сайтам, веб-службам и облачным предложениям. В настоящее время все методы аутентификации FIDO используют криптографию с открытым/закрытым ключом, что делает их очень устойчивыми к традиционным фишинговым атакам и атакам «через промежуточное звено». Сегодня у FIDO есть два способа аутентификации: универсальная платформа аутентификации (UAF) без пароля и универсальный второй фактор (U2F), метод двухфакторной аутентификации (2FA). Последний может использовать даже несложный пароль, потому что дополнительный фактор гарантирует общую прочность. Аутентификация FIDO должна поддерживаться вашим устройством или браузером, а также сайтом или службой аутентификации. Аутентификация на основе FIDO только набирает популярность, но, я полагаю, достигнет больших высот в ближайшее время.