Есть ли доступ у Российских правоохранителей к серверам gooole?

Question

[NoGravity]

Добрый день.
Подскажите путь как правильно организовать хранение и защиту данных.

Работаю в небольшой компании, и так получилось что стал главным по компьютерам. Набор правонарушений для Российских компаний вполне стандартный - серая зп, неуплата налогов, обнал, бонусы и откаты, нелицензионное ПО.
Сейчас дюжина ноутбуков, единого сервера в локальной сети нет и не надо, в офис мало кто сидит, работа разъездная (логистическая компания).

На данный момент некая мешанина сервисов. Почта mail.ru, yandex.ru. Виртуальные диски yandex, mail, google, dropbox(используются для бэкапа). Системы от Windows Xp до 10ки. Основной мессендер скайп и вибер.

Знаком с недавним опытом дружественной компании (из жадности и глупости вляпались в возврат левого НДС), когда налоговая и ФСБ располагала всеми данными с почты и вирутального жесткого диска mail.ru через сутки после начала расследования. Хотелось бы избежать подобной ситуации.

Пока план такой:
1. Пароль везде 20+ символов.
2. Шифровать все жесткие диски trucryptom.
3. Почта и виртальный диск от google
4. Браузер лисичка или хром.
4. Мессенджер telegram.

Как вы считаете, этих мер защиты достаточно?
Выдает ли google данные пользователей по запросу Российских правоохранительных органов?

P.S. Пожалуйста, перестаньте упоминать паяльник. Прошу описывать только свой опыт, или своих знакомых.

Answer 1

[nirvimel]

когда налоговая и ФСБ располагала всеми данными с почты и вирутального жесткого диска mail.ru через сутки после начала расследования

99.75% вероятность, что причина в человеческом факторе. Для прикрытия своих информаторов типично создаются подобные легенды про безграничные технические возможности доступа, как будто у Них есть ключ от любых замков. В этой легенде есть доля истины, ключ у Них действительно есть, и этот ключ - человек. Совсем не обязательно, что он сотрудничает добровольно, ему, скорее всего, просто сделали "предложение, от которого невозможно отказаться".

Comments

[NoGravity]

99.75% что нет.
Взломали почту mail.ru Заходили на нее только с ноутбука директора. Ноутбук закодирован трукриптом. Пароль знал один человек. Пароль не взламываемый перебором.

Вообщем-то этот человек мне и рассказал путь защиты, и то место где он прокололся (доверился mail.ru)

[nirvimel]

NoGravity: Вы доверяете словам одного человека (даже, если все было именно так, то он мог не упомянуть детали, которые не укладываются в его картину произошедшего, или он посчитал, что эти детали к делу не относятся), а я доверяю своему опыту, который говорит, что в любой цепи всегда самое слабое звено - человек, и сотрудники органов, как никто, умеют находить это слабое звено.

[АртемЪ]

NoGravity: Разумеется у ФСБ есть доступ к серверам Российских компаний, возможно и некоторые связи в гугле.
Только вот никто не будет использовать это для разбирательств с мелкой компанией.
Не тот уровень.
Поэтому если данные были, то они утекли другим способом.
При любом методе защиты гораздо легче получить пароль, чем пользоваться такими ресурсами.
А пароль даже 20 знаков получить не проблема.

[NoGravity]

АртемЪ: Как можно получить пароль 20+ знаков?
Например "Mama2RazaMilaRamyUra"
По словарю не подобрать. Человек сам его нигде не светил и никому не говорил.

[CityCat4]

NoGravity: Когда-то очень давно, работал в конторе, которая была типо провайдером и свои ящики предоставляла. Так вот был там один любопытный файлик, где хранились пользовательские пароли в _открытом_ виде. Кто гарантирует, что на mail.ru нет чего-либо подобного. Это первый вариант. Паяльник, опять паяльник - это второй вариант. Человек - очень уязвимое существо. Человек, живущий в социуме - вдвойне. Директор ведь тоже наверняка не одинокий холостяк, есть у него жена, дети, близкие...

[АртемЪ]

NoGravity: Ок. объясняю -
1) Можно прочитать его в логе кейлоггера который пишет все нажатые клавиши вашего компьютера.
Кейлоггер поставить не так уж и трудно.

2)Приходим к человеку домаой с ордером на обыск и понятыми. Обыскиваем, изымаем ноутбук, с удивлением находим при обыске в ящике письменного стола 300граммовый пакет с белым порошком.
Составляем протокол. Задерживаем.
После того как человек посидит в камере часов 15 зайдет следователь и душевно объяснит, как он попал, и что за найденный пакетик ему светит 12лет отсидки.
И спросит - стоит ли оно того? Или проще сказать пароль.
И человек скажет и пароль, и всю информацию выложит как, где и что.

Answer 2

[littleguga]

Гугл выдает.

Есть mega.co.nz - они не работают в РФ, соответственно не выдают.

Но паяльник никто не отменял, не забывайте.
Так что лучше напрячься с реальными проблемами - нелицензионный софт. Варианты под unix точно должны быть аналогичные. Ибо за это упаковать надолго могут и ничего не поможет.

Answer 3

[Антон Уланов]

хотите защитится? и при этом используете сервисы????? бред. Это как минимум глупо. Используйте все свое... а паяльник реально никто не отменял. Придут к вам в гости пара бравых ребят и сделают то предложение которое вы сами будете рады услышать в вашей ситуации. Дебилов там нет

Comments

[Антон Уланов]

если хотите могу подсказать пару способов, но не здесь

[NoGravity]

Антон Уланов: давайте здесь, что скрывать-то.
А по поводу все свое, это как? Никому не доверять, самому написать операционку, облачный сервис, почтовый сервер?)

[Антон Уланов]

я пару лет назад такое проворачивал, убирал всю инфраструктуру в страны сетевого нейтралитета. 1) сервер гдени-будь в Голландии к примеру, на него накатываете proxmox для виртуалок и OpenVPN с авторизацией по логин пароль сертификат, в нем куча виртуалок: freeNas для фйлопомойки, ejabberd для общения, 1ски и прочее... то что вам нужно. на клиентские ноуты смарты ставите vpn клиенты даете им доступ во внутреннюю сеть а дальше уже смотрите чего не хватает

[Антон Уланов]

но всеравно не исключайте человеческий фактор

[Антон Уланов]

я не стану говорить как были взяты в аренду сервера и домены с картами с которых все оплачивалось:)

Answer 4

[АртемЪ]

1. Пароль везде 20+ символов.

Ломается очень просто - береться 1 человек знающий пароль, и 1 хороший следователь, умеющий работать с подозреваемыми.
Кроме этого есть еще куча способов - соц. инженерия, установка троянов на компьютер, и.т.д.

2. Шифровать все жесткие диски trucryptom.

Расшифровывается паролем, метод получения пароля см. в п. 1.

3. Почта и виртальный диск от google

Имея пароль получаем полный доступ, метод получения пароля см. в п. 1.

4. Браузер лисичка или хром.

Непонятно чем это поможет.

4. Мессенджер telegram.

Мессенджер шифрует сообщения только в момент пересылки.
В незашифрованном виде текст сообщения легко получается на компьютере отправителя, кроме того можно опять же просто спросить этот текст, у человека который отправлял. Просто нужно уметь спрашивать.

А проблема ваша решается просто - старайтесь соблюдать закон, поменьше болтайте о нарушениях закона публично, работайте с сотрудниками, чтобы вас не сдали, и не храните потенциально опасные сведения в компьютере.

Comments

[NoGravity]

1. Опять все свели к паяльнику
2. Тоже самое
3. Тоже самое
4. Есть подозрение что хранилка паролей в яндекс браузере или амиго доступна ФСБ
5. Если забыть про паяльник, сообщения все же нельзя прочитать?

[АртемЪ]

NoGravity: Какой паяльник? Паяльник это не просто незаконно, это очень незаконно.
И применяется редко.
Поэтому никаких паяльников, просто правильные вопросы, в правильное время.

[CityCat4]

АртемЪ: Под "паяльником" мы понимаем не именно то, что описывает знаменитый анекдот, а любое воздействие на человека, в результате которого он сам сдает свои пароли. И правильные вопросы, заданные правильным человеком в правильной обстановке в правильное время - это как раз и есть "паяльник".

[CityCat4]

NoGravity: В сферическом интернете в вакууме - видимо нельзя. В реальном - даже настойчивые попытки "уйти в тень" могут навести на мысль, что здесь что-то не то.

[АртемЪ]

CityCat4: Под паяльником обычно понимают силовое воздействие, выбивание паролей с помощью пыток.
Это дело незаконное, и на него никто вменяемый не пойдет, ну разве что на маньяка в погонах нарветесь.

А вот аккуратно узнать пароль, это вполне законно и очень профессионально.

Answer 5

[CityCat4]

Понимаете, в чем Ваша проблема - Вы считаете, что Вам можно нарушать закон, а органам нельзя, и пытаетесь "скрыться" строя защиту исходя из этого. А это на самом деле не так, и паяльник упоминают именно по этой причине - не будут органы заниматься техническим взломом - паяльник проще, быстрее и надежнее. Вы сами сдадите все свои пароли, распишете все способы хранения и т.д.
Поэтому не занимайтесь ерундой. Гугл вполне возможно тоже сдаст - зачем ему проблемы с российскими законами - тем более что скоро проверки по хранению ПДн начнутся.

Answer 6

[Stoned Shaman]

Почта tuta.io
Обещают добавить использование своих ключей gpg.
Облако mega
Браузер лисица
Если бы был линукс - то шифрование dm-crypt и повсеместное использование gpg.

Answer 7

[lubezniy]

Просто дам рекомендацию - валите оттуда. Защита максимум несколько затруднит расследование, но немалую часть данных, вполне достаточную для обвинительного заключения, добудут и без борьбы с оной. А при таком зоопарке уж что-нибудь и из "защищаемого" наверняка удастся добыть. И да, мой опыт заставляет сомневаться, что весь этот набор является стандартным.

Comments

[NoGravity]

Забыл упомянуть что моя должность менеджер - логист - управленец, не системный администратор. В данной сфере (логистика) похожая ситуация в 99% компаний. Просто я смотрю на то что делаю без розовых очков. Опыт работы 7 лет в Московских и региональных компаниях.

Answer 8

[srdes]

Вообще то вам правильно сказали. У вас там ответственность только за программное обеспечение. Ставьте свободное программное обеспечение. За другие дела можете пойти свидетелем как "главный по компьютерам", а от свидетеля до соучастника недалеко. Если хотите работать долго и стабильно лучше найдите другую работу.

Answer 9

[Андрей]

Гугл сдает. Не буду писать откуда знаю, но сдает точно.

Comments

[Visitor7]

Гугл не здает. Не буду писать откуда знаю, но не сдает точно.