Насущная пользовательская информационная безопасность

Список далеко не полный, просто пока лень расписывать дальше.

Главное не перегнуть=) речь про насущную безопасность, тут ещё надо не отпугнуть людей.

очень приятный список. про бекапы прям на больной мозоль наступил - об этого говорю постоянно.
позиция zero trust тоже требует изучения.

@Spirtel, но мне все еще интересно, как именно дроны используются в качестве аппаратных средств защиты информации? 😉

@gelatin, людям по**й на безопасность - известная аксиома практического киберсека.

@hokken, на том и живём. Но между "не делать ничего" и "делать хоть что-то" всё равно есть разница. И тут важно не отпугнуть простых смертных тем, что всё тщетно если ты не бородатый потный линуксоид (сорь, не оскорбление, мем). Тем более человек с бывшими военными работает, их всю жизнь в интернет не пускали на работе, а тут вдруг такой раздолье.

@hokken, в данном случае речь идет о просветительской беседе в направлении обеспечения безопасности беспилотниками на массовых мероприятиях. что у них можно быстро менять точку обзора, записывать и патрулировать по алгоритму.

Дополняя тему с приложухами, я бы еще советовал трижды проверять экстеншены браузерные.

@nerorenaissance, ну да. Надо как-то проверять всё что ставишь сторонее. Если бинарник на комп хз откуда скаченный, то лучше на виртуалочке. Или хотя бы вирустоталом прогнать. А перед этим три раза подумать реально ли этот "кряк для фотошопа" и "оригинальный будильник" тебе нужны.

Хотел добавить про менеджеры паролей.
Вот бесплатный вариант - https://bitwarden.com/

Есть даже on-premise решение.

Для бедных есть KeePass. И для не-бедных тоже

@PmJGRNOozIJestBI, там под мобилки вместо оф.релиза какой-то зоопарк. Как этому можно доверять? Вот про битварден пойду почитаю.

кипассу десять лет в обед и он оффлайновый опенсорс, а битварден - "опен сорс" где-то в облаке, вот ему доверять сложно

зоопарк опять же потому что оффлайновый опенсорс, кто хочет - пишет свою имплементацию. я keepass2android пользуюсь

@PmJGRNOozIJestBI, про доверять - речь именно про сторонние реализации под мобилки. А без мобилки я хз зачем менеджер паролей нужен.

в случае с андроидом можно посмотреть код, убедиться, что он никуда не ходит в онлайн и собрать билд самому (и вообще он из разрешений просит только storage, но вроде бы на самом деле это доступ к интернету не ограничивает, не помню насколько строгие в андроиде ограничения). ввод там сделан через кастомную клавиатуру, в буфер обмена в принципе ничего не копируется емнип. залоченный файл идентичен тому, что использует официальный кипасс и если верить аудиту, то с ним сложно что-то сделать, там нормальное шифрование

с айосью сложнее, да

интересное видение, спасибо.
буду пробовать внедрять.
зачастую имею отношение с преподавателями школ и вчерашними бакалаврами - к сожалению их айтишный бекграунд оставляет желать лучшего.
а вот примеры с наглядным "взломом" могут быть интересны.

@Spirtel, я не методист, но мне кажется воочию увидеть, что для того чтобы сделать чужим приватным данным бобо не надо быть кулхацкером или анбшником, а достаточно гугла\скрипта PoC с гитхаба\безделушки с алиэкспресса и справится любой школьник - это отрезвляет. Ну, на нас действовало когда мы учились=)

Мне тоже нравилось, когда показывали картинки с рабочих серверов и что-то на них объясняли (заканчивал колледж по специальности "вычислительные машины, комплексы, системы и сети"), но сейчас все чаще встречаю непонимающие глаза и фразу: А чем мне это в жизни пригодится?
и в общем фраза правильная, и подход современный, но никогда не знаешь что будет нужно - особенно в области техники и безопасности. Так что приходится изгаляться всякой геймификацией, прикольными сервисами и прозрачными баллами.

использую бесплатный менеджер паролей lesspass (не lastpass, не losspass, не что-то еще)
пароли не хранит вообще
хранит тапл: (сайт, логин, настройки пароля (длина, наличие спец символов, етц))
генерирует по этому таплу и мастер паролю новый пароль

если их вскроют, то утекут твои логины, но хоть не пароли
мой идеальный баланс удобства и секьюрности

Интересная софтина, не слушал о такой. Спасибо.

Я ж об этом и имел в виду: изначально просто была непонятна сфера приложения усилий. :)

Поэтому о почте на условных mail.ru/yandex.ru говорить - НАДО!

Но при этом объяснить базовые принципы выбора никнейма ("для дела"/"для онлайн-развлечений"), пароля, не соответствующего нику, отображения подписей и пр.

И это - только о мыле. :)

Privacy Badger - очень неплохо показывает и отсекает все шпионские куки, которые тебе хотят подпихнуть при загрузке сайта.
Но вообще если уж за киберсек, то от хрома лучше вообще отказываться.

@Maximus, про подписи прям тоже по больному - всегда говорю: на рабочей почте или учетной записи на аватарку фотку и подпись запилить.
но тоже не всегда слышат.

@hokken, от хрома отказаться не получится - его рекомендуют все как самый универсальный браузер.

@hokken, ребят, вынырните, плз, из вашего программёрского пузырька со смузями!

Ну какие там, %$#&$%, расширения для браузера и учёт куки, вы чего, серьёзно?! :///

))))) этим действительно мало кто занимается, но мне, например, для перспективных программ, это вполне может пригодится.
вообще часто ставлю перед собой просветительские задачи. считаю так - если я хотя бы расскажу что-то на занятиях, то есть вероятность, что это заинтересует и потом человек сам захочет это изучить.
не всегда срабатывает, но есть и положительные примеры.
но айтишникам всегда сложно "приспуститься" до уровня "бухгалтерии" ))))

Есть ещё приложеньки на комп, которые запрещают при установке программ подсовывать тебе автоматом всякие амиго и яндексбары. В ночи не вспомню, завтра поищу, если никто не подскажет.

@Spirtel,

как самый универсальный браузер

вот ты такие вещи студентам рассказываешь, а потом они попадают в суровый тырпрайз на венде, а там чтобы сертификат получить нужно православный IE6 запускать.

@Maximus,

вашего программёрского пузырька со смузями!

Мне, как ИБшнику ,на смузи не очень хватает, приходится пить водовку.

@Spirtel,вот эта штука

Про браузер я не рассказывал, а цитировал.
И да, ИБшникам сейчас не сладко.

Круто! Спасибо, взял на вооружение

тут тоже точное попадаение в поиск информации и чтение пользовательских соглашений. Про происк прям целая лекция есть - заходит на ура. Ну а читать их склонить тоже сложновато.
а вот 2ФА да, верная штука, спасибо

сразу видно - коллега )))
читаю бывшим сотрудникам силовых ведомств, которые пререпрофилируются на работу о образовательных организациях, завучи школ, преподаватели и т.д.

Спасибо, записал ))

спасибо! про мошенников рассказываем, предлагаем самим разработать похожую схему и прописать шаги для защиты.
остальное скорее относится к "программистам и админам", у меня аудитория все-таки более "лайтова" в плане знаний и в код никто не полезет. а вот фотку паспорта по вотсапу отправить - это они запросто ))))

утоничте про "емейлы с плюсиком" - что за тема? разве "+" в имени не запрешен? или у вас столько разных почт?

@Spirtel, почта у меня только одна — zahhar@gmail.com

Но сегодня все современные почтовые провайдеры умеют subaddressing (или plus-addressing): https://en.wikipedia.org/wiki/Email_address#Subaddressing

То есть если вы напишите мне на zahhar+vas3k@gmail.com — я получу это в свою почту zahhar@gmail.com.

Это позволяет создавать несколько аккаунтов на любом сервисе, которые для сервиса будут выглядеть как разные, но для меня все учётки привязаны к одной моей почте. У этого есть ряд плюсов, которые я описал.

@Spirtel, ни для чего из того что я назвал не нужно лезть в код.

Если ваша аудитория — школьные учителя, то ситуация, когда в школе украдут личный планшет преподавателя, на котором вполне могут оказаться домашнее порно (преподаватели тоже люди со своими пороками), которое из-за незашифрованного диска затем всплывёт в интернетах и будет стоить карьеры этому преподавателю.... "Вот тогда и поговорим" что называется :)