• ↓
  • ↑
  • ⇑
 
Записи с темой: Люди (список заголовков)
21:51 

№2 Информационная безопасность для оппозиционных блоггеров и простых людей

Контролируемой зоной называется зона, где невозможно неконтролируемое пребывание неуполномоченных на то лиц.
Проще говоря, контролируемая зона - это то, что за проходной, куда пускают не всех.

Контролируемая зона - это и ваша квартира, если вы туда пускаете не всех подряд.

Если вы работаете в пределах контролируемой зоны, то вы лучше защищены, чем если работаете вне пределов контролируемой зоны.

Если вы работаете на своём мобильном устройстве на улице, в кафе или ещё где-то в общественном месте у вас могут:
1. Украсть мобильное устойство, причём во включённом состоянии
2. Подсмотреть или заснять экран устройства
3. Подсмотреть какие пароли вы вводите
4. Атаковать вас через Wi-Fi
5. Атаковать вас через Bluetooth
6. Незаметно украсть устройство, снять с него информацию и вернуть назад
7. Узнать ваше местоположение при определённых настройках вашей системы, в том числе и без использования GPS
8. Так или иначе прослушивать ваш траффик

Хищение мобильного устройства во включённом состоянии является серьёзной проблемой.
Причём отнять могут как силой, так и просто украсть, буквально из под носа. Вы отвернулись, посмотрели в сторону, возможно, поговорили со, скажем, официантом, повернулись - устройства уже нет.

На некоторых ноутбуках есть специальные разъёмы для подключения антивандальных цепей. Когда вы садитесь за стол, первым делом вы пристёгиваете ноутбук цепью. Однако, это не решение проблемы силового захвата ноутбука.

Таким образом, если вы работаете с мобильным устройством вне контролируемой зоны, то вся расшифрованная в этот момент времени информация может попасть в руки злоумышленника.
Это означает, что вы не должны хранить важной информации на мобильном устройстве или не должны расшифровывать её вне пределов контролируемой зоны.

Например, если вы оппозиционный деятель, то украв ваш телефон, ваши противники получат в руки ваши контакты, смогут понять, кто ещё с вами работает.
А что хуже, кто вам помогает, кто вам даёт информацию о коррупции изнутри системы. Ну, это как пример.

Это может быть информация о ваших друзьях, родственниках, которых будут терроризировать с какой-то другой целью, даже если вы не оппозиционный деятель. Или названивать им, чтобы опорочить вас, поговорить с ними о вас и испортить с вами отношения.

Избежать негативных последствий можно следующим способом.
1. Не общайтесь с конфиденциальными источниками через телефон. В крайнем случае, делайте это через телефон, оформленный на другое лицо.
Так как если у противника есть возможность использовать полицию в противозаконных интересах, он сможет прослушивать ваши телефоны. Ему даже ничего красть не нужно.
Кроме этого, обычно, государственные ведомства получают детализации телефонных переговоров вообще без решения суда. Поэтому общение через телефон не является конфиденциальным. Найти телефон, зарегистрированный на другое лицо также может быть доступно атакующему.

2. Используйте несколько мобильных устройств.
Например, если высока вероятность вашего задержания или нападения на вас, то вы можете брать с собой телефон с минимумом телефонов в записной книжке. Грубо говоря, телефоны родственников, адвоката и лица, с которым вы идёте на встречу. Ещё лучше, два последних телефона помнить наизусть (если вообще связь с источником вашей информации возможна по телефону).

Не устанавливайте на такие телефоны никаких сторонних приложений. Чем больше приложений, тем больше угроз.

3. Шифруйте информацию на мобильном устройстве. Не расшифровывайте вне контролируемой зоны то, что не должно попасть в руки злоумышленников.
Чем можно зашифровать информацию, мы поговорим других частях цикла видео.

Также, вы должны быть разлогинены на всех сайтах, пока работаете в мобильным устройством. Поэтому, всегда, когда работаете с мобильным устройством, разлогинивайтесь сразу после окончания использования сайта, чтобы потом не забыть.

4. Вы можете иметь особый e-mail, на который вы будете принимать информацию во время нахождения вне безопасной зоны. Другие люди, знающие этот e-mail, могут писать вам на него, зная, что он небезопасен, если нужна срочная связь.

5. Если вам нужно расшифровать часть информации в экстренном случае, вы можете делать это внутри машины. Двери и окна машины должны быть закрыты. У вас будет 3-5 секунд на то, чтобы вытащить из устройства аккумулятор, тем самым выключив его.
Если аккумулятор вытащить не получится, подумайте, успеете ли вы выключить устойство за 3 секунды и нельзя ли отменить отключение устройства либо перезагрузить его кнопкой (reset на ноутбуке), что достаточно для дальнейшей работы по извлечению информации.
То есть, если на ноутбуке имеется кнопка reset, то отключать его можно только вытаскиванием аккумулятора, иначе отключение будет прервано.


Следующая угроза связана с подсматриванием экрана устройства или его заснятием.
Надеюсь, вы не делаете ничего противозаконного. Однако, даже в таком случае, просто не работайте с конфиденциальной информацией вне безопасной зоны.

Далее. Злоумышленник может подсмотреть, какие пароли вы вводите.
Это может быть как человек, находящийся рядом с вами, который обучен запоминать 7 или даже более букв пароля. Остальные буквы либо будут подсмотрены в следующий раз, либо подобраны.

1. Не вводите пароли от важных аккаунтов.
2. Никогда не вводите пароли от криптографии
3. Если вы ввели пароль даже от чего-то неважного, потом, уже в пределах безопасной зоны, смените этот пароль.
4. Для ввода неважных паролей используйте менеджер паролей, чтобы подсмотреть можно было только пароль к менеджеру паролей. Так как база данных будет хранится на устройстве расшифрованной, это означает, что в ней не должно быть ничего важного. Так как пароль на базу данных может быть подсмотрен, это означает, что база данных не должна быть долговременной и хранится на сетевом диске. Пароль и база должна быть временной.


Далее. Атаки через Wi-Fi и Bluetooth

Данные сетевые технологии были разработаны с некоторым количеством недостатков.
В настоящий момент времени нет гарантии, что конкретная Wi-Fi сеть не подвержена известным уязвимостям.
Причём вне зависимости от того, используйте ли вы устаревшие WPS или WEP, или используете более новые WPA и WPA2. Используйте только WPA и WPA2, если вам очень нужен Wi-Fi. Но помните, что весь траффик может быть прослушал и подменён. В идеале, использование Wi-Fi должно происходить только через VPN. То есть через отдельное заранее купленное шифрованное соединение, которое безопасно устанавливается поверх Wi-Fi канала.

Аналогично, в Bluetooth постоянно находят уязвимости. В зависимости от устройства, данная технология позволяет подключится к устройству, находящемуся в пределах прямой видимости, на дальностях 16 и 100 метров и более, особенно, при наличии специального оборудования.
Bluetooth может содержаться не только в вашем мобильном устройстве, но даже в вашей автомобильной магнитоле. Причём доступ к ней из сети может быть открыт по паролю "000" или другому легко подбираемому паролю.
В принципе, рекомендуется отключить данную технологию вообще. Использование PIN-кодов меньше 16 символов небезопасно.


Далее. Рассмотрим атаку, заключающуюся в незаметной краже устройства и возвращении его назад.

Данная атака может быть произведена с двумя целями.
1. Скрытный съём информации.
2. Подмена каких-либо ваших программ, внедрение вирусов на ваш компьютер.

Все эти атаки требуют времени. Следовательно:
1. Когда вы покидаете помещение, проверяйте, что устройство при вас. В том числе, когда вы покидаете гостиничный номер, проконтролируйте, что вы не оставили устройство там.
2. Постоянно контролируйте ваше устройство, если вы его достали из сумки. Держите его в руках или прикрепите его к столу антивандальным хомутом, если это ноутбук и он позволяет это по конструкции.
3. Устройство будет легко достать из сумки, если всё, что требуется, это открыть молнию или разрезать несколько слоёв тонкой материи. Используйте сумку на ремешке, на которой вы можете естественно, не привлекая внимания, постоянно держать руку.
4. Старайтесь избегать хранения на данном устройстве важной информации. Если храните, то только в зашифрованном виде. Причём, расшифровывать информацию на этом устройстве может быть небезопасно. Ведь вам могли подсунуть вирус. Данное устройство полностью недоверенное.
Шифрование жёстких дисков не решают проблему, так как вам могли установить вредоносную закладку прямо в загрузчик средства шифрования или в аппаратуру.


Далее. По включённому мобильному устройству можно узнать ваше положение.
Это может быть сделано неким сайтом, на который вы зашли, если ему разрешено брать информацию о местоположении из GPS.
Если вы сделали фотографию с этого устройства, там может остаться метка о координатах GPS.
Кроме этого, хотя это и сложно, если вы подключены через Wi-Fi, вас также можно отслеживать по Wi-Fi сети. Хотя протокол подключения имеет защиту от этого, эта защита может быть обойдена. Поэтому, атакующий будет знать ваше местоположение с точностью до зоны покрытия Wi-Fi сети.

Не используйте Wi-Fi, если боитесь, что вас могут отследить.

Помните также, что если ваше устройство взломано, то оно может работать даже тогда, когда вы его, вроде бы, выключили. То есть оно выглядит как выключенное, но работает.
В таком случае, с этого устройства можно получать всю информацию, включая видеосъёмку, местоположение, режим вашего движения (сидите, едете, идёте). Если устройство лежит рядом с клавиатурой на столе, оно позволяет с небольшой достоверностью считывать пароли, вводимые вами на этой клавиатуре.



Даже если вы используете VPN поверх шифрованного Wi-Fi, ваш мобильный траффик может быть прослушан.
Wi-Fi может быть взломан. VPN может иметь уязвимости. В некоторых ситуациях, при внезапном отключении VPN, может происходить утечка пакетов в незашифрованную сеть.

О возможности прослушивания HTTPS мы поговорим в следующих видео.
При использовании VPN вероятность прослушивания невелика, если пароль достаточно длинный и VPN не использует уязвимые протоколы.

Подведём итог.

1. Устройства, которые вы выносите за пределы дома, являются недоверенными, если вы их не контролируете. Да и вообще, являются недоверенными.
2. Необходимо постоянно держать устройство в руках либо в сумке, на которую естественным образом кладётся рука. Чтобы почувствовать, что у вас вытаскивают устройство.
3. На устройстве можно перевозить шифрованную информацию, однако расшифровывать и зашифровывать её надо на другом устройстве
4. Информацию низкой степени важности можно хранить и расшифровывать на этом устройстве при соблюдении осторожности, в частности, рекомендуется в браузере работать только в приватном режиме, чтобы аутентификационные сессии не сохранялись. Ну и, разумеется, выходить из сайтов после того, как вы закончили с ними работу.



@темы: Навальный и либеральная оппозиция, безопасность, люди, политика и государство, свобода

21:49 

№1 Информационная безопасность для оппозиционных блоггеров и простых людей

Многие блоггеры жалуются, что их аккаунты крадут. Крадут их информацию. А некоторых даже вычислили в реальной жизни и преследуют уже на уровне физического насилия.

Что нужно сделать, чтобы затруднить злоумышленникам кражу ваших данных и аккаунтов.

В информационной безопасности первым делом разрабатывается модель угроз и модель нарушителя. Это могут быть довольно большие документы или даже целые группы документов.

Конечно, обычный пользователь не будет разрабатывать модель угроз и модель нарушителя. Но и ему стоит понять, что с ним может случиться плохого, для того, чтобы защититься от этого целенаправленно.

Мы рассмотрим только несколько наиболее распространённых проблем для оппозиционных блоггеров и для простых людей.
1. Преследования за политические воззрения незаконными или даже законными методами. Как со стороны правоохранительных органов, так и иных людей, в том числе, связанных с властью.

Обычные люди могут преследоваться в результате ссоры, сексуальных домогательств или просто навязчивыми людьми.
Так что преследования актуальны для всех.

2. Отслеживание деятельности для установления психологической составляющей с целью влияния через рекламу и прочее, а также с целью установления доверенного контакта или сбора дополнительных данных для атаки.

3. Утеря данных в результате атаки или сбоев

4. Хищение аккаунта с целью прекращения его работы или с целью выдачи другого лица за вас

5. Хищение денег, номера мобильного устройства или самого мобильного устройства с различными целями.

6. Постинг от вашего имени порочащих вас сообщений, совершение уголовных преступлений от вашего имени или с использованием вашего оборудования.



Атака злоумышленника начинается со сбора сведений. Например, он составляет список людей (аккаунтов), подлежащих атаке, если готовится преследовать их по политическим причинам. Аналогично, мошенник ищет, например, людей, которые собираются выехать за границу.

Для сбора политических сведений могут использоваться аккаунты людей в социальных сетях. При этом, поиск аккаунтов может происходить только по вашей фотографии или видео, на котором есть ваше лицо.
Если даже не найдут вас, могут найти групповые фотографии с вами и вашими друзьями в социальной сети и по ним уже найти вас, в том числе, связавшись с вашими друзьями под какой-то легендой.
Аналогично, сексуальный маньяк или надоедливый ухажор может искать симпатичных женщин в социальной сети.

Поэтому. Если для вас это приемлемо, лучше всего вообще удалить все фотографии с вами из интернета. Никогда не участвовать в групповых фотографиях, особенно, когда вас снимают со знаменитостями и эти фото, скорее всего, кто-нибудь выложит в сеть. Помните, по этому фото могут найти ваши контакты или использовать его как информацию о том, как вы выглядите для реального нападения с помощью наёмных преступников, не знающих вас в лицо.

Конечно, не все блоггеры будут сниматься в роликах в маске, как это делает ведущий канала "Быть или...". Но стоит задуматься об этой мере даже если кажется, что у вас нет недругов и вы не занимаетесь политикой и вообще не ведёте блоги. Как я уже сказал, по фото вас могут искать, например, потому что вы - симпатичная девушка. Или потому что вы - системный администратор или бухгалтер фирмы, на которую планируется нападение с целью рейдерского захвата. Вы можете подвергнуться похищению и пыткам.

Кстати. Поиск в социальных сетях по фото сейчас ведётся не вручную, а с помощью методов искусственного интеллекта и доступен каждому. Это просто и дёшево.

Съёмка в темноте с сильным контровым светом, когда на видео, как кажется, видны лишь ваши очертания, также может представлять опасность. Так как по этим очертаниям иногда возможно восстановить очертания вашего лица, хоть и в низком качестве.

Далее, одно из самых главных правил: не портите безопасность другим. Если вы собираетесь запостить групповую фотографию с другими людьми, посмотрите. Если у них нет фото в социальных сетях, возможно, их изображения стоит замазать.
Помните, что простое размытие изображений иногда может быть недостаточным. Современные методы искусственного интеллекта иногда позволяют восстановить фото человека по его размытым очертаниям. Замажте его совсем.

Никогда не постите фото других людей. Никогда не постите сообщения о том, с кем именно и куда вы едете. По крайней мере, делайте эти записи только для друзей. Так как в противном случае, на вас или вашего спутника может быть совершено нападение.
В частности, в момент, когда вы будете за границей, у вас могут украть ваш номер мобильного телефона и вашу банковскую карту.
Вы останетесь без средств к существованию в незнакмой чужой стране. В лучшем случае, вы будете знать, где рядом можно восстановить вашу крединтую карту в специальном представительстве платёжной системы и у вас будет резервная SIM-карта с включённым роумингом. Но отдых всё равно будет испорчен.

Разумеется, возможны нападения даже если вы находитесь рядом с домом в знакомой обстановке. Поэтому, никогда не пишите, с кем именно вы были в каких-либо местах, даже если вы из них уже ушли.


Далее. Скрывайте любую информацию о вас. Даже ваша фамилия, имя и отчество и краткое описание ваших должностных обязанностей может быть использовано для начала нападения на вашего работодателя. Поэтому, особенно если вы допущены к конфиденциальной информации, старайтесь не рассказывать о текущем месте работы и не указывайте его наименование в своём резюме, пока вы там работаете.

В резюме часто имеется ваш телефон, который злоумышленник также может найти, если знает вашу фамилию, например, из социальной сети. И будет вам названивать. В лучшем случае, с рекламой. Девушкам возможны звонки среди ночи с предложениями интимного характера. Разумеется, не разово, а постоянно. Выключение телефона на ночь, конечно, помогает, если вы не забываете его выключать и не используете как будильник. Однако звонки всё равно могут очень сильно напрягать, даже среди бела дня.

Поэтому в резюме лучше не давать телефон. Как вариант, вы можете купить SIM-карту для временного использования. Это может стоить порядка трёхсот рублей по нынешним ценам с тарифом без абонентской платы. Вам придётся лишь совершать не реже раза в 90 дней платную операцию (звонок, sms, в зависимости от вашего тарифного плана) и телефонный номер будет у вас столько, сколько вы захотите.

Аналогично, телефонный номер не стоит указывать нигде, где он явно не нужен. В частности, двухфакторная аутентификация (она же двухэтапная аутентификация) с телефонным номером по SMS даёт сайту информацию о вашем номере телефона. Если базу данных сайта украдут, что бывает не так уж и редко, то телефнный номер будет доступен всем, кто сможет купить краденную базу данных. Иногда, это довольно просто и дёшево и доступно даже школьнику, который имеет соответствующее желание и нарабатывает соответствующие связи.

Поэтому подумайте, что вам дороже: ваша приватность или безопасность вашего аккаунта. Если вы политический блоггер, возможно, для вас очень ценен ваш раскрученный аккаунт. С другой стороны, sms не является надёжной защитой. Ваш телефонный аппарат с SIM-картой могут украсть, неважно, что он выключен или заблокирован. Ваш телефонный номер могут украсть, причём различными способами. Например, с помощью уязвимостей протокола SS7 при включённом роуминге или с помощью перевыпуска вашей SIM-карты по факту её мнимой кражи. Для второго пункта могут быть использованы поддельные документы или их копии.
Часто сайты позволяют восстановить доступ к аккаунтам даже если вы не знаете пароль. Только по номеру телефона. Поэтому, если ваш сайт не знает вашего номера телефона, то и восстановить доступ с помощью украденного телефона злоумышленник не сможет.
В этом случае, парольная безопасность без указания номера телефона может обеспечивать существенно больший уровень безопасности, чем с указанием номера телефона.

В общем, необходимо проверять, что именно ваш сайт делает с вашим номером телефона. Позволяет восстановить доступ к аккаунту при утере пароля, позволяет использовать двухфакторную аутентификацию посредством SMS, использует для улучшения отслеживания ваших действий и нелегальной продажи информации о вас третьим фирмам.
Нужно очень осторожно относится к использованию двухфакторной аутентификации. Её нужно использовать только там, где это действительно необходимо. Очень часто это не необходимо нигде.
Сайты могут рекламировать двухфакторную аутентификацию, потому что им это выгодно. В частности, для отслеживания пользователей или снижения количество случаев мошенничества. Что не означает, что именно вы станете безопаснее. Ведь таким образом вы подвергнете риску хищения не только ваш аккаунт, но и ваш номер телефона.

Также, старайтесь не указывать верный домашний адрес на любых сайтах, если вы не собираетесь от них получать посылки или договоры по почте.
Помните, что хотя этот адрес нигде не публикуется, он может быть похищен вместе с базой данных сайта при взломе этого сайта. И затем доступен любому желающему на чёрном рынке.
Не стесняйтесь указывать неверный адрес, если видите, что его не будут проверять.

Естественно, никогда и никому не рассказывайте телефонов, адресов, мест работы и другой информации незнакомым или плохо знакомым вам людям. Какую бы легенду эти люди не указали. Сообщайте о фактах выспрашивания владельцу информации. Разумеется, если владелец информации не против, вы можете давать его контакты другим людям в целях, которые не противоречат разрешению владельца информации.

Например, если кто-то спрашивает, зовут ли вашего соседа так-то и так-то, не подтверждайте и не опровергайте данную информацию.
Вы всегда можете спросить номер телефона или e-mail данного человека или название организации, чтобы ваш сосед связался с ними сам.


Разумеется, типов конфиденциальной информации гораздо больше. Помните, что по тому, какую информацию вы указали и как вы это сделали, о вас могут составлять мнение работодатели, мошенники или рекламщики. Последние двое, чтобы попытаться вытянуть с вас больше денег за то, что вам не нужно.

Удаляйте вашу переписку после того, как она вам больше не нужна. Обязательно делайте это, если вас об этом просит или намекает ваш собеседник. Убедитесь, что вы оставили адреса и помните, чьи это адреса, с какой целью был контакт.
Помните, даже если социальная сеть будет хранит данную переписку вечно, это всё равно повышает безопасность вашего собеседника. Так как в случае несанкционированного доступа к вашему аккаунту хакер не получит доступа к удалённой переписке.
Старайтесь выполнять просьбы или намёки других людей в области безопасности. Даже если они вам кажутся глупыми. Делайте это постоянно, без их напоминаний. Уточняйте, если вы считаете, что что-то неправильно поняли.


Подведём итог этой части.

1. Уважайте других людей. Соблюдайте их безопасность, молчите о них. Не публикуйте никакой информации о них, в том числе групповых фото с ними, если они против. Если вы опубликовали групповое фото, отметьте всех людей, которых вы знаете, если это социальная сеть Вконтакте, чтобы люди знали, что их фото опубликовано.
2. Не публикуйте свои фото, если это возможно.
3. Не указывайте нигде свой номер телефона, особенно, в публично доступных резюме. Даже если потом они будут сокрыты.
4. Не указывайте свой домашний адрес и не подтверждайте, что другие люди живут по какому-то адресу или что им принадлежит какое-либо имущество.
5. Не указывайте вообще или указывайте только для друзей, куда и с кем вы едете. Даже постфактум лучше не указывать о том, с кем именно вы ездили, если человек сам не опубликовал это. Удалите записи с такой информацией, если они были опубликованы ранее.
6. По возможности, не указывайте даже вашу фамилию, имя и отчество. Указывайте ложные даты рождения.
7. Выполняйте просьбы по безопасности других людей, даже если они кажутся вам глупыми.
8. Уточняйте, если вы что-то непоняли. Общайтесь по безопасности


@темы: безопасность, свобода, политика и государство, люди, Навальный и либеральная оппозиция

18:55 

Требуются ли программисты и специалисты в области ИБ?

Насчёт сварщиков уже написали, приводил ссылку ниже, как они требуются ( maxpark.com/community/129/content/3765838 ).



Теперь вопрос к моей специальности: насколько требуются программисты и сотрудники в области ИБ?



Пожалуй, в этот раз я не забуду воспользоваться катом и буду загибать уже под ним.

читать дальше

@темы: безопасность, люди, я, экономика, политика и государство, ненависть

fdsc

главная