Информационная безопасность

По просьбе Модератора, создаю тему по вопросам обеспечения информационной безопасности.

Небольшие условия:
1. Давайте уважать друг друга
2. Старайтесь чётко формулировать вопросы
3. Если Вы считаете что кто-либо из участников не прав, либо Ваша точка зрения отличается от точки зрения данного участника, не надо уподобляться подросткам пубертатного периода.

PS Ни в коем случае не правила, просто пожелания.

первый вопрос:

Но, а если к примеру такая ситуация, что заранее не известно кто. Т.е. есть какой либо носитель (ноут, винт, флэшка) и просто хотелось бы защитить на нем часть информации личного характера, на случай каких-то форс-мажерных обстоятельств (кража, пожар, утеря...), в результате которых этот самый носитель попадет в чьи то руки. Понятно, что какие то там организации вскрывать на нем ни чего не будут, т.к. я (к примеру) им просто не интересен. Но одно дело, носитель уйдет в руки наркомана, который его тут же загонит за треть цены, даже не попытавшись глянуть, чего там на нем, и совсем другое, в руки какого ни будь гика, который ради спортивного интереса обнаружив контейнер, начнет ломать его всеми доступными ему способами.

Как говорил Жеглов "пистолетики разбрасывать не надо", элементарная дисциплина серьёзно уменьшает возможность попадания личной информации в чужие руки.

Прежде всего надо принять за правило, что информация попавшая в интернет (даже зашифрованная, даже в закрытый каталог в облаке) в конце концов попадёт в руки недобросовестных граждан и представителей государств, будет дешифрована и тщательно изучена. Таким образом, хотим приватности информации- храним, обрабатываем и используем на устройстве отключенном (и никогда не подключаемом к интернету). Подключение отчуждаемых носителей к такой технике тоже нужно минимизировать носителями резервного копирования.
Хранение резервных копий необходимо осуществлять в зашифрованном либо заархивированном с паролем виде, в секретном месте (сейф,тайник).

По поводу "ломания" архивов, зашифрованных разделов и прочей информации низкоквалифицированными "хакерами" имеющими доступ к ПО позволяющему осуществлять подбор паролей либо ключа шифрования методом подбора (брутфорса).
В общих словах как это делается:
На компьютер устанавливается программное обеспечение, позволяющее использовать ресурсы видеокарты стоящей в системе (двух видеокарт либо специализированных блоков взлома), подключается виртуальный диск (незаметно снятый образ Вашей информации), либо физическое устройство (украденный\позаимствованный) и начинается тупой перебор паролей (могут использоваться словари, заранее подсчитанные хеши паролей, коллизии).
Современные видеокарты предоставляют достаточно серьёзные вычислительные возможности, поэтому использование самописных (конечно гениальных), либо непонятно кем (тем более непонятно с каким криптоалгоритмом) программ не рекомендуется.
Длина пароля: минимальная длина: 6 символов, максимальная: сколько надёжно можете запомнить (записывать пароль крайне не рекомендуется). использование в качестве паролей различные файлы, аппаратные носители увеличивают взломостойкость, но вопрос хранения и постоянного контроля выходит на первый план.
И последнее: файл попал к гику,которому скучно и у него есть необходимое ПО и достаточно своременная видеокарта для брутфорса.
Можно спать спокойно, если Вы использовали известные системы шифрования (Тру крипто, PGP ранних версий, Вербу, Крипто про (не CSP!!!), Safe disk (не версии 4 и позже)), пароль достаточно сложен (используются случайный набор символов включая спец символы, цифры, латиницу, кирилицу) По длине пароля говорить сложно (это зависит от конкретного ПО) но общее правило: максимально из возможный, случайный набор символов (думаю 15-20 символов запомнить реально). Есть нехитрые способы запоминания достаточно длинных комбинаций. И последнее существенно затрудняет взлом вложенные архивы либо зашифрованные порции информации (зашифровали по отдельности каталоги закинули в другой каталог и зашифровали их вместе.)

Михаил, спасибо за тему!

badydoc
Михаил, спасибо за тему!

Всегда пожалуйста

Прошу не обижаться, но в названии не хватает определения - "для чайников".

Тут в одной дружественной конторе гендир, узнав что по сети шастают супостаты, повелел всем часто менять пароли.
А там дырка на дырке и сеть вообще не мониторится)))

OCTAGON
но в названии не хватает определения - "для чайников".

Конструктивно, надеюсь Модератор поправит

OCTAGON
узнав что по сети шастают супостаты, повелел всем часто менять пароли.

akitukitua
Как говорил Жеглов "пистолетики разбрасывать не надо", элементарная дисциплина серьёзно уменьшает возможность попадания личной информации в чужие руки.

+много. Но всякое может случиться. Ктому же ни кто не знает, где и когда ему упадет кирпич на голову или сосулька, либо водитель не остановится на переходе.
Я к тому, что бывает, есть такая инфа, что не хочется, что бы кому либо она попала в руки, после смерти. Хотя не факт, что кто-то будет пытаться ее вытащить.

akitukitua
Прежде всего надо принять за правило, что информация попавшая в интернет (даже зашифрованная, даже в закрытый каталог в облаке) в конце концов попадёт в руки недобросовестных граждан и представителей государств, будет дешифрована и тщательно изучена. Таким образом, хотим приватности информации- храним, обрабатываем и используем на устройстве отключенном (и никогда не подключаемом к интернету).

Про облака я даже не заикался! Все что когда либо было выложено в интернет - достояние общественности 😊
Но вот, что всегда было интересно, чисто гипотетически: если инфа не представляет особой ценности, но тем не менее, не хочется что бы в ней ковырялись (опять же, фотоархив, или что-то чужое и нет желания, что бы потом были вопросы на счет авторских прав) и это все, что бы не занимать носители, распихано по контейнерам и выгружено на облако (возможно даже как BackUp), все равно соответствующие конторы будут "грызть" этот контейнер / архив, пока не вскроют, только из-за того что он запоролен? Только с целью узнать, что там?

А на счет отдельного компа, это конечно идеальный вариант! Но так лион нужен среднестатистиекому пользователю, не работающему с гос тайнам или информацией на много миллионов...

akitukitua
Современные видеокарты предоставляют достаточно серьёзные вычислительные возможности...

И последнее: файл попал к гику,которому скучно и у него есть необходимое ПО и достаточно своременная видеокарта для брутфорса.
Можно спать спокойно, если Вы использовали известные системы шифрования (Тру крипто, PGP ранних версий, Вербу, Крипто про (не CSP!!!), Safe disk (не версии 4 и позже)), пароль достаточно сложен (используются случайный набор символов включая спец символы, цифры, латиницу, кирилицу) По длине пароля говорить сложно (это зависит от конкретного ПО) но общее правило: максимально из возможный, случайный набор символов (думаю 15-20 символов запомнить реально). Есть нехитрые способы запоминания достаточно длинных комбинаций. И последнее существенно затрудняет взлом вложенные архивы либо зашифрованные порции информации (зашифровали по отдельности каталоги закинули в другой каталог и зашифровали их вместе.)

Не знал, что и тут можно использовать мощь производительных видеокарт...
Вот еще интеесно (думаю не только мне), а на что из программ, кроме ТруКрипта можно обратить внимание.
Тру, лично мне нравится тем, что позволяет не сохранять историю (где контейнер, а где файл ключ), может быть в портабельной версии, т.е. опять же не обязательно ставить его на компьютер. Контейнер не имеет каких либо расширений, позволяющих сходу, на первый взгляд понять, что это, ну и свое расширение поставить можно, после чего файл-контейнер остается полностью рабочим! Позволяет шифровать контейнер цепочкой до 3-х алгоритмов, вместо какого-то одного, ну и бесплатный конечно).
А какие программы Вы бы еще посоветовали?
"PGP ранних версий, Вербу, Крипто про (не CSP!!!), Safe disk (не версии 4 и позже))" Я так понимаю в более поздних версиях уже было что-то добавлено не хорошее?
Кстати, а что скажите за Steganos.Privacy Suite. Понимаю, это уже несколько другое. Но скрытие самого факта наличие какой либо важной инфы, тоже защита. Да и так, есть в ней удобные функции. Вот только, как не искал, так и не нашел, какие алгоритмы она испльзует. Вроде и в самой проге ни где не указано.

QUOTE]Изначально написано OCTAGON:
Прошу не обижаться, но в названии не хватает определения - "для чайников".
[/QUOTE]

Да, в основном так и есть)).

12 Oz Mouse
все равно соответствующие конторы будут "грызть" этот контейнер / архив, пока не вскроют, только из-за того что он запоролен? Только с целью узнать, что там?

12 Oz Mouse
А на счет отдельного компа, это конечно идеальный вариант! Но так лион нужен среднестатистиекому пользователю

12 Oz Mouse
Не знал, что и тут можно использовать мощь производительных видеокарт

12 Oz Mouse
на что из программ, кроме ТруКрипта можно обратить внимание.

12 Oz Mouse
Я так понимаю в более поздних версиях уже было что-то добавлено не хорошее?

12 Oz Mouse
Кстати, а что скажите за Steganos.Privacy Suite.

12 Oz Mouse
Вот только, как не искал, так и не нашел, какие алгоритмы она испльзует.

akitukitua
есть конечно специализированный процессоры, но цена...

да, ASIC - чипы, заточенные под выполнение конкретной задачи, например для вычисления HASH(проще говоря для вычисления пароля) кратно превосходят по производительности обычные GPU (видеокарты). Разработка и производство таких чипов стоит не малых денег. В свободной продаже я видел только ASIC для добычи криптовалюты (Bitcoin, Litecoin). Ценник на них демократичный за счет массового производства. ИМХО ASIC для различных алгоритмов шифрования есть только у Спецслужб.

akitukitua
информация как бы "вплетается" в файл не нарушая его структуру

Про пароли... на хабре любят такую картинку давать,как только речь заходит о

пароль достаточно сложен (используются случайный набор символов включая спец символы, цифры, латиницу, кирилицу

AlexSlash
ИМХО ASIC для различных алгоритмов шифрования есть только у Спецслужб.

Обычно для брутфорса на государственном уровне пользуют суперкомпьютеры, либо зомби сети, но это к нашей теме вообще никак.

AlexSlash
Помните шпионский скандал 2010 года?

han2er
на хабре любят

Есть простые способы запоминания: ассоциации, перевёртыши и многие другие, так что у обычного нормального человека не должно быть проблем с запоминанием.

и данная картинка подтверждает мою не любовь.

Кстати, сейчас во многих случаях пароль должен обязательно включать в себя:
- буквы в нижнем и верхнем регистрах (например, не менее одной заглавной буквы),
- не менее одной цифры,
- не менее одного знака препинания.
Если это требование не выполнено, то пароль не принимается.

Nick Brake
что в данном примере (4 случайных слова) неправильно?

Nick Brake
Кстати, сейчас во многих случаях пароль должен обязательно включать

Nick Brake
Если это требование не выполнено, то пароль не принимается

Наверно для конкретных случаев (например для системы VipNet Costum) это так и есть, неправда заключалась в шельмовании к терминам (впрочем как и всё на том ресурсе ИМХО), где там составители энтропию увидели мне в совсем непонятно.

akitukitua
Кстати неплохой вариант, даже при наличии дырок в системе, если интересно могу рассказать почти байку, как я сосвсем недавно на предидущем месте работы по интернету отлечивал АСУ от злобных вирусов.

akitukitua
Прежде всего надо принять за правило, что информация попавшая в интернет (даже зашифрованная, даже в закрытый каталог в облаке) в конце концов попадёт в руки недобросовестных граждан и представителей государств, будет дешифрована и тщательно изучена. Таким образом, хотим приватности информации- храним, обрабатываем и используем на устройстве отключенном (и никогда не подключаемом к интернету).

Прежде всего информация должна быть категоризирована.

akitukitua
Не просто будут, это делается постоянно, там несколько целей, одна из них тренировка

Даже слов нет... Цензурных. Они еще и тренируются! Так то разумно конечно, чем самим создавать запароленные файлы, а затем вскрывать...
А что еще за цели могут быть (если это не секретконечно)?

На счет отдельного аппарата, да я понимаю, что не обязательно мощный десктоп, можно все что угодно юзать. Все зависит от характера инфы и конкретных задач. Вот только наличие на борту у аппарата , который ни куда и никогда не выходит, Wi-FI, Bluetooth и прочех радостей, может напрягать, но в любом случае, смысл понятен.

akitukitua
Если по простому программа использует некоторые особенности хранения информации на жёстких дисках (файловую систему) и особенности контейнеров (avi, mp3, mp4), информация как бы "вплетается" в файл не нарушая его структуру и позволяя и дальше проигрывать фильм, музыку, просматривать картинку, а на деле там есть ещё кое-что, очень похоже на биологическую систему паразитирования.

Да, это я в курсе. Гонял ее когда-то на своем компе, интереса ради.
Но она еще и открытые сейфы может создавать (при чем там он не вооруженным глазом виден, а сама прога знает к нему путь). Ну и носители тоже шифровать может. В общем-то тоже удобно, если есть надобность скрыть информацию низкой ценности от соседа, который придя в гости, всякий раз любит порыться в компе, когда хозяин выходит.
А про то, что на стеганографию уже столько времени, как забили, не знал. Странно, почему так.

akitukitua
Обычно для брутфорса на государственном уровне пользуют суперкомпьютеры, либо зомби сети, но это к нашей теме вообще никак.

Т.е. кластеры или суперкомпьютер это что-то другое?

akitukitua
где там составители энтропию увидели мне в совсем непонятно.

12 Oz Mouse
Даже слов нет... Цензурных. Они еще и тренируются! Так то разумно конечно, чем самим создавать запароленные файлы, а затем вскрывать...

Судя по логам на внешних сетевых экранах китайцы удивительно массово лазят где ни попадя.

OCTAGON

Судя по логам на внешних сетевых экранах китайцы удивительно массово лазят где ни попадя.

Так может то не китайцы, а наши с их проксей или VPNов? Хотя смысла сейчас юзать именно китайские мало наверное.

OCTAGON
Да толку с таких замен, если система как проходной двор.

Если очень быстро крутить шашкой в дождь, то, говорят, не промокнешь.

Смысл в том, что когда у них действительно потырят нечто важное, руководство не сможет спихнуть это на персонал (пароль меняли, других указаний не было).
Наймут безопасника, тот выстроит грамотную систему. Меня учили, что ИБ нужна прежде всего собственнику, если первое лицо забивает на данную систему, то никакой гениальный специалист по ИБ ничего в данном случае не сделает.

OCTAGON
Тут важно понимать, что основная масса хранимой в корпоративной сети или на домашнем компьютере информации вообще ни в каком смысле не является приватной. Пример - фотки с корпоративов и отпусков или дистрибутивы с торрентов.

Вот тут я категорически не согласен, для конторы может фотки и не нужны (хотя если там лгбт шоу и главный в неглиже гоняет по сцене заднеприводных это тоже очень ценная инфа для конкурентов). А для конкретного сотрудника это может быть как положительная так и отрицательная сторона. (одно дело он с членами правления при галстуке тёрки трёт и совсем другое, если он стриптиз танцует).
Публикация материалов об организации требует очень вдумчивого отношения, так что, лучше это поручить грамотной службе внешних коммуникаций, под присмотром безопасников. Имидж он дорогого стоит.

OCTAGON
Прежде всего информация должна быть категоризирована.

12 Oz Mouse
А что еще за цели могут быть (если это не секретконечно)?

Тренировка, осваивание бюджета, борьба с инокомыслием, сбор компромата, поиск новых систем шифрования и противодействия им, для нужд разведки\контразведки, там масса задач.

OCTAGON
Энтропия в данном контексте - случайные значения.

Информацио́нная энтропи́я - мера неопределённости или непредсказуемости информации, неопределённость появления какого-либо символа.

Я один вижу различие между определением и использованием?
Ладно, предлагаю закрыть тему хабра, у нас тут свой междусобойчик, так сказать для чайников, пускать "крутышки" там меряются, наша задача провести первичный ликбез, а там пусть каждый сам решает что и как.

12 Oz Mouse
Так может то не китайцы, а наши с их проксей или VPNов? Хотя смысла сейчас юзать именно китайские мало наверное.

akitukitua
Если очень быстро крутить шашкой в дождь, то, говорят, не промокнешь.

akitukitua
Смысл в том, что когда у них действительно потырят нечто важное, руководство не сможет спихнуть это на персонал (пароль меняли, других указаний не было).
Наймут безопасника, тот выстроит грамотную систему.

akitukitua
Меня учили, что ИБ нужна прежде всего собственнику, если первое лицо забивает на данную систему, то никакой гениальный специалист по ИБ ничего в данном случае не сделает.

А специалист может выстроить некоторые элементарные вещи, которые сделают взлом не совсем уж тривиальным.

Вот об этом и, полагаю, сея тема.

akitukitua
А вот это бесспорно, безопасность с инвентаризации начинается.

akitukitua
Вот тут я категорически не согласен, для конторы может фотки и не нужны (хотя если там лгбт шоу и главный в неглиже гоняет по сцене заднеприводных это тоже очень ценная инфа для конкурентов). А для конкретного сотрудника это может быть как положительная так и отрицательная сторона. (одно дело он с членами правления при галстуке тёрки трёт и совсем другое, если он стриптиз танцует).

akitukitua
Информацио́нная энтропи́я - мера неопределённости или непредсказуемости информации, неопределённость появления какого-либо символа.

Я один вижу различие между определением и использованием?

Термин "энтропия" строгий смысл имеет сугубо в термодинамике.
А прочих же областях используется как некая аллегория неопределённости, при этом смысл варьирует в зависимости от контекста применения.

Столько-то байтов энтропии - вполне допустимая формулировка, означающая столько-то байтов хрен знает чего.

OCTAGON
Подскажите, плз, китайскую проксю.

Проксю сейчас не подскажу, но тот же платный VPN hideme.ru, позволяет выбрать в настройках и китай, в том числе.
Кстати, народ, а как вобще у него с надежностью? Ведь в зоне RU все так и...

OCTAGON
Обычно заунывные пьянки.

ИМХО иногда и этого может хватить.

12 Oz Mouse
VPN hideme.ru

12 Oz Mouse
ИМХО иногда и этого может хватить.

Такие проблемы точно вне компетенции корпоративных админов.

OCTAGON
Выдам вам страшную тайну.Первые лица за очень малым исключением ничего не понимают во многих вопросах, коими успешно руководят.И информационной безопасностью в том числе.

OCTAGON
А специалист может выстроить некоторые элементарные вещи, которые сделают взлом не совсем уж тривиальным.

OCTAGON
Инвентаризация, это таки имущественный учёт.

OCTAGON
Вот об этом и, полагаю, сея тема.

OCTAGON
Ни разу не видел в архивах крутых огрий. Обычно заунывные пьянки.

OCTAGON
Термин "энтропия" строгий смысл имеет сугубо в термодинамике.

Специалист, это тот, что сертификат соответствующий имеет. Обычно это и приводит к печальным последствия.

Дать можно по разному.
Я ранее работал с WatchGuard x, Cisco ASA и Juniper SRX.
А тут недавно случилось на периметр ставить TL-ER6020.
А чё, прикольно)))

Вопросы хорошо. Но полемика тоже неплохо.

Я термодинамику изучал)))
https://ru.wikipedia.org/wiki/Энтропия
Впервые введён в рамках термодинамики как функция состояния термодинамической системы, определяющая меру необратимого рассеивания энергии. В статистической физике энтропия является мерой вероятности осуществления какого-либо макроскопического состояния. Кроме физики, термин широко употребляется в математике: теории информации и математической статистике. Энтропия может интерпретироваться как мера неопределённости (неупорядоченности) некоторой системы (например, какого-либо опыта (испытания), который может иметь разные исходы, а значит, и количество информации[1][2]). Другой интерпретацией этого понятия является информационная ёмкость системы. С данной интерпретацией связан тот факт, что создатель понятия энтропии в теории информации Клод Шеннон сначала хотел назвать эту величину информацией. В широком смысле, в каком слово часто употребляется в быту, энтропия означает меру неупорядоченности системы; чем меньше элементы системы подчинены какому-либо порядку, тем выше энтропия.

О. Ну собственно есть вопросы )))

фабула

Тут в последнее время сильно ругают за пароли/материалы на флешках - все должно быть в облаках. Ибо "если ты флешку пролюбил, то что, работать не можешь? Отчет ты тоже пролюбил? А материалы к кому попали - иди и ищи!" Это из серии "два спеца в одном самолете в отпуск не летают" )))

Опять же, в работе множество софтин/документов/ресурсов - множество паролей. За списки паролей (блокнот/ворд) сильно ругают, принцип такой же, все должно быть в облаке, все должно быть в "робоформе" типа в этом ( http://www.roboform.com/ru ), оно типа автоматом пароли везде проставляет.

Ну или запоминай, если не хочешь в облака. Второй момент, передача полномочий, ну там отпуск-больничный-увольнение. Не должно быть физического контакта ))) в смысле передачи носителя, в идеале все лишь пароль и краткое описание чего откуда куда (это в облаке, облако не потеряешь).

При этом тренд в сторону тонких клиентов, железо в аппаратной, у пользователей только монитор с мышью-клавиатурой через аттеновские KVM свичи - расстояние и экономия, две железяки на один монитор. Но тут как всегда перегибы с жесткостью в одном и полной жопой во втором.

Т.к. принтеры только у тех кто связан с набором текста, парня чуть не уволили за то что воткнул флэшку в сервер а после в принтер (обязан был отчет с экрана перерисовать! ))) Не шутка. Но народ на те же серверы заливает/скачивает фильмы, игры итд - главное не делать это демонстративно.

Контроль доступа. Тут Mifare или I-Button от Dallas (или обыкновенные замки), желательно камера над дверью где эти карточки или таблетки, увы так не везде, но админы ратуют за это. Ибо передача карточек/таблеток/пропусков исключается, ну можно концы найти если что, лицо видно.

В качестве кнута для работников столы вдоль стен "подковой" с руководителем в центре, или вебка у каждого за спиной, пока только на уровне разговоров, по причине дефицита средств, скорее всего будет счастье в виде "подковы" ))) Периодически скриншотить мониторы у нас не очень популярно, хотя может быть введут и это. У архитекторов в городской архитектуре - это практика, шоб не заигрывали)))

В серьезных фирмах где интеллектуальная собственность более-менее, типа того же эпама, только динамичнее что ли, первым делом дают зубрить свод правил безопасности, чего нельзя. А этого нельзя дохрена, там коробка бумаги как от телевизора ))) Ну нельзя со своим железом, со своими носителями итд.

Это очевидное, из менее очевидного, прогерам нельзя заниматься железом и наоборот, админы должны только админить причем каждый свой узкий сектор, и так далее вплоть до маршрутов утверждения документации и житейских кадровых вопросов. Короче типа стандартов безопасности в широком смысле ))) Это так, лирика.

вопросы

- насколько оно надежно в этих самых облаках?
(не лучше ли пароли хранить на флешке ну или на сервере на крайний случай?)

- что за оно этот самый робоформ? ну и это автоматическая вставка паролей?
(слей все пассы сразу, по аналогии с барсеткой - пролюби все документы оптом?)

- насколько надежна комбинация флешка+RAR+пароль?
(я учу пароли в текстовом файле хранить, архивировать с паролем и на флешку,
при этом флешек две, одна рабочая, вторая резервная в сейфе или гм в тайнике)))
вроде как алгоритм шифрования архивов весьма трудноразгрызаемый на сегодня...

- для общения филиалов да и отделов нужно нечто вроде скайпа, что это может быть?
(чатиться/файлообмен/группы, со скайпом в последнее время мутации происходят)))
понятно, что засвечивание такой переписки и файлобмена крайне нежелательно

есть еще myusb.only насчет ценности не в курсе, возможно баловство, шобы не тыкали не зарегистрированные флешки. Ну это из доступного в сети, оно понятно, что есть всякие Zecurion Zlock только кто ж денег на это все админу даст )))

Михаил, еще бы хотелось, может что-то в виде FAQ-ка - советы простым пользователям. Думаю у вас есть некоторые рекомендации, начиная от основ: операционка (какая?), ее обновления, антивирь (нужен-нет? тут конечно Савва придет 😀, Савва, не обижайтесь, вы знаете, я ваше мнение уважаю, хотелось бы и от вас увидеть что-то аналогичное. Может по железу что-то? Или по винде, типа её тонкие настройки, отдельной темой?), домашняя сеть (роутеры, прошивки и прочее). Тема безопасности она обширная, я это пониманию. Для дома требования одни, для "ящика" другие. Ну так, в общих чертах, давайте попробуем рисовать некие советы для "чайников" (хотя, мне этот термин не очень нравится).
Как мне это видится:
операционка желательно - вин7, со всеми критичными обновлениями
антивирус - Аваст
пароль на вход в систему - 8-м символов
конфеденциальные даннные храним на флешке, зашифрованной тру-крипом методом ХХХХ
ну т.д.
это всё, конечно, просто пример.

OCTAGON - вам сразу предупреждение выдам, много "воды" переходящей во флуд. Я бы хотел увидеть в этой теме советы спецов и вопросы к ним от людей, нуждающихся в совете, а не вопросы какая прокся лучше. Для этого можно и отдельную тему замутить. Надеюсь на понимание.
З.Ы. ну и вопросы "зачем? почему? нахрена? какое они имеют право?!" - давайте оставим за рамками этой темы. Как и обсуждение вопросов противоречащих законодательству РФ. Михаил - хозяин этой темы. Ребят, сообщения которых он будет удалять - я буду жестко карать 😛
З.З.Ы. спорить до хрипоты не запрещаю, но конструктивно 😛

badydoc
еще бы хотелось,

Ок желание Модератора закон 😊

Можно попробывать общие рекомендации исходя из примерного понимания целей и задач обычного пользователя.

1. операционная система:
Моя убеждённость в физическом разделении данных, которые не жалко потерять и данных жизненно необходимых непоколебима. Засим
Первое устройство -- комп (ноут) под Ваши текущие задачи.
ОС: если приверженцы винды то на данный момент 7ка. В ней отключаем редактирование удалённого реестра, автоматические обновления, скрытые ресурсы (типа $admin, $C), службы wins,netbios, В сетевом соединении удаляем клиента для клиентов сети Майкрософт. И вообще нужно принять за правило, что в сетевых соединениях кроме IP протокола (версии 4 или 6) ничего не должно быть (дома).

Лично мне нравиться программулинка Windows 7 Manager (руссифицируется). В ней есть все необходимые настройки для комфортной работы, не надо лазить в реестр, разбираться с ключами, всё просто и наглядно. Есть триальный период 14 дней, что вполне достаточно.

Защита: Тут можно долго холиварить выскажу свою точку зрения:
Если пользователь чайник (а этот текст именно для чайников), то желательно пользоваться комплексными решениями безопасности известных брендов

Comodo (есть всё включая песочницу, контроля устройств и даже браузер свой)
Outpost( есть триальный период, но переодически можно купить пожизненный ключ за порядка 1-1,5 тыс рублей)
Касперский (комплексный продукт хоть многие и ругают, ключ на год на 5 устройств порядка 1 тыс рублей), несмотря на большую "любовь" к данному продукту могу сказать, что в последнее пару лет ребята достаточно поддтянулись.
Либо железо стало шустрее, либо код оптимизированней, но факт, жалоб на тормоза не поступает.
Остальные продукты не могу рекомендовать, с чем то не работал, что-то на мой взгляд кривое.

Чем хорош комплексный продукт: всё из одной коробки (что зачастую дешевле и априоре безконфликтней), можно постепенно настраивать один элемент за другим, но зачастую есть базовые преднастройки, позволяющие сразу получить приемлемый уровень безопасности, такие продукты пишут крупные конторы имеющие обратную связь с пользователями, плюс большая прослойка юзеров в интернете с лихвой заменяющая тех поддержку.
Шифрование: спорный момент, я бы не стал на основном устройстве его использовать, информация свободнораспростроняемая, потерять не жалко так что смысла огород городить я не вижу.
Резервное копирование: на мой взгляд обязательный элемент, идеальный вариант на отдельный (физический, не логический) диск. Самый лучший вариант настроить теневое копирование (в справке всё разжёвано), плюс включить ежедневную точку сохранения для системного раздела.

Если Вы приверженец Unix подобных ОС (либо есть желание попробывать) могу посоветовать убунту. Со временем, сами найдёте свой дистрибутив, писать много смысла нет их такое количество, что думаю что никто даже всех названий не знает.

2. Второе устройство: нетбук, ноут, планшет (с внешней клавиатурой).
Данное устройство служит для хранения "критичной информации", засим полное шифрование (Тру крипто на данный момент версии 7.0 один из лучших кандидатов)
Данное устройство никогда не подключается к инету поэтому общее правило, все драйвера к устройствам коммуникации не ставятся (сетевая карта, вайфай, блютуз, ик порт, сом и лпт порты отключаются в устройствах). Системный раздел обязательно шифруется целиком (Тру крипто в помощь) пароль максимально из возможных, на заставку Тру кипто ставится "синий экран" либо "мигающее подчёркивание". Информация хранится на подключаемых контейнерах (полезно иметь нескольок контейнеров для разных видов информации (фот, видео, документы, либо другая классификация)). Пароль контейнеров должен отличаться от пароля на вход в систему.
Подключение ЮСБ носителей к такому устройству нужно ограничить одним устройством, зарегистрированным в системе (самый простой вариант, запретить установку драйверов).

резервные копии: сложный вопрос, зависит от стоимости информации (и обьёма разумеется). один из лучших способов DVD-RaM диски, у меня информация хранится порядка 10 лет на данный момент всё работает. Жёсткий диск тоже неплохо. Информация шифруется. Устройства запечатываются в упаковку критичную ко встрытию (например почтовые конверты для отправлений 1 классом или подобное). Хранение сейф, тайник, ячейка в банке, на что хватит фантазии.

Вот первая часть. попозже поговорим о выработке взломостойких паролей, их хранении и запоминании.
Если есть вопросы\дополнения всегда готов обсудить.

Howk
насколько оно надежно в этих самых облаках?

Надёжно (потеря) - да,
безопасно (имеется ввиду возможность доступа сторонних глаз)- категорически не надёжно.

Howk
что за оно этот самый робоформ? ну и это автоматическая вставка паролей?(слей все пассы сразу, по аналогии с барсеткой - пролюби все документы оптом?)

Howk
- насколько надежна комбинация флешка+RAR+пароль?

Howk
- для общения филиалов да и отделов нужно нечто вроде скайпа, что это может быть?

12 Oz Mouse
Кстати, народ, а как вобще у него с надежностью?

Я немного "поспамлю", надеюсь Aki не будет возражать )))
"может, пригодится" (с))) анекдот

Защита и аналитика
www.securitylab.ru
http://www.securitylab.ru/software/

Программа AVZ
www.z-oleg.com
http://z-oleg.com/secur/avz/download.php
http://z-oleg.com/secur/aps/download.php

Антивирус Лозинского (Dr.Web)
www.drweb.ru
http://www.freedrweb.com/cureit/

Антивирус Avast!
www.avast.com
http://www.avast.ru/download-software

http://files.avast.com/iavs9x/avastclear.exe
http://files.avast.com/iavs9x/avast_free_antivirus_setup.exe

Антивирус Касперского
http://www.kaspersky.ru/
http://www.kaspersky.ru/virus-scanner

http://www.avp.by/
http://www.avp.by/?top=9&set=21

Антивирус ESET NOD32
http://www.esetnod32.ru/
http://www.esetnod32.ru/download/home/trial/
http://www.esetnod32.ru/download/utilities/sysinspector/

Антивирус ADINF
http://adinf.com/ru/
http://adinf.com/ru/download/

Антивирус Avira
http://www.avira.com/ru/
http://www.avira.com/ru/downloads
http://www.avira.com/ru/downloads#tools

Антивирус Ad-Aware
http://www.adaware.ru/
http://www.adaware.ru/download.htm

Восстановление USB
http://flashboot.ru/
http://flashboot.ru/files/

BSD сложно?
www.pcbsd.ru

Get System Info GSI
http://www.getsysteminfo.com/
http://www.getsysteminfo.com/download/GetSystemInfo.zip
http://www.getsysteminfo.com/d...tSystemInfo.exe

Блокиратор всплывающих окон Ad Muncher
http://www.admuncher.com/
http://www.admuncher.com/download.shtml

Антивирусные программы
(в шутливой форме)

- Касперский (KAV/KIS). Пехотный батальон. Становится лагерем вокруг компьютера, роет окопы и противотанковые рвы, минирует, обматывает колючей проволокой, распределяет сектора обстрела пулеметов. Получившуюся оборону можно прорвать лишь при пятикратном численном превосходстве и только после многочасовых бомбардировок.
* Преимущества: Враг сможет пройти, превратив компьютер в выжженную пустыню.
* Недостатки: Солдат надо кормить, минные поля и окопы затрудняют перемещение.

- Лозинский (Dr.Web). Батальон карателей. Окружает компьютер оцеплением, устанавливает военное положение, патрулирование, комендантский час и расстрел за провинность. Каратели хватаются за оружие по любому поводу, и даже если повода нет, избивают прикладами всех, даже если это хозяин. Если ходить с поднятыми руками, медленным шагом и повесить на грудь пропуск, есть шанс, что бить будут не долго.
* Преимущества: Враг не пройдет.
* Недостатки: Хозяева тоже.

- AVG. Батальон ополченцев. Вооружен, но пользоваться оружием не умеет, периодически стреляет по своим, накрывает артиллерией не те квадраты. При появлении противника на горизонте начинает рыть окопы прямо под пулями. В итоге ничего сделать не успевает, бьет по танкам из винтовок, разумеется, без толку.
* Преимущества: Ополченцы обходятся подножным кормом, ресурсы не страдают.
* Недостатки: Высока вероятность сдать позиции при появлении противника.

- Avast. Артиллерийская батарея. Эффективна против лобовой атаки. Врага, наступающего с фронта, способна перемолоть в любых количествах. Однако для ударов c фланга, тем более, против заброшенных в тыл диверсантов, уязвима. Разумеется, после того, как орудия будут развернуты, перемалываются и диверсанты, но на это требуется время.
* Преимущества: Артиллеристов мало и они кормят себя сами. Система остается почти нетронутой.
* Недостатки: Низкая оперативность. Боязнь атак со спины (стелсы, руткиты и прочие партизаны).

- Panda. Женский батальон. Вооружен бутафорскими винтовками. При шорохе начинают визжать и палить наугад. При виде противника падают в обморок. Дисциплина отсутствует.
* Преимущества: Практически не заметен.
* Недостатки: Эффект тоже не заметен.

- NOD32. Кавалерийский батальон. Оборону держать не обучен, при виде врага бросается в атаку. Пытается взять психической атакой шашками. Если это не удается, рассеивается по оврагам, уходит в партизаны и ждет момента повторить процедуру. Периодически топчет своих, диверсанты для лошадей незаметны.
* Преимущества: Лучшая оборона - нападение, тактика срабатывает, но не сразу.
* Недостатки: У местных программ рождаются плагины, похожие на неприятеля, а батальон все партизанит.

- McAfee. Танковая бригада. Рычат моторы, пахнет смазкой. Выглядит внушительно, работает быстро, эффективно и безжалостно. Враг проникнуть не может от страха.
* Преимущества: Надежность.
* Недостатки: Танковая смазка очень дорога, не говоря уже о снарядах.

- Norton. Оккупационная армия. Офицеры на правах победителей пьют шнапс в ресторанах, солдаты бегают по дворам, реквизируют съестное, занимаются мародерством. Враг в страну не пролезет. Но и жизнь в условиях оккупации не сахар.
* Преимущества: Граница на замке.
* Недостатки: Враг уже внутри.

- Trend Micro OfficeScan. Батальон наемников. Работают быстро, и эффективно, но за деньги. Не слушают никого, кроме своего офиса. Готовы сжечь детский сад, если из офиса сообщат, что это вражеский опорный пункт.
* Преимущества: Nothing personal, just business.
* Недостатки: Денег нет? Защиты нет!

- AVZ. Профессионал-одиночка. Десантируется с флешки, уничтожает противника динамитом, вычисляет шпионов в тылу, на ходу проводя фейс-контроль союзников. Быстро чинит повреждения, даёт советы по повышению бдительности и уходит в красный закат.
* Преимущества: Готов драться без окопов. Работает бесплатно, очень быстро.
* Недостатки: Одиночка.

---

По опыту. Без разницы что стоит, если народ не шастает где не нужно, ну и почту в стиле "открой меня" не открывает. Эти гады в последнее время хитрыми стали (уведомление о банкротстве от ооо "рога и копыта" - шифратор шрифтов). Нод не тормозит, но если лазят не там где нужно, то и не спасает.

Касперский получше, но может тормозить не новое железо. С ним бывают баги, если софт с которым работает ищет пути к файлам и запускает их по расписанию, то касперский вполне успешно посчитает вирусом )))

Касперский хорош дополнительными софтинами, порой весьма полезными. Утилитами для того, чтобы прибить конкретного гада, getsysteminfo - поглядеть что в системе, kvrt - одноразово проверить; ну и сайт z.oleg: avz - комбайн по проверке пк для админов скорее, aps - сканнер портов

Аваст использует VRDB (Virus Recovery Database) в которой хранятся описания файлов ядра, программа знает, как должна выглядеть чистая система, можно обнаруживать изменения в файлах ядра и восстанавливать пораженный файл до исходного состояния. Но его самого потом трудно вычистить)))

Неплохо отзываются о встроенном микрософтофском антивирусе, при условии дисциплины. Но не пробовал, по словам тех у кого десятка стоит.

Aki, спасибо большое за ответы!

Howk
Михаил, спасибо большое за ответы!

akitukitua
В ней отключаем редактирование удалённого реестра, автоматические обновления, скрытые ресурсы

Как отключение автоматического обновления способствует повышению уровня безопастности?

akitukitua
Outpost( есть триальный период, но переодически можно купить пожизненный ключ за порядка 1-1,5 тыс рублей)

Outpost уже всё...

В результате достигнутых договоренностей Agnitum прекращает прямые и партнерские продажи продуктовой линейки Outpost. Тем не менее, компания продолжает выполнять свои обязательства перед действующими клиентами. Обновление антивирусных баз, исправление ошибок и техническая поддержка будут осуществляться до 31 декабря 2016 года.

Для дальнейшего обеспечения безопасности ПК предлагаем вам воспользоваться специальным предложением. Всем обладателям активных лицензий Outpost мы предлагаем бесплатно заменить свою лицензию Outpost на лицензию Kaspersky Internet Security. Предложение по миграции ограничено по времени.

han2er
Как отключение автоматического обновления способствует, повышению уровня безопастности?

han2er
Outpost уже всё...

Ну, поскольку для "чайников"
(домохозяинов/хозяек/секретарш)

Типичные ошибки

- общедоступные диски 'c', 'd'
- отсутствие обновлений Wndows
- антивирус Kaspersky 6.0 ("пират")
- встроенный в Windows брандмауэр
- отсутствие фйервола или его настроек
- браузер IE (непропатченный) или opera
- учетная запись с правами администратора
(работа в системе с правами администратора)
отформатируйте диск с правами пользователя )))

Использование паролей

- не записывать пароль в открытом доступе
- не посылать пароль по электронной почте
- не сообщать пароль (близким, друзьям, соседям)
- не сохранять пароли к сайтам в браузерах и программах
- использовать в качестве пароля словосочетание, а не слово
- использовать фонетическую замену Luv2Laf' для Love to Laugh
- не использовать в качестве пароля слова, их найдут в словаре
- использовать буквы нижнего и верхнего регистра, цифры и символы
- не использовать один и тот же пароль для разных учетных записей или программ
(один пароль для нескольких аккаунтов, например Gmail ну и для интернет-банкинга)
- не использовать буквы в порядке раскладки (фыва/олдж), последовательные числа (1234)
- не использовать "ротацию" паролей (пароль1-пароль2-пароль3 для разных учетных записей)
- не использовать пароль, содержащий личную информацию (имя, дату рождения) или очевидные данные: имя супруга (супруги), ребенка, домашнего животного, регистрационный номер машины, почтовый индекс, периметр, квадрат, диагональ, грань цифровой клавиатуры...

Использование портов

Файрвол (брандмауэр) скажем, Agnitum Outpost Firewall/McAfee DesktopFirewall - тут я не совсем понимаю в сетях, это можно и прокомментировать, поскольку это из памятки, могу сильно ляпнуть )))

- разрешить NETBIOS соединения для локальной сети, отключить данный протокол для VPN-соединения (порты 137, 138, 139, 445)
- разрешить исходящие соединения на 80 и 443 порты браузеру и менеджерам загрузок (IE, opera, firefox, flashget, downloader master)
эти порты используют для работы web-сервера (443 порт - соединение через SSL)
- разрешить менеджеру закачек (FlashGet, Windows Commander) доступ на FTP (исходящий по 21 порту и входящий по 20)
- разрешить соединения приложениям Windows Media Player и Winamp (для прослушивания бесплатных радиостанций)
- разрешить соединения для почтовых клиентов (Outlook, The Bat!) на порты:
25 (SMTP - для отправки сообщений),
110 (POP3 - для получения сообщений),
143 (IMAP - для обмена сообщениями)
- разрешить соединения для программ обмена мгновенными сообщениями (ICQ, Miranda, AIM, YIM)
- разрешить соединения на 53 порт (DNS-сервисы) для получения IP-адреса по имени узла в сети
- разрешить доступ на порт 6667 IRC-клиентам, если таковые имеются
- разрешить ICMP-пакеты (EchoRequest, type 8; EchoReply, type 3)
- запретить все входящие соединения на порт 135 (RPC)
- установить блокирование остальных соединений

сейчас еще пошарю, что себе помечал когда то

Howk
разрешить NETBIOS соединения для локальной сети,

- критическая информация касается бухгалтерии (главный бухгалтер ее апостол)))
- далее технари с ноухау и технологиями, после кадровики с личной информацией

Компьютеры, на которых есть конфиденциальная информация, сводятся в закрытую сесть, доступ к ней со своих машин, подключение незарегистрированных машин (нубуков, планшетов) носителей запрещен, желательно подключаться проводом, а не wifi (тем более не светить точку), опять же точка питается от отдельного бесперебойника.

. ибо бывают приколы, старое здание, проводка искрит, ну и если точка накрылась, а на ней вся бухгалтерия висит, то бухгалтерия до обеда занимается шоппингом)))

Для страждущих или по необходимости создается мини-сеть (одно-два-три места) с выходом в интернет, эти машины/устройства не входят ни в какие сети. Заводятся зарегистрированные флэшки, которым разрешено подключение к компьютерам закрытой сети, остальные блокируются, флешки проверяются на вирусы раз в неделю.

. это конечно в идеале, реально пожалуй только с флэшками, блочить их, речь не о силовиках, а об обычных офисных крысках среднестатистического офиса

- "документ отправят по электронной почте" - тут выход в интернет через прокси с ограничением "post" ("upload")

. сайты видно, а вот при попытке загрузить (отправить сообщение на форуме) ничего не происходит...

- ограничение доступа носителей ну и около того

* DeviceLock http://www.devicelock.com/ru/products/
* Zecurion Zlock http://www.zecurion.ru/products/

задачи по обеспечению, как бы дело "больших мозгов", но как-то так:

- разработка и обновление перечня сведений, содержащих коммерческую тайну
(что защищается и где это бегает, кто имеет доступ, какие риски)
- обучение персонала работе с документами, содержащими коммерческую тайну
(начиная от "текстом к себе/вниз", вышел/заблокировал и до стандартов)
здесь же блокнот/флешка/телефон/ключи всегда с собой или под ключ
- разработка нормативных документов по сохранности коммерческой тайны
(допсоглашение о неразглашении или договор где о возмещении)
- нормы делопроизводства с грифом коммерческая тайна
(ограничение дступа к сети/машинам/документам/бумаге)
- меры воздействия к разглашающим коммерческую тайну
(обучение/ограничение доступа/возмещение/увольнение)
- правила хранения и уничтожения бумажных документов
(что в папках, что в картотеке под замком, что в сейфе)
шредер, документация из отдела только в виде конфети

Ключей не много, но и не мало. Скажем у руководителя / доверенных лиц и в дежурке в шкафу/сейфе под замком. Иначе могут быть приколы, когда основной комплект сперли, а запасные "должны были быть" - резка сейфов/выбивание дверей тот еще фестиваль )))

все вроде, большего не рожу )))

Howk
все вроде, большего не рожу

Маленькие фирмочки (рекламные агентства из "человеко-оркестра", компьютерная-офисная всякая штука сервисная) по сути не очень далеко от простого пользователя, им хотя бы так как вы описали, а денег обычно кот наплакал. Интересно когда ресурсов мало, а выкрутиться нужно, ну там партизанский маркетинг, малобюджетные решения )))

Про дом в плане ИБ до этого не думал, только хабр почитывал, там эти статейки про взлом домашних сетей (вайфай/корпоративный) из под линуксов и роутеров типа микротика, атаки-рукопожатия итп, чем школьники хаброувлеченные баловаться могут ))) Может быть весьма неприятно в плане доказывания, что ты не верблюд )))

Тут тоже подскажите, пожалуйста, какие минимальные действия, чтобы обезопасить вай-фай подключение. Это полезно будет, мало кто сейчас сидит через витую пару. "Эй, Билли! Спили антенку!" )))

В общем, чайник, почитав сии опусы, станет разве что заварочным, ну кофейник может быть... :-D Короче, структурировать надо инфу. Вряд ли чайник станет сисадмином предприятия, и забивать мозги такому вумными словями бесполезно. А личная сетка сетке рознь, и требования разные к работе и безопасности. В любом случае будет компромисс между удобством работы и ограничениями. Вот тут и надо это искать. И все советы тогда расписывать, а не шаманить "потому что так принято". Например, почему семёрка? Имхо, в ней неплохой интерфейс, но сильно достают неснимаемые ограничения на запись в системный диск от пользователя: скажем, банально в программе не поправить настройки - запрет записи (привет Тотал командиру!:-D) а каждый раз запускать от админа - привет безопасности, да :-D задолбало! К тому же что у семёрки в потрохах и сетевых протоколах - только Билли знает. Имхо, лучше привыкнуть к 8.1 хотя бы. Ну и при установке обновлений - думай что ставишь, читай мануал к ним! Ежели безопасность главное (да и семёрку уже дообновляли до обязательности сливать Биллу свою инфу в приказом порядке...). А хороший совет пользовать правильные корпоративные системы - Во-первых дорогой для дома, а Во-вторых, в первую очередь приведёт к обязательной установке всех обновлений операционки. Так что такие противоречивые советы тут наделают вам "безопасности" :-D

Жизнь усложнилась в плане технологий, ну и азы нужны всем, теперь толика сетевой и компьютерной грамотности это наряду с умением разговаривать, ну и тут же безопасность в виде элементарной домашней IT бдительности)))

Даже банальные вещи, типа имея активированный итернет/смс банкинг на телефоне не давать никому позвонить, не писать пины на карточках заместо фамилии и не забывать их, не забывать ключи и ими пользоваться во всех смыслах. Именно дома и нужен регламент, ибо "а что такого" - расслабляет )))

мне вот про безопасную вафлю интересно, ибо соседские дети талантливые )))

Куш-тэнгри
В общем, чайник, почитав сии опусы, станет разве что заварочным, ну кофейник может быть... :-D Короче, структурировать надо инфу

Куш-тэнгри
Имхо, в ней неплохой интерфейс, но сильно достают неснимаемые ограничения на запись в системный диск от пользователя

Куш-тэнгри
А хороший совет пользовать правильные корпоративные системы - Во-первых дорогой для дома, а Во-вторых, в первую очередь приведёт к обязательной установке всех обновлений операционки. Так что такие противоречивые советы тут наделают вам "безопасности" :-D

Howk
Тут тоже подскажите, пожалуйста, какие минимальные действия, чтобы обезопасить вай-фай подключение.

на счет настроек роутеров, такой вопрос - как вы относитесь к нестандартным прошивкам домашних роутеров? Например прошивка "от Олега" для аsus wl500 такая была. Или известная DD-WRT?

badydoc
как вы относитесь к нестандартным прошивкам домашних роутеров?

Спасибо, aki!

> как вы относитесь к нестандартным прошивкам домашних роутеров

Хорошо. OpenWRT очень неплоха, https://openwrt.org . Только надо разбираться на практике в них, опыт иметь, для того, чтобы эффективно использовать возможности. А возможности богатые, обычно не в пользу прошивки от производителя. Но есть исключения, например, Mikrotik. Они и так хороши.

Howk
мне вот про безопасную вафлю интересно

1.Отключить WPS (Wi-Fi Protected Setup) протокол полуавтоматического создания беспроводной сети Wi-Fi. На большинстве роутеров WPS включен по-умолчанию. В 2011 году была опубликована уязвимость данного протокола, позволяющая злоумышленнику в разумно короткие сроки получить пароль WPA/WPA2 любой сложности. Большинство стараний производителей как-то усложнить brutefore WPS пин кода сходят на нет, так как появляются все новые виды атак(Pixie Dust) на этот протокол.

2. Не надеяться на фильтрацию по MAC-адресу. Подмена MAC, дело нескольких секунд.

3. Нельзя делать сеть скрытой. Так ваше устройство все время будет искать вашу скрытую сеть и "кричать" в эфир: Ищу скрытую сеть такую-то. А где нибудь, вне действия вашего WiFi, какой нибудь злоумышленник, сможет используя вектор атаки Karma, втюхать вашему устройству ту сеть, которую ищет ваш девайс. Произойдет автоматическое подключение и трафик пойдет через подложную WiFi точку доступа.

4. Про гостевую сеть уже писали, дополню: Для надежного доступа лучше поднять Radius-сервер с отдельным логином и паролем для каждого пользователя. Дело в том, что злоумышленник заполучивший пароль от WiFi сможет "на лету", расшифровывать трафик всех подключенных к WiFi устройств.

5. Пароль не менее 10 символов: Строчные и прописные буквы, цифры и спецсимволы.

6. Если хватает навыков, то лучше поменять прошивку на OpenWRT/DD-WRT, но будьте осторожны, можно получить "кирпич".

7. Использовать протокол WPA2 и ни в коем случае не использовать WEP.

8. Частотный диапазон работы сети лучше использовать 5ГГц. Так как пока очень мало поддерживается WiFi-адаптеров с частотым диапазоном 5ГГц, позволяющих работать в режиме мониторинга. Проще говоря, чтобы похулюганить, соседские дети в основном используют 2,4 ГГц.

9. Никогда не пользуемся халявным WiFi!

Спасибо!

Вопрос: как максимально бюджетно защититься от различных неприятностей с возможностью блокирования некоторых ресурсов, атак "третий по середине", "прослушивания трафика" и подобного.

Ответ: Не вдаваясь в политическую сторону вопроса.

Использование VPN сервисов, различных гейтов, прокси серверов и анонимайзеров решают данные проблемы. Но данные вещи достаточно сложно в грамотной настройке, либо требуют финансовые вложения.
Самый простой вариант: использование различных плагинов к браузерам. Одним из лучших решений на мой взгляд является Browsec, плагин доступен к лиси и хрому, также есть портабельное решение.

akitukitua
Использование VPN сервисов, различных гейтов, прокси серверов и анонимайзеров решают данные проблемы. Но данные вещи достаточно сложно в грамотной настройке, либо требуют финансовые вложения.Самый простой вариант: использование различных плагинов к браузерам. Одним из лучших решений на мой взгляд является Browsec, плагин доступен к лиси и хрому, также есть портабельное решение.

badydoc
можно подробную инструкцию для "чайников"

badydoc
Ну и расписать почему это важно

Хранение личных данных. Где хранить? Если личное, то у себя! Насколько важна надёжность хранилища? Если важна, имеет смысл хранить в разных "корзинах". Хотя бы в двух. Халявные облачные хранилища можно использовать. Но нет гарантии...

Сегодня оптимальным способом хранения (личной информации) являются внешние диски от 1Тб и выше. Диск должен быть установлен "намертво" (не переноситься). Кроме того, он должен быть постоянно подключен к порту компьютера/ноутбука, а включаться подачей питания.

В этом смысле серия "WD My Book" является идеальной. RAW-файлы с фото камеры имеют размер 25-30Мб. Простой подсчёт показывает, что на диске в 2Тб уберётся около ста тысяч фото снимков. Довольно массивные сканированные копии документов, проекты фотошопа или чертежи.

Лучше сортировать информацию по темам на уровне дисков. Например, проект, под который куплен диск на пол теребайта. Есть диск - работа. Есть диск - хобби. Есть диск - свадебное фото. Есть диск - личное фото. Плюс четыре терабайта копий (тайм капсула и WD, DVD-диски важных сессий)...

Вариантов много, но хранить наработки (фото, видео, тексты) на внутреннем системном диске - верх глупости! Вставить в usb "жопу" компьютера или ноутбука десятипортовый USB-хаб с питанием. Сканер, ДВД-привод, два принтера, кардридер, "флешки", внешний диск на терабайт...

По поводу доступа: нет питания, нет и доступа. По поводу источников питания внешних дисков: не питайте диск, и компьютер не будет его видеть. Когда нужно, включите питание. Лучше это делать тумблером, а не тыкать в розетку.

Ноутбук или десктоп? Ноутбук хороший вариант, но он раза в два дороже того, что можно купить для ящика. Мобильность - это плата ))) Моноблоки с большим экраном (от 27 дюймов) - это для людей, кто не озабочен играми, а работает в прикладных программах. Но нужно 2-3 штуки баксов.

Провода? В компьютер воткнут один провод 220 вольт и задействованы два гнезда USB. В системе внешний пишущий привод, внешний сканер, два принтера, кардридер. Так можно избавиться от хитросплетения кабелей и шнуров.

Компактность. Для дома (текстики, книжечки, фотографии, телефонная книжка и планировщик смартфона, электронная почта, скайп-телеграм-зелло, соцсеть, мультики-фильмы-музыка) подойдет нетбук-неттоп (удобнее иметь внешний экран, беспроводную клавиатуру и мышь).

Удобство. По поводу клавиатуры и мыши: выбирать на 1 пальчике ("АА") никаких минипальчиков "ааа", у них невысокая емкость и малое время работы. Например, мышь Logitech M235 (или M310, N315) - дешево. Постоянно должны быть пальчики в запасе, или мышка с хвостиком...

Howk
Так, ну и снабдим картинками, воспринимается все же лучше, чем просто слова. Мышка, WD My Book в виде контейнера для жестких дисков, usb концентраторы. Дальше немного разбавим картинками домашних рабочих мест - как иллюстрация использования связки нотбук-монитор, ну и чтобы дома это все же не напоминало берлогу сисадмина. Не столько про безопасность, сколько комфорт, хотя одно от другого недалеко находится. Ибо должно быть сначала удобно, потом безопасно. Собственно, aki и bady посвящается )

akitukitua
Да вроде всё написал: скачивается хром либо файерфокс, устанавливается плагин Browsec из магазина плагинов и работает, настроек там нет. Недостаток один: достаточно низкая скорость работы.

akitukitua
К сожалению, на данный момент состояние здоровья не позволяет писать большие тексты, как оклемаюсь, обязательно напишу обзорную статью, но думаю для "чайника" достаточна сама аксиома "нужно защищаться".

badydoc
я про VPN имел ввиду

Howk
[b]Хранение личных данных. Где хранить? Если личное, то у себя!
[/B]

Тут все понятно - ни о каких выгрузках на облака речи быть не может! Тем более если там такое творится...
[/B][/QUOTE]

Howk
Диск должен быть установлен "намертво" (не переноситься). Кроме того, он должен быть постоянно подключен к порту компьютера/ноутбука, а включаться подачей питания.
В этом смысле серия "WD My Book" является идеальной.

А почему именно так? Если инфа не нужна постоянно, может имеет смысл прикупить док-станцию для HDD и помещать нужный диск туда, как в картридер флэшку. К тому же док-станции под них, обычно оборудованы еще и E-SATA.
И вот, подумалось про отключение питание диска - не будет ли постоянное вкл/вкл питание преждевременной причиной смерти HDD. (хотя в станции получается почти тоже самое...)

Howk
Лучше сортировать информацию по темам на уровне дисков. Например, проект, под который куплен диск на пол теребайта. Есть диск - работа. Есть диск - хобби. Есть диск - свадебное фото. Есть диск - личное фото. Плюс четыре терабайта копий (тайм капсула и WD, DVD-диски важных сессий)...

Это да... Но с нынешними ценами на диски, так ведь и разориться недолго. Кстати, a почему из оптических носителей только DVD, а не BD-R?? Все так и объем несопостовим. Я не поспорить ради, мне реально интересно - т.к. еще мало опыта юзания данных носителей.

[/B][/QUOTE]
На счет остального, Х.З. Если по съемным хатам не мотаться, ящик ИМХО все же предпочтительней.
А по мышам и клавам беспроводным, да, так и удобно, но и на микропальчиковых вроде были у менямыши, которые держали долго. Главное на 2.4Ггц брать, не знаю, есть сейчас или нет уже, раньше какая-то часть была на 27Мгц. Вот те и кушали хорошо и говорят "только от стола относишь, как сигнал пропадает.

12 Oz Mouse
А по мышам и клавам беспроводным, да, так и удобно, но и на микропальчиковых вроде были у менямыши, которые держали долго. Главное на 2.4Ггц брать, не знаю, есть сейчас или нет уже, раньше какая-то часть была на 27Мгц. Вот те и кушали хорошо и говорят "только от стола относишь, как сигнал пропадает.

http://www.remote-exploit.org/...4ghz/index.html

Да это соображения не мои, а профессионального фотографа, который должен где-то хранить большие объемы фото-видео. Для домашнего пользователя вполне пригодится. RAID-SSD это уже для для админов и фанатов...

Что касается беспроводных мышей-клавиатур, то столы часто неудобны, а хвосты мешают расположить клавиатуру мышь там где хочется и постоянно перекладывать тоже неудобно если стол маленький. Но небезопасно.

AlexSlash
Для тех, кто заморочен на IT безопасности:Настоятельно не рекомендую пользоваться беспроводными клавиатурами.

AlexSlash
Для тех, кто заморочен на IT безопасности:
Настоятельно не рекомендую пользоваться беспроводными клавиатурами. Сигнал от них может быть перехвачен и расшифрован. Также возможна инъекция зловредного кода.

http://www.remote-exploit.org/...4ghz/index.html

Да это понятно, но тут, смотря кто, где и НА СКОЛЬКО заморачивается безопасностью. Кто-то и комнату экранирует).

12 Oz Mouse
НА СКОЛЬКО заморачивается безопасностью

Кстати, а ведь правильное затирание инфы на носителях, тоже часть информационной безопасности?

akitukitua
Заморачиваются ровно на столько, сколько стоит защищаемая информация.

Ну тут не соглашусь. Знаю одного параноика, у которого в принципе ни чего ценного быть не может)).

akitukitua
Знаете стоимость оборудования бесконтактного сьёма информации?

akitukitua
В качестве самоуспокоения пойдёт, это как раз тот случай, когда можно даже обережек повесить

AlexSlash
Михаил, если Вы считаете, что некий обережек защитит Вас от перехвата данных с беспроводной клавиатуры, то Вы заблуждаетесь.

AlexSlashЕсть конечно еще один вариант, это как анекдот про "Неуловимого Джо", который весь такой не уловимый потому, что никому не нужен и его никто не ловит.
[/B]

последнее моё, что то совсем ганза лажает

akitukitua
От того что показали Вы мой обережек защищает на раз Показывать не буду дело не хитрое, но всё таки НОУ ХАУ, кто "шарит" в электронике соорудит на раз.

Михаил, но все же, Вы ведь дома не будете постоянно сидеть с включенным "обережком", а то современному человеку и так хватает разных излучений. 😊
А вот представьте ситуацию, когда лицо, обладающее важной информацией, которая могла бы быть очень интересна конкуренту/злоумышленнику, пользуется дома беспроводной клавиатурой и даже не представляет об угрозе. Я очень часто вижу на рабочих столах различных лиц, обладающих интересной информацией, беспроводные клавиатуры. Так вот, всем кто переживает за информационную безопасность, я бы посоветовал не пользоваться беспроводными клавиатурами.

Степень риска утечки минимальна, но все же она имеет место быть и технически это возможно.

P.S. А в роли "обережка" у Вас случайно не Красуха-4 припаркована под окном? 😛

AlexSlash
Вы ведь дома не будете постоянно сидеть с включенным "обережком", а то современному человеку и так хватает разных излучений.

AlexSlash
А вот представьте ситуацию, когда лицо, обладающее важной информацией, которая могла бы быть очень интересна конкуренту/злоумышленнику, пользуется дома беспроводной клавиатурой и даже не представляет об угрозе.

AlexSlash
Так вот, всем кто переживает за информационную безопасность, я бы посоветовал не пользоваться беспроводными клавиатурами.

AlexSlash
Степень риска утечки минимальна, но все же она имеет место быть и технически это возможно.

AlexSlash
P.S. А в роли "обережка" у Вас случайно не Красуха-4 припаркована под окном?

А кто какими прогами для затирания инфы пользуется? Какие стандарты ОК?

akitukitua
Он пассивный Фактически примитивное экранирование..

Экранирование комнаты?? 😛ipec:

12 Oz Mouse
А кто какими прогами для затирания инфы пользуется?

12 Oz Mouse
Какие стандарты ОК?
Что такое "ОК"?

12 Oz Mouse
Экранирование комнаты??

akitukitua
Что такое "ОК"?

Имел в виду, какие из них (и прог и стандартов) можно считать надежными...

Наверное туплю с недосыпу - а аппаратное это как?

12 Oz Mouse
можно считать надежными

12 Oz Mouse
а аппаратное это как?

akitukitua
Смотря кто будет восстанавливать и категория информации.

Это конечно. Ну, допустим, набытовом - полубытовом уровне, куллхацкер какой нить...
Eraser нормальная прога?
А на счет стандартов, тут наверное Gutmann (35 passes) надежнее всего окажется... Вот только долго. Но там же есть стандарты уничтожающие инфу за 1-3 прохода... (?). Интересно на сколько они уступают.
А если предположить, что инфу поднимать будут профи?

12 Oz Mouse
Eraser нормальная прога?

12 Oz Mouse
Интересно на сколько они уступают

12 Oz Mouse
А если предположить, что инфу поднимать будут профи?

akitukitua
Для какого носителя?

Да в общем-то разные интересны. Как HDD разных поколений, так и флэшки.

Сбор мусора, это всмысле затирание пустого места на носителе? Тоже нужно конечно, но Eraser еще удобен, когда нужно например один-два файла смахнуть. Понятно что подобных прог много, просто попался как-то он мне первым.

Про СТЕК почитал ради интереса, оказывается стертые в нем HDD допускают повторное использовани. Странно, обычно все эти электромагнитные стиратели выводят диск из строя...

12 Oz Mouse
Да в общем-то разные интересны. Как HDD разных поколений, так и флэшки.

12 Oz Mouse
Сбор мусора, это всмысле затирание пустого места на носителе?

12 Oz Mouse
оказывается стертые в нем HDD допускают повторное использовани

Внимание!
Массовый взлом почтовых аккаунтов!

Reuters: российские хакеры похитили личные данные 272 млн пользователей

Подробнее на ТАСС:
http://tass.ru/obschestvo/3258149

UPD.
И вот еще одна статья:

"Лаборатория Касперского": взломанная база пользователей, скорее всего, низкого качества

Подробнее на ТАСС:
http://tass.ru/obschestvo/3258547

Cyberia
Внимание! Массовый взлом почтовых аккаунтов!

Скажите пожалуйста, как можно открыть закрытый паролем архив ВинРАР, самым простым способом. Архив свой. Возможно, допустил ошибку при установке пароля или поврежден сам архив ВинРАР (если такое возможно).

ВольныйДух
Скажите пожалуйста, как можно открыть закрытый паролем архив ВинРАР,

> На предидущем месте работы мой работодатель (не без моей помощи) потратил порядка 1 млн зелёных для организации переговорной, серверной и защищённого сегмента сети, но затраченные деньги окупились сторицей.

Как вы определили, что затраты окупились?

maxifox
Как вы определили, что затраты окупились?

Что это за атака на переговорную, потери от которой составили 15 млн?

Извините, я, конечно, деталей не знаю. Но атака на переговорную??

maxifox
Извините, я, конечно, деталей не знаю.

maxifox
Но атака на переговорную??

Особо подходящей темы на нашел. Можете подсказать, кто то тут пользуется прокси серверами? Только не бесплатными и жутко тормознутыми, а адекватными и стабильными. Мне вскоре понадобится, вот прицениваюсь. Друг закупает у http://advanced.name/ru, но мне бы что подешевле. Или стоит переплатить?

Rupion
Или стоит переплатить?

Вспомнилось мне про такую интересную сеть, как SS7 (она же ОКС-7 или CCS7).
Получивший к ней доступ злоумышленник, может перехватывать входящие\исходящие вызовы сотовой связи, смс, координаты телефона и т.д.
В 2001 году доступ к ней был у забугоных спец-служб, в конце 2000=х ковыряться в ней могли техники-монтажники сотовых компаний, потом доступ стали получать простые смертные. Самый простой из них получив себе в офис минибазовую станцию, Фемтосоту. SS7 это край не пуганых зверей... там даже файрволов нет, дорого это. ))

Читаем WhatsApp удаленно:

Берем в руки свой или почти свой телефон, заходим в WhatsApp, далее в настройки.
Ищем пункт меню WhatsApp Web.
С компьютера заходим на сайт https://web.whatsapp.com/
Сканируем телефоном QR-код со страницы выше указанного сайта, выходим из настроек на телефоне, закрываем Whatsapp.
Далее читаем переписку через сайт.

P.S. Никогда не давайте свой телефон посторонним лицам. Не оставляете телефон без присмотра. Телефон должен блокироваться кодом или иными способами.

А в свойствах мобильного клиента будет висеть еще одно подключение )))

Seytar
А в свойствах мобильного клиента будет висеть еще одно подключение )))

Окно в Россию: почему в правительстве готовятся защищаться от Microsoft

https://russian.rt.com/russia/...portozameshenie

Cyberia
почему в правительстве готовятся защищаться от Microsoft

AlexSlash
Читаем WhatsApp удаленно:

Берем в руки свой или почти свой телефон, заходим в WhatsApp, далее в настройки.
Ищем пункт меню WhatsApp Web.
С компьютера заходим на сайт https://web.whatsapp.com/
Сканируем телефоном QR-код со страницы выше указанного сайта, выходим из настроек на телефоне, закрываем Whatsapp.
Далее читаем переписку через сайт.

P.S. Никогда не давайте свой телефон посторонним лицам. Не оставляете телефон без присмотра. Телефон должен блокироваться кодом или иными способами.

Не знал такой способ...
А так, имея в руках свой или почти свой телефон, можно переписку читать в самом приложении, а в папке с WhatsApp-ом кстати, сохраняются все перекинутые кому либо (или от кого) фото и видео! Тоже желательно чистить иногда.

AlexSlash
P.S. Никогда не давайте свой телефон посторонним лицам. Не оставляете телефон без присмотра. Телефон должен блокироваться кодом или иными способами.

+ много! Сам юзаю AppLock - он может блокировать избирательно, отдельные приложения. Не знаю, на сколько надежно, но что бы гости и знакомые не колупались в трубе, не читали СМС и других сообщений, помогает.