nirvimel

1. Как начать познание информационной безопасности?
   
2. С чего начать изучение информационной безопасности?
   
3. Какие есть ресурсы для изучения сферы «информационная безопасность»?
   
4. Фундаментальная литература по ИБ на русском?
   
5. Книги и ресурсы по информационной безопасности
   
6. Что изучать специалисту по информационной безопасности?
   
7. Что нужно знать, чтобы стать хакером?
   
8. ...
   
9. Как найти все вышеперечисленные ссылки?
   

Например, напишите про, очевидную для некоторых и неизвестную для остальных, проблему связанную с автоматической синхронизацией с iCload, то есть автоматической засылкой личных данных на "вражеские" сервера. К чему это приводит в результате все уже видели в 2014. Кстати, эта дыра на iCload, возможно, не закрыта до сих пор, так как сообщений о ее закрытии за все время не поступало (и даже, если закрыта конкретно та, то могут оставаться еще сколько угодно незакрытых).

EncFS

ТОП-100 (формат - "пароль: количество_ящиков"):

123456             : 39177
123456789          : 13892
111111             : 9826
qwerty             : 7926
1234567890         : 5853
1234567            : 4668
7777777            : 4606
123321             : 4324
000000             : 3304
123123             : 3031
666666             : 2807
12345678           : 2570
555555             : 2416
654321             : 2299
gfhjkm             : 1804
777777             : 1500
112233             : 1482
121212             : 1432
12345              : 1431
987654321          : 1385
159753             : 1172
qwertyuiop         : 1120
qazwsx             : 1109
222222             : 967
1q2w3e             : 939
0987654321         : 874
1q2w3e4r           : 872
1111111            : 832
123qwe             : 804
zxcvbnm            : 772
88888888           : 762
123654             : 724
333333             : 707
131313             : 697
999999             : 690
4815162342         : 661
12344321           : 639
1qaz2wsx           : 633
11111111           : 615
asdfgh             : 609
qweasdzxc          : 583
123123123          : 578
159357             : 574
zxcvbn             : 571
qazwsxedc          : 545
ghbdtn             : 533
1234554321         : 524
1111111111         : 523
1q2w3e4r5t         : 500
1029384756         : 465
qwe123             : 455
789456123          : 448
147258369          : 444
1234qwer           : 439
135790             : 428
098765             : 426
999999999          : 422
888888             : 408
12341234           : 408
12345qwert         : 401
qweasd             : 395
987654             : 392
111222             : 391
147852369          : 380
asdfghjkl          : 375
789456             : 375
samsung            : 373
159951             : 365
101010             : 357
vfhbyf             : 355
444444             : 353
qwerty123          : 348
nikita             : 348
qweqwe             : 335
q1w2e3             : 331
fyfcnfcbz          : 328
00000000           : 325
qwaszx             : 325
qazxsw             : 322
010203             : 321
marina             : 319
9379992            : 316
123789             : 316
zzzzzz             : 308
qqqqqq             : 308
11223344           : 307
dbrnjhbz           : 306
qwertyu            : 303
147258             : 299
12345678910        : 298
232323             : 296
yfnfif             : 294
55555              : 292
aaaaaa             : 291
147852             : 289
fylhtq             : 287
fktrcfylh          : 284
1qazxsw2           : 279
q1w2e3r4           : 278
7654321            : 277

Скрипт, которым построен топ:

import re
import collections

regex = re.compile(r'^([a-zA-Z0-9_.+-]+)@[a-zA-Z0-9-]+\.[a-zA-Z0-9-.]+:(.+)$')

counter = collections.Counter()

with open('yandex.txt', encoding='ascii', errors='ignore') as file:
    for line in file:
        match = regex.match(line)
        if match:
            # login = match.group(1)
            pass_ = match.group(2)
            counter[pass_] += 1

for pass_, count in counter.most_common(100):
    print('%-19s: %i' % (pass_, count))

Источник: слив базы яндекса в сентябре 2014 (точное количество ящиков == 1.261.810)

Подготовка:

1. В чистую виртуальную машину с отключенной сетью ставится чистый Windows с лицензионного диска (никакая не СБОРКА! и не готовый образ).
   
2. Никакой другой ПОЛЕЗНЫЙ софт на эту ВМ не ставится.
   
3. Ставится банк-клиент, скаченный с официального сайта.
   
4. Подключается сеть в режиме NAT.
   
5. Заносятся все данные и ключи. Проверяется подключение к серверу (увидеть свой баланс).
   
6. Делается снепшот виртуальной машины.
   

Работа:

1. Запуск ВМ. Работа в банк-клинте (как обычно). Откат ВМ к снепшоту, сделанному на этапе подготовки.
   

Только не говорите, что это НЕ УДОБНО.
Во-первых, это неправда; запустить/остановить/откатить VirtualBox (например) не сложнее, чем распечатать накладную в 1С.
Во-вторых, если бы даже это было действительно не удобно, то это все равно не имело бы значения, когда речь идет о безопасности банковских операций.

1. Чрезвычайно сложно найти VPS, разрешающий поднятие выходной ноды Tor (а вы не думали почему во всем мире этих нод не так уж много?).
   
2. Еще сложнее оплатить его анонимно. Нужна будет чужая кредитка... (тут долго объяснять), но по цепочке денежных транзакций выйти на вас будет ГОРАЗДО проще, чем по цепочке VPN.
   
3. Поднятие выходной ноды сразу привлечет к этому IP внимание спецслужб всего мира. Контролировать трафик выходящий из Tor - их работа. Все соединение начнут логгироваться (множеством заинтересованных сторон). До этого вы были никому ненужным рядовым анонимом. Теперь вы - владелец выходной ноды, это как выступать на сцене перед огромным залом.
   
4. Итак, вы проходили регистрацию при покупке сервера, ставили туда софт, настраивали, тестировали... Значит к этому моменту профиль сетевой активности с вашего реального IP уже довольно сильно коррелирует с профилем активности на этом сервере. Во всем мире становится тесно остается все меньше адресов с таким высоким уровнем корреляции. А значит, люди, владеющие статистикой трафика, уже довольно точно представляют откуда управляется эта выходная нода.
   
5. Ну и самое главное (с чего следовало бы начать): Tor не защищает от timing-атак на коммуникации в реальном времени. А SIP по определению есть коммуникация в реальном времени, следовательно подвержен timing-атакам сквозь Tor (и любые low latency сети/тоннели).
   

есть один проект на шаред хостинге, там постоянно появляются шеллы.

В болоте лежит туша мамонта с прошлогодней охоты, но в ней (почему-то) постоянно заводятся черви.

Ну не могут шеллы заводится сами! НЕ МОГУТ!
Пока у вас в команде будет в порядке вещей такой подход к гигиене системной безопасности и разграничению доступа, когда шеллы на сайте заводятся сами, до тех пор вам не поможет ни один антивирус (ни платный, ни бесплатный).

1. В виртуальную машину ставите Windows XP SP3 (чистый корпоративный, а не какую-то говносборку).
(Не говорите, что это долго, если это надо сделать один раз, и пользоваться потом постоянно).
2. Делаете снепшот виртуалки с чистой свежеустановленной ОС.
3. Ставите своего торояна (пусть даже это - очень ценная и полезная программа, разницы нет).
4. Делаете снепшот виртуалки со свежеустановленным трояном.
5. Запускаете эту Вашу Прелесть. Работаете с ней ровно один сеанс.
6. Откатываете виртуальную машину к снепшоту (4) (или к снепшоту (2), когда захочется поиграть с другим трояном).
...
7. PROFIT.

Как считаете, такая схема достаточно надежна или есть более защищенные/удобные способы?

На этом погорели многие. Люди настолько привыкли окружать себя удобными вещами, что не понимают, что это их удобство иногда может оказаться просто несовместимо с безопасностью.
Разговор в реальном времени (не важно с каким шифрованием и через сколько туннелей) позволяет сопоставить двух абонентов друг с другом на основании только того, что они начинают и заканчивают разговор одновременно! Этой мелочи часто бывает достаточно, чтобы по логам (за много лет до того) выявить связь между двумя субъектами, которые находились в разных странах у разных операторов и пользовались разными технологиями связи (GSM/Skype/SIP). И это не решается применением никакого чудо-софта или никакими технологиями шифрования. Это фундаментальный неустранимый недостаток коммуникаций в реальном времени. Единственное решение - полностью отказаться от общения в реальном времени и вернуться к использованию старой доброй почты (электронной, конечно), с ней тоже связаны многие проблемы в плане безопасности, но они, по крайней мере, имеют техническое решение.

Это смотря на что выводить:

• Для криптовалюты задержки транзакций определяются только техническими ораничениями (подтверждения включения транзакции с следующий блок от других пиров), поэтому что ввод, что вывод идут практически с одной скоростью.
  
• Для электронных денег все зависит от законодательства страны, в чьей юрисдикции находится эмитент. Для брорьбы с отмыванием многие регуляторы специально усложняют вывод из электронных денег в реальные или перевод в чужую юрисдикцию.
  
• Visa/Mastercard (также как и, завязанный на них, PayPal) - полнейшее дно! Само существование такого понятия как chargeback вносит неустранимый архитектурный изъян во всю систему, благодаря которому ни одна "завершенная" транзакция не может считаться окончательно завершенной на протяжении всего периода доступности chargeback (30 дней). Эта схема не помогает ни продавцам (для них это - настоящий ад), ни покупателям (вы сами как-нибудь попробуйте совершить chargeback, получите столько проблем, что пожалеете что просто не забыли о потерянной сумме), ни банкам (как взыскивать chargeback, когда средства уже сняты? морозить на весь период? В полном объеме никто не морозит, а значит все несут риски). Эту схему придумали, похоже, специально для торможения вывода (и всей электронной коммерции) доблестные борцы с отмыванием.
  

Ни формат ELF, ни ядро Linux сами по себе никак не препятствуют запуску любой малвари.
А вот строгое разграничения доступа в многопользовательской системе (не только Linux) - препятствует.
То есть, одна простая команда, запущенная из-под root, может полностью уничтожить установленную операционную систему вместе с содержимым всех дисков. Вот только ни один грамотный Linux-юзер (кроме камикадзе) никогда не запустит всякую малварь под рутом и ни когда не оставит root незапароленным.

1. Купите недорогой VPS (от $15/год, можно даже дешевле) и поднимите на нем личный VPN. В Сети есть куча подробных руководств как это делается. Только не надо говорить, что у вас нет на это денег, интернетом вы же не бесплатно пользуетесь. Просто примите это как небольшую дополнительную плату за интернет за ваш спокойный сон.
   
2. Работая через VPN (обязательно), заведите себе новый почтовый ящик на зарубежном сервере у компании, у которой нет никакого бизнеса и любых коммерческих интересов в РФ. Пусть это будет не мажорный гигант индустрии, а скромная компания, малоизвестная в РФ. Главное - это наличие SSL в веб-интерфейсе и в IMAP, в остальном почта есть почта, она просто работает, и этого достаточно.
   
3. Работая через VPN, заведите себе новый аккаунт в vk facebook и/или google (если вы неспособны полностью отказаться от использования социалок). При регистрации указывайте место проживания подальше от РФ. Учитывайте, что все гиганты индустрии, имеющие большой бизнес в РФ, полностью сотрудничает с ГБ, но аккаунты нерезидентов, зарегистрированные и посещаемые с зарубежных IP, они не станут сливать по умолчанию (но по первому запросу сольют мгновенно). Так что забудьте про любые приваты в социалках, ведите все общение так, как будто все это читает весь ваш квартал и все те, кому бы вам меньше всего хотелось это показывать. Для приватного общения пользуйтесь только безопасной почтой (пункт 2) и защищенными чатами, на telegram jabber на зарубежных серверах. Все это касается только тех, кто не может окончательно завязать с пагубной зависимостью от соц.сетей. Очевидно, наиболее безопасным (и полезным для здоровья) вариантом является полный отказ от социалок.
   
4. Не вбрасывайте в старые ящики и соц.аккаунты адреса и ссылки на новые чистые, не указывайте новые адреса в любых исходящих и старайтесь, чтобы они не попали во входящие. Помните, что в любой социалке и любом веб-интерфейсе почты (сотрудничающей) кнопка "удалить" скрывает удаляемое только от вас самих и не более того.
   
5. (Самый неприятный пункт) Забудьте про vk, mail.ru и российские gmail и facebook. - КАК? - Так! Я понимаю, что это не легко, что они давно стали частью вашей жизни. Но это придется сделать! Поговорите сами с собой, спросите себя что для вас важнее: ваша личная безопасность, спокойствие и крепкий сон или старые привычки, которыми вы опутаны, и которые не хотят отпускать вас? Учтите, что продолжая пользоваться местными социалками (и сотрудничающими иностранными), вы продолжаете каждый день генерировать на себя тонны компромата, который может обернуться против вас в самый неожиданный момент самым неприятным образом. Проявляя активность в своих старых аккаунтах, вы не даете им "протухнуть" и не даете даже формального повода добрым компаниям снести их через пол года, после истечения отведенного законом срока хранения (как известно, vk не ограничивается минимальным сроком хранения, а хранит все метаданные и текст практически вечно за исключением видео/аудио).
   

«Не следует множить сущее без необходимости».

Уильям Оккам о почтовых ящиках.

Смысл в том, что достаточного одного своего собственного почтового сервера на самом дешевом VPS (никаких D.O.), чтобы забирать свою почту когда- и как-угодно без досмотра любопытных глаз (которые считают своим долгом совать свой нос в каждый почтовый ящик). Для дополнительной безопасности можно подключатся к своему серверу через другой VPN, чтобы избежать идентификации через сопоставления трафика на IP сервера. Но даже без этих наворотов в базовом варианте эта схема дает гораздо более высокий уровень безопасности, чем любые цепочки ящиков на ЧУЖИХ серверах.

Не знаю на каком варианте вы в итоге остановитесь, но напомню, про легковесные реализации SSL, специально предназначенные для использования в МК с очень ограниченными ресурсами:

1. mbed TLS
   
2. wolfSSL
   
3. MatrixSSL
   

Возможно, что-то из этого удастся скомпилировать под ESP8266.

Даже крупные специалисты в этой области не живут на вознаграждения за найденные уязвимости, а имеют некоторую основную работу (в той же сфере, но на окладе). Какими большими не были бы вознаграждения, нахождение бага по сути - просто удача, на которую нельзя полагаться.

P.S.: На Тостере вряд ли сидят опытные багхантеры, получавшие вознаграждение неоднократно.

они же получат доступ ко всем данным

Пусть этим человеком лучше окажется нанятый вами подрядчик, который уже получил за свою работу деньги, личность которого известна вам и которому нет никакого смысла рисковать своей репутацией и безопасностью ради того чтобы удовлетворить свое любопытство. Чем этим человеком станет кто-то совершено посторонний, неизвестный вам, ничего вам не должный, с неизвестными мотивами, возможно нанятый конкурентами или одиночка, озлобленный на весь мир, которому доставит удовольствие подгатить кому-угодно ради чувства собственного величия.