Врёт?
Источник видео: https://pin.it/5hA4KRzYc
Информационная безопасность IT
1 445 постов
•
25 607 подписчиков
Навигация по инструментам конфиденциальности, которые дают вам контроль над вашими данными
Согласитесь, сохранить конфиденциальность в интернете становится всё сложнее. Каждый ваш клик, сообщение или поиск оказывается в чьей-то базе данных. Долгое время я думал, что защита личной информации в интернете означает отказ от удобства или необходимость разбираться в сложных технологиях. Но оказывается, это не так.
Если вам важно сохранять конфиденциальность, но вы считаете, что все эти разговоры о «децентрализации» и «шифровании» слишком сложны, не переживайте. Я расскажу о классных вариантах для почты, браузеров и мессенджеров, чтобы вы могли сделать первый шаг без лишнего стресса. Давайте разберемся!
1. Почтовые сервисы: зашифруйте ваши сообщения
Электронная почта часто становится основой нашей цифровой идентичности, но такие провайдеры, как Gmail, анализируют ваши письма для рекламы и составления профиля. Эти сервисы ориентированы на конфиденциальность и безопасность, предлагая мощное шифрование:
ProtonMail
Шифрование: сквозное шифрование всех писем, включая черновики, с использованием стандартов OpenPGP.
Инфраструктура: расположена в Швейцарии, где действуют одни из самых строгих законов о защите данных.
Удобство: простой интерфейс с возможностью интеграции с клиентами вроде Outlook или Thunderbird через специальный мост.
Tutanota
Шифрование: полностью собственное шифрование, включая содержание писем и метаданные. В отличие от ProtonMail, шифруются даже заголовки.
Дополнительные функции: включает зашифрованный календарь и защищённые контактные формы для бизнеса.
Открытый код: полностью открытый код, что обеспечивает прозрачность и позволяет проверять безопасность архитектуры.
2. Мессенджеры: защитите свои беседы
Мессенджеры — важный элемент конфиденциальности, но не все они одинаково безопасны. Вот сравнение двух лучших вариантов:
WireMin (альтернатива Twitter)
Децентрализация: построен на децентрализованной платформе, что обеспечивает безопасную передачу сообщений, файлов и даже длинных видео без зависимости от центральных серверов.
Шифрование: сквозное шифрование всех коммуникаций, включая групповые чаты и медиафайлы.
Особенности: поддерживает публичные и частные пространства (группы и ленты), оптимизированные для тех, кто заботится о конфиденциальности, включая возможность делиться длинными видео и мгновенные крипто-транзакции в приложении.
SimpleX Chat (альтернатива WhatsApp)
Защита метаданных: единственный мессенджер, который полностью исключает хранение метаданных, не оставляя следов на серверах.
Децентрализация: модель общения «равный с равным», исключающая необходимость в центральных серверах.
Ограничения: высокая безопасность, но интерфейс и мультимедиа-функции менее развиты, чем у других приложений.
Рекомендация: если нужен удобный и многофункциональный мессенджер, WireMin — практичный выбор для ежедневного общения.
3. Браузеры: защитите свою онлайн-активность
Веб-сёрфинг — одна из самых уязвимых сторон нашей онлайн-жизни. Традиционные браузеры, такие как Chrome, собирают огромное количество пользовательских данных. Эти альтернативы обеспечивают конфиденциальность без ущерба для производительности:
Brave Browser
Защита по умолчанию: блокирует рекламу, трекеры третьих сторон и методы цифрового отпечатка из коробки.
Шифрование: использует HTTPS Everywhere для обеспечения зашифрованных подключений, где это возможно.
Скорость: оптимизирован для высокой производительности, часто превосходит Chrome даже с активированными функциями конфиденциальности.
Tor Browser
Анонимность: направляет трафик через несколько узлов в сети Tor, что делает практически невозможным отследить ваш IP-адрес.
Шифрование: шифрует данные на каждом этапе передачи, обеспечивая защиту даже в публичных сетях.
Сценарий использования: идеально подходит для доступа к чувствительной информации или обхода цензуры, но работает медленнее, чем Brave.
Рекомендация: Brave — практичный браузер для повседневного использования. Для максимальной анонимности Tor незаменим, но лучше использовать его для конкретных задач.
Не нужно мириться с навязчивым отслеживанием и сбором данных. Будь то переход на зашифрованную почту, браузер с акцентом на конфиденциальность или защищённый мессенджер, каждый шаг приближает вас к владению своей цифровой жизнью.
Начните с одного инструмента, например, Brave или ProtonMail, и продолжайте дальше. Ваши данные — ваши правила!
Показать полностью
1
Ответ на пост «Про вирусы шифровальщики и зашиту»1
С файловыми шарами делал всегда проще: ftp с принудительным tls шифрованием, на который тем же syncbackpro (или любой другой бэкапилкой) идет копирование с шары.
НО:
1. можно изменить файл с тем-же именем на фтп, но нельзя удалить.
2. при удалении файла на источнике, он остается на фтп в бэкапе.
Шифровальщики обычно затрагивают имена файлов, т.ч. в бэкапе просто зашифрованное будет валяться рядом с оригиналом.
Ну а по нормальному, всегда должен быть набор холодных бэкапов: год, полгода, три месяца, месяц. Это или внешние диски (или DAS, если объем большой), которые подключаются на время бэкапа или серваки, которые становятся доступными на время бэкапа. Они ни в коем случае не должны находится в том-же здании, где находятся сервера, с которых бэкапим.
Ситуацию, когда сервер с данными и сервер с бэкапами стоят рядом и торчат из воды видел лично.
Про вирусы шифровальщики и зашиту1
Навеяно постом про "панду" который прочел, но был удален.
Видел я и взлом и последствия. В компании где я шабашил. Что имею сказать:
Бэкап, бэкап и ещё раз бэкап. И не просто на одном из северов, а в отдельном контуре. По хорошему- на внешнем носители
Можно, например так- у вас отдельная машинка на физ сервере. Вне домена. Со своими логинами паролями. Которая забирает файлы бэкапов. И заливает к себе на хранилище. Она сама ходит в вашу сеть под доменным логином и паролем, но вот из сети к ней в идеале должны быть подключения минимизированы ( МСЭ на том же микротик- в помощь). Можно использовать для забора данных NAS. NAS SoHo я использовал на пару работ для создание параллельного резерва в другом помещении. А то мало ли- выгорит серверная. Или зальёт водой. А когда в другом конце здания- понадёждей. Либо облака (но тут упираются в объёмы и скорость интернета- петабайты так не запишешь). А в энтерпрайзе объёмы РК за фуловые и на десятки pb выходят.
Внешние носители- если речь о серьёзной организации- ленточная библиотека. И архив носителей в сейфе. Менее серьёзной- стример. Нет денег/МСП/бюджет- покупаете пару внешних дисков. Бэкапы критичные делаются ночью. В папку к которой есть доступ на чтение у какого то ответсвенного сотрудника. Он достаёт из ящика стала жесткий диск внешний. Подключает его. И запускает лежащий на рабочем столе bat файл который копирует данные. После чего диск отключается и убирается под ключ.
В чем смысл? что бы даже получив права администратора предприятия нельзя было перезаписать бэкапы вместе данными.
Когда то делали еженедельные бэкапы баз 1С на dvd. но это малый бизнес. объёмы невелики. Короче- копия в недосягаемом месте
2. Платить? не знаю. Сотрудник "конторы" с которым общался и который работает с гос сопкой сказал что в большей части случаев это бесполезно.
3. RDP и прочее.О вей. Не в том дело что в плох. Вопрос ведь как использовать и настроить
и vpn желателен. и сам rdp нынче не совсем беззащитен можно аутентификация по сертификатам настроить. На МСЭ неплохо бы белые списки адресов использовать. Port Knocking. Если никак- бан адресов при попытке брутфорса (аля fail2ban). Есть с чем работать
4. Самое сложное для меня было другое. Не технические моменты. Вот 20 год. Ковид. Уходит начальник юр отдела из за ковида в семье. Директор требует -мол обеспеч удалённую работу. А у него дома ноут с игровой виндой. дистриб такой самосборной, где VPN нормально не подключить. Куча игр стоит пираток. Белого IP статического понятно нет. Я вначале обосновывал и предупреждал, потом плюнул. Сейчас наверно бы уперся и сел служебку писать- мол невозможно безопасно подключить. Или выделяйте деньги на служебный ноут или берите риски на себя. Я за последствия отвечать не готов. Ибо тут рандом.
До какого то момента многие жили с принципом "да кому мы нужны"- сэкономим. мол как нибудь без доп затрат обойдитесь. А вот после СВО атаки очень плотно пошли. Даже на организации никак не связанных с военным делом или ВПК.
Показать полностью
Рассылка повреждённых файлов Word
Наткнулся в одном из каналов на схему с фишинговыми сайтами. Схема, отчасти не новая, но необычная и простому пользователю будет полезно знать.
Суть в чем - на почту приходит сообщение с прикрепленным Word-файлом и подписью а-ля "Отчет за *вставьте нынешний месяц*", при восстановлении которого показывается якобы QR-код с брендом компании Microsoft (файл поврежден специально таким образом, чтобы его было легко восстановить). Сам QR-код ведет на фишинговый-сайт компании, при входе на который, аккаунт будет утерян.
Окно восстановления может выглядеть, например, так:
Вы, вероятно, спросите, зачем повреждать файл? Отвечаю - у всех продуктов Microsoft есть встроенная система защиты, а "повреждение" нужно для ее обхода.
Вообще, что-то подобное было замечено в июле 2024, только там использовался сервис Microsoft Sway для создания и просмотра онлайн-презентаций в браузере, однако там, по понятным причинам, повреждение не производилось.
Также буквально месяц назад сами Microsoft заявили в своем блоге о подобной проблеме и улучшении защиты, но в данном случае qr-код встраивался в само письмо.
В общем, разновидностей данного фишинга с qr-кодами множество и, мой совет, никогда не переходите по непонятным кодам и ссылкам, чтобы сохранить свои и чужие данные в безопасности.
Показать полностью
1
Проблемы с доступом к некоторым сайтам
Ситуация
У большинства российских провайдеров временно возникли проблемы с доступом к некоторым сайтам. Причина связана с тем, что эти сайты, как сотни тысяч других, используют сервис CloudFlare.
CloudFlare и технология ECH
CloudFlare - крупный мировой сервис, помогающий владельцам сайтов обеспечить доступ к их ресурсам. Недавно сервис начал использовать технологию ECH (Encrypted Client Hello) на TLS версии 1.3. Роскомнадзор начал блокировать эту технологию.
Простое объяснение
Когда вы открываете ссылку https, ваше соединение шифрованное, и Роскомнадзор не видит передаваемые данные. Это вызывает беспокойство у Роскомнадзора, поскольку теперь даже имя сайта не видно. Пользователь просто обменивается данными с неизвестным сайтом. Роскомнадзор стал блокировать протокол ECH, особенно для CloudFlare. Не затронуты только браузеры(качалки), не поддерживающие TLS 1.3 (например, wget).
Возможные решения
Посетители могут рассмотреть использование VPN.
Владельцы сайтов, пользующиеся CloudFlare, могут выключить ECH (для платных абонентов) или отключить TLS 1.3 в разделе "SSL/TLS" / "Edge Certificates" / "TLS 1.3" (для бесплатных владельцев).
Сравниваем менеджеры паролей для бизнеса
Стек технологий безопасности для рабочих мест будет неполным без программ управления паролями для сотрудников. Почему? Потому что одной из самых частых причин взлома учетных записей являются слабые и скомпрометированные пароли. А с учетом того, что все больше сотрудников работают удаленно, адекватные методы парольного менеджмента становятся еще более важными.
Ниже собрал список доступных для российских компаний вариантов менеджеров паролей (если что, дополняйте в комментариях) и попробовал сравнить их. Начну с двух зарубежных, которые, как ни странно, до сих пор часто встречаю (хотя их и активно импортозамещают).
KeePass
Интерфейс KeePass
Бесплатное зарубежное решение для хранения паролей. Решение до сих пор распространено в корпоративной среде, но, по сути, это не полноценный менеджер паролей, а локальная база данных с паролями, в которой, для обновления нужно всем пользователям выйти из системы и к которой есть вопросы по сохранности данных.
Сложен в использовании сотрудниками (отсутствует интуитивно понятный дизайн, а некоторые функции проблематично заставить работать), неудобен в администрировании, не позволяет синхронизировать хранилище с другими приложениями и не поддерживает русский язык. Но бесплатен, и это многое оправдывает).
Vault
Интерфейс Vault
Vault — также не полноценный менеджер паролей, а, по сути, хранилище любых секретных данных, которое поддерживает различные механизмы авторизации и политики доступа, а также интегрируется с основным поставщиком удостоверений или выбранной облачной платформой. Продукт способен управлять секретами для более чем 100 различных систем, включая базы данных, публичные и частные облака, очереди сообщений и конечные точки SSH. Несмотря на то, что продукт разработан американской компанией, он до сих пор распространен в российских корпорациях. Чаще его используют “в том числе для хранения паролей”.
У продукта есть большие возможности настроек, но он сложен в администрировании и есть риски проблем с оплатой и отключения для РФ.
По стоимости: бесплатно до 25 секретов, далее — от $0.50 за секрет.
Пассворк
Интерфейс Passwork
Как мне кажется, Пассворк — это первый выпущенный в России корпоративный менеджер паролей.
Есть большие возможности по настройкам, поддержка основных ОС, интеграции (в том числе, с помощью API), классно проработанный интерфейс и собственное мобильное приложение.
Решение существует в двух версиях: «коробочное» (устанавливается на сервер компании, работает без подключения к сети) и «облачное». Доступны расширения для браузеров Google Chrome, Firefox, Microsoft Edge и Safari.
Стоимость стандартной версии на 100 пользователей — 132 000 рублей, но существенная часть функционала доступна только в расширенной версии.
ОдинКлюч
Интерфейс ОдинКлюч
Российская разработка с поддержкой ГОСТового шифрования, удобным интерфейсом и работой на ключевых российских и зарубежных операционных системах.
У компании есть лицензии и сертификаты ФСБ и ФСТЭК, а сам продукт позиционируется как сфокусированный на безопасность: выставлен Bug Bounty (публичная проверка от хакеров), хранит зашифрованную базу с паролями отдельно от ключей расшифровки и использует схему разделения секретов Шамира.
В отличие от некоторых других решений, в архитектуре менеджера паролей не существует “супер-администратора” — пользователя, который имеет самый высокий уровень доступа и которому видны пароли остальных пользователей.
Из интересных функций: настройки по отделам, двухфакторная аутентификация как для серверной, так и для облачной версий, возможность восстановления мастер-пароля (снижает зависимость от администратора). Доступны «облачные» и «коробочные» версии, а также варианты в виде расширения для браузеров.
Стоимость продукта за 100 пользователей составляет от 117 000 рублей в год, включая полный функционал, помощь во внедрении и поддержку.
TeamDo
Интерфейс TeamDo
Интерфейс Российское решение для хранения паролей, чек-листов и документов. Легкое в установке (исходя из информации на сайте, это занимает не более двух часов) и с понятным интерфейсом.
Стоимость на 1 год составляет 88 900 рублей вне зависимости от количества сотрудников.
В базовой версии не предусмотрены интеграции, а также поддержка SSO и LDAP.
BearPass
Интерфейс BearPass
Отечественный продукт с открытым исходным кодом. Поддерживает ключевые российские операционные системы (по Windows и macOS данных на сайте нет).
Годовая стоимость на 100 пользователей составляет 144 000 рублей. Плюс за дополнительную плату можно получить поддержку во внедрении и обучение. Есть бесплатная версия для команд до пяти человек.
Сравнение менеджеров паролей
У всех описанных решений имеется:
Установка On-Premise
Двухфакторная аутентификация (кроме HashiCorp Vault, но там, при должной настойчивости, можно реализовать через интеграцию с внешними системами)
Поддержка хранения истории паролей (кроме HashiCorp Vault, но там, при должной настойчивости, можно реализовать через версии секретов)
Аудит действий пользователей
По удобству интерфейса — дело вкуса, лучше каждому тестировать. Мне больше понравились Пассворк и ОдинКлюч.
По стоимости (из Российских решений) — самые выгодные на 100 пользователей оказались TeamDo и ОдинКлюч. Если на 50 пользователей, то — ОдинКлюч.
По вниманию к безопасности впечатлил ОдинКлюч, но другие разработчики, естественно, тоже уделяют этому внимание.
По настройкам и интеграциям — отмечу Пассворк и ОдинКлюч, но тут нужно исходить из ваших задач. У них же, в отличие от других решений, предусмотрено ГОСТовое шифрование.
Как выбрать лучший менеджер паролей?
Идеального решения не выделю. Вариантов не так много, так что можно, в каждом случае, внимательно сравнить.
Ключевые критерии: удобство использования и администрирования, достаточный уровень безопасности (от внешних и внутренних угроз), наличие необходимых интеграций, соответствие необходимым стандартам и, естественно, стоимость.
Какой бы менеджер паролей вы не выбрали для своей организации, уровень кибербезопасности и эффективности будет увеличен, но к выбору лучше отнестись внимательно.
Показать полностью
6
SSO за 60 секунд
Что такое SSO за 60 секунд? Представьте, что один аккаунт открывает двери ко всем сервисам компании. Быстро, безопасно и удобно! В этом видео простыми словами объясняем, как работает Single Sign-On и почему это облегчает жизнь пользователям и администраторам. Погружаемся в мир авторизации за одну минуту! 💡
В видео рассматривается протокол OpenID Connect — это стандарт для веб-приложений и мобильных сервисов, основанный на OAuth2. Плюсы: высокая гибкость, легкость интеграции с современными приложениями и поддержка масштабируемости. Минусы: требует интернета для работы и немного уступает по безопасности для закрытых корпоративных систем.
Вторым ключевым протоколом является SAML — это проверенный временем стандарт, отлично подходящий для корпоративных приложений и локальных сетей. Плюсы: надежность, высокая безопасность и поддержка крупных организаций. Минусы: сложность интеграции с веб-приложениями и меньшая гибкость в мобильных сервисах.
Показать полностью