• Безопасно/правильно ли передавать логин и пароль в заголовке по HTTPS протоколу?

    asilonos
    @asilonos
    Программист
    Если Коротко: Безопасно и это пока стандартный подход. Да перехватить пароль можно, и в зависимости от браузера, пользователь не узнает что его SSL/TLS "читает" что-то по середине.

    Если Развернуто , то сейчас уже в моде использовать другой подход - на стороне браузера, при помощи JScript/Subtle crypt генерировать хеш/PBKDF от пароля и передать на сервер. Сервер в свою ичередь тоже должен генерировать с этого значения, вторичный хеш и уже его можно хранить\ искать в БД для аутентификации пользователя. А первичный хеш не в коем не хранить на сервере! но его можно использовать для других целей, например де-шифрования данных для 2ФА метода.
    И раз уже твой фронт будет использовать JScript/Subtle crypt, то это открывает допольнительные возможности сквозного шифрование более широкого набора данных пользователя в режиме сквозного шифрования.

    посмотри как сделан сервис mega.nz. у них опен сорс.
    Ответ написан
    Комментировать
  • Локальный лог с защитой от удаления. Как сделать?

    asilonos
    @asilonos
    Программист
    Можно использовать аппаратный ключ типа FIDO U2F либо ПК с встроенным TPM + в структуру данных лога добавить ц.подпись и что-то типа блокчейна, так чтобы можно было проверить целосность и последовательность всех подписей. Чтобы это взломать нужно будет произвести реверсинг и написать непростой код.
    Для создания первого блока в таком логе нужно будет чтобы оператор ПК создал ПИН код либо нажал пальцем на кнопку U2F ключа для генерации первой подписи (которую невозможно подделать чисто програмно).
    Либо Можно все вышесказанное упростить - можно писать лог на внешний источник , но для каждого блока записей записывать предыдущий Хеш (котрый храниться на ПК) и также новый Хеш. В результате подменить данные не получитьчся. поскольку на самом ПК всегда будет храниться предыдщий хеш который должен совпадать с тем который на лог сторадже.
    Ответ написан
    Комментировать
  • Как защитить данные в базе данных?

    asilonos
    @asilonos
    Программист
    Для этого нужно немного поменять протокол обработки данных клиентов.
    Чтобы в итоге прийти к сквозному шифрованию на клиентах. Это довольно сложно обьяснить на пальцах в кратце-
    вот тут примерно описано как это работает на практике -
    https://staffcounter.net/ru/introducing-p2p-encryp...

    еще почитайте как это сделано в mega.nz
    Ответ написан
    Комментировать
  • Как запретить делать скриншоты программе для отслеживания активности?

    asilonos
    @asilonos
    Программист
    В Mac OS можно запретить делать скриншоты. Но под Windows это нельзя зделать програмно.
    Если это ваш ПК - то надо Установить и Настроить Windows в Virtual Box (это должно быть 100 ГБ места примерно) и рабочие задачи выполнять там, а программа мониторинга будет делать скриншоты толлько системмы в Virtual Box , но не из вашей родной Виндовс.
    Ответ написан
    Комментировать
  • Нужен софт для того, чтобы мышь «дёргалась»?

    asilonos
    @asilonos
    Программист
    Уже есть гаджет, на амазоне за 30 баксов.
    "Tech8 USA, Undetectable Mouse Mover, Jiggler"
    Ответ написан
    Комментировать
  • Есть бесплатные DLP системы?

    asilonos
    @asilonos
    Программист
    Есть DLP + UBA недорогая от staffcounter (только для Win)
    staffcounter.net/ru/features/staffcounter-agents-f.... Как одна из тактик по ИБ, где за небольшие деньги можно понять на практике что с утечками, что с дисциплиной, и насколько готов отдел ИБ к установке UBA и что с этими данными делать. Вполне норм. альтернатива.
    Ответ написан
    Комментировать
  • Как узнать, кто и когда подключался к ПК в компании по RDP?

    asilonos
    @asilonos
    Программист
    Если нужно фильтровать RDP по маске IP адресов — Разрешать обычный доступ для всех пользователей при подключении из локальной сети (LAN) тогда как для подключений из внешней сети (WAN) требовать предъявление 2ФА одноразового пароля либо электронного ключа.
    www.rohos.ru/2015/03/terminal-server-login-by-sms-otp (платно)
    Ответ написан
    Комментировать
  • Как стать специалистом по информационной безопасности?

    asilonos
    @asilonos
    Программист
    В статье в разделе про "Как стать специалистом по информационной безопасности?"
    есть дельный совет :
    ... устроиться на работу программистом в профильные компании такие как Kaspersky либо там где ваши обязанности будут связанны с информационной безопасностью...

    www.rohos.ru/2018/10/risk-management-in-cissp-cert...
    Ответ написан
    Комментировать
  • Как сформировать белый список для загрузки OS Windows 10 / 2016+?

    asilonos
    @asilonos
    Программист
    можно решить от Обратного - включить защиту на создание \ изменение исполняемых файлов на уровне драйвера . У StaffCounter DLP есть такая фича (платно). В таком случае на диске невозможно создавать \ копировать \ сохранять новые EXE DLL SYS OCX и т.д. все c PE header. (и винда перестает обновляться поскольку DLP модуль не разрешает записывать PE header ). В общем Новых бинарников не будет.
    + надо также "вырезать" PowerShell движок руками самому.

    Теоретически , дропер может долго жить в памяти и пытаться сохранить на диск Пайлоад в Упакованном виде, и только скрипт какойто его сможет запустить. Ну либо если это новый вид малвари которая работает исключительно в памяти - в таком случае вариантов защиты путем обеспечения Целостности ОС\Файлов пока нет.
    Поправте меня если я что-то упустил).
    Ответ написан
  • Есть ли защищенное облако?

    asilonos
    @asilonos
    Программист
    Согласен с John, вместо BoxCrypt использую Rohos Disk. (Win/Android) для 4гб бесплатно. работает с любым облаком.

    Если есть "руки" + время + куда поставить Сервак , то В качестве своего Облака используй NextCloud. полный аналог gmail + drive + photos. Есть win / mac / ios/ android app синхронизаторы. и online редактор документы я думаю там скоро появятся. Мне друг показывал как он для всей семьи развернул. и хранил там все фото. Супер!
    Ответ написан
    Комментировать
  • Насколько безопасно хранить менеджер паролей в облаке провайдера самого менеджера?

    asilonos
    @asilonos
    Программист
    В общем, менеджерам паролей в облаке можно доверять.

    1) например кейлогером на твоем ПК, или малварью на твоем телефоне. или фишингом тебя подловят.

    2) пока безопасно. еще не было замечено малвари которая может "взять" пароли из , браузерного расширения менеджера паролей (такоей как lastpass например). но я думаю скоро появится. эти все расширения держат мастер ключ в спец. памяти браузера постоянно. Эта память теоретически может быть доступна другим расширениям и скриптам, или ПО типа чита которое инжектиться в браузер.

    тут важнее выбрать один надежный браузер (хром) где ты будеш иметь этот менеждер паролей (и обновлять его часто) и там логинится куда надо. а для обычного серфинга по сети - использовать другой браузер.
    Ответ написан
    1 комментарий
  • Как реализовать систему хранения и использования паролей?

    asilonos
    @asilonos
    Программист
    Если это для себя - то купи себе ноут, и в нем сделай виртуалку где будеш использовать ЛастПасс в изолированной среде.
    За ЛастПасом сейчас много малвари охотиться. поэтому если у тебя в нем например, хранятся логины и пароли в Банкинг (финансы), то лучше его прятать в доверенную среду (виртуалку) где будет установлен один браузер для входа на сайты. В этой виртуальке лучше не открывать Ворд, ПДФ файлы.
    Ну если хочеться всетаки с USB флешкой с паролем, ну ок. Но ведь содержимое флешки ведь надо бекапить ? как и куда ты будеш это делать ? Если этот вопрос не решить - есть большой риск все потерять.

    Вообще сейчас подобного рода Модель Рисков надо проектировать с учем методики "Zero Trust". т.е. надо исходить из предположения что доспустим ЛастПасс тебя подведет - пароли рано или поздно "утекут" (или они исчезнут, не важно как, потеряеш флешку или ключ мастер доступа). Тогда важнее предусмотреть - как быстро я могу заблокировать логины, збросить, восстановить их? Какой вред мне могут нанести если Злохакер получит доступ в мой гмайл \ учетку ? Как я об этом узнаю ? как минимизировать этот ущерб ?
    Ответ написан
    3 комментария
  • Текст из скриншота в буфер обмена?

    asilonos
    @asilonos
    Программист
    Есть бесплатная capture2text. работает на винде 10 и маке. есть командная строка. распознает русский англ, и друние языки. есть исходики даже. работает без установки. В комплекте также есть менюшка где часы, чтобы можно было область экрана указывать.
    capture2text.sourceforge.net/#download

    Например:
    Capture2Text_CLI.exe --screen-rect "10 10 2200 1500" --clipboard ( или -o result.txt)

    скриншотит, распознает текст и копирует в буфер (или в файл).

    (Hires экран распознает за 10 сек)
    Ответ написан
    1 комментарий
  • Чем шифровать файлы в облаке?

    asilonos
    @asilonos
    Программист
    В данном случае утилиты типа TrueCrypt \ VeraCrypt становятся бесполезными. Нужно шифровать по-файлам ДО облака чтобы google sync \ yandex disk загружали в облако уже зашифрованный контент.
    Попробуй Рохос Диск - www.rohos.ru/2019/06/googledrive_encryption
    Ответ написан
    3 комментария
  • Как в Windows ограничить доступ приложений к файлам?

    asilonos
    @asilonos
    Программист
    https://staffcounter.net/ru/dlp/
    умеет ограничивать доступ для заданых ##.exe к путям по маске. например может запретить браузеру или скайпу открывать файлы вне своей папки профиля- т.е. пользователь не сможет приатачить файл, отправить его в облачн. диск или отправить по скайпу.
    Ответ написан
    Комментировать
  • Определение текущего пользователя Windows из под службы, запущенной от другого пользователя с минимальными привилегиями?

    asilonos
    @asilonos
    Программист
    Вам надо Спросить на rsdn.ru - rsdn.org/forum/winapi
    Служба может получать уведомления SERVICE_ACCEPT_SESSIONCHANGE и там можно узнать залогинился при помощи GetSessionUsername()
    Ответ написан
    Комментировать
  • Ограничить доступ к функции загрузки файлов на google disk и yandex disk?

    asilonos
    @asilonos
    Программист
    Это нужно пробовать DLP ПО. Например в staffcounter есть Запрет на отправку файлов через Интернет. Но оно полностью запретит даже атачи вставлять в гмайл через браузер - https://staffcounter.net/ru/dlp/. браузеру ограничивают возможность читать файлы.
    Ответ написан
    Комментировать
  • Как отправлять уведомление на почту руководителя о простое рабочего ПК сотрудника?

    asilonos
    @asilonos
    Программист
    https://staffcounter.net/ru/ отправит уведомление если к обеду ПК использовался менее 20 минут. либо если вообще не включали ПК , либо если включили но более 50% времени ушло на ранее неизвестные\совсем не по делу сайты...
    Ответ написан
    Комментировать
  • ПО для записи экрана?

    asilonos
    @asilonos
    Программист
    https://staffcounter.net/ru/server/ может скриншотить по таймеру, по кликам, можно отключать когда надо удаленно.
    хранить данные в локальной сети.
    Ответ написан
    Комментировать
  • Песочница с отчётом обо всех операциях, есть ли?

    asilonos
    @asilonos
    Программист
    Process monitor - мониторин и под-процесы.

    >> ... а всех запускаемых после запуска песочницы.
    А ты уверен что твой под-опытный EXE будет только запускать новый процесс а не встроиться в другой процесс ?
    И тогда тебе надо всю системму мониторить ...
    Тогда sysinternals suite по отдельности все запускаеш в нем что надо и потом из каждого монитора собираеш инфу...
    Ответ написан
    Комментировать