Ответы пользователя по тегу Информационная безопасность
  • Правильно ли я понимаю работу защищенных протоколов?

    Jump
    @Jump
    Системный администратор со стажем.
    Все правильно, но есть один ньюанс - как сообщить собеседникам находящимся за тысячи километров ключ которым они будут шифровать? При личной встрече передавать? Если вы отправите ключ по открытому каналу - его перехватит злоумышленник.

    Поэтому для организации защищенного соединения используется ассиметричное шифрование.
    У ассиметричного шифра есть пара ключей - открытый и закрытый.
    Если зашифровать что-то открытым ключом - то расшифровать можно будет только используя закрытый.

    Поэтому открытый ключ можно сообщать всем совершенно свободно - им можно только зашифровать, а что-то расшифровать им невозможно. А закрытый ключ вы храните у себя и никогда никому не показываете.

    Вы передаете открытый ключ вашему собеседнику по незащищенному каналу связи, открытым текстом.
    Ваш собеседник придумывает какой нибудь сложный ключ(сеансовый ключ), зашифровывает этот ключ вашим открытым ключом и передает вам получившееся сообщение.
    Расшифровать это сообщение можете только вы, поскольку закрытый ключ есть только у вас.
    Вы расшифровываете сообщение и видите сеансовый ключ.
    В итоге сеансовый ключ известен только вам и вашему собеседнику.
    Далее все сообщения шифруются этим сеансовым ключом - обычное симметричное шифрование.
    Ответ написан
  • Что считается «сбором информации» в терминах 152-ФЗ (закон о персональных данных)?

    Jump
    @Jump
    Системный администратор со стажем.
    Что считается «сбором информации» в терминах 152-ФЗ (закон о персональных данных)?
    Собственно сбор данных.
    Хотелось бы увидеть строку закона
    Какую именно строку? Разъясняющую значение словосочетания - сбор информации? Вы закон с толковым словарем не путаете?
    и судебную практику
    Если интересна судебная практика - можете поискать. Но какой смысл? В любом случае в каждом конкретном деле будет решать судья исходя из ситуации.
    Ответ написан
  • Как максимально защитить комп от кражи данных?

    Jump
    @Jump
    Системный администратор со стажем.
    Как максимально защитить комп от кражи данных?
    Во первых отключить от сети, во вторых исключить доступ к нему посторонних. Охрана, замки, системы контроля доступа.

    Если информация просто хранится - достаточно шифрования.

    или я слишком заморачиваюсь и вредоносные программы нынче не часто пишутся, а используется в основном социальная инженерия?
    Для достижения целей используется все что можно. Вредоносных программ полно.
    Только вот антивирус против вредоносных программ не очень то помогает.
    Ответ написан
  • Как проверить заражен ли комп?

    Jump
    @Jump
    Системный администратор со стажем.
    На почту пришло письмо что мое устройство заражено, нашел в папке спам
    Не читайте письма из папки спам.
    Ответ написан
  • Как взломать архив rar?

    Jump
    @Jump
    Системный администратор со стажем.
    Как взломать архив rar?
    Только брутафорс или словарная атака.

    брутфорсы не предлагать
    Значит словарная атака.
    Ответ написан
  • Как правильно хранить ключ шифрования для десктопных приложений?

    Jump
    @Jump
    Системный администратор со стажем.
    Да как угодно.
    В вашем случае ключ шифрования это по сути просто ценная информация, утечка которой критична.
    Не храните ее на компьютере, если храните то зашифруйте, и компьютер от сети отключите.
    Ответ написан
  • Как опубликовать анонимное фото?

    Jump
    @Jump
    Системный администратор со стажем.
    Как опубликовать анонимное фото?
    Так же как и обычное.
    В чем проблема то?
    Ответ написан
  • Конфиденциальность Телеграм сомнительна или я параноик?

    Jump
    @Jump
    Системный администратор со стажем.
    1)Открытый код на клиентах. Что творится у них на серверах значения не имеет.
    Шифрование идет на клиентах поэтому значение имеет только код клиента. Он открыт, вы можете его взять провести аудит, убедиться что он чист от закладок, после чего скомпилировать и пользоваться.
    Но вы конечно же не читаете, не делаете аудит кода, и не компилируете сами, а просто качаете клиент - а что там за код скомпилировали вы не знаете!

    2)Нафига???? Ну если кому-то вдруг надо включить шифрование - он включит.
    Мне вот оно нафиг не нужно.
    Если чат шифрованный то он идет тет-а-тет. А мне чаще всего надо чтобы он везде отображался.
    Никто не будет им пользоваться если все чаты будут шифрованными.
    Ответ написан
  • Каковы максимальные настройки безопасности после установки Windows 10?

    Jump
    @Jump Куратор тега Windows
    Системный администратор со стажем.
    Во первых надо оперировать не расплывчатым понятием - "безопасность" а четко знать от чего вы хотите защитить.

    А вообще самая главная настройка безопасности - политика ограниченного использования программ.
    Никакой антивирус даже рядом не стоял по эффективности и попросту не нужен.
    Ответ написан
  • Чем грозит регистрация на сайте без защищенного соединения?

    Jump
    @Jump
    Системный администратор со стажем.
    Все что вы передаете по незащищенному соединению - потенциально может быть перехвачено на любом этапе передачи.
    Данные же передаваемые по https перехватить значительно сложнее.

    Поэтому пересылать конфиденциальные данные по http не рекомендуется.

    Если же речь идет о данных которые вы не считаете конфиденциальными - никаких проблем.

    У меня в браузере сохранены данные моей карты и некоторые пароли, этот сайт не сможет их "угнать"?
    Это никак не зависит от типа соединения.

    Я так полагаю, для безопасности, мне просто при регистрации нужно не использовать пароль, который я уже где-ибо использую, чтобы не взломали меня, если что, правильно?
    Именно так.
    Один из самых популярных способов взломов аккаунтов - вы зарегистрировались на каком-то малоизвестном сайте указав в качестве логина почту vasya@mail.ru и пароль. После чего злоумышленники попробуют зайти с этим паролем в вашу почту, и во все крупные сервисы, где вы потенциально можете быть зарегистрированы.
    Поэтому пароли обязательно разные.

    Не опасно ли email им свой указывать и подтверждать регистрацию через письмо, которое придет?
    Нет. Если не учитывать конечно в качестве опасности спам.

    Я просто не понимаю, почему они не сделали по стандарту защищенное соединение.
    А нафига? Вы на дачном сарае с лопатами и тяпками повесили надежный сейфовый замок?

    Спросил их в тех поддержке, они ответили, что "ну это же просто фри сервер, нет протокола https чо такова".
    Логично.

    пиратский фри сервер некой ММОРПГ, я хочу в это поиграть. Но меня дико смущает то, что их официальный сайт и форум с незащищенным соединением
    Я бы наоборот удивился если бы они заморочились с https.
    Ответ написан
  • Почему ИБшнику не надо знать ЯП?

    Jump
    @Jump
    Системный администратор со стажем.
    знаю что это не программирование, но очень смежная область
    Решил стать механиком, но потом выучился на охранника. Не механик конечно, но очень смежная область.
    Как раз ваша ситуация.

    увидел многих людей которые говорили, что ИБ это скучная работа, перебирание бумажек
    А вы что хотели - перестрелок и погонь?

    почему это скучная работа
    Обычная работа. Если работа вам не интересна - она скучная.

    ИБшнику не нужны ЯП.
    Потому что не нужны. Вот зачем охраннику знать как ремонтировать машину? Это же не его дело.
    Вот так же и с ИБ.
    Ответ написан
  • Какие ЯП надо знать ИП?

    Jump
    @Jump
    Системный администратор со стажем.
    Если вы собрались стать специалистом по информационной безопасности - ее и нужно изучать.
    Языки программирования имеет смысл изучать если вы собрались стать программистом.
    Ответ написан
  • Как узнать формулу, по которой считается время для взлома пароля?

    Jump
    @Jump
    Системный администратор со стажем.
    Формула простейшая - количество возможных вариантов пароля умножается на время проверки одного варианта.
    Количество вариантов зависит от пароля.
    Время проверки одного варианта от оборудования.

    В итоге узнаем полное время перебора всех вариантов методом брутофорса. Это максимальное время, в реальности по теории вероятности это произойдет быстрее.

    Не стоит забывать про радужные таблицы - если пароль простой и хэш не соленый - брутафорс не понадобится - секунда поиска в радужной таблице и пароль готов.
    Ответ написан
  • Каким образом провайдер может кэшировать трафик?

    Jump
    @Jump
    Системный администратор со стажем.
    Каким образом провайдер может кэшировать трафик?
    Никаким. Трафик это движение информации, его невозможно кэшировать, и никто не кэширует.

    Кэшируют данные. Шифрование никак не влияет на кэширование.
    Ответ написан
  • Как хранить пароли пользователей так, чтобы админстратор в дальнейшем имел доступ к любой учетной записи?

    Jump
    @Jump
    Системный администратор со стажем.
    Как хранить пароли пользователей так, чтобы админстратор в дальнейшем имел доступ к любой учетной записи?
    Администратор и так имеет полный доступ к любой учетной записи, для этого ему точно не нужен пароль пользователя.

    Расхэшировать пароль, чтобы посмотреть, какой он в оригинале, не должно быть возможным.
    Расхэшировать это как вообще? Это что то новое. Из хэша в любом случае невозможно никакими методами узнать оригинал, с которого получен хэш.

    Но как тогда администратору знать, какой пароль задал пользователь, чтобы иметь доступ к его учетной записи?
    Никак, ибо ему это не нужно.
    Пароль должен знать только пользователь и никто более.
    Ответ написан
  • Старые версии ОС Windows - это потенциально уязвимые версии, раз разработчик их не обновляет?

    Jump
    @Jump Куратор тега Windows
    Системный администратор со стажем.
    Старые версии ОС Windows — это потенциально уязвимые версии, раз разработчик их не обновляет?
    Все версии любой ОС потенциально уязвимы! Вне зависимости от наличия обновлений.

    Могу ли я пользоваться Windows XP/ Windows 7 и быть спокойна за свою безопасность?
    Да. Конечно же полной безопасности вам конечно никто не гарантирует, но эксплуатировать эти версии не опаснее чем последний релиз Windows 10.
    Безопасность обеспечивается не версией ОС, а настройками и грамотными действиями пользователя.
    Ответ написан
  • Локальное vs облачное хранение базы менеджера паролей?

    Jump
    @Jump
    Системный администратор со стажем.
    Волшебного инструмента решающего все задачи именно так как вам надо - не существует.

    А так - вполне можно пользоваться и облачными менеджерами и программами вроде KeePass, и обычным блокнотом и карандашом.

    Надо понимать что в большинстве случаев безопасность гарантирует отсутствие удобства, и наоборот.
    Ответ написан
  • Безопасен ли KMS?

    Jump
    @Jump Куратор тега Windows
    Системный администратор со стажем.
    Безопасен ли KMS?
    Вполне.
    Правда ли это?
    Зависит от того что за активатор - может и создает, может и нет.
    Неизвестно.

    И есть ли разница в активации Windows через активатор и покупки официальной?
    Нет.
    Ответ написан
  • Аудит отказа. Безопасность удаленки. Как избавиться?

    Jump
    @Jump Куратор тега Системное администрирование
    Системный администратор со стажем.
    RDS
    Fail2ban
    PortKnock'ing
    Ответ написан
  • Как реализовать контроль сессий клиентских приложений?

    Jump
    @Jump
    Системный администратор со стажем.
    Вычислять уникальный ID клиентской машины и отправлять его с парой логин/пароль.
    Ответ написан