Potřebujete pomoci? Trápíte se a nevíte si rady? Vyzkoušejte kontaktní terapii či online krizovou intervenci → PARAFILIK.CZ

Qubes OS, pro práci i zábavu (?)

Nezávazná diskuze o čemkoliv, co se nehodí jinam.
Uživatelský avatar
Dreamer
Člen skupiny ČEPEK
Bydliště: Všude možně
Líbí se mi: Dívky
ve věku od: 6
ve věku do: 12
Příspěvky: 562
Dal: 789 poděkování
Dostal: 308 poděkování

Qubes OS, pro práci i zábavu (?)

Nový příspěvek od Dreamer »

Všiml jsem si, že tu máme pár geeků. Zajímalo by mě, zda jste někdo zkoušel Qubes OS a pokud ano, zda se s ním dá fungovat i v práci. Poslední dobou cítím velký dluh vůči zabezpečení svého pracovního počítače. Dospěl jsem k závěru, že je jenom otázka času, než ho někdo hackne, a chtěl bych být na ten útok připraven.

Zdá se, že Qubes OS nabízí rozumný kompromis mezi zabezpečením a pohodlím. Umožňuje utáhnout šrouby tam, kde je potřeba, a povolit je tam, kde na tom až zas tolik nezáleží. Mám ale trochu obavu z toho, jak pod ním fungují Windows, a zejména pak konferenční aplikace, jako třeba Teams...

Nemáte někdo zkušenosti?
Uživatelský avatar
podivin
Člen skupiny ČEPEK
Líbí se mi: Dívky a ženy
ve věku od: 2
ve věku do: 40
Výkřik do tmy: Srdce plné lásky přetéká v slzách očima *** Když někoho miluješ, znamená pro tebe víc než ty sám a chceš pro něj jen to nejlepší, ikdyby to tobě mělo působit bolest *** Ikdyž jsou to "jen" děti, mají mou úctu a chovám se k nim slušně *** Moc, peníze ani sex nemůžou nahradit dětskou radost, smích a lásku. *** Čiň, co chceš, pokud nikomu neškodíš *** Každý čin se ti třikrát vrátí
Příspěvky: 645
Dal: 486 poděkování
Dostal: 347 poděkování

Re: Qubes OS, pro práci i zábavu (?)

Nový příspěvek od podivin »

Dreamer píše: úterý 16. 2. 2021, 15:19:58 Všiml jsem si, že tu máme pár geeků. Zajímalo by mě, zda jste někdo zkoušel Qubes OS a pokud ano, zda se s ním dá fungovat i v práci. Nemáte někdo zkušenosti?
Kolega tohle tuším zkoušel. Vlastně každý program běží ve své vlastní virtuální mašině, kde každá VM má přístup jen na ten hardware, který opravdu potřebuje, samozřejmě i na vlastní data, procesor a pamět. Určitě je to zajímavá myšlenka, jiný kolega si hrál zase spíš s kontejnery, což je podobné jako VM, jen ty kontejnery nemají vlastní jádro, ale běží to stejně odděleně jako VM.

LXC (Linux Containers) is an operating-system-level virtualization method for running multiple isolated Linux systems (containers) on a control host using a single Linux kernel.

Tyhle věci jsou super, ale řekl bych, že spíš na servery, kdy je opravdu velké riziko útoku z venku. Na pracovních stanicích spíš hrozí stažení nějaké škodlivého kódu přes web nebo emailem a pak ovládnutí počítače nějakou řídící sítí. Tomu by asi takové systémy jako Qubes OS nebo LXC mohly pomoci, ale pokud si to zkusíš, tak si myslím, že budeš mít spoustu obtížných situací, protože obvykle desktopové aplikace chtějí komunikovat vzájemně, např. z webu se ti má otevřít nějaký program, který ale není v tom LXC nebo Qubes VM nainstalovaný, protože v tom jenom je pouze prohlížeč.

Osobně bych spíš doporučoval aktualizovat systém a aplikace, nainstalovat kdejakou blbost, přemýšlet u emailu a neklikat na každý email, kontrolovat odesílatele u emailů a podobně. Prostě chovat se bezpečně a ne jak 7leté dítě, které se poprvé dostalo k mobilu a musí kliknout na všechno, co vidí.

Pokud chceš mít jistotu ohledně soukromí a dat, tak šifrovat disk, na soc. sítě nedávat moc údajů, nebo sdílet jen s rodinou (ne 1000 anonymních followerů), při ukončení prohlížeče mazat cookie a další data, nebo ještě lépe pracovat rovnou v privátním módu.

Když se bojíš o ztrátu dat (např. data zašifrované ransomware virem), tak pravidelně zálohovat s historíí (ne že budeš mít pouze jedinou zálohu z posledního dne, kde už data budou zašifrovaná) a zálohovat alespoň na dvě média (třeba i stejný typ, ale fyzicky oddělené, např. dva USB disky) a případně je ukládat na různá místa (ke známým např.) jako ochranu proti krádeži.

Samozřejmě se dá počítač používat super bezpečně, ale je otázka, jestli se to vyplatí vůči riziku.
Uživatelský avatar
Dreamer
Člen skupiny ČEPEK
Bydliště: Všude možně
Líbí se mi: Dívky
ve věku od: 6
ve věku do: 12
Příspěvky: 562
Dal: 789 poděkování
Dostal: 308 poděkování

Re: Qubes OS, pro práci i zábavu (?)

Nový příspěvek od Dreamer »

Díky podivíne.
podivin píše: úterý 16. 2. 2021, 18:04:47 Vlastně každý program běží ve své vlastní virtuální mašině, kde každá VM má přístup jen na ten hardware, který opravdu potřebuje, samozřejmě i na vlastní data, procesor a pamět. Určitě je to zajímavá myšlenka, jiný kolega si hrál zase spíš s kontejnery, což je podobné jako VM, jen ty kontejnery nemají vlastní jádro, ale běží to stejně odděleně jako VM.
On každý program může běžet ve své virtuální mašině, ale nemusí. Můžeš si udělat mašinu kde těch programů co spolu potřebují komunikovat běží víc. Takže ta úroveň izolace je flexibilní, což se mi právě líbí. Navíc to umí jednoduše vytvářet disposable mašiny, takže když ti třeba přijde nějaká příloha, na kterou chceš kouknout, můžeš ji "otevřít" v té jednorázové mašině. Super.

Ta virtualizace v Qubes je o hodně bezpečnější než kontejnery nebo nějaký sandboxing. Dokonce je snad bezpečnější než VMVare, Hyper-V, VirtualBox a podobné. Mají to na webu popsáno, ale to už jde mimo moje znalosti a chápání.
podivin píše: úterý 16. 2. 2021, 18:04:47 Osobně bych spíš doporučoval aktualizovat systém a aplikace, nainstalovat kdejakou blbost, přemýšlet u emailu a neklikat na každý email, kontrolovat odesílatele u emailů a podobně. Prostě chovat se bezpečně a ne jak 7leté dítě, které se poprvé dostalo k mobilu a musí kliknout na všechno, co vidí.
Máš pravdu, tohle je jasné a považuji to za samozřejmost. Ale sofistikované útoky dnes skoro vždy začínají nějakým 0-day, buffer overflow, a ten ti může způsobit klidně i obrázek, video, hlavička nějakého souboru, reklama v prohlížeči, nebo třeba i e-mail co ti přijde, když se ho antivir rozhodne proskanovat a spadne u toho.

Ale těch potenciálních děr je víc. Pokud jsi programátor, určitě používáš nějaké package managery, rozšíření do editorů, spoustu různých utilitek. To všechno jsou otevřená vrata, která si jen říkají o to, aby jimi něco přijelo. Úplně rostu z automatických aktualizací těhle malých prográmků. Nevěřím ani trochu, že mají všichni své update servery a procesy řádně zabezpečené.

Šifrování disku je fajn, zálohování taky, ale ani jedno ti příliš nepomůže, když se někdo rozhodne, že si k tobě na počítač nainstaluje keylogger.
podivin píše: úterý 16. 2. 2021, 18:04:47 Samozřejmě se dá počítač používat super bezpečně, ale je otázka, jestli se to vyplatí vůči riziku.
Jde právě o to, jak cenný cíl jsi, případně zda bys nemohl posloužit jako brána k někomu cennému. Včera jsem od kolegy potřeboval malou úpravu v produkčních datech jednoho klienta. Stál jsem mu za zády, a jak tu databázi v tom dlouhém stromečku nějakého SQL manažera hledal, normálně jsem se orosil. Z představy, že by ho někdo hacknul, se mi zvednul žaludek.

Došlo mi, že už je čas začít tu bezpečnost brát opravdu vážně, a ne o tom jen mluvit. A myslím si, že pedofilové mohou být taky zajímavý cíl některých útoků.
Uživatelský avatar
podivin
Člen skupiny ČEPEK
Líbí se mi: Dívky a ženy
ve věku od: 2
ve věku do: 40
Výkřik do tmy: Srdce plné lásky přetéká v slzách očima *** Když někoho miluješ, znamená pro tebe víc než ty sám a chceš pro něj jen to nejlepší, ikdyby to tobě mělo působit bolest *** Ikdyž jsou to "jen" děti, mají mou úctu a chovám se k nim slušně *** Moc, peníze ani sex nemůžou nahradit dětskou radost, smích a lásku. *** Čiň, co chceš, pokud nikomu neškodíš *** Každý čin se ti třikrát vrátí
Příspěvky: 645
Dal: 486 poděkování
Dostal: 347 poděkování

Re: Qubes OS, pro práci i zábavu (?)

Nový příspěvek od podivin »

Dreamer píše: úterý 16. 2. 2021, 19:20:40 On každý program může běžet ve své virtuální mašině, ale nemusí. Můžeš si udělat mašinu kde těch programů co spolu potřebují komunikovat běží víc. Takže ta úroveň izolace je flexibilní, což se mi právě líbí. Navíc to umí jednoduše vytvářet disposable mašiny, takže když ti třeba přijde nějaká příloha, na kterou chceš kouknout, můžeš ji "otevřít" v té jednorázové mašině. Super.
Aha, tak takhle dalece jsem to nezkoumal, jen si pamatuju, že to právě kolega zkoušel a pak musel nějak řešit, aby se program v jedné VM dostal k datům z jiné VM nebo tak něco.

Ano, na to testovací otevření přílohy je to super :) Když se něco podělá, smažeš VM a je klid :)
Dreamer píše: úterý 16. 2. 2021, 19:20:40Ta virtualizace v Qubes je o hodně bezpečnější než kontejnery nebo nějaký sandboxing. Dokonce je snad bezpečnější než VMVare, Hyper-V, VirtualBox a podobné. Mají to na webu popsáno, ale to už jde mimo moje znalosti a chápání.
Na webu mají přímo schéma a tam mají XEN (to mi tenkrát říkal i ten kolega). Co vím, tak rozdíl mezi XENem a ostatními (VMWare, Hyper-V, VirtualBox, KVM/QEmu) je v tom, že ty ostatní využívají hardware virtualizace (podpora na procesoru), kdežto XEN používá paravirtualizaci, čili ten OS musí být upraven pro běh v XENu. Linux s tím nemá problém, Windows musí být nějak upravený, ale to nevím přesně, já používám XEN jen s linuxem. Výhoda XENu je, že běží rychleji než HW virtualizace a také XEN může běžet na počítači bez HW virtualizace. Nevýhoda XENu je, že potřebuje upravený/připravený systém pro XEN. Zase výhoda těch ostatních je, že prostě emulují PC, takže tam opravdu spustíš cokoliv a nemusí to být pro virtualizaci připraveno. Ale zase ti ostatní potřebují HW podporu pro virtualizaci, jinak je to dost pomalé.

Divím se, že by kontejnery byly míň bezpečné. Jednoduchý Chroot samozřejmě není bezpečný, protože sdílí CPU a RAM s ostatními, chroot odděluje vlastně jen datovou oblast. Ale kontejnery by měly omezovat i RAM a CPU. Ale ty tak detailně neznám.
Dreamer píše: úterý 16. 2. 2021, 19:20:40
podivin píše: úterý 16. 2. 2021, 18:04:47 Osobně bych spíš doporučoval aktualizovat systém a aplikace, nainstalovat kdejakou blbost, přemýšlet u emailu a neklikat na každý email, kontrolovat odesílatele u emailů a podobně. Prostě chovat se bezpečně a ne jak 7leté dítě, které se poprvé dostalo k mobilu a musí kliknout na všechno, co vidí.
Tohle je jasné. Ale útoky dnes skoro vždy začínají nějakým buffer overflow, a ten ti může způsobit klidně obrázek, video, hlavička nějakého souboru, reklama v prohlížeči, nebo třeba i e-mail co ti přijde, když se ho antivir rozhodne bez tvého přičinění proskanovat a spadne u toho.
Ano, ale téměř vždy je to chyba uživatele, že neaktualizoval. Samozřejmě se občas stane, že nějakou chybu najde nějaký blackhat a neohlásí ji, nechá si ji v seznamu připravenou na provedení nějakého drahého cíleného útoku, to jsou tzv. zero day chyby (při útoku se zjistí, že byla využita ještě neznámá chyba). Ale obvykle chybu najde nějaký whitehat hacker, chybu nahlásí autorům a ti urychleně vydají opravdu a pak je důležité, aby uživatelé aktualizovali, protože chyba je veřejně vystavena v seznamu chybu a tam je pak může najít blackhat hacker, vytvořit jednoduchý exploit (obvykle s hlášením chyby je i příklad zneužití, takže takovou práci s tím nemá) a může začít hackovat.
Dreamer píše: úterý 16. 2. 2021, 19:20:40Ale těch potenciálních děr je víc. Pokud jsi programátor, určitě používáš nějaké package managery, rozšíření do editorů, spoustu různých utilitek. To všechno jsou otevřená vrata, která si jen říkají o to, aby jimi něco přijelo. Úplně rostu z automatických aktualizací těhle malých prográmků. Nevěřím ani trochu, že mají všichni své update servery a procesy řádně zabezpečené.
Tohle je také o aktualizaci. Tuším jsem zažil nějakou chybu popisovanou pro Jetbrains IntelliJ IDEA prostředí, ale teď už nevím. Obvykle u open source programů je ta bezpečnost docela dobrá, protože zdrojový kód procházejí "blázni" (v dobrém slova smyslu) a koukají na chyby nebo jak kód vylepšit. Samozřejmě z toho dobrého kódu může někdo do binárního kódu přidat něco vlastního, takže např. zdroják chromium je OK, ale když někdo dává ke stažení binární verzy, tak uživatel si nemůže být jistý, co tam vlastně je. Podobně, jako to dělá google s chrome - původní zdrojový kód chromium rozšíří o vlastní funkce a uživatel už nemůže vědět, co tam je, protože chrome zdrojový kód k dispozici není.

Ale třeba se nám také stalo, že si uživatelé stahovali program se sourceforge, kde by měly být programy bez škodlivého kódu, jenže právě ten installer byl automatický stahovač a instalátor a ten samotný obsahoval nějaký reklamní kód (ne přímo útočný škodlivý, ale prostě nějaký reklamní šmejd).

No a pak jsou útoky přímo na kompilery, že to při kompilaci zdrojového kódu do každého programu generuje vlastní škodlivý kód. To je pak žůžo.
Dreamer píše: úterý 16. 2. 2021, 19:20:40Šifrování disku je fajn, zálohování taky, ale ani jedno ti příliš nepomůže, když se někdo rozhodne, že si k tobě na počítač nainstaluje keylogger.
Tady je problém opět v uživateli. Uživatel by měl pracovat pouze jako obyčejný uživatel a kontrolovat dotazy na potvrzení udělání něčeho jako administrátor. Když ale uživatel potvrdí všechno, aniž by to četl, nebo dokonce to potvrzování zruší, tak si samozřejmě může nainstalovat každej hloupej web progámek do systému, co chce.

Jinak problémy s odchytávání hesla pak řeší vícefaktorové ověřování.
Dreamer píše: úterý 16. 2. 2021, 19:20:40Jde právě o to, jak cenný cíl jsi, případně zda bys nemohl posloužit jako brána k někomu cennému. Včera jsem od kolegy potřeboval rychlou malou úpravu v produkčních datech jednoho klienta. Stál jsem mu za zády, a jak tu databázi v tom dlouhém stromečku hledal, normálně jsem orosil. Z představy, že by ho někdo hacknul, se mi zvednul žaludek.
Přesně tak. Záleží na ceně cíle. Někdy se ani nemusí řešit hackování do firmy, ale použije se sociální inženýrství, což je často účinější. Zmanipulovat uživatele je ještě pořád dost jednoduché. Nedávno se nepodařilo jednomu uživateli přihlásit a ono nám to posílá chybové hlášení, kam ten uživatel může napsat i komentář. A tenhle člověk tam napsal, že se mu nešlo přihlásit s jeho gmail adresou a napsal tam i heslo. Jen ze zvědavosti jsem to zkusil a to heslo opravdu fungovalo (naštěstí tam měl ještě potvrzení přihlášení na dalších zařízeních). Ale jako fakt nechápu, jak může uživatel sám od sebe někam poslat vlastní heslo.
Dreamer píše: úterý 16. 2. 2021, 19:20:40Došlo mi, že už je čas začít tu bezpečnost brát opravdu vážně, a ne o tom jen mluvit.
To určitě, ale opravdu nejdřív je důležité definovat cenu, kolik někdo může získat, když ti ukradne něco.

Dneska se hodně na linuxové servery útočí automatizovaně, prostě hloupé skripty na hacknutých serverech zkouší různé uživatele se známými hesly na dalších serverech a když se tam dostanou, tak tam spustí ovládací program a pak tyhle hacklé servery ovládají na DDoS nebo na posílaní spamu.

Ale třeba když se rusové chtěli dostat do amerických organizací, tak právě tuším hackli to IDEA prostředí, protože tím dělala nějaká velká developerská firma v americe programy pro americké firmy a organizace. Ty cílené hacky jsou samozřejmě nákladnější, ale pak si za ně účtují hackeři hodně peněz. U obyč uživatelů stačí poslat macro virus ve Wordu, získat počítač pod kontrolu pro DDoS, posílání spamu nebo hackování dalších serverů. Ale objevují se u vydírací spamy, kdy hacker nejdřív pošle virus, který zakóduje uživateli data a pak hacker požaduje peníze za dekódování dat.
Dreamer píše: úterý 16. 2. 2021, 19:20:40Myslím, že pedofilové mohou být taky zajímavý cíl některých státy sponzorovaných útoků.
To nevím. Zamyslel bych se, kdo z toho co bude mít. Ano, lidé by nás rádi vybili, ale zas tak moc to nechtějí, aby si najali hackery, kteří by nás hackovali.
Uživatelský avatar
Dreamer
Člen skupiny ČEPEK
Bydliště: Všude možně
Líbí se mi: Dívky
ve věku od: 6
ve věku do: 12
Příspěvky: 562
Dal: 789 poděkování
Dostal: 308 poděkování

Re: Qubes OS, pro práci i zábavu (?)

Nový příspěvek od Dreamer »

Já s tebou vlastně ve všem souhlasím, ale myslím si, že podceňuješ to riziko, že chybu udělá i zkušený uživatel. Navíc věřím tomu, že se můžeš (můžu) stát terčem nějakého nákladného cíleného útoku využívající nové 0-day. Opravdu všude používáš více faktorové přihlášení pro každý přístup k datům? Ty tokeny mají nějakou platnost, IP adresa jde spoofnout. Nikdy jsi neměl mezi uživatelskými daty uloženo nic citlivého?

Pokud budu věřit, že Microsoft a Amazon mají své cloudy víceméně dobře zabezpečené, pak bude pro hackery čím dál těžší se k zajímavým datům dostat napřímo, a zdaleka nejsnazší cesta povede přes dodavatele proprietárních systémů. Když občas poslouchám na meetincích ajťáky z Accenture, Infosysu, nebo podobných offshore IT společnosti co si naši klienti na správu IT najímají, dochází mi, jak neuvěřitelně špatné to zabezpečení musí být - polovina těch lidí nechápe rozdíl mezi HTTP a HTML.

A pak se podívám na sebe, a uvědomím si, že všechny ty bezpečností zásady které si uvědomuju, sám někdy porušuju. Občas se prostě nějaká data klienta u mě na počítači objeví, heslo k serveru zapomenu v texťáku na ploše, nějaké credentials nechám uložené v aplikaci i když bych neměl, občas si i stáhnu nějakou né úplně prověřenou appku, nebo se objevím na pofidérním webu. A to vše na stejném počítači, ze kterého by se s trochou snahy dalo dostat k datům, jejichž únik by způsobil velké škody. Stačí se podívat na nedávnou aférku okolo SolarWinds - z ní se dodnes ještě všichni nevzpamatovali.

Proto si myslím, že něco jako Qubes by prostě mohlo významně přispět k takovému tomu každodennímu zabezpečení. Jen se obávám, že je to spíš pro kované Linuxáky, než pro blbečka, co k polovině věcí potřebuje Windows...
Uživatelský avatar
podivin
Člen skupiny ČEPEK
Líbí se mi: Dívky a ženy
ve věku od: 2
ve věku do: 40
Výkřik do tmy: Srdce plné lásky přetéká v slzách očima *** Když někoho miluješ, znamená pro tebe víc než ty sám a chceš pro něj jen to nejlepší, ikdyby to tobě mělo působit bolest *** Ikdyž jsou to "jen" děti, mají mou úctu a chovám se k nim slušně *** Moc, peníze ani sex nemůžou nahradit dětskou radost, smích a lásku. *** Čiň, co chceš, pokud nikomu neškodíš *** Každý čin se ti třikrát vrátí
Příspěvky: 645
Dal: 486 poděkování
Dostal: 347 poděkování

Re: Qubes OS, pro práci i zábavu (?)

Nový příspěvek od podivin »

Dreamer píše: úterý 16. 2. 2021, 22:59:11 Já s tebou vlastně ve všem souhlasím, ale myslím si, že podceňuješ to riziko, že chybu udělá i zkušený uživatel.
Samozřejmě, i zkušený uživatel může udělat chybu a i zkušený admin může přehlédnout jednu maličkost a může mu někdo hacknout server. Ale to riziko je opravdu menší, spíš nějaký uživatel neopatrně něco otevře a zaviruje tak celou síť.
Dreamer píše: úterý 16. 2. 2021, 22:59:11Navíc věřím tomu, že se můžeš (můžu) stát terčem nějakého nákladného cíleného útoku využívající nové 0-day.
Teoreticky ano, ale jak říkám, nikdo nebude investovat tisíce dolarů na cílený útok použitím 0-day chyby na jednu osobu, od které získá tak maximálně finance ve výši 2 ročních platů normálního zaměstnance. Řekl bych, že tyhle cílené útoky se vedou spíš na bohaté firmy nebo firmy se speciálním intelektuálním vlastnictvím nebo k ovládnutí nějaké důležité funkce nebo na nejvyšší vedení takových firem. Teoreticky by ještě bylo možné, že ten útok povedou přes nějakého zaměstnance s vyššími právy. Ale i v takovém případě je asi nebudou moc zajímat samotná osobní data toho člověka, spíš jen k tomu, aby je mohli nějak zneužít např. pro vydírání.
Dreamer píše: úterý 16. 2. 2021, 22:59:11Opravdu všude používáš více faktorové přihlášení pro každý přístup k datům?
Samozřejmě, že ne. Na gmail mám normální username+password přihlašování, protože používám IMAP. Zatím google blokoval jen můj přístup nebo mne otravuje, když se ke svému účtu přihlásím já z jiného IP nebo prohlížeče. Ani jednou mi zatím nehlásil skutečně neoprávněný pokus o přihlášení k mým gmail účtům. Ale já holt nepoužívám hesla typu abc123.
Dreamer píše: úterý 16. 2. 2021, 22:59:11IP adresa jde spoofnout.
S tou adresou je to těžké. Počítač může vygenerovat falešnou zdrojovou IP, ale někteří provideři to mohou blokovat na routerech, prostě ten paket nepustí, když nejde z jejich IP bloku. A navíc, když nějaký server dostane paket s nějakou IP adresou, tak pak posílá odpověď na tu adresu, čili posílá to jinam, než sedí hacker, který ten paket s falešnou IP poslal. Navíc firewally obvykle kontrolují stav spojení a když jim přijde druhý paket ze tří paketů úvodní TCP sekvence, aniž by ten firewall viděl ten první paket, tak tenhle druhý paket z falešného spojení prostě ignoruje a zahodí. IP spoofing se používá spíš u neinteraktivních spojení, např. pro DDoS útoky nebo pro DNS poisoning.
Dreamer píše: úterý 16. 2. 2021, 22:59:11Nikdy jsi neměl mezi uživatelskými daty uloženo nic citlivého?
Mám asi tři stupně osobních dat. Obyč soukromá data, která nejsou kritická, ale samozřejmě bych nechtěl, aby se v tom někdo hrabal, ale to spíš jako že mi někdo leze do soukromí. Druhá kategorie jsou už trochu soukromá data, např. daně, výplata, atd. ale také to nejsou kritická data, že by mi někdo způsobil ztrátu, kdyby to zjistil. Ale samozřejmě nejsem zločinec, tak přesně nevím, k čemu všemu zločinci dokáží data zneužít (třeba na seznamkách se bojím posílat např. ruskám i fotku :) ). No a třetí typ dat, hesla nebo právě pedo věci, šifruju jednotlivé soubory pomocí gpg. A všechna ta soukromá data mám uložená na šifrovaném oddíle, kdybych musel rychle vrátit počítač do firmy, tak aby se mi v tom nikdo nešťoural. Ale šifrované jen heslem.
Dreamer píše: úterý 16. 2. 2021, 22:59:11Pokud budu věřit, že Microsoft a Amazon mají své cloudy víceméně dobře zabezpečené, pak bude pro hackery čím dál těžší se k zajímavým datům dostat napřímo, a zdaleka nejsnazší cesta povede přes dodavatele proprietárních systémů. Když občas poslouchám na meetincích ajťáky z Accenture, Infosysu, nebo podobných offshore IT společnosti co si naši klienti na správu IT najímají, dochází mi, jak neuvěřitelně špatné to zabezpečení musí být - polovina těch lidí nechápe rozdíl mezi HTTP a HTML.
No, to je nejhorší, že ze sebe dneska dělá každý trouba znalce. A tihle troubové to umí okecat, ikdyž nic pořádně neví. Ale znají různé termíny, těmi se ohání, aby vypadali důležitě.
Dreamer píše: úterý 16. 2. 2021, 22:59:11A pak se podívám na sebe, a uvědomím si, že všechny ty bezpečností zásady které si uvědomuju, sám někdy porušuju. Občas se prostě nějaká data klienta u mě na počítači objeví, heslo k serveru zapomenu v texťáku na ploše, nějaké credentials nechám uložené v aplikaci i když bych neměl, občas si i stáhnu nějakou né úplně prověřenou appku, nebo se objevím na pofidérním webu. A to vše na stejném počítači, ze kterého by se s trochou snahy dalo dostat k datům, jejichž únik by způsobil velké škody.
No teda, to se styď :) Já teda nepracuju s daty klientů, ale je pravda, že pro snapshoty klientských systémů jsem udělali systém, aby se data nikde nepovalovala, protože přesně před tím to bylo tak, že si každý supporťák ta data uložil, kam chtěl.
Dreamer píše: úterý 16. 2. 2021, 22:59:11Stačí se podívat na nedávnou aférku okolo SolarWinds - z ní se dodnes ještě všichni nevzpamatovali.
Joooo, to je ono, SolarWind to byl. To byl fakt dost drsnej hack!!
Dreamer píše: úterý 16. 2. 2021, 22:59:11Proto si myslím, že něco jako Qubes by prostě mohlo významně přispět k takovému tomu každodennímu zabezpečení. Jen se obávám, že je to spíš pro kované Linuxáky, než pro blbečka, co k polovině věcí potřebuje Windows...
No, ten Qubes by se i dal používat, ale ani já jako admin na tom moc nemám chuť si s tím hrát. Netuším teda, jak moc je to složité, ale aby tohle lidi používali, tak by to fakt muselo běžet transparentně. A to se obávám, že neběží. A ano, je to spíš jen pro linuxáky, Window user chce prostě zapnout počítač, rovnou na plochu (nemuset se přihlašovat, což je také bezpečnostní riziko), bez potvrzování nechat různé programy hrabat se v systému. Samozřejmě uživatelé chtějí na Windows software zadarmo, takže na pochybných webech stahují craknuté verze, do kterých hackeři zabudovali "skvělé rozšířené vlastnosti".