id: Гость   вход   регистрация
текущее время 23:51 28/03/2024
Автор темы: somename, тема открыта 18/12/2011 07:56 Печать
Категории: анонимность
https://www.pgpru.com/Форум/ПрактическаяБезопасность/ПерваяЧастьFAQБесконтактноеНаблюдениеЕстьЧтоДобавитьизменить
создать
просмотр
ссылки

Первая часть FAQ.Бесконтактное наблюдение. Есть что добавить/изменить?


3. Бесконтактное наблюдение
– Снятие информации с телефонных каналов связи
– Снятие информации с технических каналов связи (интернет)
– Сбор открытой информации(Google и т.д.) – датамайнинг
– Изучение мусора


3. Бесконтактное наблюдение:


Телефонная связь.


Я думаю ни для кого не секрет что телефонные разговоры можно прослушать в реальном времени, что они пишуться на несколько лет(может больше). Что телефон выдает Ваше местонахождение и маршрут. Микрофон телефона можно включить удаленно как впрочем и камеру. Номер телефона привязываеться к IMEI и еще бог знает сколько сюрпризов.


Рекомендации:
1. По телефону не вести никаких конфиденциальных бесед.
2. Не носить с собой телефон, туда куда вы ходите инкогнито.
3. Следить за исполнением этих правил партнерами.


Вывод: Мобильный телефон не может применяться как средство коммуникации. Только с Ленкой по***деть.


Интернет:


Ну что тут скажешь. СОРМ,Эшелон,ISP и сотрудничество почти всех обьектов интернета с органами и деньгами делает интернет крайне опасным для передачи чувствительной информации.Здесь стоит разделить интернет на серфинг, коммуникации, передачу данных. Это тема для отдельной книги...


Коммуникации:


Почта:
1. Использование доверенного бесплатного почтового провайдера.(gmail.com, riseup.net, safe-mail.net)
1.2 Использование своего почтового сервера с поддержкой ssl/tls.
2. Использование PGP шифрования для писем.
3. Использование TOR+VPN для анонимного использования.


IM
1. Использование своего сервера Jabber
1.2 Использование популярного сервера в нужной юрисдикции.
2. Использование OTR


VoIP
1.Применение VoIP не желательно при защите информации.
2.Использование своего/в нужной юрисдикции SIP-сервера или Gtalk с применением Zfone.


Передача данных
1. Использование FTPS+VPN
2. Использование Freenet
3. Использование шифрованных контейнеров


Серфинг
1.Использование цепочки VPN
1.2 Использование TOR
2.Использование сайтов только с https


Датамайнинг:


1.Не оставлять никакой информации о себе в сети.
2.Документировать всю оставленную.
3.Удалить всю информацию о себе из сети.


Изучение мусора:


1.Конфиденциальный мусор должен быть утилизирован соответствующим способом.


 
На страницу: 1, 2 След.
Комментарии
— Гость (18/12/2011 12:23)   <#>
Микрофон телефона можно включить удаленно как впрочем и камеру.

Вот это немного сомнительно. Если конечно не рассматривается телефон сделанный специально для слежки.
— sentaus (18/12/2011 13:12)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Есть что добавить/изменить?


Из соседней темы:
Доступа к важной информации у них нет. Меня интересуют только ключевые сотрудники, которые будут
придерживаться тех процедур которые им предписаны.


Подбор этих сотрудников и профилактика утечек через них. А самой сложной задачей здесь будет именно заставить их всегда все эти процедуры соблюдать. Ну и вопросы отслеживания нарушений и наказания за них тоже непременно встанут.
— SATtva (18/12/2011 13:55)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
3. Удалить всю информацию о себе из сети.

Практически нереализуемо. Если информация лежит на Вашем собственном сайте — не факт, что она ещё не была проиндексирована роботами. Если это не Ваш сайт, но не факт, что имеется техническая возможность её удалить. Если информация размещена в каких-нибудь облачно-вебдванольно-SaaS-приложениях типа соцсетей, то далеко не факт, что Ваша попытка её удалить приведёт к реальному удалению, и её нельзя будет впоследствии достать через очередную дыру в этом приложении/сервисе (подобное уже не раз бывало).

Если какая-то информация открыто опубликована в Сети (на собственном сайте в публичном доступе или на стороннем сайте вне зависимости от ограничений доступа), исходите из того, что она уже доступна неограниченному кругу лиц.
— unknown (18/12/2011 14:27)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
В названии темы: первая часть какого FAQ? Может это обсуждение самозащиты от прослушивания?
— somename (18/12/2011 18:19)   профиль/связь   <#>
комментариев: 17   документов: 3   редакций: 2
| Вот это немного сомнительно. Если конечно не рассматривается телефон сделанный специально для слежки.

пруфлинк -http://news.cnet.com/2100-1029-6140191.html
Думаю активация камеры не многим отличается от активации микрофона.


| Подбор этих сотрудников и профилактика утечек через них. А самой сложной задачей здесь будет именно заставить их всегда все эти процедуры соблюдать. Ну и вопросы отслеживания нарушений и наказания за них тоже непременно встанут.

О это да и поэтому чем меньше их будет тем лучше :)

| Практически не реализуемо. Если информация лежит на Вашем собственном сайте — не факт, что она ещё не была проиндексирована роботами. Если это не Ваш сайт, но не факт, что имеется техническая возможность её удалить. Если информация размещена в каких-нибудь облачно-вебдванольно-SaaS-приложениях типа соцсетей, то далеко не факт, что Ваша попытка её удалить приведёт к реальному удалению, и её нельзя будет впоследствии достать через очередную дыру в этом приложении/сервисе (подобное уже не раз бывало).

Если какая-то информация открыто опубликована в Сети (на собственном сайте в публичном доступе или на стороннем сайте вне зависимости от ограничений доступа), исходите из того, что она уже доступна неограниченному кругу лиц.

Согласен полностью, но свести ее к минимуму отсылая запросы на удалению необходимая мера.
— somename (18/12/2011 18:23)   профиль/связь   <#>
комментариев: 17   документов: 3   редакций: 2
В названии темы: первая часть какого FAQ? Может это обсуждение самозащиты от прослушивания?

Спасибо большое! Как я его не нашел? То что нужно!
— SATtva (18/12/2011 18:46)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
[offtopic]
См. здесь и здесь, как правильно выделять цитаты.
[/offtopic]
— somename (18/12/2011 18:58)   профиль/связь   <#>
комментариев: 17   документов: 3   редакций: 2
Правда в этом FAQ информация конкретно устарела или дается намеренно дозировано. Я же предлагаю использовать обновленную информацию с указанием ПО.
— somename (18/12/2011 19:05)   профиль/связь   <#>
комментариев: 17   документов: 3   редакций: 2
См. здесь и здесь, как правильно выделять цитаты.

Спасибо!
— unknown (18/12/2011 21:03, исправлен 18/12/2011 21:07)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Это изначально перевод не до конца проработанного документа, который и в оригинале с того момента особенно не развивался. Главное, что там хорошо описаны общие принципы.


Подбор этих сотрудников и профилактика утечек через них. А самой сложной задачей здесь будет именно заставить их всегда все эти процедуры соблюдать. Ну и вопросы отслеживания нарушений и наказания за них тоже непременно встанут.
О это да и поэтому чем меньше их будет тем лучше :)

С моделью угрозы со стороны сил правопорядка это например согласуется плохо. Одно дело личная приватность, где и закон больше на стороне человека или общественная организация "активистов за идею". А что насчёт коммерческой организации? В случае обысков и расследований сотрудник раскроет любую информацию (пароли, ключи) или будет выгораживать начальство?
Насколько всевозможные ограничения и наказания нарушений с целью сохранения коммерческой тайны согласуются с трудовым законодательством?


Чаще всё заканчивается имитацией бурной деятельности, когда спец по безопасности поймёт, что нет смысла тратить нервы на убеждения начальства, что самому начальству и менеджерам нужно соблюдать какие-то сложные процедуры и не пользоваться всевозможными удобными программами и сервисами, тем же скайпом и пр. В коммерческой организации всегда есть спешка над выполнением контрактов вперёд конкурентов, стремление выглядеть в лучшем виде перед заказчиком ("клиент всегда прав") и пр. На мерах по информационной безопасности всегда будут экономить впервую очередь.


Поэтому сообщение о всяких инциндентах в банках (утечки данных о клиентах, о интернет-покупках), крупных провайдерах (утечки текстов смс-сообщений или поисковых запросов) и пр. — обыденность. И на их бизнесе это, кстати никак особо не сказывается. Никому из клиентов никакого существенного возмещения ущерба через суд добиться не удаётся, поэтому и убыток таким фирмам от всех этих инциндентов невелик.

— somename (19/12/2011 03:04)   профиль/связь   <#>
комментариев: 17   документов: 3   редакций: 2
С моделью угрозы со стороны сил правопорядка это например согласуется плохо. Одно дело личная приватность, где и закон больше на стороне человека или общественная организация "активистов за идею". А что насчёт коммерческой организации? В случае обысков и расследований сотрудник раскроет любую информацию (пароли, ключи) или будет выгораживать начальство?
Насколько всевозможные ограничения и наказания нарушений с целью сохранения коммерческой тайны согласуются с трудовым законодательством?

Если будет реальное расследование по реальному преступлению, то я сам выдам дозированную информацию. Но если это будет рейдерство, то сотрудники с большей долей вероятности останутся лояльны к фирме. Да и все это на будущее – прибыльность фирмы в данное время не заинтересует никого.
— Гость (21/12/2011 00:29)   <#>
1. Использование доверенного бесплатного почтового провайдера.(gmail.com, riseup.net, safe-mail.net)

gmail – вы шутите?
— Гость (21/12/2011 04:22)   <#>
Но если это будет рейдерство, то сотрудники с большей долей вероятности останутся лояльны к фирме.

Вас похоже никогда не прессовали менты. Меня прессовали, скажу по своему опыту – даже прессинг без физического воздействия можно выдержать лишь имея к этому серьезную мотивацию. Если на вас пойдут рейдеры, все ваши сотрудники мигом расколятся, менты поговорят с ними по душам и они всё расскажут без всякого рукоприкладства. Менты умеют так объяснить расклад, что в глазах сотрудника возможные неприятности перевесят потерю работы.
Я бы взялся выгораживать работодателя за как минимум 200% надбавку к зарплате, иначе нет смысла добавлять себе проблем, проще найти другую работу.
— Гость (21/12/2011 04:51)   <#>
Чтобы сотрудники вас выгораживали их надо повязать. Сделайте так, чтобы они пошли соучастниками если что, тогда у них будет мотивация к правильному поведению. Пример из жизни: в одной частной лавочке сотрудникам платили зарплату в конвертах, а в договоре был 1мрот. Устраиваясь на работу, сотрудник помимо договора подписывал заявление о том что он желает получать серую зарплату и не платить налоги. Когда налоговая начала шерстить конторку по поводу серых зарплат, гендиректор объяснил сотрудникам зачем они подписывали эту бумажку и что это тянет на уголовное преступление, что тот кто его сдаст вместе с ним пойдет в тюрьму, у него отберут квартиру и он до конца жизни будет выплачивать штрафы государству. Сотрудников проняло, и даже хрупкие девушки на допросе в нологовой плакали, но божились что работают за 1000 рублей и никаких других денег никогда не получали.
— unknown (21/12/2011 09:45)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Вот и вопрос, как это упирается в трудовое законодательство? Реально эта бумажка недействительна и не грозит сотрудникам тем, чем их так запугивали. И многие подумают опять же "может ну его нафиг связываться с такими делишками"?
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3