Польова кібербезпека. Як захистити зв’язок від ворога

💡 Усі статті, обговорення, новини про оборонні технології — в одному місці. Приєднуйтесь до Defence tech спільноти!

Привіт! Мене звати Дмитро Попов, і вже понад 10 років я працюю у сфері IT. Нещодавно мене призвали до лав Збройних Сил України. Під час служби нам розповідали про кібербезпеку та інформаційну гігієну. Маючи технічну освіту і знання в галузі комп’ютерних наук, я вирішив написати невелику статтю про основи кібербезпеки. Вона базується на теоретичних знаннях, практичному досвіді та спілкуванні з іншими військовими.

Ця стаття буде корисною для інженерів, які хочуть швидко зануритися в тему кібербезпеки або отримати її загальний огляд. Крім того, тут ви знайдете поради, що стануть у пригоді як військовим, так і цивільним, які можуть стати жертвами кіберзловмисників.

Отже, у статті розглянуто поняття кібербезпеки, основні методи та принципи, практичні рекомендації з військової кібербезпеки, а також наведено короткий огляд ключових подій в історії криптології.

Хоча я використовую технічні терміни, їхнє розуміння не є обов’язковим і наводиться лише для тих, хто бажає глибше зануритися в тему.

Що таке кібербезпека

Кібербезпека — захищеність життєво важливих інтересів людини й громадянина, суспільства та держави під час використання кіберпростору.

Кіберпростір — середовище (віртуальний простір), яке надає можливості для здійснення комунікацій та/або реалізації суспільних відносин, з використанням мережі Інтернет та/або інших глобальних мереж передачі даних.

Кібербезпека гарантується шляхом реалізації багаторівневих технічних механізмів захисту, які містять шифрування даних (AES, RSA), використання протоколів безпечної передачі інформації (TLS, HTTPS) та систем управління доступом (RBAC, OAuth).

Інструменти, як-то міжмережеві екрани (firewalls), системи запобігання вторгненням (IPS) і антивірусні рішення активно захищають периметр мережі та внутрішні ресурси. Системи моніторингу (SIEM) аналізують події в реальному часі, виявляючи аномалії, які можуть свідчити про спробу атаки.

Ключовим аспектом є впровадження сучасних методів автентифікації, таких як біометрія чи двофакторна автентифікація (2FA), а також контроль за оновленням ПЗ для усунення вразливостей. Використання технологій ізоляції контейнерів (Docker, Kubernetes) та віртуалізації (Hyper-V) обмежує зону впливу у разі компрометації. Регулярне проведення тестів на проникнення (penetration testing) і аудитів безпеки дозволяє виявляти слабкі місця і підвищувати загальний рівень стійкості до кіберзагроз.

Постійне створення резервних копій важливих даних та можливість їх швидкого відновлення в разі кібератаки або технічних збоїв дозволяє забезпечити стійкість інформаційної системи.

Кібербезпека гарантується через застосування криптографічних алгоритмів, які захищають дані в процесі передачі та зберігання. Алгоритми симетричного та асиметричного шифрування, як-то AES та RSA, забезпечують конфіденційність і цілісність інформації. Одночасно використовується криптоаналіз для тестування стійкості шифрів, що дозволяє виявляти потенційні слабкості у захисті. У поєднанні зі стеганографією, яка приховує дані всередині інших об’єктів (зображень, аудіофайлів), це створює додатковий рівень захисту, що ускладнює несанкціонований доступ до інформації.

Використання CAPTCHA у формах блокує автоматичні атаки, такі як DDOS і brute-force, запобігаючи несанкціонованому доступу до систем. Валідація й очищення даних допомагають уникнути ін’єкцій на кшталт SQL injection, які можуть спричинити витік чи пошкодження секретної інформації. Передача паролів методом POST замість GET виключає ризики їхнього збереження в кеші або журналах, що критично для збереження конфіденційності.

Дотримання правил зберігання паролів, зокрема їх хешування та уникнення використання cookies, захищає від крадіжки даних у разі витоку або атак типу XSS. Такі практики підвищують стійкість до загроз, зберігаючи цілісність і безпеку військових систем, які є основою ефективного управління ресурсами та даними в умовах сучасної кіберзагрози.

Деякі принципи кібербезпеки

Принцип найменших привілеїв (Principle of least privilege) стверджує, що за замовчуванням користувач отримує мінімальні права доступу, і ці права можуть бути розширені лише в разі реальної необхідності для виконання конкретних завдань.

Принцип Керкгоффcа (Kerckhoffs’s principle) — правило, згідно з яким архітектура системи не повинна потребувати секретності, її потрапляння до рук супротивника не має викликати незручностей, на відміну від секретних ключів. Іншими словами, при оцінці надійності шифрування необхідно вважати, що супротивник знає все про систему шифрування, що використовується, крім ключів.

Фреймворк кібербезпеки NIST (NIST Cybersecurity Framework, CSF) — це набір стандартів і керівних принципів, розроблених Національним інститутом стандартів і технологій США для допомоги організаціям у зниженні ризиків кібербезпеки. Основною метою є надання універсальної та гнучкої структури, яка допомагає організаціям ефективно керувати кіберризиками (cybersecurity risks).

Фреймворк NIST CSF складається з п’яти основних функцій: ідентифікація (Identify), захист (Protect), виявлення (Detect), відповідь (Respond) і відновлення (Recover), які допомагають організаціям запобігати, виявляти, реагувати на інциденти та відновлювати діяльність після атак. А також впорядковувати та покращувати свої практики кібербезпеки відповідно до специфічних потреб та ризиків. Крім того, фреймворк містить рівні реалізації (Implementation Tiers), що визначають ступінь зрілості кібербезпекових практик, а також профілі (Profiles), які дають змогу організаціям визначити поточний і бажаний рівень кібербезпеки.

Практичні поради для військових

Цифрові пристрої можуть стати джерелом проблем на фронті у таких випадках:

• Якщо ворог фізично їх викрав.
• Якщо ворог виявив їх за допомогою радіолокації.
• Якщо ворог перехопив передану пристроєм інформацію.

Для роботи можна використовувати інший смартфон, обов’язково захищений паролем та зі зміненими іменами контактів. Для мобільних пристроїв можна використовувати вбудоване шифрування (наприклад, FileVault на MacOS або BitLocker на Windows).

Дані на втраченому або вкраденому пристрої можуть бути доступні зловмисникам, якщо пристрій не захищений. BitLocker забезпечує додатковий захист, шифруючи дані, щоб зробити їх недоступними навіть у випадку, якщо пристрій потрапить до рук несанкціонованих осіб або буде перенесений на інший комп’ютер. Це знижує ризик несанкціонованого доступу до важливої інформації.

Почнемо з захисту інформації від перехоплення

Інтернет може бути мобільним, через Wi-Fi, дротовим чи через Starlink. Незалежно від цього, якщо ви використовуєте смартфон для виходу в інтернет, дотримуйтесь таких рекомендацій:

• Використовуйте кодові назви та позивні.

• Зателефонуйте, а не пишіть. Текстові повідомлення зберігаються.

• Використовуйте VPN (Virtual Private Network). VPN шифрує ваш трафік.

• Обирайте месенджери з E2E шифруванням, такі як Signal або WhatsApp.

• Не підключайтеся до невідомих мереж Wi-Fi.

• Заходьте на сайти, що підтримують протокол HTTPS. Щоб отримувати попередження, якщо сайт не використовує HTTPS, у налаштуваннях браузера Chrome на вкладці «Конфіденційність та безпека» увімкніть опцію «Завжди використовувати надійні з’єднання».

• Використовуйте багатофакторну автентифікацію (multi-factor authentication).

• Використовуйте аналізатори трафіку — сніфери.

• Встановіть антивірус.

• Не завантажуйте підозрілі файли та програми.

• Не відкривайте підозрілі посилання.

Насправді якщо ви використовуєте месенджер з шифруванням, VPN для нього не обов’язковий.

Протокол HTTPS (HyperText Transfer Protocol Secure) гарантує, що ви підключаєтеся до справжнього вебсайту, а не до підробленого, завдяки перевірці SSL/TLS сертифікатів, які підтверджують автентичність сайту.

HTTPS захищає від MITM-атак (Man-in-the-Middle) через шифрування даних та перевірку сертифікатів, що забезпечує автентифікацію сервера і захист від несанкціонованого доступу до переданих даних.

HSTS (HTTP Strict Transport Security) — механізм, який примусово залучає захищене з’єднання через протокол HTTPS. Ця політика безпеки дозволяє відразу ж встановлювати безпечне з’єднання замість використання HTTP-протоколу.

Заголовок відповіді HTTP Strict-Transport-Security (зазвичай скорочено HSTS) інформує браузери, що сайт повинен бути доступний тільки через HTTPS, і що будь-які майбутні спроби доступу через HTTP повинні автоматично перетворюватися на HTTPS.

Це безпечніше, ніж просто налаштування перенаправлення HTTP на HTTPS (301) на сервері, де початкове з’єднання через HTTP все ще вразливе до атаки «людина посередині».

Наприклад, ви підключаєтеся до безплатної Wi-Fi точки доступу в аеропорту і починаєте переглядати сайти, відвідуючи онлайн-банкінг для перевірки балансу та оплати кількох рахунків. На жаль, точка доступу, яку ви використовуєте, насправді є ноутбуком хакера, він перехоплює ваш початковий HTTP запит і перенаправляє вас на клон сайту вашого банку замість реального. Так ваші приватні дані стають доступними для хакера.

Strict Transport Security розв’язує цю проблему. Якщо ви хоча б раз відвідали сайт вашого банку, використовуючи HTTPS, і сайт банку використовує Strict Transport Security, ваш браузер буде знати, що потрібно автоматично використовувати тільки HTTPS, що запобігає таким атакам «людина посередині» з боку хакерів.

Коли ваш сайт вперше відкривається через HTTPS і повертає заголовок Strict-Transport-Security, браузер записує цю інформацію, щоб у майбутньому всі спроби завантажити сайт через HTTP автоматично використовували HTTPS замість цього. Зазвичай для шифрування використовують Шифрування з симетричними ключами, наприклад, AES (Advanced Encryption Standard), або Асиметричні алгоритми шифрування, зокрема, RSA.

Принцип Керкгоффса був сформульований криптографом Огюстом Керкгоффзом у праці «Військова криптографія» (1883). Він підкреслював, що безпека шифрування повинна базуватися на секретності лише ключа, а не на секретності самого шифрувального алгоритму. Це стало основою для багатьох сучасних криптографічних систем і забезпечило їх стійкість до потенційних атак навіть у разі, якщо алгоритм стає публічним.

Це означає, що навіть коли ворогу доступні знання про алгоритми RSA та AES, ми можемо їх використовувати, бо їхні розробники врахували принцип Керкгоффса.

Обирайте VPN-постачальників, що зареєстровані в країнах з сильними законами про конфіденційність і без обов’язку передавати дані урядам або третім особам. Переконайтеся, що VPN використовує сучасні протоколи шифрування. Наприклад, AES-256 — це стандарт шифрування, який вважається дуже безпечним.

OpenVPN — це програмне забезпечення для створення віртуальних приватних мереж (VPN), яке забезпечує захищене з’єднання між пристроями через незахищену мережу, таку як Інтернет. Його основна мета — шифрування даних, захист конфіденційності користувачів і забезпечення віддаленого доступу до мережі. OpenVPN використовує бібліотеку OpenSSL для шифрування даних.

Wi-Fi також має вразливості. Зараз рекомендується використовувати WPA3, якщо ваше обладнання підтримує цей стандарт, оскільки він забезпечує кращий рівень безпеки. Wi-Fi (Wireless Fidelity) — торгова марка Wi-Fi Alliance та загальновживана назва для стандарту IEEE 802.11

Зараз найбільш використовувані стандарти шифрування та захисту для Wi-Fi мереж — це WPA3 та WPA2:

• WPA3 — найновіший стандарт безпеки для Wi-Fi, який забезпечує більш потужне шифрування і захист мережі. Він використовує 192-бітне шифрування, захищає від атак, таких як злом пароля через грубу силу (brute-force) і покращує захист відкритих мереж за допомогою OWE (Opportunistic Wireless Encryption).
• WPA2 — попередня версія, яка все ще широко використовується, але має деякі уразливості. Зокрема, через атаки, що можуть зламати слабші паролі або використання старих протоколів шифрування. WPA2 використовує AES для шифрування даних і більш захищений, ніж старіші стандарти (WPA і WEP).

KRACK (Key Reinstallation Attacks) — це одна з найбільш відомих вразливостей WPA2. Вона дозволяє зловмисникам виконати атаку на процес повторної установки ключа, який використовується для шифрування трафіку між клієнтським пристроєм і маршрутизатором. Атака була виявлена у 2017 році.

Захист мобільного зв’язку

Не використовуйте старі телефони, які не підтримують 3G або 4G. Переконайтеся, що в налаштуваннях вашого смартфона обрано мережу 3G або 4G. Зазвичай за замовчуванням встановлена 3G або 4G мережа. Для Android це можна налаштувати в меню «SIM-карти та мобільні мережі» > «Переважний тип мережі».

Радіолокація та фізична втрата телефону

1. Не втрачайте телефон. Якщо ви його втратили, обов’язково повідомте про це.
2. Не дзвоніть групою — скупчення радіосигналів є привабливою ціллю. Дзвоніть по черзі.
3. Тримайте телефон вимкненим і вмикайте його лише у разі необхідності. Як мінімум, можна використовувати режим «у літаку».
4. Телефони можна зберігати в металевому ящику або пакеті з фольги, які діють як Клітка Фарадея і не пропускають сигнали.

Ваш командир пояснить вам порядок використання телефонів.

Радіостанції

Кілька важливих правил використання радіостанцій у прифронтовій зоні та зоні бойових дій:

• У разі втрати радіостанції негайно повідомте командиру підрозділу, щоб своєчасно змінити ключі та частоти в радіомережі.

• Для ведення переговорів завжди користуйтеся переговорною таблицею, де слова мають інше значення, що допоможе ввести ворога в оману.

• Для передачі використовуйте мінімально необхідну потужність, що значно ускладнить пеленгування радіостанції. При передачі на мінімально необхідній потужності сигнал є слабшим, і його можна виявити лише на короткій відстані.

• Використовуйте антени спрямованої дії, щоб покращити якість зв’язку та зменшити побічне випромінювання на ворожу територію.

• Зменште кількість переговорів та їх тривалість, формулюйте фрази коротко та чітко, не засмічуючи ефір непотрібною інформацією та особистими розмовами.

• Якщо використовуєте радіостанцію в стаціонарному варіанті, розташовуйте антену якомога далі від місцеперебування особового складу, оскільки засоби ураження наводяться на джерело випромінювання.

• Замаскуйте щогли та антени радіостанцій, оскільки їх видно на світанку та заході сонця.

• У разі встановлення режиму радіомовчання дотримуйтеся його чітко. Виходьте на зв’язок лише у критичних ситуаціях.

Віхи криптології

В книзі «Зломники кодів» (1967) американський історик Девід Кан розповідає історію криптографії, зокрема, згадує про решітку Кардано, шифр Цезаря, шифр Віженера, праці Трітемія по криптографії та стеганографії.

Основні віхи (milestones) криптології:

• Светоній описав Шифр Цезаря.
• Розроблений Шифр Віженера. У 1585 році Блез де Віженер написав «Трактат про шифри», в якому викладаються основи криптографії.
• Йоганес Трітеміус видав книги «Стеганографія» та «Поліграфія» про секретне письмо.
• Джероламо Кардано розробив Решітку Кардано.

• Джанбатіста делла Порта описав Симпатичне (невидиме) чорнило в книзі «Magia naturalis» (1558).
• Френсіс Бекон публікує бінарний шифр Бекона.
• Фрідріх Казіскі знайшов метод зламу Шифра Віженера.
• Розроблений Шифр Плейфера.
• Вимоги до криптосистеми вперше викладені в книзі Керкгоффса «Військова криптографія» (1883).
• Створений Шифр Вернама.
• Алан Тюрінг з командою взламують код машин Енігма та машини Лоренц в Блечлі-парк. Історія Блечлі-парк описана в книгах «Ультра секрет» (1974), автор Фредерік Вільям Вінтерботем, та «Історія шостої хати» (1982), автор Вільям Гордон Велчман.
• Злам групою Фрідмана так званого японського «Пурпурного коду» на початку Другої світової війни (1940 р.). Офіцер Едвін Лейтон (1903-1984) і Вільям Фрідман брали участь у розшифровці японських військових повідомлень. Едвін Лейтон написав книгу «І я був там: Перл-Харбор і Мідвей — розбиваючи таємниці» (1985).
• Виходить стаття Клода Шеннона «A Mathematical Theory of Communication» (1948) та «Communication Theory of Secrecy Systems» (1949). Шеннон вводить поняття міри інформації, поняття інформаційної ентропії, поняття абсолютно стійких шифрів, поняття confusion та diffusion в криптографії.
• Розробляється Протокол Діффі — Геллмана для обміну ключами.
• Розроблений криптографічний алгоритм RSA. Опис RSA було опубліковано у 1977 році Рональдом Райвестом, Аді Шаміром і Леонардом Адлеманом з Массачусетського технологічного інституту (MIT).
• Розроблено SHA-2 (Secure Hash Algorithm Version 2).
• Досліджується Квантова криптографія.

Деякі типи атак та аналізу:

• Cross-site scripting.
• Cross-site request forgery.
• Man-in-the-middle attack.
• Downgrade attack.
• Collision attack.
• Denial-of-service attack (and Slowloris attack).
• Timing attack.
• Lucky Thirteen attack.
• Padding oracle attack.
• Terrapin attack.
• Oracle attack.
• KRACK.
• Frequency analysis.

Джерела

• Військова кібербезпека.
• Кібербезпека під час війни.
• Рекомендації для військових ЗСУ по зв’язку.
• Strict-Transport-Security.
• Jon Erickson, «Hacking: The Art Of Exploitation».
• Douglas R. Stinson, Maura B. Paterson, «Cryptography:Theory and Practice».
• Wade Trappe, Lawrence C. Washington, «Introduction to Cryptography: With Coding Theory».
• Wenbo Mao, «Modern Cryptography: Theory and Practice».
• OWASP Testing guide.
• ISTQB Advanced Level Syllabus — Security.