Станислав Бодро́в

Кому ты нужен со своим MITM? Если кому-то понадобишься, найдут тебя как разговорить. Для этого не обязательно сувать твои пальцы в мясорубку. В чатах, форумах, соцсетях по тебе можно собрать информацию, что сейчас делается довольно легко, и потом тебя могут разговорить.
С другой стороны, судя по бесконечным утечкам, торчащими голым задом в интернет базам данных и тотальному наплевательству к безопасности мудрить с MITM даже не надо.

Даже если он у тебя не будет толком работать. Т. е. что-то одно не будет выполнять из заявленного функционала:
- скрытность от антивирусов. Не зря про ехе упомянул, значит под винду заточенность;
- саморепликация;
- возможность распространения по почте;
- возможность распространения по сети;
- встраивание кода в примитивные программы (cmd.exe,...)
- основной функционал - майнер крипты.
И всё это на ASM. Думаю, грамотные люди из органов, предложат тебе контракт во ФСТЭК, а не срок в ФСИН.

Имеется в виду не делать своё шифрование поверх UDP

Здесь скорее всего главное не делать своё шифрование. UDP всего лишь транспорт, ему совершенно всё равно какую нагрузку он несёт. RH собирается реализовать поддержку икапсуляции протокола SCTP в UDP. Ты можешь спокойно инкапсулировать TLS в UDP, если хочешь.

Полностью ли безопасен Windows Server 2008 R2 от угроз в локальной сети?

Лучше престраховаться и отключить вообще от сети.

К подбору паролей всегда надо быть готовым. При блокировании сетей могут пострадать валидные клиенты, работающие с этих сетей. Можно выставить капчу для этих сетей или/и снизить скорость отдачи для этих сетей.

Безопасно ли хранить конфиденциальные данные в переменных окружения?

Нет! Ноги от этого дела растут из 12 factors. Как это красиво победить, сам голову ломаю. Очень непростой вопрос. Эти чувствительные данные надо где-то хранить до деплоя, потом их передавать (безопасно) и удалять.

Ведь получить переменные окружения процесса достаточно легко, и даже не нужен root.

Команда printenv в пространстве пользователя и выгребай что хочешь.

От кого прячемся? В сети куча сканеров, которые денно и ночно прочёсывают её на предмет открытых портов. Найдут не те так другие.

Чем шифровать файлы в облаке?

Шифровать надо до облака иного не дано.

Это из области социально административной области - организационные вопросы. Такие вещи не должны решаться техническими способами.

Чем реально на работе занимаются безопасники?

1 хмурый вид.
2 подозрительный прищур глаз.
3 написание, переписывание, дописывание всяких инструкций - временами.
4 запрещение.
5 кофебрейки с перекусами и перекурами - в основном.
6 устращение.
7 в некоторых случаях предание воспоминаниям о бывшей работе оперативником.
8 совещание с руководством.
9 поиски крайнего.

Полностью изолировать от интернета!

Как сказано выше - GnuPG. Может не идти по умолчанию в некоторых вариантах дистрибутивов (вариант minimal), устанавливается одной командой, много места не занимает. Крайне удобная и функциональная программа. Поддерживает симметричное и асимметричное (даже на эллиптических кривых) шифрование, подпись, сжатие.

В случае шифрования только /home, какие данные могут быть получены при наличии физического доступа?

В случае симметричного ключа 256 бит или асимметричного ключа на эллиптических кривых 512 бит кроме головной боли для постороннего ничего.

Потому что это avast. Он такой.

Сервант Леново с 8 дисками по 1тб пашет подняты рейд 5 и Xenserver 7.2

Тут ты сам себе злобный буратино. Был ли в этом массиве диск hot spare? Клоны образа виртуалки делались?

Упали 2 диска на совсем из 8

Пиши пропало.

Бекапа виртуальных серверов нет и опасно их терять

Молодца. Хоть какие-то есть копии или архивы данных, которые крутились на виртуалках? Иначе полный попадос.

У тебя просто развалился массив. Может найдёшь компанию, которая за большие деньги попробует что-то вытащить. Хотя вероятность этого не высока.

Может ли нововведение сделать ОС Windows безопаснее?

Имеющиеся возможности Винды в плане безопасности превосходят стандартные в Линуксе. Только их довольно много, очень много, многие не совсем понятные и ещё мало подробного и внятного описания к ним. Ещё одна проблема - никто ими толком не заморачивается. Доходит до того, что пишут приложения, которые работают только с полномочиями администратора и при каждом обновлении требуют перезапуска операционки.

Надо: Защитить передачу данных от пользователя на сайт.
Варианты:
1) Поднять IPSEC с УЦ от криптопро (очень дорого)
2) выпустить сертификат для сервера и выпустить 100500 сертификатов для клиентиов

3) Stunnel
4) VPN
5) htpasswd

Как сделать второй вариант?

Попробуй приручить для своих целей easy-rsa.

Лучше явные баги вычищать и не держать "злоумышленников" за дураков. К тому же усложнение кода не всегда работает в лучшую сторону.

Никто не тревожится кучей сайтов на криво сделанном wordpress (ping back wordpress призабавнейшая вещь), огромным количеством торчащих голым задом в сеть баз данных всех мастей (их легион). А тут какие-то прокси с которых взять особо нечего, ни на майнить на них.

Мне нравится ваша компания и ход ваших мыслей. Вы все молодцы! Так держать!
Особенно

значит роутер в некоторых случаях надёжнеее сервера?

Кроме шуток, в некоторых случаях так оно и есть.