wrapper

profecia

Зачем использовать PGP в электронной почте

Как защитить корпоративную переписку. pgp для начинающих и зачем нужно такое шифрование. 


Добрый день коллеги. 

Ответ на вопрос - потому что для корпоративной почты, нужна защита выше повседневного. в. а пгп дает вполне приемлемый уровень. во всяком случае до повсеместного использования квантовых компьютеров. Вы как директор компании и просто лицо передающие конфиденциальную информацию, должны понимать ценность своих писем

Если вы используете электронную почту только для регистрации на сайтах - по сути стандартного ТЛЭС вам будет достаточно. Для остальных -  помните что даже в гугле признали что их система может анализировать переписку. Конечно это происходит в автоматическом режиме, и вряд ли там сидит человек и определяет смысл текста. хотя……для некоторых возможно сделали исключение….


Ну а если серьезно, есть бекдор - им обязательно воспользуются, в тех или иных обстоятельствах


Все мы знаем что при личном общении мы иногда обсуждаем вещи о которых лучше не знать посторонним. Это касается не только личных сведений но и какой то бизнес информации, или обсуждение политических решений.  Конфиденциальность важна всегда. некоторая информация может повлиять не только на одного человека, но и на компанию.

 

Электронная почта разных чиновников, или крупных бизнесменов вообще всегда под ударом. Иногда удается ее взломать и на свет появляются документы с непредсказуемым содержимым. 

Обидно когда публикуют вашу переписку десятилетней давности и это ставит под удар всю вашу дальнейшую карьеру или похоронит компанию. 

Достаточно вспомнить сколько изъятых электронных писем чиновников продается в даркнете и становится очевидным необходимость в дополнительном уровне защиты. 

( для справки : даже фейсбук использует такой метод для информационных сообщений. Это включается в настройках если кто не знал. )

Представьте что ваши электронные письма смогли перехватить, или просто смогли получить доступ к аккаунту. Подсмотрели логи, подобрали пароль.Или вообще получили доступ после официального запроса от какого нибудь гос органа .В последнем варианте так же проверят все, ведь любая переписка может относится к преступлению…..А в суде есть дела где сотрудники сливали информацию конкурентам пользуясь своим служебным положением, и есть вероятность что еще не всех нечестных сотрудников поймали…..

 По сути это все. Достаточно нескольких секунд чтоб скачать все письма и дальнейшая блокировка аккаунта уже будет бессмысленна. 

Вот чтобы избежать подобных проблем в будущем, надо с самого начала использовать не просто электронную почту , а также включить в свой стандарт ПГП шифрование. Не в каждом почтовом сервисе это можно сделать, однако всегда есть альтернативный вариант в виде плагинов. 

Что нам дает это шифрование.

Так вот, При обычной системе защиты человек увидит полный текст сообщения. спокойно можно прочитать и проанализировать.В общем все тоже что и вы сами.

Если используется ПГП, то получите примерно следующее : из этого текста мало что понятно.  вот вся наглядная разница. 

Нечто подобное можно использовать и в простых смс сообщениях, что дает новую жизнь сервису, об этом уже была статья на сайте. постараюсь не забыть оставить ссылку . но сейчас про почту.

Тут надо уточнить один момент. в разных почтовых сервисах это реализуется по разному. У этой системы общее только одно - это ключи - и универсальность. то что зашифровано таким методом на протон мейле лего прочитает пользователь вивальди. или джимейла с установленным плагином.

Есть 2 варианта

Там где используется один пароль для аккаунта и шифрования - можно авторизоваться на любом компе и получить полный доступ к архиву сообщений. ( в такой системе обязательно должна быть двух факторная авторизация, иначе смысла нет сами понимаете что  логин пароль можно легко украсть. )  

Вариант с одним паролем  сейчас везде , в том числе на известных площадках. Даже пресловутый протонмейл пошел на поводу и объединил пароли для удобства пользователя, хотя для желающих можно разделить пароли. функция сохранена.


Также может использоваться два разных пароля. Этот метод реализуется чаще за счет установки дополнений( или просто отдельный пароль для ключа в случае с вивальди) . если вы сторонник gmailа вам ничего менять не придется вообще. Как бы не относились к бывшей корпорации добра , а дополнений для их сервисов просто придостаточно. Ну а если вы в качестве корпоративной пользуетесь мейл ру -ну тут мне нечего сказать.

 В этом случае, с 2 паролями помимо обычной авторизации на новом устройстве, нужно еще авторизоваться в дополнении иначе зайдя в почту вы будете видеть вот такую кракозябру. 


 Как это работает. с дополнением. 

 Ваше письмо, включая текст,картинки и чего еще прикрепите помещается в специальный зашифрованный контейнер, который отправляется уже как обычное письмо. адресат открывает письмо спокойно его прочитает. 


Сразу отмечу что в любом из вариантов можно продолжать вести обычную переписку.

Протон мейл может создавать защищенную переписку на своем сервере, а гугл просто режим с ограниченным доступом. 


И немного про пгп, максимально просто. не все сходу могут сообразить. 

это ассиметричное шифрование. т.е для шифрования сообщения используется один код, а для расшифровки уже второй. первый только шифрует, поэтому его можно свободно рассылать и публиковать. как правило он прикрепляется к сообщению

Тот кто захочет отправить вам сообщение - будет использовать этот публичный код.  второй, называется приватный и хранится только у вас и никому не показывается. Если он будет скомпрометирован - следует сразу заменить все ключи шифрования. 


Главное не забывайте что утечка информации иногда  может навредить не только вам. так же может сказать в далеком будущем.

всего вам доброго, до встречи

Видео Ютуб

 

 
Подробнее ...

Про обвинение врачей

 
Добрый день друзья.
Возможно,недавно вы слышали про решение ,хотя пока на уровне разговоров, о том чтоб проверить работу врача если он заразился. 
В перспективе ему вероятно будет предъявлено какое то обвинение.
 
Это немного шокирует. Однако в случае начала таких процессов, и детальной проверки каждого конкретного врача- действительно будут выявлены многочисленные нарушения.
 
При этом посадят ( ну или в принципи признают виновными ,до посадок я думаю дело не дойдет) большинство. И самое интересное во всей этой ситуации, что обвинят  абсолютно правильно. 
А теперь разберем эту ситуацию, ведь первая часть для обвинения уже выполнена., ну по крайней мере для уже заболевших врачей. 


Не надо строить теории заговоров, или говорить что суды поступят как им скажут. Все просто - врачи будут виноваты. По всем правилам и законам . И они сами будут знать что виноваты. 
Ведь все просто. При работе с разными пациентами - разработаны инструкции,нормативы. Это жесткие правила нарушать которые не стоит по многим причинам. В них Например сказано о  наличие СИЗ. Их применение, сроки замены. Даже класс надо учитывать.потому как если ты пользуешься не тем - это равнозначно что вообще ничем не пользуешься.   Да, вероятно сейчас, начнется : ну им же не выдают, этого нет, вот и вынуждены работать как есть. Это конечно тоже интересный вопрос, у нас нет защиты но мы вынуждены рисковать жизнью ради….. дальше  как правило ничего внятного.
И вот тут появляется второй момент. А кто из врачей подал официальный документ с требованием выдать все необходимое для работы? или заявил что этого ничего нет? Я сейчас Не про эти сопли в инстаграме и ютубе ( вот нам плохо,нас обижают), а документ, поданный через канцелярию, зарегистрированный в книге внутренней документации?или входящей документации, у кого как она зовется.  кто? В лучшем случае это были единицы.
 
При этом,наверняка при проведении проверки выяснится что на складе все было в этот момент, (по крайней мере по документам). И главврач заявит, что это врачи че то не хотели….проявили халатность, понадеялись на авось. А ведь каждый врач подписывал документ о ознакомлении с правилами ТБ ( так делается везде)
В результате, мы видим нарушение.  И все последующие оправдания будут стоить….. да ничего не будут стоить. 
 
Поэтому помните,по закону надо поступать не потому что это правильно, это норма или думая о справедливости, просто когда вас захотят подставить, а вас точно захотят подставить - у вас должно быть все прикрыто. И эта очень универсальная фраза
Я понимаю что это сложно, тяжело работать с оглядкой на правовые нормы и думать постоянно как бы остаться в рамках закона, особенно для людей,которые работают еще с советских времен.  Но увы,такие реалии, и от того что вы не будете это учитывать - вам никто не делает поблажек. 

 

Видео Ютуб

 

 
Подробнее ...

Где хранить пароль

И так, в прошлый раз мы выяснили какие пароли можно считать надежными. И скажем прямо их сложно запомнить. Даже если у вас хорошая память, 4-5 таких паролей это максимум что можно держать в голове, и то если вы пользуетесь ими постоянно. В случае большого перерыва- вероятность ошибки уже сильно возрастает. А в экстренной ситуации вы можете перепутать даже легко запоминающиеся комбинации. Опять же, у большинства из вас паролей гораздо больше.
Так что вопрос где их все хранить очень актуален. Скажу сразу, нет идеального решения. Это все компромиссы. У каждого варианта есть как плюсы, так и минусы. Для конкретного случая надо подбирать свой вариант.
  • Начнем с “олд скульных” вариантов. Тетрадка блокнот, лист бумаги перед монитором. Этим все еще пользуются. Так же как и бумажной картотекой контактов. Знаете такие, перелистывающие….

Плюсы у такого варианта объяснимы. Их не украдут хакеры. Никакие проблемы с компьютером или сервером не повлияют.  На этом наверное и все.
Недостатков гораздо больше.
  • Вы легко все потеряете, если испортите свой блокнот, уроните в воду, например.

  • При регулярной смене кодов – ваша тетрадка быстро превратится в книгу.

  • Низкий уровень сохранности при постоянной переноске. Вы можете его потерять, могут просто в ваше отсутствие сфотографировать нужную страницу. Отошли на минуту – ваш помощник сделал фото.

  • Как говорил один человек, ничто не помешает просто вломится к вам и забрать все нужное.

  • Еще один момент. Пароли придется вводить руками на клавиатуре. Перехватить этот набор не составляет труда. Скажу даже больше. Вы сами разрешаете некоторым программам записывать все что печатаете. Внимательнее читайте соглашение J

 2. Чуть лучше выглядит вариант хранения всего текста в вордовском документе на жестком диске или флешке.
  • Очевидно, что часть проблем мы решаем, но вместе с этим появляются новые.
  • Троянская программа может скачать нужный файл
  • Даже антивирус Может скопировать себе этот текст. Достаточно вспомнить скандал с касперским и секретными документами американских служб. Облачные технологии перенесли всю основную работу в серверы, туда же переносятся все подозрительные файлы.
3. Соответственно, следующий этап — это мы держим список на компьютере но в зашифрованном виде.
Тут существует много программ. Коммерческих, с открытым исходным кодом. Есть из чего выбрать. Они небольшие, базы весят мало, а надежность шифрования у некоторых очень высокая. К тому же помнить надо только один пароль, и его можно придумать очень сложным.
Из недостатков можно отметить разве что необходимость запускать дополнительную программу и то, что база хранится на вашем диске. Это сомнительный минус конечно, регулярно делаете копию со свежими исправлениями и вопрос по диску отпадает.
Вы не печатаете пароли на клавиатуре, просто копируете. В этом тоже есть минус, но об этом не сегодня.
 
4. Последним вариантом будет онлайн хранилища паролей. Их сейчас появилось достаточно. Большая часть коммерческая, с ограниченным функционалом в базовой, бесплатной версии. Однако большинству этого хватит. По крайней мерее попробовать и посмотреть .
Особенность в том, что устанавливается дополнение для браузера. Хотя есть и десктопные варианты.
Такой системой удобно пользоваться. Все пароли вводятся намного быстрее и даже сохраняются автоматически.
  • Нет переживания за сохранность, в случае поломки диска.

  • У многих есть мобильное приложение.

  • Минус предсказуем. Пароль хранится где-то там. Вы должны полностью доверять сервису и его защите своих данных.

Из интересных вариантов можно назвать ласт пас. Многие его видели, он включен в яндекс браузер и фаирфоксе в рекомендациях. ( на сегодняшний момент там убрали русский язык) и например битварден. Есть конечно и разработки из России. Кому из них доверять - каждый решает сам.
Я умышленно не называл варианты с токенами и системами безопасности от специализированных компаний вроде саилфорс. Кому нужны их услуги, вряд ли будут задаваться такими элементарными вопросами....
Смотрите,выбирайте, сравнивайте, главное периодически проверяйте базы утечек и регулярно меняйте пароли.

 

Видео Ютуб

 

Подробнее ...

Какой должен быть пароль

И так, сегодня выходной, на улице просто «дубак» и выходить не хочется совсем. Значит есть время для очередного видео, к тому же надо наш блог обновить, а то давно ничего не было.
Вообще несколько раз пытался записать видео на эту тему, но каждый раз казалось, что говорю о настолько очевидных вещах, что смысла нет. Однако очередной случай показывает, что тема актуальна.
Не знаю почему, люди очень равнодушны  именно к информационной безопасности, это касается всех, включая предпринимателей и компании, которые работают не только на красноярском уровне. Знаете эту фразу “ да кому я нужен или кому я интересен”... ( о ней можно говорить отдельно и долго)
(мне скрывать нечего ,никто из бизнесменов не говорит J )
Она звучит до тех пор, пока не появляются проблемы. И самое интересное, такое можно услышать даже от предпринимателей, чей бизнес напрямую зависит от соцсетей.
Представьте, что у вас все продажи идут из инстаграма, и в один момент вы теряете этот аккаунт. Его удаляют или от вашего имени начинают распространять странную информацию? Конечно, со временем возможно вам восстановят доступ к аккаунту, но вы потеряете деньги, а последствия могут быть очень печальны...
Сегодня посмотрим на пароли которые используют.
Про это говорилось уже много.  Пароль должен быть сложным, длинным, и уникальным. В работе встречались и компании с паролями годом рождения «Мануэля де Кастилио» (1234) и люди у которых минимум 32 знака.
 Разберем каждый пункт и посмотрим насколько это актуально.
  1. Длинна пароля.
 Параметр влияет на время подбора. Современные компьютеры легко подберут 5 или 10-значный пароль просто методом перебора.  Программы есть в открытом доступе.
Поэтому рекомендуют от 15 а местами от 20 знаков.  Надо понимать, что рекомендации рассчитаны на зашифрованные архивы или зашифрованные носители, которые могут попасть к злоумышленникам на долгий период, т.е. у них будет время анализировать базу (ну или диск) неограниченное время .
 
 Взлом аккаунта методом перебора паролей - явление скажем так редкое. У сайтов все же есть некоторая защита от простейших взломов, и просто перебирать варианты паролей не получится. Вводить «капчу» постоянно – уйдет вся оставшаяся жизнь, а если еще и блокируют аккаунт при нескольких ошибках – то и больше.
Там используют иные способы. Взлом базы на сервере, социальная инженерия, использование лазеек, оставленных разработчиками. Если уж ваши пароли похитят – никакая длинна уже не спасет. Поэтому в 15 знаков для контакта более чем достаточно.
 2. Сложность пароля.
Это уже интереснее. Она так же влияет на время прямого перебора. Если вы используете одни цифры - это очень легкий пароль , даже если там 30 знаков. Поэтому даже в коротком пароле должны быть :
  • Цифры
  • Строчные буквы
  • Заглавные буквы
  • Спецсимволы.
С таким разнообразием подобрать или угадать становится сложнее. Не каждая система позволяет работать с кириллицей, но даже с английскими буквами, пароль будет неплохим.
3. Уникальность.
Как бы вы не придумывали, и усложняли запись, но пароль который использовался - ваше слабое место. Все дело в утечках баз. Они случаются, а значит ваши данные попадают в базу злоумышленников. Иногда о такие утечки становится известно спустя годы, иногда сразу.
Использование одного и того же пароля в разных сетях – можно сразу опубликовать его в открытом доступе.
На сайте можете проверить свою почту на предмет утечек. Пользователи контакта наверняка там себя найдут.
В фаирфоксе молодцы, постоянно чем то радуют.
 
Опять же добавление одной двух цифр - так же не гарантия, это все будет проверено в первую очередь. Точно так же как и старые пароли. Тут еще зависит от того что вы защищаете и от кого. Чем серьезнее угроза, тем с большей паранойей надо подходить к вопросу безопасности.
4. Очевидные слова.
Социальная инженерия, сегодня приносит проблем службе безопасности не меньше чем простые атаки. Пароль может быть очень сложным, но это неважно если вы сами его расскажете. Методов как вынудить вас рассказать свой логин/пароль очень много. От самых простых, рассчитанных на людей фотографирующих свои банковские карты с двух сторон ради выигрыша., заканчивая сложными психологическими ходами, выстроенной цепочкой для конкретного человека.
Но сейчас нас интересует более простой вариант. Использование своей фамилии, клички животного, номер паспорта - это гарантия провала. Даже смена раскладки - очень плохой ход.
  • Как видите это простые правила, но в то же время заметно повышают уровень безопасности.

 

Подробнее ...

Почему мы

Наши стандарты безопасности, намного превышают ...

Режим работы

Работаем понедельник - пятница
10.00 - 19.00.
только по предварительной записи.
В выходные: при срочности дела и предварительной договоренности

 

Контакты

г.Красноярск
ул.9Мая 17/1
офис 07 (цокольный этаж)

  • т. 8(391) 2-717-013
  • т. 8-963-191-70-13

EMAIL:

  • Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Важно

Template Settings

Color

For each color, the params below will give default values
Blue Green Red Radian
Select menu
Google Font
Body Font-size
Body Font-family
Шаблоны с адаптивным дизайном