Ответы пользователя по тегу Информационная безопасность
  • Как передавать пароли сотрудникам?

    Jump
    @Jump Куратор тега Системное администрирование
    Системный администратор со стажем.
    Как правило пароль должен знать только сотрудник, и никто более.
    Поэтому нужно обеспечивать возможность пользователю самому создавать себе пароли.
    И ничего передавать не надо.
    Если и передается, то только временный пароль, для первого входа в систему, да и то не обязательно.
    Ответ написан
  • JS-фреймворки безопасно использовать?

    Jump
    @Jump
    Системный администратор со стажем.
    Любой софт содержит уязвимости.
    Чем больше и сложнее софт - тем больше уязвимостей
    Поэтому любой фреймворк это просто кладезь уязвимостей.

    JS-фреймворки безопасно использовать?
    Вопрос не имеет смысла.
    Это все равно что спросить - яблоки в пищу безопасно использовать?
    Разумеется небезопасно - можно подавиться, отравиться, и.т.п.
    Ответ написан
    1 комментарий
  • Можно ли изменить типовую конфигурацию так чтобы не было видно изменений при сравнении через настройку поддержки?

    Jump
    @Jump
    Системный администратор со стажем.
    Нет.
    Ответ написан
    Комментировать
  • Кто может помочь с анализом и аудитом сайта на WordPress на уязвимости?

    Jump
    @Jump
    Системный администратор со стажем.
    Кто может помочь с анализом и аудитом сайта
    Вот.

    не один из стандартных шаблонов, а полностью написанный под нас
    А есть разница?
    Ответ написан
    Комментировать
  • Как получить доступ к папке пользователя, если подключился к жесткому диску через USB с другого компьютера?

    Jump
    @Jump Куратор тега Windows
    Системный администратор со стажем.
    ПКМ - Безопасность - Дополнительно - Владелец - Изменить.
    Ответ написан
    2 комментария
  • Простые, понятные, интересные источники информации?

    Jump
    @Jump
    Системный администратор со стажем.
    Простые, понятные, интересные источники информации?
    Такого нет. Без понимания основ - как все работает вы не поймете тонкостей. Поэтому либо серьезно изучать, либо оставаться в неведении.
    Т.е либо в институт, либо составляйте список литературы и года за три углубленного изучения все станет понятным.

    Кто читает мою электронную почту(имеет к ней доступ)
    Компания которой принадлежит почтовый сервис. Например гугл, если почта на гугле. Так же у компании могут запросить доступ органы власти. Ну и третьи лица могут купить информацию, если в цене сойдутся.

    почему при переходе на некоторые сайты мне показывают сообщение от провайдера с ссылкой на зак-во РФ и как это исправить
    Потому что сайт заблокирован по решению суда и провайдер блокирует к нему доступ. Обойти можно зайдя на этот ресурс с провайдара работающего в другой стране, и не подчиняющегося нашим законам.

    как я буду решать все эти вопросы когда пр-во окончательно начнет контролиовать интернет
    Неизвестно как вы будете решать. Лазейки всегда будут, вопрос лишь в том насколько удобные. А контролировать разумеется будут.

    что,куда и кому отправляет мой телефон без моего ведома"
    Все кто имеет доступ. Ибо на этом можно заработать.
    Если не хотите утечек личной информации -
    1)Избавьтесь от сотового телефона и банковских карт.
    2)Не покупайте современные телевизоры, а если покупаете - не давайте им доступа в интернет.
    3)Не пользуйтесь компьютером подключенным к сети интернет, а если пользуетесь нигде не вводите личную информацию и не регистрируйтесь ни в каких сервисах вроде этого.
    4)В крупных городах, не ходите без маски.
    Ответ написан
  • Чем опасен Perl на сервере?

    Jump
    @Jump
    Системный администратор со стажем.
    Чеи же Perl опаснее?
    Ничем.
    Почему на виртуальных хостингах с поддержкой PHP и Perl последний часто по умолчанию отключен «по соображениям безопасности»?
    Потому что в основном нужен PHP, а любой дополнительный язык это потенциальная дыра в безопасности. Если у вас сайт будет на Perl - PHP можно отключить по соображениям безопасности.
    Ответ написан
    1 комментарий
  • Как можно защитить PHP, не замедлив его?

    Jump
    @Jump
    Системный администратор со стажем.
    А какой смысл защищать серверный код? Он же у вас на сервере.
    Защищайте сервер и только.
    Ответ написан
    Комментировать
  • Как обеспечить безопасность в связке «64-битная программа + 32-битный COM-прокси»?

    Jump
    @Jump Куратор тега Windows
    Системный администратор со стажем.
    Теоретически возможна такая утечка данных: зловред запускает прокси и тянет данные, сколько душе угодно. Какие сисадминские и программистские меры лучше принять против такого дела?
    Теоретически утечка данных возможна всегда.
    Никому не известно насколько для вас это критично и нужно ли вообще предпринимать меры, и какие именно меры вам нужно предпринимать.
    Ответ написан
  • На сколько опасно подключать домашний ПК к интернету на прямую (без роутера)?

    Jump
    @Jump
    Системный администратор со стажем.
    Как правило когда сидите за NAT'ом роутера проблем меньше.
    Но во первых все зависит от настроек.
    А во вторых вы скорее всего и так сидите за NAT'ом провайдера.
    Так что без разницы.
    Ответ написан
    2 комментария
  • Где взять тесты для ИТ по ИБ?

    Jump
    @Jump
    Системный администратор со стажем.
    Идея в том что бы проверить айтишников на знание информационной безопасности.
    Пригласить хорошего безопасника который проверит их уровень.

    Тестами ничего не проверите.
    Ответ написан
    Комментировать
  • Как бороться с брутфорсом?

    Jump
    @Jump
    Системный администратор со стажем.
    Нормальный вариант? Как думаете? Есть ли способы лучше?
    Да. Это общепринятый стандартный вариант который решает данную задачу.
    Минус этого способа в том что блокируется IP а это может быть выходной шлюз крупного провайдера с которого ходят тысячи пользователей.

    Если есть необходимость его можно комбинировать с другими способами, но в большинстве случаев его достаточно.
    Вообще по ресурсу надо смотреть. Например можно делать небольшую задержку в пять секунд уже со второй попытки - и пользователя не напрягает и перебор существенно замедляет. А через пять неуспешных еще и капчу добавить.

    Можно вести статистику по IP и если с него много попыток авторизации, но ни одной успешной - в бан его на некоторое время. Собственно fail2ban похоже работает.
    Ответ написан
  • Безопасность Opeara VPN для VK?

    Jump
    @Jump
    Системный администратор со стажем.
    Какова вероятность у спецслужб вычислить мой реальный ip?
    99%.
    Маловероятно что спецслужбы будут этим заниматься, но если все-таки будут то найдут без проблем.
    Ответ написан
    Комментировать
  • Как обезопасить бухгалтерию работающую с разными банковскими счетами и криптоплагинами?

    Jump
    @Jump
    Системный администратор со стажем.
    Как обезопасить бухгалтерию работающую с разными банковскими счетами и криптоплагинами?
    Нормально настроить ОС. В принципе никаких левых программ для этого не требуется, только настройки брандмауэра, и политик.

    Все что вы описали с точки зрения системного администратора явный бред. Бессмысленный и беспощадный.
    По принципу не знаю для чего, но на всякий случай поставим- глядишь какой толк будет.

    2.Антивирус - нормальный адекватный антивирус встроен в ОС. Если не устраивает, тогда уж стоит смотреть на лидеров рынка, а не на малоизвестный софт.
    3. Вот чем эта почта безопасна?
    4. Это просто нечто. Тор браузер отличная вещь, и при правильном использовании позволяет добиться довольно высокой степени анонимности. К безопасности он никакого отношения не имеет.
    А анонимность обеспечивает только при правильном использовании и настройке ОС, а если вы будете через этот браузер подключатся к банкам, и заходить на свои рабочие аккаунты - какой в нем смысл?
    7.Если вы говорите о безопасности, какой смысл тащить на компьютер всякий вредоносный софт вроде Reg Organaizer?
    11.С таким же успехом можете купить пистолет и рандомно стрелять себе в колено. Это примерно так же отразится на безопасности как и регулярная замена mac. И да - к паранойе это не имеет отношения.
    12. В голове. Если не умещаются - KeePass
    Ответ написан
    5 комментариев
  • Есть ли решения, где предусмотрено автоматическое уничтожение информации при попытке вскрытия?

    Jump
    @Jump
    Системный администратор со стажем.
    Есть ли решения, где предусмотрено автоматическое уничтожение информации при попытке вскрытия?
    Есть, но редкие и специфические, а потому баснословно дорогие.


    Худший сценарий: внезапное отключение питания и хищение сервера вместе с жёсткими дисками. Могут ли они потом сами стереть информацию на себе?
    Стирание информации невозможно сделать быстро - это долгий процесс - по времени занимает не меньше чем запися аналогичного объема информации.
    Террабайт у вас будет уничтожаться несколько часов.
    Поэтому ее не стирают а уничтожают вместе с носителем. Чаще всего физическое разрушение.

    Но проще всего - банальное шифрование.
    И информацию уничтожать не надо.
    Способ бесплатный, уничтожает возможность доступа к информации мгновенно, удобный, и быстро реализуемый.
    И главное - самый надежный.

    По поводу вскрытия - датчики вскрытия есть на многих десткопных мат. платах, и на большинстве серверных.
    Ну и отдельно можно купить при желании, или даже не покупать а сделать самому - там же элементарная схема.
    Ответ написан
    5 комментариев
  • Какой длины пароль сейчас могут взломать?

    Jump
    @Jump
    Системный администратор со стажем.
    я удивлен, что пароль такой длины с цифрами был подобран.
    C чего вы взяли.
    Подобрать такой пароль не получится.

    Знаю только метод bruteforce, но насколько мне известно, пароль с цифрами длиной больше 10 символов, таким методом будет подбираться около года.
    Каким методом?
    Подобрать пароль к сервису при такой длине не получится и за миллион лет.
    Вы даже пароль из четырех символов за год не не факт что подберете.

    насколько мне известно, пароль с цифрами длиной больше 10 символов, таким методом будет подбираться около года
    Чушь. Невозможно предсказать длительность подбора не зная скорости подбора.
    Ответ написан
    Комментировать
  • Где хранить финансовые транзакции платежной системы?

    Jump
    @Jump
    Системный администратор со стажем.
    Где хранить финансовые транзакции платежной системы?
    В базе данных.
    Все остальное это не вопрос, а достаточно объемная задача, требующая анализа ситуации и приличного объема работ.
    В общем это вне тематики ресурса.

    Самый больной вопрос по финансовым транзакциям. Где лучше их хранить? Блокчейн?
    База данных.
    Блокчейн при желании можно присобачить куда угодно, но описанной ситуации он абсолютно бесполезен и не несет никакой смысловой нагрузки.
    Ответ написан
    Комментировать
  • Почему Javascript включен в тор браузере?

    Jump
    @Jump
    Системный администратор со стажем.
    Но js впринципе небезопасен
    Да это так.
    Только вот без JS в современном интернете делать решительно нечего.
    Большая часть сайтов тупо работать не будет.

    В итоге если выключить JS совсем - пользователи начнут задавать вопросы почему браузер не работает. И в итоге включат JS. А так он включен изначально, с довольно жесткими настройками.
    Ответ написан
    Комментировать
  • Мониторится ли данная информация и как?

    Jump
    @Jump
    Системный администратор со стажем.
    давно читал
    А я недавно читал что марсиане захватили США.

    Мониторится ли данная информация и как?
    Спецслужбами и полицией - нет.
    Коммерсантами - да.
    Для силовиков слишком большой объем информации, откуда они денег и средства возьмут на это? А у коммерсантов это окупается, так что деньги не проблема. Только и всего.
    Спецслужбы и полиция чаще всего выборочно запрашивают информацию когда она необходима, или в редких случаях могут на какое то время устроить тотальный мониторинг в определенных областях.

    Как в таком случае органы найдут потенциальных злоумышленников?
    Спецслужбы как и полиция работают по другому. Они работают в первую очередь с людьми, а не с техникой.
    Поэтому свидетельские показания, опрос людей, работа с информаторами. А уж когда есть подозрение - вот тогда могут и переписку мониторить, если это уж очень сильно надо. В большинстве это нафиг не надо, и так хватает.
    Работа сыскаря в принципе не сильно изменилась за последние несколько сотен лет. Разве что на авто ездить удобней чем на лошади, и телефон удобней чем почтовые голуби.

    Правильно ли я понимаю, что владельцы таких серверов предоставляют доступ специальным службам для мониторинга?
    Если к владельцу придут представители власти, или просто люди с деньгами и попросят эту информацию, то он предоставит, иначе нет. Если информация потенциальна интересна рекламодателям и они готовы платить - продаст.

    вот например человек загрузил в облако какой-нибудь сжатый файл с паролями и прочей защитой, где обсуждается запрещенное. Каким образом его найдут?
    Узнают что он общается с подозрительными людьми, придут, сделают обыск, найдут улики. Если очень нужен будет запароленный файл - вежливо, но настойчиво спросят куда загрузил файл, и какой пароль. Скачают файл и распакуют.Но чаще всего этот файл им нафиг не нужен будет.

    а продается ли данная информация для рекламодателей?
    Вовсю. Весь современнй интернет на этом стоит.
    Например, человек в игре обсуждает бетон в чате и ему начинают рекламировать бетон.
    Именно так.
    Кроме того ваш умный телевизор собирает статистику и отправляет владельцам - какие фильмы вы смотрите, на какой рекламе переключаетесь, какие запросы вводите.
    Далее - в любом современном смартфоне стоит мощный процессор (и уже не только в смартфоне), для этого процессора сжать голос с микрофона в реалтайме - это незаметная нагрузка в районе нескольких процентов, час сжатого разговора около мегабайта и переслать эти данные на сервер не составит труда.
    В итоге вы загрузили игру или какое-то приложение на андроид, оно при установке запросила доступ к микрофону, пишет ваши разговоры, отсылает на сервер, отдает на распознавание, выдергивает ключевые слова - и пожалуйста рекламодатель знает что рекламировать владельцу этого телефонного номера и аккаунта в гугле.
    Ответ написан
  • Какие есть утилиты для атаки на Openvpn сеть, можно ли их идентифицировать в локальной сети через Wireshark?

    Jump
    @Jump
    Системный администратор со стажем.
    Как локализировать проблему потери связи с openvpn сервером?

    Ну если возникают проблемы - в первую очередь смотрим логи VPN, маршрутизаторов и оттуда уже танцуем дальше.

    Переодически когда нагрузка на локальную сеть выростает при подключении на один из маршрутизаторов возникают проблемы с openvpn, которые проявляются в потере пакетов
    В общем то учитывая что у вас клиенты подключаются по WiFi - потери пакетов в сети это вполне закономерное явление при большой нагрузке.
    Поэтому я бы в первую очередь смотрел в таких случаях на беспроводной канал.
    Ответ написан
    Комментировать