Первая часть FAQ.Бесконтактное наблюдение. Есть что добавить/изменить?
3. Бесконтактное наблюдение
– Снятие информации с телефонных каналов связи
– Снятие информации с технических каналов связи (интернет)
– Сбор открытой информации(Google и т.д.) – датамайнинг
– Изучение мусора
3. Бесконтактное наблюдение:
Телефонная связь.
Я думаю ни для кого не секрет что телефонные разговоры можно прослушать в реальном времени, что они пишуться на несколько лет(может больше). Что телефон выдает Ваше местонахождение и маршрут. Микрофон телефона можно включить удаленно как впрочем и камеру. Номер телефона привязываеться к IMEI и еще бог знает сколько сюрпризов.
Рекомендации:
1. По телефону не вести никаких конфиденциальных бесед.
2. Не носить с собой телефон, туда куда вы ходите инкогнито.
3. Следить за исполнением этих правил партнерами.
Вывод: Мобильный телефон не может применяться как средство коммуникации. Только с Ленкой по***деть.
Интернет:
Ну что тут скажешь. СОРМ,Эшелон,ISP и сотрудничество почти всех обьектов интернета с органами и деньгами делает интернет крайне опасным для передачи чувствительной информации.Здесь стоит разделить интернет на серфинг, коммуникации, передачу данных. Это тема для отдельной книги...
Коммуникации:
Почта:
1. Использование доверенного бесплатного почтового провайдера.(gmail.com, riseup.net, safe-mail.net)
1.2 Использование своего почтового сервера с поддержкой ssl/tls.
2. Использование PGP шифрования для писем.
3. Использование TOR+VPN для анонимного использования.
IM
1. Использование своего сервера Jabber
1.2 Использование популярного сервера в нужной юрисдикции.
2. Использование OTR
VoIP
1.Применение VoIP не желательно при защите информации.
2.Использование своего/в нужной юрисдикции SIP-сервера или Gtalk с применением Zfone.
Передача данных
1. Использование FTPS+VPN
2. Использование Freenet
3. Использование шифрованных контейнеров
Серфинг
1.Использование цепочки VPN
1.2 Использование TOR
2.Использование сайтов только с https
Датамайнинг:
1.Не оставлять никакой информации о себе в сети.
2.Документировать всю оставленную.
3.Удалить всю информацию о себе из сети.
Изучение мусора:
1.Конфиденциальный мусор должен быть утилизирован соответствующим способом.
Микрофон телефона можно включить удаленно как впрочем и камеру.
Вот это немного сомнительно. Если конечно не рассматривается телефон сделанный специально для слежки.
Из соседней темы:
Подбор этих сотрудников и профилактика утечек через них. А самой сложной задачей здесь будет именно заставить их всегда все эти процедуры соблюдать. Ну и вопросы отслеживания нарушений и наказания за них тоже непременно встанут.
Практически нереализуемо. Если информация лежит на Вашем собственном сайте — не факт, что она ещё не была проиндексирована роботами. Если это не Ваш сайт, но не факт, что имеется техническая возможность её удалить. Если информация размещена в каких-нибудь облачно-вебдванольно-SaaS-приложениях типа соцсетей, то далеко не факт, что Ваша попытка её удалить приведёт к реальному удалению, и её нельзя будет впоследствии достать через очередную дыру в этом приложении/сервисе (подобное уже не раз бывало).
Если какая-то информация открыто опубликована в Сети (на собственном сайте в публичном доступе или на стороннем сайте вне зависимости от ограничений доступа), исходите из того, что она уже доступна неограниченному кругу лиц.
В названии темы: первая часть какого FAQ? Может это обсуждение самозащиты от прослушивания[link1]?
| Вот это немного сомнительно. Если конечно не рассматривается телефон сделанный специально для слежки.
пруфлинк -http://news.cnet.com/2100-1029-6140191.html
Думаю активация камеры не многим отличается от активации микрофона.
| Подбор этих сотрудников и профилактика утечек через них. А самой сложной задачей здесь будет именно заставить их всегда все эти процедуры соблюдать. Ну и вопросы отслеживания нарушений и наказания за них тоже непременно встанут.
О это да и поэтому чем меньше их будет тем лучше :)
| Практически не реализуемо. Если информация лежит на Вашем собственном сайте — не факт, что она ещё не была проиндексирована роботами. Если это не Ваш сайт, но не факт, что имеется техническая возможность её удалить. Если информация размещена в каких-нибудь облачно-вебдванольно-SaaS-приложениях типа соцсетей, то далеко не факт, что Ваша попытка её удалить приведёт к реальному удалению, и её нельзя будет впоследствии достать через очередную дыру в этом приложении/сервисе (подобное уже не раз бывало).
Если какая-то информация открыто опубликована в Сети (на собственном сайте в публичном доступе или на стороннем сайте вне зависимости от ограничений доступа), исходите из того, что она уже доступна неограниченному кругу лиц.
Согласен полностью, но свести ее к минимуму отсылая запросы на удалению необходимая мера.
В названии темы: первая часть какого FAQ? Может это обсуждение самозащиты от прослушивания?
Спасибо большое! Как я его не нашел? То что нужно!
[offtopic]
См. здесь[link2] и здесь[link3], как правильно выделять цитаты.
[/offtopic]
Правда в этом FAQ информация конкретно устарела или дается намеренно дозировано. Я же предлагаю использовать обновленную информацию с указанием ПО.
Спасибо!
Это изначально перевод не до конца проработанного документа, который и в оригинале с того момента особенно не развивался. Главное, что там хорошо описаны общие принципы.
С моделью угрозы со стороны сил правопорядка это например согласуется плохо. Одно дело личная приватность, где и закон больше на стороне человека или общественная организация "активистов за идею". А что насчёт коммерческой организации? В случае обысков и расследований сотрудник раскроет любую информацию (пароли, ключи) или будет выгораживать начальство?
Насколько всевозможные ограничения и наказания нарушений с целью сохранения коммерческой тайны согласуются с трудовым законодательством?
Чаще всё заканчивается имитацией бурной деятельности, когда спец по безопасности поймёт, что нет смысла тратить нервы на убеждения начальства, что самому начальству и менеджерам нужно соблюдать какие-то сложные процедуры и не пользоваться всевозможными удобными программами и сервисами, тем же скайпом и пр. В коммерческой организации всегда есть спешка над выполнением контрактов вперёд конкурентов, стремление выглядеть в лучшем виде перед заказчиком ("клиент всегда прав") и пр. На мерах по информационной безопасности всегда будут экономить впервую очередь.
Поэтому сообщение о всяких инциндентах в банках (утечки данных о клиентах, о интернет-покупках), крупных провайдерах (утечки текстов смс-сообщений или поисковых запросов) и пр. — обыденность. И на их бизнесе это, кстати никак особо не сказывается. Никому из клиентов никакого существенного возмещения ущерба через суд добиться не удаётся, поэтому и убыток таким фирмам от всех этих инциндентов невелик.
Если будет реальное расследование по реальному преступлению, то я сам выдам дозированную информацию. Но если это будет рейдерство, то сотрудники с большей долей вероятности останутся лояльны к фирме. Да и все это на будущее – прибыльность фирмы в данное время не заинтересует никого.
gmail – вы шутите?
Вас похоже никогда не прессовали менты. Меня прессовали, скажу по своему опыту – даже прессинг без физического воздействия можно выдержать лишь имея к этому серьезную мотивацию. Если на вас пойдут рейдеры, все ваши сотрудники мигом расколятся, менты поговорят с ними по душам и они всё расскажут без всякого рукоприкладства. Менты умеют так объяснить расклад, что в глазах сотрудника возможные неприятности перевесят потерю работы.
Я бы взялся выгораживать работодателя за как минимум 200% надбавку к зарплате, иначе нет смысла добавлять себе проблем, проще найти другую работу.
Чтобы сотрудники вас выгораживали их надо повязать. Сделайте так, чтобы они пошли соучастниками если что, тогда у них будет мотивация к правильному поведению. Пример из жизни: в одной частной лавочке сотрудникам платили зарплату в конвертах, а в договоре был 1мрот. Устраиваясь на работу, сотрудник помимо договора подписывал заявление о том что он желает получать серую зарплату и не платить налоги. Когда налоговая начала шерстить конторку по поводу серых зарплат, гендиректор объяснил сотрудникам зачем они подписывали эту бумажку и что это тянет на уголовное преступление, что тот кто его сдаст вместе с ним пойдет в тюрьму, у него отберут квартиру и он до конца жизни будет выплачивать штрафы государству. Сотрудников проняло, и даже хрупкие девушки на допросе в нологовой плакали, но божились что работают за 1000 рублей и никаких других денег никогда не получали.
Вот и вопрос, как это упирается в трудовое законодательство? Реально эта бумажка недействительна и не грозит сотрудникам тем, чем их так запугивали. И многие подумают опять же "может ну его нафиг связываться с такими делишками"?
Да что Вы прицепились к бедным сотрудникам) Люди которые получают нормальную зарплату будут исполнять то что им велено. Выдержать конечно не просто, но все мы понимаем на что способны органы. Не посадят никого на 10 лет за недоказанный факт получение зарплаты в конверте. Даже при нашем беспределе )
И вообще это не тема этой темы)
Когда используеться PGP и Tor google идеальное решение для почтового сервера. Я не слышал, что-бы кто-то его взломал. А транспаренси репорт указывает что в страны снг(кроме беларусии) не было отправлено никаких личных данных.
Вы про договор о коммерческой? Я в свои 18 лет относился к нему наплевательски. А сейчас люди вообще непуганые )
Ну написать стоит конечно, но по делу – просто выкинул с работы и все.
Протоколы разделения секрета, отслеживания утечек, внедрение шифрования и пр. — это хорошо для группы лиц, у которых безопасность является внутренним приоритетом и собственной мотивацией. Например, в разработке свободного ПО аккуратное использование собственного GnuPG-ключа связано с репутацией разработчика. Работа центральных серверов связана с репутацией свободного проекта и т.д. Плюс, все эти действия прозрачно подотчётны большому независимому сообществу.
В остальных случаях безопасность не масштабируется. В этом проблема работы с людьми, как бы их не мотивировали или не наказывали. Работа даже со сверхсекретными документами — это полный бардак даже в секретных службах. Дело Брэдли Мэннинга / WikiLeaks (дело не в нём, а в самой возможности рядового сотрудника длительно и незаметно получать доступ к гигантским объёмам секретных данных) и воспоминания Шнайера о работе в АНБ подтверждают это.
Организовать работу с соблюдением адекватных мер ИБ в масштабе организации можно. Но самое сложное, чтобы это было удобно, понятно, выгодно и эффективно. Иначе конкуренты будут чаще опережать за счёт скорости и эффективности своей работы, не соблюдая этих мер и соответственно получать больше прибыли, которая будет покрывать возможные убытки.
Обычно, всякие ограничительные меры настолько стопорят работу и их выполняют настолько плохо даже без злого умысла (причём на всех уровнях организации), что от них чаще всего отказываются или это всё превращается в "театр безопасности".
Есть что-то общее с проблемой бюрократизации или хронического невыполнения техники безопасности, только здесь ещё хуже, потому что проблема не так очевидна.
Полностью согласен поэтому ближе всего принцип непроницаемых перегородок. Как отдельный пример ее реализации в ИТ – виртуализация. То есть если будет скомпрометирован отдельный сотрудник или часть системы, он сможет унести ровно столько данных сколько имеет сам. А иметь он должен ровно столько сколько ему нужно.Не больше, но и не меньше.
В этом плане очень интересно учиться у мафии и прочих преступных группировок. Если они позволяют себе функционировать при таком давлении и регулярных потерях и утечках – значит для стандартного бизнеса такие системы будут сверхэффективны.
Так методы подпольных ячеек действуют хорошо именно потому, что каждый участник заинтересован. Безопасность критически важна для него также как и для всех из-за круговой поруки, страха расправы или персональной ответственности перед законом. Если же речь об обычной организации, то весь вопрос, как всех эффективно мотивировать, не прибегая к незаконным методам, не впутывая в незаконные отношения и не снижая эффективность основной работы.
Вопрос об эффективности тоже немаловажен. Принцип "каждый знает только то, что положено", который отлично работал в государственных проектах прошлого, сейчас работает всё хуже из-за подавления инициативы, изобретательности. Хотя, это важно конечно в основном только для создания чего-то нового, поэтому даже оборонные и стратегические проекты часто стараются оставлять хотя бы на концептуальном уровне насколько возможно открытыми, разрешают по ним публикации.
Скорее, TC занимается чем-то более приземлённым. Вероятно, TC хотел какой-то готовой инструкции с перечислением софта и со всеми настройками? Её нет. Нужно учитывать модель угрозы, характер деятельности организации, отношения с другими организациями, квалификацию работников и пр. Если нет каких-то конкретных вопросов, можно обсуждать только общие принципы. Или ждать появления документа, наподобие SSD[link1], который ближе подойдёт к вашей ситуации.
В коммерческих делах опять же многое решается не технически совсем. Кроме упомянутых организационного фактора, страхования рисков, юридического ухода от последствий, за рубежом активно применяется аутсорсинг безопасности. Сомнительно, наверное даже для "развитых" стран. Для России возможно вообще неперспективно, если не считать аутсорсингом безопасности банальную "крышу".
Вариант тут один. Заставить их ценить работу.Ну а как это сделать дело сугубо личное)
Ну аутсорсинг безопасности совсем как-то режет слух. Даже если найти компанию(которая должна быть в несколько раз богаче и стабильнее, чем все ее клиенты вместе взятые) то человеческий фактор никто не отменял. Том Кленси в HAWX(видеоигра) уже высказывался про аутсорсинг безопасности и чем это кончиться.
На самом деле виртуалки — не непроницаемые перегородки, их тоже пишут программисты, причём программисты, которым в целом наплевать на безопасность: /comment32246[link4].