1. Bello! Вы на сайте UAbets – сообщества бетторов и любителей азарта. В режиме 24/7 здесь обсуждаются ставки на спорт, покер, тотализатор и казино. Чтобы присоединиться – ознакомьтесь с правилами и зарегистрируйтесь.
    Скрыть объявление

Безопасность в сети

Тема в разделе "Теория и практика игры в БК", создана пользователем Admin Kava, 17 апр 2016.

  1. Admin Kava

    Admin Kava Administrator

    Обсуждаем вопросы безопасности работы в сети и защиты компьютера от взлома
     
  2. Admin Kava

    Admin Kava Administrator

    Сначала поговорим о том, что вообще может нехорошего произойти. Основных варианта два: компроментация компьютера или электронной почты.

    • Злоумышленники могут получить доступ к компьютеру, установив своё программное обеспечение (трояна), происходит это при обычном серфинге (посещении страниц в интернете). На зараженном сайте, через дырки в уязвимом софте на компьютере пользователя будет запущена вредоносная программа, которая даст владельцу полный контроль.
    • Злоумышленник может получить доступ к почте, обычно подобрав пароль, который был недостаточно стойким, либо через какие-то манипуляции с секретным вопросом или при утечке паролей (например, вы зарегистрировались на форуме с почтой, и установили одинаковый пароль на форум и почту, форум взламывают, пароль расшифровывают и потом сам бог велел проверить по всей базе емейлов, к каким можно получить доступ. Потом на основании анализа переписки становится понятно, куда копать дальше, к электронной почте часто много чего важного бывает привязано).
    Много чего бывает, на самом деле. я просто напишу, что сделать, чтобы свести эти риски к минимуму. Предлагаемые решения не являются единственно верными, можно найти неплохие альтернативы с похожим или даже лучшим функционалом, если такие вам известны, пожалуйста поделитесь.

    Безопасность компьютера
    1. Никогда не пользутесь компьютером с учётной записи администратора! Только с учётной записи пользователя, с ограниченными правами. Многие хвалят безопасность MacOS, так немаловажный факт состоит в том, что там по умолчанию учётная запись пользователя, а вот в Windows наоборот... Если вы не знаете, как создать на компьютере учётную запись пользователя и из-под неё работать - либо отдайте 20 долларов мальчику-студенту из компьютерной помощи, который вам всё настроит и объяснит, либо покурите вечерок интернеты, ссылок навалом
    2. Многим этот совет покажется спорным, но удалите антивирус. На самом деле, пользы от него никакой нет, только жрёт ресурсы комьютера (а если комьпьютер не самый новый, то это может быть серьезной проблемой) и даёт ложное чувство защищённости. Дело в том, что люди, которые вирусы пишут, конечно же хотят, чтобы они хорошо работали, поэтому проверяют их на актуальных базах популярных антивирусов, защищая код до тех пор, пока он не перестанет восприниматься большинством из них. Конечно, потом, через пару неделек, добавят новые сигнатуры и вирус начнёт детектироваться, но вам же от этого не легче, правда? Для пользователей Windows встроенного Defender более чем достаточно. И да, конечно нужноустанавливать все обновления Windows Update, как только они появляются, иначе смысла никакого нет, защищать компьютер, сидя на дырявой системе.
    3. Удалите ненужное популярное программное обеспечение. Очень-очень много атак проводится через Adobe Acrobat Reader - удалите его, а pdf открывайте любой менее популярной альтернативой. То же касается Java, многим на компьютере она не нужна, если же всё-таки нужна - не поленитесь включить автоматические обновления, это важно.
    4. Последнее, но не в последнюю очередь - вам нужен современный и регулярно обновляющийся браузер, ваше окно в интернет. Основных движков сейчас два: Chromium и Firefox, на их базе достаточно поделок, я бы советовал выбирать между Яндекс.Браузером (если вы пользуетесь в основном сервисами яндекса), Chrome (если вы пользуетесь в основном сервисами гугля) или Mozilla Firefox (ещё есть сборка от Яндекса) если вы из себя весь такой независимый и продвинутый.
    Безопасность паролей
    1. Используйте менеджеры паролей! Это специальные программы, в которых пароли хранятся и, что немаловажно, которые умеют вводить эти самые пароли на нужных сайтах. Я использую LastPass, можно купить за 12$ в год расширенную версию с синхронизацией по всем вашим устройствам. Есть и другие менеджеры паролей, кому какой нравится, главное чтобы была интеграция в ваш браузер, чтобы сами формочки заполнялись. Для этой программы нужно придумать один новый, длинный, классный пароль, а на все сервисы пароли генерировать свои, уникальные, при помощи менеджера паролей. Это намного-намного безопаснее, чем использовать и запоминать простые пароли, или использовать одинаковые пароли в разных местах, или же, прости господи, записывать пароли на бумажку. Кроме того, поскольку вы не будете набирать пароль (он сразу подставляется в формочку на сайте с помощью плагина браузера), то вы будете неплохо защищены от троянов и кейлоггеров, которые откуда-то вдруг появились на вашем компьютере, дополнительная линия защиты.
    2. Используйте уникальные адреса электронной почты! Заведите личный почтовый домен (например vasyapupkin.ru), чтобы под каждый сервис регистрироваться под своим емейлом. Ниже я расскажу, как это сделать, идея состоит в том, что во вконтактике ваш емейл будет vk@vasyapupkin.ru, в манибукерсах skrill@vasyapupkin.ru, для личной переписки можно использовать me@vasyapupkin.ru, а для деловой mail@vasyapupkin.ru. Фишка вся в том, что все эти адреса виртуальные, а значит к ним невозможно подобрать пароль, таких адресов на самом деле не существует, а раз их не существует - их невозможно взломать. Просто вся почта, которая отправляется на ваш домен на несуществующий ящик, перенаправляется на ящик администратора домена. то есть ваш. В итоге вы можете указывать любой адрес электронной почты и получать на него сообщения, а если по каким-то причинам нужно будет ответить на это сообщение именно с данного адреса - вы всегда можете его создать.
    3. Проверяйте подозрительные файлы! Если вам прислали какой-то файл, и у вас нет абсолютной уверенности, что этот файл хороший - обязательно проверьте его на сервисе VirusTotal. Этот сервис прогонит файлик через полсотни антивирусов и покажет, насколько он подозрительный. Если вы скачали какой-нибудь кряк или вам прислали самораспаковывающийся архив - обязательно проверьте, и если хотя бы 2-3 антивируса показывают возможность трояна - воздержитесь от запуска этого файла. Если же файл прошёл проверку - это наверняка не вирус, обмануть сразу 50 антивирусов задача сложная, да и никому не нужная, если вы проверяете свои файлы подобным сервисом - вы уже не целевая аудитория вирусописателей.
    Безопасность электронной почты (как настроить личный почтовый домен)
    1. Сначала регистрируете домен, у любого регистратора, который позволяет изменять днс-записи. Я пользуюсь этим, но почти все вменяемые регистраторы предоставляют такую услугу, reg.ru например, тысячи их. Домен стоит 10-20$ в год, можно найти сильно дешевле. бывает сильно дороже, предположим. что домен вы зарегистрировали. какой-нибудь красивый, vasyapupkin.ru например.
    2. Подключаете к своему домену популярный почтовый сервис, я пользуюсь яндексовым, есть ещё у гугля (правда за деньги), мейл.ру и много кого ещё. Следуете инструкциям, если не справитесь сами - зовёте абсолютно любого фрилансера - системного администратора, который за те же 10-20 долларов всё вам прекрасно настроит (не забудьте поменять все пароли, которые вы ему сообщали для настроек!). Сама услуга бесплатна.
    3. Теперь вы можете создать главный емейл, который вы никому не говорите, и на который стекается почта со всех виртуальных адресов, которые вы используете (кстати можно настроить неплохие фильтры, например сделать "мусорный" емейл spam@vasyapupkin.ru и настроить, чтобы все письма. которые на него пришли, отправлялись прямиком в корзину). Так же можно сделать почту всем членам семьи, родственникам, друзьям, друзьям друзей и так далее. На самом деле это будет почта Яндекса (Гугля, мейл.ру, к кому вы подключались), но у вас будет право на создание, удаление, изменение пароля и прочего у неограниченного количества почтовых ящиков на вашем личном почтовом домене. Как их можно использовать - я описал выше.
    Реализовав написанное в этой статье на своём компьютере, вы очень сильно усложните задачу желающим получить доступ к вашим данным электронной почты и аккаунтам в платежных системах. И им намного легче будет отправиться дальше, в поисках менее подготовленного пользователя, чем пытаться взламывать ваш менеджер паролей или что-то ещё. Ах да, ещё рекламу блокировать можно, многие не знают, расширение uBlock самое козырное.

    Автор - DimOK
    Источник - Меры безопасности в интернете
     
    кахахохладзе и xavi нравится это.
  3. Admin Kava

    Admin Kava Administrator

    Хром начал регулярно ругаться на ошибку dns_probe_finished_nxdomain и не грузить сайты

    Сделал 1 союшн отсюда - How To Fix DNS_PROBE_FINISHED_NXDOMAIN in Chrome

    Пока вроде полчаса полет нормальный :144:
     
  4. Admin Kava

    Admin Kava Administrator

  5. Admin Kava

    Admin Kava Administrator

    Сначала давайте определимся, что нам нужно? Нам нужно, чтобы была легкая и удобная возможность авторизовываться на сайтах/программах с одного или нескольких компьютеров и одного или нескольких мобильных телефонов. Кроме того, есть данные, которые тоже нужно хранить скрытно, например реквизиты платёжных карт, различные идентификационные номера, телефоны любовниц и так далее.

    При этом пароли должны быть длинные и сложные, везде разные, чтобы исключить полностью какие-либо варианты для подбора. Соответственно запомнить такие пароли невозможно, их обязательно нужно откуда-то копировать.

    А значит нам нужно хранилище паролей.

    Самое популярное децентрализованное opensource хранилище паролей - это Keepass. Почему обязательно децентрализованное? Потому что в один прекрасный день ваш замечательный lastpass не загрузится и это будет очень грустно. Вероятность такого невелика, но, определенно, существует, а поскольку мы ПОЛНОСТЬЮ полагаемся на наш парольник (иначе смысла нет вообще в парольнике, если вы не полагаетесь на него везде и полностью), то мы хотим полностью сами контролировать доступность наших данных. Почему обязательно opensource? Потому что благодаря открытости программного кода, много людей пишут клиенты под этот формат базы данных, и даже если когда-нибудь именно keepass куда-то пропадёт, будет несложно найти альтернативный клиент, поддерживающий формат Keepass.

    Итак, ваши секретные данные хранятся в базе данных. База данных закодирована мастер-паролем. Человек, у которого есть база данных И мастер-пароль, сможет ею воспользоваться. Сама по себе база данных - это беспорядочный набор байт, без мастер-пароля с ней нельзя сделать вообще ничего. Мастер-паролем должна быть достаточно длинная (от 10 символов) фраза в ANSI-кодировке (это латиница, спецсимволы, цифры, никакой кириллицы и прочих эмодзи, чтобы исключить возможность глюков где бы то ни было) с разными группами символов, не являющаяся словарным словом и легкозапоминаемая. Примеры хороших мастер-паролей: "cashMolodec, MTT - loh", "moyBankroll=Inf", "Wup-wup suda idi!" и так далее.

    Защита от подбора мастер-пароля в Keepass тоже есть, там в настройках можно настроить, сколько итераций хеширования нужно сделать, прежде чем проверить пароль. Чем больше итераций, тем дольше будет загружаться база при инициализации паролем. Я рекомендую поставить это время примерно 0.2 секунды на вашей самой быстрой машине. Для вас это почти неуловимая задержка, а для злоумышленников - полный и абсолютный крест на любых попытках перебора, перебирать пароли со скоростью 300 штук в минуту можно до скончания времён.

    Таким образом всё, что вам нужно - это придумать и запомнить на всю жизнь мастер-пароль и создать по синхронизируемой копии на каждом из устройств, которыми вы пользуетесь. Синхронизировать можно средствами облачного хранилища (любого, вы же помните, что без мастер-пароля файл абсолютно бесполезен злоумышленникам) или средствами плагинов keepass, например через webDAV. Я просто зарегистрировал отдельный "мусорный" аккаунт в сетевом хранилище и положил туда один файл моей парольной базы, больше там ничего нет, есть удобный плагин KeeAnywhere, там всё хорошо сделано и понятно.

    Теперь про 2FA, с чего собственно всё началось. 2FA представляет собой простенький алгоритм, который из текущего времени и мастер-ключа (небольшая строчка вида GMPTGHEVZUCY357N) генерирует последовательность из 6-8 чисел. Если вы запомните эту строчку и сможете получить текущее время - вы сможете сгенерировать такой же код. В Keepass это делает плагин keeOTP.

    Есть плагины ко всем популярным браузерам, которые находят и добавляют на страницу сайта ваши авторизационные данные, остаётся только кнопку нажать, работает хорошо, не глючит ни в хроме, ни в фаерфоксе (мой основной браузер на текущий момент).

    И потом не спеша каталогизируете все свои учётные записи, добавляете, сохраняете, синхронизируете, сначала работы много, но можно не спешить. У меня за пару недель (и сутки в самом начале) получилось спокойно переползти с ластпасса на кипасс, отказаться от authy и вообще начать очень радоваться, как удобно всё работает, выглядит это примерно так:

    [​IMG]

    В интернете очень много всяких инструкций, с их помощью за один-два дня вы сможете настроить и полностью контролировать доступ ко всем своим авторизационным данным, обеспечить индивидуальный неподбираемый пароль ко всем сервисам и полностью перестать зависеть от каких-либо служб и девайсов, все ваши данные в одной базе и она надёжно защищена.
     
    xavi нравится это.
  6. shark

    shark Команда UAbets

    Освежу немного темку, она очень интересная, а с принятием разных очешуительных законов в наших прекрасных странах - становится жизненно необходимой.

    Самое первое и важное, от чего надо начинать танцы: - Определите модель угроз!

    Кто то шифруется от близких, кто-то от зарубежных, кто-то от своих, кто-то от инопланетян. Везде надо понимать, от кого мы пытаемся скрыть инфу, и по модели угроз мы будем выстраивать защиту.

    Я информационной безопасностью стал заниматься заранее, пару лет назад, не скажу, что профи в этом, но несколько важных моментов усвоил.

    1. Все что касается зоны РУ, почта, браузер, соцсети, да вообще все - в мусор. Либо там котики, без лишней информации (включая ПЕРЕПИСКУ в ЛС) и без личных фотографий. Так как эта информация льется открытым потоком к силовикам. А с учетом развития информационных технологий - достаточно поставить фильтр по одному слову, пары слов, фразы - комбинации слов - и все будет как на ладони, тем более Яровая старалась, чтобы инфу хранили все.

    2. Яндекс, Мэйл ру - будет хранить историю ваших запросов. И разумеется предоставлять инфу кому надо. Поисковик называется DuckDuckGo - он не следит.

    3. ВПН - все бесплатное это хорошо, но не забываем, что при использовании ВПН провайдер не видит трафика, но видит подключение и формирует список пользователей ВПН, некий реестр. 1 ноября закон вступает в силу, спасибо Вова, мы про тебя не забываем. Регулированием закона займется СБ, соотвественно этот реестр попадет в нужные руки. Читаем про параллельный ВПН - это противоядие. Ну и разделение трафика на белый и не совсем белый - тоже важно, у меня белый трафик - это ТВ приставка, которая гонит природу в 4К, храните эту информацию полгода, интересно, хватит ли памяти. Приставка не выключается. Остальной трафик идет через ВПН.
    Кстати да, главное - ведет ли ВПН логи. Потому что есть логи - есть кому их продать или отдать по приказу.

    4. Браузер - как вы понимаете, все русское - в топку. Хром, Мозилла и все что написано выше - в ту же топку. Пользуемся SRWare Iron, Epic, Tor.
    Причем в Торе - первое, что делается - это убираются выходные ноды стран СНГ и ближнего зарубежья, небольшой файлик в блокноте - и выход будет всегда из правильной страны. Все это отлично искользуется вместе с ВПН.

    5. Ну хоть про антивирус нормально написано. Антивирус снести, так как он не только жрет ресурсы, но и потихонечку капает о вашей деятельности. И не забываем, что Касперского не просто так запрещают в США. Там бизнес, а не импортозамещение.

    6. Почта - я не буду повторяться. Здесь сносить надо все, либо ранжировать информацию, зная, что все (абсолютно все) что располагается на почтовиках Яндекс, Мэйл, Гугл и прочих, у которых есть сервера в России - будет прочитано тем, кем надо. Для котиков и прочих спамов - эти почтовики идеальны.
    Для другой информации используем ProtonMail, Tutanota De.

    PS: Я совсем не параноик, просто скажу, что образ моей жизни, моих увлечений и принципов за последние 5 лет не поменялся. Только с каждым годом я все больше и больше нарушаю закон.

    Ну а здесь можете посмотреть, как вас видно.

    Узнать свой IP адрес
     
    Последнее редактирование: 7 сен 2017
    BEBU, Admin Kava и awbu67 нравится это.
  7. Катберт

    Катберт milanista

    черкану свое фишное мнение по этому вопросу.

    все выше написанное годится если определить "модель угроз" как "все, кроме государства".
    мне кажется, что если возьмутся какие-нибудь органы, то в наших уиликалепнейших странах, у них есть куча возможностей дрюкнуть по беспределу. и будь ты хоть кулхацкер 150-го левела, им будет глубоко на это пофиг.
    а вот если начнут копать и увидят одну стену за другой, то тем рьянее (хз есть ли такое слово) будут себя вести. и если дойдет до какого-то суда (опустим 95% вероятность приговора), то тем опаснее будешь выглядеть, получить обвинения посерьезнее и, как рез, будет сложнее себя защитить.

    так что совсем не уверен насчет необходимости параноидальных средств
     
    Admin Kava нравится это.
  8. shark

    shark Команда UAbets

    Для государства мы птички мелкие, а на крупном уровне все разговоры без телефонов и соотвествующий ценник на инф. безопасность.
    И куча уголовных дел за репосты в соцсетях - скорее за намкрыш, чем за вход на пинку. И государство очень неповоротливо в подобных делах, а для того, чтобы стать "Врагом государства"(отличное кино, кстати) необходимо посильнее раскачать лодку.

    Здесь дело не в стене, а в том - что ее не увидят :)
    И то, что я писал - это не параноидальный уровень, а скорее обычный, просто для того, чтобы поспокойней было.

    Про суд показательна история математика Богатова - в инете полно ссылок для ознакомления, очень интересная история.
     
    Admin Kava нравится это.
  9. Admin Kava

    Admin Kava Administrator

  10. Admin Kava

    Admin Kava Administrator

    Ты закрывал окно браузера или он сам разлогинивает при открытом окне?
     
  11. Admin Kava

    Admin Kava Administrator

    не, я на него только на всякое гавно, куда доступ закрыт хожу
     
  12. Admin Kava

    Admin Kava Administrator

  13. Admin Kava

    Admin Kava Administrator

    Неплохой блокировщик рекламы и всякой другой нечисти для Хрома - uBlock Origin
     
  14. Admin Kava

    Admin Kava Administrator

  15. Admin Kava

    Admin Kava Administrator

    Новый скайп адски тупит у меня, скачал старую версию

    вдруг кому тоже надо, можно тут взять - Downloading Skype Classic
     
  16. Admin Kava

    Admin Kava Administrator

    :123:

    Роскомнадзор вчера отправил уведомления 10 VPN-сервисам с требованием подключиться к ФГИС, где ведётся реестр запрещённых сайтов, и ограничивать доступ к указанным ресурсам. Тем, кто не сделает этого в течение 30 суток, ведомство угрожает блокировкой в России.

    Вот перечень всех VPN: NordVPN, Hide My Ass!, Hola VPN, OpenVPN, VyprVPN, ExpressVPN, TorGuard, IPVanish, Kaspersky Secure Connection, VPN Unlimited.

    Пять сервисов уже отказались сотрудничать — это TopGuard, OpenVPN, VyprVPN, VPN Unlimited и NordVPN. Согласился пока только Kaspersky Secure Connection. Представитель Hola VPN в разговоре с «Ведомостями» (Пять VPN-сервисов отказались сотрудничать с Роскомнадзором – ВЕДОМОСТИ) выразился так: «Мы разочарованы решением Роскомнадзора ещё больше ограничить доступ к информации и изучаем предложенные ими требования».
     
  17. Admin Kava

    Admin Kava Administrator

  18. Admin Kava

    Admin Kava Administrator

    Оставим, может когда пригодится

    Антидетект браузеры
    1. Dolphin - Антидетект браузер для арбитража трафика Dolphin. Скачать последнюю версию с бесплатным периодом. (этот браузер в бета тесте, пока он фри, ТОП!)
    2. Samara Weblab - http://samara-weblab.ru/ (3к/навсегда, покупать через тг)
    3. Sphere - Sphere (фри демо версия)
    4. Incogniton - Главная - Incogniton (10 фри личностей)
     
  19. Admin Kava

    Admin Kava Administrator