Информационная безопасность и всё что с этим связано

[VoVaN]

У нас тут несколько раз возникали обсуждения и публикации на эту тему, по-моему можно создать под это специальный топик.
Итак, информационная безопасность и позитивненькая параноя во всех своих проявлениях. Суть - сделать личные данные и прочую персональную информацию недоступными для тех, кому их видеть не следует. Сюда можно отнести всё что угодно, от сугубо сисадминских вопросов про криптоалгоритмы, даркнэты и VPN-туннели, до совершенно повседневных вроде инфы в соцсетях, мобильных операторов, служб такси (которые сливают номера клиентов рекламщикам) и прочего.

Большинство обывателей смотрит на этот вопрос как на говно, рассуждая в духе "я не делаю ничего противозаконного, мне нечего скрывать". Да и не только обывателей. Я, например, знаю одну политическую партию (оппозиционную блеать! и имевшую не самые низкие результаты) которая кладет болт на всю информационную безопасность, вплоть до электронной почты с паролем "пароль". Которая очень удивилась, когда за день до вступления в нее одного влиятельного бизнесмена ему НИАЖИДАННА позвонили и пригрозили что этого лучше не делать, иначе могут начаться проблемы с бизнесом.

Вы когда-нибудь задумывались о том, сколько информации о вас можно получить из совершенно открытых (или относительно открытых) источников? Даже, банально, с этого форума без каких-либо нарушений закона можно поиметь гору инфы о личной жизни и распорядке дня юзеров, которую они, вероятно, пожелали бы сделать недоступной для, например, воров-домушников, коллекторов, рекламных агентов, разводил и прочих сил зла. Потому что многие вроде безобидные и незначительные вещи, внезапно, на практике оказываются как в том анекдоте про брелок для ключа, на котором написан адрес дома и время когда хозяин на месте (чтобы занести и отдать в случае утери, ага).

Или вот простой пример. Большинство людей полагает, что мобильный номер - штука совершенно абстрактная, и без серьезной розыскной деятельности на его хозяина не выйти. Т.е. можно конечно определить координаты телефона по базовым станциям, но точность не очень высока, так что без дополнительного гемора и розыскных мероприятий (типа поиска по контактам) не обойтись. А если сменить номер и не поддерживать с него связь по старым контактам - так ваще анонимность полная. Ан нет. ОПСОСы давно заметили, что если взять координаты трех точек где человек бывает чаще всего (ну, например, дом, работа и ночной клуб) - получится некий треугольник на карте, который будет уникален для каждого человека, что легко может быть использовано для идентификации. При чем для этого ни кому даже не понадобится подорвать зад со стула, не говоря уже о каких-либо действиях, демаскирующих подозрительный интерес к целевой персоне. Таким образом сама по себе смена номера и списка контактов не позволит исчезнуть с радаров. Существуют ли договоренности между провайдерами о распределении информации об этих подписях? Хз.

Лет`с параноя бегин?

[Davlat]

верхний уровень паранойи - не пользоваться мобильным телефоном и соцсетями ВООБЩЕ, что само по себе подозрительно http://habrahabr.ru/post/149199/

Цитата:

некоторые психиатры и работодатели считают очень подозрительным тот факт, что человек держится в стороне от Facebook. Объясняют это тем, что сейчас для молодого поколения иметь аккаунт в данной соцсети «нормально», а вот не заводить там страничку — «ненормально». Присоединюсь к ненормальным.

Работодатели же подозревают, что раз у кандидата нет соцпрофиля FB, то это потому, что он у него был, но был полон каких-либо жутких материалов, и его удалили. 90% HR`ов проверяют профили кандидатов.

А ещё врачи расценивают активность на Facebook как отражение здоровой общественной жизни человека.

Немецкий журнал Der Taggspiegel делает упор на то, что Джеймс Холмс (фрик, устроивший побоище на премьере «Темного Рыцаря-3») и Брейвик (в представлении не нуждается) не имели аккаунтов на FB.

Оставив вопрос о трендах, моде и «Нормальности» общества — как вы относитесь к фразе «врачи расценивают активность на Facebook как отражение здоровой общественной жизни человека»? А если человек настолько активен, что каждый день проводит, катаясь на велике, сплавляясь по порогам на байдарке или играя в футбол, его общественная жизнь — это только реальные встречи и знакомства, и у него тупо нет времени на лайки и соцсети — психопат ли он?

[Strangr]

если про безопасность то не плохо было бы и на форуме ввести меры. меня например убивает индексация номера телефонов поисковыми системами.. нужно чтоб скрывался номер под кнопкой. для зарегистрированных доступ просто клацая на кнопку. а для незарегиных через капчу. ну или реализовать как на сладно .
а вообще в наше время зная не много информации о человеке можно найти практически биографию его.

[Davlat]

Цитата:

Сообщение от Strangr

меня например убивает индексация номера телефонов поисковыми системами..

я ВСЕГДА вбиваю номер телефона в Google, прежде чем созваниваться с незнакомым мне человеком или отвечать на "телефонного бомжа" - удобненько

[static]

Цитата:

Сообщение от Strangr

если про безопасность то не плохо было бы и на форуме ввести меры. меня например убивает индексация номера телефонов поисковыми системами.. нужно чтоб скрывался номер под кнопкой. для зарегистрированных доступ просто клацая на кнопку. а для незарегиных через капчу. ну или реализовать как на сладно .
а вообще в наше время зная не много информации о человеке можно найти практически биографию его.

На форуме нет требования оставлять номер в темах.

[Davlat]

Цитата:

Сообщение от static

На форуме нет требования оставлять номер в темах.

требования нет, пожелание
Обязательные требования к объявлениям - (желательно номер телефона)

[static]

Цитата:

Сообщение от Davlat

требования нет, пожелание
Обязательные требования к объявлениям - (желательно номер телефона)

Пожелание не мешает вбивать "ЛС" в колонку и писать номер в личку. Раньше я так и делал, теперь номера в темах мне идут на пользу, так как люди при желании могут нагуглить и понять с кем имеют дело.

[Серьога]

Как человек, чью почту и фейсбук "ломали" люди Путилова, могу сказать одно - меняйте чаще пароли ))

и, да, эти олухи даже не додумались скринов наделать, так и носили по городу распечатки моей переписки тупо скопированной в ворд. Было смешно, но все же...

[PhoeniXX]

для интернета, есть такая штука как двухфакторная аутентификация. это не 100% защита, но всеже она её повышает. и многие сайты её поддерживают

[Davlat]

Цитата:

Сообщение от PhoeniXX

для интернета, есть такая штука как двухфакторная аутентификация. это не 100% защита, но всеже она её повышает. и многие сайты её поддерживают

взлом усложняется только тем, что надо получить копию сим-карты (теоретически)

основное правило - не логиниться в бесплатных незашифрованных wi-fi точках и компьютерных клубах и не иметь один пароль от всего сразу (почта, вконтакте, логин на комп и т.д.)

доступ к почте-вконтакте могут получить также люди, случайно оказавшиеся за компом - в итоге "Прочь Из Моей Головы - твой новый бойфренд пробил все пароли, вскрыл все твои ящики, прочитал мои письма к тебе - нифига себе!!!" (Сплин)

[PhoeniXX]

Цитата:

Сообщение от Davlat

взлом усложняется только тем, что надо получить копию сим-карты (теоретически)

основное правило - не логиниться в бесплатных незашифрованных wi-fi точках и компьютерных клубах и не иметь один пароль от всего сразу (почта, вконтакте, логин на комп и т.д.)

доступ к почте-вконтакте могут получить также люди, случайно оказавшиеся за компом - в итоге "Прочь Из Моей Головы - твой новый бойфренд пробил все пароли, вскрыл все твои ящики, прочитал мои письма к тебе - нифига себе!!!" (Сплин)

ты знаешь, чтоб делать копию сим карты, то нужно уже целеноправлено делать взлом на конкретного человека, зная его номер, и имя возможность сделать эту копию, что очень сильно усложняет это.

вообще, параноя вещь такая, и тут нет идеально решения, ибо
1. Незашифрованные wifi сети само собой
2. WEP точки с шифрованием - так же нельзя использовать, ибо WEP ломается просто любым кулхацкером. handshake флуд, и вперед.
3. WPA1\WPA2 - тут сложнее, но тоже вполне реально(если верить википедии). В них уже найдены уязвимости, особенно если ты знаешь пароль, что подходит под все кафешки, etc.

Во всех трёх случаях злоумышленик может прослушать весь передаваемый трафик, что кражи по HTTP не спасёт в принципе.

HTTPS сложнее, но тоже не 100%-ая панацея. Сложность в том что сертификат ты просто так не подделаешь, так как он валидируется. Но, в случае с Wifi сетями всегда есть нюансы:
1. Получаешь доступ к wifi точке
2. ARP спуфинг, и прикидываешся роутером, отсылая весь трафик на реальный роутер
3. дальше man in the middle, и весь HTTPS трафик ты редиректишь на HTTP. Если пользователь не наблюдательный, то смену https на http он может и не заметить. а ты уже будешь отсылать http трафик на реальный https от его имени.

идеальная защита, это отрезать кабель интернета, для всего остального просто разные сложности решения задачи, но вполне выполнимые.

[Santa]

Цитата:

Сообщение от PhoeniXX

идеальная защита, это отрезать кабель интернета, для всего остального просто разные сложности решения задачи, но вполне выполнимые.

Я тоже считаю : выложили все в контакте. а потом зачем думать о защите личных данных??

[VoVaN]

Цитата:

Сообщение от Davlat

взлом усложняется только тем, что надо получить копию сим-карты (теоретически)

скажем так: между тем чтобы забрать пачку денег, оставленную без присмотра в общественном месте, и тем чтобы забрать мешок золота, лежащий в банковском хранилище за огромной дверью, существует принципиальная разница. Проще говоря в одном случае это пассивные действия (как, скажем, инфа из открытых источников, прослушивание траффика и тому подобное), а в другом - активные (как взлом или подбор паролей, давление, шантаж, похищение носителей и.т.п.). Разница принципиальная (как про реализуемости, так и по заметности и ответственности), и если необходимые для преодоления какой-либо защиты действия переходят из первой категорию во вторую - 99% желающих (и могущих) отсеивается.
Этот момент - самый простой и эффективный способ повысить свою информационную безопасность.

Цитата:

Сообщение от Davlat

не логиниться в бесплатных незашифрованных wi-fi точках

или логиниться только через криптотуннели

Цитата:

Сообщение от Davlat

не иметь один пароль от всего сразу (почта, вконтакте, логин на комп и т.д.)

кстати есть годная кроссплатформенная опенсорс-софтина KeePass для хранения паролей в базе данных (живет в файле). Ее криптоконтейнер достаточно устойчив чтобы можно было себе позволить хранить его где угодно, хоть на дропбоксе: без мастер-ключа он бесполезен. Кроме того там есть много разных плюшек типа генератора паролей с заданными параметрами.
Алсо, очень не рекомендую хранить пароли в облачных- и прочих онлайн-хранилищах паролей, в частности встроенных в браузеры (как в жопере и огнелисе). Даже те, которые себя не дискредитировали и передают все данные в зашифрованном виде - вполне могут собирать инфу о ваших действиях (должны ж разработчики на что-то жить, лол), как делает тот же LastPass и ему подобные.
Тут вообще лучше отдавать предпочтение открытому ОП, а данные хранить локально, а не в облаках (или в облаках, но предварительно поместив в надежный криптоконтейнер, если принципиально иметь доступ к ним из разных мест).

А вообще пароли лучше помнить и всегда вводить ручками (не забывая про кейлоггеры!), а локальное зашифрованное хранилище паролей держать на случай забывчивости.

[Davlat]

Цитата:

Сообщение от VoVaN

А вообще пароли лучше помнить и всегда вводить ручками (не забывая про кейлоггеры!), а локальное зашифрованное хранилище паролей держать на случай забывчивости.

ломается ректальным криптоанализом или системой "пальцы-двери-молоток" - но это уже когда отсеятся 99,99%

[VoVaN]

Davlat, очевидно же
впрочем и тут есть подвох: криптоконтейнер с секретной инфой недоказуемо хранится внутри другого криптоконтейнера с зоонекропроном. TrueCrypt могёт. Фишка в том, что есть объяснение существованию первого криптоконтейнера, а сам факт существования второго криптоконтейнера недоказуем никак, вплоть до статистического анализа пустых областей. Это называется "убедительная отрицаемость". Кощей Бессмертный одобряет! )

[Davlat]

Цитата:

Сообщение от VoVaN

Davlat, очевидно же
впрочем и тут есть подвох: криптоконтейнер с секретной инфой недоказуемо хранится внутри другого криптоконтейнера с зоонекропроном. TrueCrypt могёт. Фишка в том, что есть объяснение существованию первого криптоконтейнера, а сам факт существования второго криптоконтейнера недоказуем никак, вплоть до статистического анализа пустых областей. Это называется "убедительная отрицаемость". Кощей Бессмертный одобряет! )

проще ничего не хранить, как один мой знакомый - ни переписку, ни записи, ни секреты, всё сразу в Викиликс, гыгыгы

[PhoeniXX]

Цитата:

Сообщение от VoVaN

Davlat, очевидно же
впрочем и тут есть подвох: криптоконтейнер с секретной инфой недоказуемо хранится внутри другого криптоконтейнера с зоонекропроном. TrueCrypt могёт. Фишка в том, что есть объяснение существованию первого криптоконтейнера, а сам факт существования второго криптоконтейнера недоказуем никак, вплоть до статистического анализа пустых областей. Это называется "убедительная отрицаемость". Кощей Бессмертный одобряет! )

да, опенсорсный TrueCrypt рулит с псевдоконтейнерами, и контейнерами в ввиде отдельного файла. можно так же хранить его в дропбоксе и синхронизировать переодично.

[VoVaN]

Цитата:

Сообщение от PhoeniXX

да, опенсорсный TrueCrypt рулит с псевдоконтейнерами, и контейнерами в ввиде отдельного файла. можно так же хранить его в дропбоксе и синхронизировать переодично.

Пробовал, не понравилось. Один байт поменять - весь том перезалить.
Остановился на варианте Яндекс.Диск->WebDAV->EncFS для простенького криптохранилища которое всегда под рукой. Там, правда, тоже не все гладко

[Davlat]

Цитата:

Главная угроза всегда исходит от тех, кто отвечает за вашу безопасность. Присмотритесь к своему водителю и охраннику (если он у вас есть). Первый тихо вас ненавидит, поскольку свято верит, что только из-за вас крутит баранку, а не разминает стодолларовые сигары на бизнес-переговорах. Второй считает, что он зря потратил лучшую часть своей замечательной жизни для охраны вашей никчемной. Последствия: рано или поздно вы станете зависимыми от этих людей. Но будет поздно.

поэтому присмотритесь к своим подчиненным-компьютерщикам, провайдеру, хостеру и сделайте бекапы + возможность быстрой смены всех паролей и не храните важную информацию у посторонних сервисов и людей

Почесав затылок, юзер дописал через 10 минут
и внезапно http://www.svidomo.org/defend_article/20118

[lucky_DS]

Жизнь нужно прожить так, чтоб об этом знал Gооglе. Но главное, чтобы не узнал Yоutubе...

Сегодня звонок: Здравствуйте, это независимый эксперт, мы проводим мониторинг работы провайдеров интернет, меня зовут Роман.
- Рома, где ты взял мой телефон?
- В телефонной книге.
- Где ты взял телефонную книгу?
-В газетном киоске.
- Я не встречал телефонную книгу с моим номером в газетном киоске.
-Я вам советую внимательнее смотреть.
- Рома, ты из какого города
- из Киева
- Как называется твоя фирма?
- никак, я независимый эксперт
-кто тебя нанял
-никто
-Рома, не звони сюда больше
-почему?
-потому, что я не хочу
-почему?
-потому, что не хочу с тобой общаться
-почему?
потому, что ты брехун, ты наврал трижды за ту минуту, пока я пытался понять, кто ты такой и откуда у тебя мой номер, да к тому же ты вор, ты украл базу телефонов...

[Davlat]

Warning: array_merge() [function.array-merge]: Argument #2 is not an array in /post_thanks.php on line 52

[Santa]

Мне регулярно звонит из Киева какой то хренов инвестор, чего то он возомнил что я директор фирмы и предлагает разместить (мои) бабки в крупных компания-типа яблочников, нефтехим, и так далее. Я пытаюсь ему обьяснить что моя компания это я сам, и даже наемных рабочих нет ни одного. Но он упорно и регулярно звонит, называет меня директором компании, тем самым повышая мою самооценку и все больше отталкивая меня от этих афер.

[Davlat]

Цитата:

Сообщение от Santa

Мне регулярно звонит из Киева какой то хренов инвестор, чего то он возомнил что я директор фирмы и предлагает разместить (мои) бабки в крупных компания-типа яблочников, нефтехим, и так далее. Я пытаюсь ему обьяснить что моя компания это я сам, и даже наемных рабочих нет ни одного. Но он упорно и регулярно звонит, называет меня директором компании, тем самым повышая мою самооценку и все больше отталкивая меня от этих афер.

дай ему телефон горячей линии налоговой, скажи, что твой рабочий - пусть туда звонит

[Santa]

Тоже выход!
А еще мой майл подкинули российским компаниям, регулярно приходят предложения для ООО Силуэт ателье по пошиву одежды г Сочи

[VoVaN]

Цитата:

Сообщение от Davlat

Warning: array_merge() [function.array-merge]: Argument #2 is not an array in /post_thanks.php on line 52

незарегистрированный жэ

[lucky_DS]

Цитата:

Сообщение от Santa

Тоже выход!
А еще мой майл подкинули российским компаниям, регулярно приходят предложения для ООО Силуэт ателье по пошиву одежды г Сочи

Мне уже 9 лет на мыло ежедневно шлют мебельный спам (презентации, салоны, конференции и тп). А всего-то объяву кума по продаже кресла с емейлом засветил.
И фильтры все обходят как-то. Уже так привык, что когда в клиенте письма нет, начинаю в спаме на сайте почтовика рыться - вдруг там что полезное отфильтровалось?

[sevenjazz]

На днях товарищ попал под раздачу.

Цитата:

Хочу рассказать о том как меня развели на 1000 грн.

По роду деятельности я общаюсь с работодателем только электронным путем через skype. Приходит мне утром сообщения: "привет, Слушай, у тебя будет в долг денег до завтра?". Оказалось, что нужно пополнить кошелек вебмани на 1000 грн., якобы срочно и т.д. Я конечно же решил выручить человека и отправить нужную сумму, ведь по переписке в принципе особо подозрительного ничего не было (мошенник просмотрев логи, общался в нужном стиле). На вебмани отправить не вышло (терминал был временно недоступен) и тогда, мошенник попросил отправить деньги через qiwi-кошелек. Пошел отправлять через qiwi, но к тому времени терминал пришел в себя, и я закинул нужную сумму. Когда наступил завтрашний день, мне позвонил мой работодатель и сообщил, что его аккаунт skype был взломан и еще несколько друзей повелись на удочку мошенника. На данный момент написано заявления в милицию, но там как очевидно говорят, что дело мертвое.

Вывод: будьте бдительны, смените простые пароли на сложные, привяжите по возможности ценные аккаунты к номеру мобильного.

Читал даже акки хабровцов ломают.

[Davlat]

Цитата:

Сообщение от sevenjazz

На днях товарищ попал под раздачу.

Читал даже акки хабровцов ломают.

тсссссс, не разубеждай их в неполамаемости хабра

[AgaM]

Тема - бред!