Comments 122
Ещё через годик увидим новость с фото их секретных паролей, написанных на стикерах, приклееных к мониторам
это, кстати, лучше описанного в посте
На самом деле, помня историю как в 60х по мутной фотографии энергосистемы на заднем плане и другим обрывочным данным ЦРУ вычислило размещение советских обогатительных центрифуг, в век гугла, биг дата, соцсетей, все эти секреты уже давно секреты Полишинеля. Т.к. можно за считанные часы наковырять СТОЛЬКО кусочков, что даже школьник из них составит картину и даст полный расклад по тому, что находится в интересующем квадрате.
Да что там министерство, у нас КБ такие данные регулярно по почте пересылают, тоже мне новость.
Работал на трёх секретных предприятиях, только на одном из них полностью соблюдался режим.
Работал на трёх секретных предприятиях, только на одном из них полностью соблюдался режим.
Значит не все так плохо — где-то соблюдается?
Да, кое-где даже флешки проверяли перед выходом с завода.
Проверяли в смысле наличие или содержимое?
Отсутствие содержимого. Пользоваться флешкой можно было только в пределах предприятия.
Впрочем иногда охрана на всё это забивала — проверяли наличие носителей не всегда.
Впрочем иногда охрана на всё это забивала — проверяли наличие носителей не всегда.
Смешно.
То, что в проводнике не видно содержимого != отсутствию.
Только вайп на проходной.
А проще таки запретить вынос ЛЮБЫХ носителей.
То, что в проводнике не видно содержимого != отсутствию.
Только вайп на проходной.
А проще таки запретить вынос ЛЮБЫХ носителей.
Внос\вынос + изолированная сеть если нужно.
Документы слабо защищены на этапе разработки (документики в ворде, что и наблюдаем). После грифования документы обычно только в бумажной форме (зависит от грифа конечно).
Документы слабо защищены на этапе разработки (документики в ворде, что и наблюдаем). После грифования документы обычно только в бумажной форме (зависит от грифа конечно).
Вайп должен быть физический причем. Спаять собственную флешку которая хоть аппаратно отключает дополнительный кусок памяти по команде (а дома оно аппаратно перепаиваится) — не такая проблема.
UFO just landed and posted this here
Если используется NTFS, то можно ещё отдельным потоком записать.
Ну и как вы всё это будете делать, имея на руках только голую флешку и windows с набором программ для конструирования?
Да просто удалить, а дома unerase
Понятно что при желании можно и более изощрённые способы придумать. Тут основная цель утечки предотвратить, а не со шпионами бороться.
Так это и есть утечка: документ был записан, потом стерт. Потом флешка утеряна, потом «найдена кем надо», файлы восстановлены.
Об том и речь!
Рассуждать об обеспечении безопасности в отрыве от реальности очень интересно, но по моему это бессмысленный разговор.
Понятно что в идеале оно должно быть одним образом сделано, а на практике получается по другому совсем, потому что каждый шаг по обеспечению безопасности сталкивается с теми или иными проблемами, зачастую совершенно бытовыми. Вот вам два примера:
1. Давайте флешки запретим вообще. Ок. Но все компы подключать к внутренней сети нельзя — высок риск утечек. А как-то передавать файлы надо. Ок. Давайте купим флешки для внутреннего пользования. Ок. А как теперь сделать так чтобы юзер не мог тупо случайно уронить флешку в мусорку и она не оказалась бы где-нибудь на свалке, где бы её нашёл бомж-хакер Вася и выдал всем гос.тайны?
2. Надо проверять сотрудников на выходе, наличие телефонов, флешек и всего что способно информацию переносить. Объясняем это охранникам и сотрудникам. Далее происходит ситуация, когда баба Нюра из нормаконтроля забыла из кармана служебную флешку вытащить, а охранник Степан именно в этот день поленился её проверить, так как «голова чего-то трещит весь день, да и вообще Нюра на заводе уже 20 лет работает, а эти безопасники чего-то последние пару лет с этими ойти-технологиями всех достали уже». А потом в этот день у Нюры в метро сумку украли и привет.
Собственно, вероятность таких событий разве что чуть-чуть ниже описанного вами.
Есть какие-то разумные вещи, которые чаще всего пытаются реализовать. Но везде работают люди и не всегда получается сделать всё «как надо». Это же элементарно, неужели вы не понимаете?
Понятно что в идеале оно должно быть одним образом сделано, а на практике получается по другому совсем, потому что каждый шаг по обеспечению безопасности сталкивается с теми или иными проблемами, зачастую совершенно бытовыми. Вот вам два примера:
1. Давайте флешки запретим вообще. Ок. Но все компы подключать к внутренней сети нельзя — высок риск утечек. А как-то передавать файлы надо. Ок. Давайте купим флешки для внутреннего пользования. Ок. А как теперь сделать так чтобы юзер не мог тупо случайно уронить флешку в мусорку и она не оказалась бы где-нибудь на свалке, где бы её нашёл бомж-хакер Вася и выдал всем гос.тайны?
2. Надо проверять сотрудников на выходе, наличие телефонов, флешек и всего что способно информацию переносить. Объясняем это охранникам и сотрудникам. Далее происходит ситуация, когда баба Нюра из нормаконтроля забыла из кармана служебную флешку вытащить, а охранник Степан именно в этот день поленился её проверить, так как «голова чего-то трещит весь день, да и вообще Нюра на заводе уже 20 лет работает, а эти безопасники чего-то последние пару лет с этими ойти-технологиями всех достали уже». А потом в этот день у Нюры в метро сумку украли и привет.
Собственно, вероятность таких событий разве что чуть-чуть ниже описанного вами.
Есть какие-то разумные вещи, которые чаще всего пытаются реализовать. Но везде работают люди и не всегда получается сделать всё «как надо». Это же элементарно, неужели вы не понимаете?
У нас был участок, где флешка сдавалась в колбе с ключами от кабинета. Никаких признаков что там должна быть флешка на колбе не было, проверка наличия содержимого — только по звуку (ведь она опечатана сдававшим её и таковой должна остаться, наличие другой печати при получении — повод для паники, может кто-то даже и смотрел на это).
Для того, чтобы с «утеряной» флешки ничего не могло быть вынуто есть флешки с шифрованием. Но в действительности гораздо надёжнее как раз флешки запретить нафиг, а компьютеры подключить к маршрутизатору. Но не объединять их в одну сеть, а соединять «порты» между собой по запросу. Все USB-разъёмы залить герметиком (те, куда воткнута клавиатуры/мышь — тоже, но после того, как они надёжно подсоединены), всё Ethernet-разъёмы — также (в случае необходимости замены компьютера старый «конец» срезается и навешивается новый).
Флешки — это такой же активный компонент, как и сетевая карта (даже хуже: встроить WiFi в сетевую карту сложно, а во флешку — запросто), но почему-то отношение к ним у безопасников — как к дискетам.
Флешки — это такой же активный компонент, как и сетевая карта (даже хуже: встроить WiFi в сетевую карту сложно, а во флешку — запросто), но почему-то отношение к ним у безопасников — как к дискетам.
Почему у меня на флешках трукрипт-контейнер в файле СашаГрей.rar и это в некритичных данных, просто чтобы бомж не рылся а у профи это проблема?
По второму случаю тут проблема в том что СБ не понимает своих функций.
Они почему-то думают, что смысл в пресечении выноса, когда задача в том, чтобы психологически поддерживать в головах правила в тонусе… Почему у нас в полувоенной академии все знали, что за тетрадку (грифованная с лекций где гриф для понта и всё есть в интернете) можно улететь с Академии и пойти на флот, и все верили что это правда, плюс мне сложно представить курсанта-секретчика (курсанта!), который бы не поднял хипишь если бы по тихому не выловил курсанта забывшего сдать тетрадку. Ну вот реально не представляю как такая хрень как тетрадка могла бы у нас в академии просочиться… А для реального Объекта это блин сложно. Расслабляются они…
Вообще не оправдание. От слова совсем.
По второму случаю тут проблема в том что СБ не понимает своих функций.
Они почему-то думают, что смысл в пресечении выноса, когда задача в том, чтобы психологически поддерживать в головах правила в тонусе… Почему у нас в полувоенной академии все знали, что за тетрадку (грифованная с лекций где гриф для понта и всё есть в интернете) можно улететь с Академии и пойти на флот, и все верили что это правда, плюс мне сложно представить курсанта-секретчика (курсанта!), который бы не поднял хипишь если бы по тихому не выловил курсанта забывшего сдать тетрадку. Ну вот реально не представляю как такая хрень как тетрадка могла бы у нас в академии просочиться… А для реального Объекта это блин сложно. Расслабляются они…
Вообще не оправдание. От слова совсем.
Поговорим с вами после того как вы сможете научить бабу Нюру пользоваться «трукрипт-контейнером в файле СашаГрей.rar». Ну или хотя бы WinRar'ом, для начала.
А уволить бабу Нюру нельзя — у нас в стране, увы, нет такого количества молодых специалистов, которые могут на глаз сходу косяки в документации и чертежах находить.
Я ж говорю — это всё разговоры в отрыве от реальности (как и каммент выше вашего).
А уволить бабу Нюру нельзя — у нас в стране, увы, нет такого количества молодых специалистов, которые могут на глаз сходу косяки в документации и чертежах находить.
Я ж говорю — это всё разговоры в отрыве от реальности (как и каммент выше вашего).
Всё делается командной строкой и дефолтными дискми. Не сложнее чем просто флешкой.
Окей и что, по вашему, у нас в гос.конторах в IT-отделах сплошь знатоки консоли работают? Будет ли успевать среднестатистический IT-отдел выполнять все задачи по предприятию, при таком подходе?
Мой скромный опыт подсказывает что нет. Зачастую чтобы поставить систему достаточно один раз установить некий «среднестатистический эталон» и потом по-быстрому накатывать образы. На практике по тем или иным причинам всегда получается что «по-быстрому» не получается. И я, отработав пару лет в IT-отделе обычного банка прекрасно понимаю почему. Также я понимаю почему в конторе с секретностью и более высокими требованиями к IT это может занимать ещё больше времени.
Если у вас в профессиональной практике всё по другому я могу лишь порадоваться за вас.
Вы, похоже, не понимаете, что в жизни всё зависит не только от желаний одного-двух конкретных людей, но от общества в целом.
Мой скромный опыт подсказывает что нет. Зачастую чтобы поставить систему достаточно один раз установить некий «среднестатистический эталон» и потом по-быстрому накатывать образы. На практике по тем или иным причинам всегда получается что «по-быстрому» не получается. И я, отработав пару лет в IT-отделе обычного банка прекрасно понимаю почему. Также я понимаю почему в конторе с секретностью и более высокими требованиями к IT это может занимать ещё больше времени.
Если у вас в профессиональной практике всё по другому я могу лишь порадоваться за вас.
Вы, похоже, не понимаете, что в жизни всё зависит не только от желаний одного-двух конкретных людей, но от общества в целом.
Понимаю я всё, понимаю.
Нет, конечно я никогда не брал в IT-отдел на гос.службу людей неспособных сделать ярлычек для автозапуска трукрипта, потому что соображалка, коммуникабельность и уровень адвенсед-юзер были обязательным требованием даже на минимальную зарплату. Но понимаю, что человек который будет работать там после меня (сегодня последний день, пару лет я правда числился на полставки, и рядовым сотрудником отдела, чтобы не быть руководителем, но уже не могу объяснять как я в двух фирмах директор, и еще на полставки за гроши сисадмин) САМ не додумается ЧТО нужно делать.
Любой сотрудник у нас сможет сделать, но думаю еще с годик эти решения останутся за мною, хоть я у них уже не работаю.
Но я не о том вообще-то.
То, что мало платят, нет фондов, нет ЗИПа, нет кадров, пользователи тупицы и всё такое, это конечно смягчающие факторы, но… никак не отменяющие того факта, что безопасники крайне непрофессиональные персонажи, если не способны наладить грамотный фильтр.
Нет, конечно я никогда не брал в IT-отдел на гос.службу людей неспособных сделать ярлычек для автозапуска трукрипта, потому что соображалка, коммуникабельность и уровень адвенсед-юзер были обязательным требованием даже на минимальную зарплату. Но понимаю, что человек который будет работать там после меня (сегодня последний день, пару лет я правда числился на полставки, и рядовым сотрудником отдела, чтобы не быть руководителем, но уже не могу объяснять как я в двух фирмах директор, и еще на полставки за гроши сисадмин) САМ не додумается ЧТО нужно делать.
Любой сотрудник у нас сможет сделать, но думаю еще с годик эти решения останутся за мною, хоть я у них уже не работаю.
Но я не о том вообще-то.
То, что мало платят, нет фондов, нет ЗИПа, нет кадров, пользователи тупицы и всё такое, это конечно смягчающие факторы, но… никак не отменяющие того факта, что безопасники крайне непрофессиональные персонажи, если не способны наладить грамотный фильтр.
А уволить бабу Нюру нельзя — у нас в стране, увы, нет такого количества молодых специалистов, которые могут на глаз сходу косяки в документации
Хы, косяки в документации. Я лично видел тетенек, набивающих в окно восьмеричные коды прошивки для ЭВМ М-10. Причем, не с листа, а из головы — она писала программу.
Телефоны отбирают? Если нет, то можно сфотографировать.
> Насколько тщательно проверяли? Есть несколько способов пронести данные на флешке, чтобы средствами ОС не были видны данные:
На сколько тщательно обыскивали? Есть несколько способов пронести флешку, чтобы средствами охраны…
На сколько тщательно обыскивали? Есть несколько способов пронести флешку, чтобы средствами охраны…
Флэшки какие-то, cd, ещё бы дискеты вспомнили.
Сейчас в телефонах бывает по 128Gb и безлимитные облака, а тут какие-то древние флэшки.
Сейчас в телефонах бывает по 128Gb и безлимитные облака, а тут какие-то древние флэшки.
А смысл если в остальных местах не соблюдать?
Работал в одном КБ, секретность обеспечивалась тем, что просто не было интернета.
Зато на весь КБ (~150-200 чел) был один адрес имякб@mail.ru. И специально обученный человек принимал письма и раскидывал в сетевую папку на отделы. Отправка была такой же, написать письмо, закинуть на сетевую папку и позвонить, попросить отправить письмо.
Зато на весь КБ (~150-200 чел) был один адрес имякб@mail.ru. И специально обученный человек принимал письма и раскидывал в сетевую папку на отделы. Отправка была такой же, написать письмо, закинуть на сетевую папку и позвонить, попросить отправить письмо.
Это может быть, конечно, смешно. Особенно для обывателей. Но… ведь работает?
Работает в режиме Неуловимого Джо.
Существует машина которая в локальной сети, и в Интернете. Всё. Этого достаточно.
Существует машина которая в локальной сети, и в Интернете. Всё. Этого достаточно.
Ну теоретически на этой машина может стояить особовысокозащищённая система на базе какой-нибудь «военной» OS, но я сильно сомневаюсь, что в организации с одним адресом на mail.ru кто-то будет этим озабачиваться…
Исходные данные: интернета нет в общем доступе. Это много безопаснее, учитывая, что неизвестно, какая система стоит на этой машине, чем при стандартной схеме, когда каждый имеет свой ящик и доступ. Более того, неизвестно, доступна ли сетевая папка с той же машины, или другой (Еще одно звено — носитель).
Хотя Ирану это не помогло.
Хотя Ирану это не помогло.
В том то и дело, что это иллюзия безопасности.
Иллюзия часто вредит, потому что людям КАЖЕТСЯ что раз выхода нет, то и сеть безопасна, и обновляться не надо, и политику писать не надо, и процедуры не нужны…
А так да, функцию «спермецидной смазки» уменьшающей риски такая схема выполняет.
Но как и смазка должна участвовать в комплексе мер, и как уже сказали мылрушное мыло подсказывает нам, что в данном случае это была единственная политика.
И да, меня «выносили» дважды. Один раз по моей халатности, чисто халатность, второй раз — человеческий фактор, и хорошая работа спецслужб… В принципе с обеих сторон спецы сработали отлично. И да, я тоже такие «спермицидные» методы предохранения использую. Осознанно. Нет бюджета на нормальное решение? Моя служебка/висновок о том как надо, и что надо есть? Делаю как могу, и надеюсь на Неуловимого Джо. Но это не отменяет того факта, что это неправильно, непрофессионально и т.п.
Я не называю имен, я говорю о факте некомпетенции. Некомпетентен айтишник, безопасник, руководитель или проворовавшийся завхоз — мне не важно.
Иллюзия часто вредит, потому что людям КАЖЕТСЯ что раз выхода нет, то и сеть безопасна, и обновляться не надо, и политику писать не надо, и процедуры не нужны…
А так да, функцию «спермецидной смазки» уменьшающей риски такая схема выполняет.
Но как и смазка должна участвовать в комплексе мер, и как уже сказали мылрушное мыло подсказывает нам, что в данном случае это была единственная политика.
И да, меня «выносили» дважды. Один раз по моей халатности, чисто халатность, второй раз — человеческий фактор, и хорошая работа спецслужб… В принципе с обеих сторон спецы сработали отлично. И да, я тоже такие «спермицидные» методы предохранения использую. Осознанно. Нет бюджета на нормальное решение? Моя служебка/висновок о том как надо, и что надо есть? Делаю как могу, и надеюсь на Неуловимого Джо. Но это не отменяет того факта, что это неправильно, непрофессионально и т.п.
Я не называю имен, я говорю о факте некомпетенции. Некомпетентен айтишник, безопасник, руководитель или проворовавшийся завхоз — мне не важно.
Хотелось бы услышать эту историю про «выносили» и про спецслужбы, очень интересно. Спецслужбы выносили госпредприятие, конфликт интересов?
Ну из публичного не расскажу ничего интересного. Да, конфликт интересов в органе власти.
Ну разве что полезность одну могу бонусом озвучить. Не совсем тот случай, но близко.
СБУ решили провести почти законный обыск в одном офисе одной коммерческой компании.
Альфа отработала красиво, но как всегда не совсем в рамках закона.
Собственно поэтому все спецназеры в первую очередь выводят систему видеонаблюдения (а вовсе не чтобы во время операции им не мешали, ведь выносят они ее даже после того как все точки уже под их контролем).
Но в офисе была не только резервная система, но и третья. Про которую не знал даже начальник СБ и половина учредителей. Знал только генеральный и два айтишника (начальник и зам). В камерах и проводах запутаться легко, лишних пару камер особо не заметишь без лишнего анализа. Равно как и линк дополнительный на пару этажей дальше, с отдельной выделенкой. Равно как и через VPN не сразу найдешь где находится сервер куда сливалось видео…
Очень знаете ли ребятам помогло это видео при торге в цене их некоторых ошибок в документации, назовем это так…
Ну разве что полезность одну могу бонусом озвучить. Не совсем тот случай, но близко.
СБУ решили провести почти законный обыск в одном офисе одной коммерческой компании.
Альфа отработала красиво, но как всегда не совсем в рамках закона.
Собственно поэтому все спецназеры в первую очередь выводят систему видеонаблюдения (а вовсе не чтобы во время операции им не мешали, ведь выносят они ее даже после того как все точки уже под их контролем).
Но в офисе была не только резервная система, но и третья. Про которую не знал даже начальник СБ и половина учредителей. Знал только генеральный и два айтишника (начальник и зам). В камерах и проводах запутаться легко, лишних пару камер особо не заметишь без лишнего анализа. Равно как и линк дополнительный на пару этажей дальше, с отдельной выделенкой. Равно как и через VPN не сразу найдешь где находится сервер куда сливалось видео…
Очень знаете ли ребятам помогло это видео при торге в цене их некоторых ошибок в документации, назовем это так…
В конце 90-х начале 200-х это было сплошь и рядом, ибо интернеты были дороги и редки.
Почти то же самое. Только для отправки надо было явиться лично, с подписанной служебкой и флешкой на которой всё необходимое к отправке. Служебка подписывается у своего начальника и у безопасника.
Я как-то память на авито покупал с рук, была завёрнута в оригинал документа с пометкой «секретно».
Утечки бумаг из стопочки «черновики» с грифом ДСП встречал тонны. Это такой бич, что аж страшно.
Особо жирно помню в одном банке где была черная и белая бухгалтерия… точнее где были документы по клиентам, черные и белые, что еще хуже, так в «белых» папочках листочки с подписями разделов папочек были все из черновиков черной бухгалтерии клиентов. Отдать листик с расчетами которые по инструкции клиенту знать не положено, но ему рассказали, на обороте которого расписаны все черные движения другого клиента, структура поставщиков и т.п. — та это нормально. А вот отключить от свича системник на 15 минут чтобы поставить его на соседний стол, так безопасники на час лекцию устроят :)
А вообще по теме поста — в скринах прям «такого» я ничего не увидел. Вся эта информация грифуется чисто условно, именно для того, чтобы палиться в первую очередь. Как в старой шутке мол «господа кадеты, я вам буду рассказывать про американскую технику, потому что наша секретна, но вы помните, что у нас всё точно так-же»… Искандеры? Подлодки? Это всё закрыто чисто для журналистов и т.п., а так оно и технически и огранизационно отслеживается очень неплохо. Речь идет о строительстве стационарных объектов. В ХХІ веке.
Да ребята заслужили «по попе» и очень даже заслужили (это про тех кто допустил утечку), но вот всерьез это воспринимать — разве что на гиктаймсе…
Особо жирно помню в одном банке где была черная и белая бухгалтерия… точнее где были документы по клиентам, черные и белые, что еще хуже, так в «белых» папочках листочки с подписями разделов папочек были все из черновиков черной бухгалтерии клиентов. Отдать листик с расчетами которые по инструкции клиенту знать не положено, но ему рассказали, на обороте которого расписаны все черные движения другого клиента, структура поставщиков и т.п. — та это нормально. А вот отключить от свича системник на 15 минут чтобы поставить его на соседний стол, так безопасники на час лекцию устроят :)
А вообще по теме поста — в скринах прям «такого» я ничего не увидел. Вся эта информация грифуется чисто условно, именно для того, чтобы палиться в первую очередь. Как в старой шутке мол «господа кадеты, я вам буду рассказывать про американскую технику, потому что наша секретна, но вы помните, что у нас всё точно так-же»… Искандеры? Подлодки? Это всё закрыто чисто для журналистов и т.п., а так оно и технически и огранизационно отслеживается очень неплохо. Речь идет о строительстве стационарных объектов. В ХХІ веке.
Да ребята заслужили «по попе» и очень даже заслужили (это про тех кто допустил утечку), но вот всерьез это воспринимать — разве что на гиктаймсе…
По поводу ДСП…
Как-то слышал я фразу «Поскольку у нас в стране секретят все направо и налево, а строгость закона традиционно компенсируется необязательностью его исполнения, то де-факто у нас гриф получается на ступень ниже: секретно — это ДСП, сов. секретно — секретно, а ДСП — вообще не гриф, а просто пометка».
Шутка шуткой, а доля правды в ней есть. И большая такая доля, значительная.))
Как-то слышал я фразу «Поскольку у нас в стране секретят все направо и налево, а строгость закона традиционно компенсируется необязательностью его исполнения, то де-факто у нас гриф получается на ступень ниже: секретно — это ДСП, сов. секретно — секретно, а ДСП — вообще не гриф, а просто пометка».
Шутка шуткой, а доля правды в ней есть. И большая такая доля, значительная.))
За ДСП максимум уволят.
Зависит от ведомства, не нужно обобщать.
За государственную, коммерческую, налоговую или банковскую тайну уголовный кодекс четко определяет наказание, реальные суммы и сроки.
А за служебную тайну?
Смешные 1 т рублей по КоАП ст.13.14?
А за служебную тайну?
Смешные 1 т рублей по КоАП ст.13.14?
Служебная тайна это что за зверь такой?
Насколько я помню гриф ДСП лишь предупреждает, но не квалифицирует.
У меня в банке был гриф ДСП, видел ДСПшные документы из налоговой (которые я не должен был видеть, да).
Сейчас этого не делал, не актуально, но как-то на одном предприятии было у нас веселое положение о ком.тайне в котором разъяснялось, что наличие «ксивы» у сотрудника силовиков не дает ему право нарушать тайну тех или иных вопросов, а должны быть соответствующие документы соответствующих полномочных органов/лиц, поэтому всем сотрудникам под роспись разъяснялось, что разглашение сведений имеющих гриф ДСП (т.е. вообще всего) даже людям из органов, совершенное без участия адвоката который проверил полномочия силовиков (адвокат предоставлялся бесплатно, но можно своего, главное ты обязан показать ему копию положения, и предупредить его о солидарной ответственности), то это может не освободить его от соответствующих статей УК.
И нет, это не столько пугалка, потому что большинство понимало прекрасно что реального движения ситуация не получит, и его просто уволят, сколько для того, чтобы у человека была в столе копия этой бумаги, ПСИХОЛОГИЧЕСКИ защищавшая его позицию о том, что без адвоката не разговаривает. Ментам нужно всегда и во всех их просьбах отказывать, но делать это мааааксимально вежливо. А тут — это не я такой вредный, это всё начальство, простите великодушно… :)
Насколько я помню гриф ДСП лишь предупреждает, но не квалифицирует.
У меня в банке был гриф ДСП, видел ДСПшные документы из налоговой (которые я не должен был видеть, да).
Сейчас этого не делал, не актуально, но как-то на одном предприятии было у нас веселое положение о ком.тайне в котором разъяснялось, что наличие «ксивы» у сотрудника силовиков не дает ему право нарушать тайну тех или иных вопросов, а должны быть соответствующие документы соответствующих полномочных органов/лиц, поэтому всем сотрудникам под роспись разъяснялось, что разглашение сведений имеющих гриф ДСП (т.е. вообще всего) даже людям из органов, совершенное без участия адвоката который проверил полномочия силовиков (адвокат предоставлялся бесплатно, но можно своего, главное ты обязан показать ему копию положения, и предупредить его о солидарной ответственности), то это может не освободить его от соответствующих статей УК.
И нет, это не столько пугалка, потому что большинство понимало прекрасно что реального движения ситуация не получит, и его просто уволят, сколько для того, чтобы у человека была в столе копия этой бумаги, ПСИХОЛОГИЧЕСКИ защищавшая его позицию о том, что без адвоката не разговаривает. Ментам нужно всегда и во всех их просьбах отказывать, но делать это мааааксимально вежливо. А тут — это не я такой вредный, это всё начальство, простите великодушно… :)
Понятие служебной тайны размытое. Фигурирует в СТР-К и ПП1233. Из за этой размытости и наказание (законными методами) сложно накладывать. Уволить да, возможно. Но и тут есть тонкости)
Что касается вашего примера, если вы применяете в коммерческой организации грифы/метки ДСП, вместо грифа/метки КТ, причем это прописано в Положении о Коммерческой тайне. То любой нарушитель вас засудит, тк вы не выполнили требования закона о КТ.
Для КТ, только грифование согласно спец формы из закона о КТ)
Что касается вашего примера, если вы применяете в коммерческой организации грифы/метки ДСП, вместо грифа/метки КТ, причем это прописано в Положении о Коммерческой тайне. То любой нарушитель вас засудит, тк вы не выполнили требования закона о КТ.
Для КТ, только грифование согласно спец формы из закона о КТ)
Черновики используют из-за банальной экономии, а не из-за заботы о природе — на нее всем плевать. Если бы было бумаги вдоволь, если были бы шредеры в каждом кабинете, все было бы еще терпимо. Но у нас государство деньги отправляет совсем на другие нужды. А когда бумаги в госконторе нет и еще заставляют покупать за свои деньги… А банку так и надо — жадность губит.
Именно что из экономии.
Трижды в разных организациях, разных форм собственности, предметно. С конкретной утечкой в руках рассказывал что черновики зло, что бумага стоит дешевле. Ни в одном случае меня не послушали. После чего перешел на режим «у меня в кабинете будет шредер, и достаточно бумаги, если не будет, то не будет меня, черновики по моим клиентам/проектам что я веду и т.п. уйдут в шредер, а остальные делайте что хотите».
Трижды в разных организациях, разных форм собственности, предметно. С конкретной утечкой в руках рассказывал что черновики зло, что бумага стоит дешевле. Ни в одном случае меня не послушали. После чего перешел на режим «у меня в кабинете будет шредер, и достаточно бумаги, если не будет, то не будет меня, черновики по моим клиентам/проектам что я веду и т.п. уйдут в шредер, а остальные делайте что хотите».
Никакого грифа на доках нет? Ну и ок. А всякие там шифры-для того и нужны, чтобы при таких утечках ничего понятно не было.
Хотя, примерно надавать по голове этим сектетарям надо:)
Плюс, не думаю что возможно скрыть факт строительства каких-то объектов в 21-м веке…
Хотя, примерно надавать по голове этим сектетарям надо:)
Плюс, не думаю что возможно скрыть факт строительства каких-то объектов в 21-м веке…
То есть, вы действительно думаете, что раз грифа нет, то и информация несекретная?
Если дело касается секретки и спец служб, то нагнут любого. Как ФСБ скажет, так суд и решит дело. )
Что касается коммерческих структур то тут все сложнее, судебная практика показывает, что если работодатель не докажет наличия ограничительной метки на документе, то решение будет не в его пользу.
Судебные примеры в интернете есть.
Что касается коммерческих структур то тут все сложнее, судебная практика показывает, что если работодатель не докажет наличия ограничительной метки на документе, то решение будет не в его пользу.
Судебные примеры в интернете есть.
Ну это в комментариях к оригинальной статье тоже обсуждается. Там высказывается мнение, что скрины выложены, чтобы показать, что документы у них есть, мол, не врут. И никто и не думал сразу опубликовывать самый секретный из секретов — во первых, они его продают. А во вторых — может быть чревато.
Как-то приятель сервер на ebay заказал, пришёл вместе с диском:
habrastorage.org/files/ce7/833/40c/ce783340c0cc497688e998bf9c5b20d5.jpg
habrastorage.org/files/ce7/833/40c/ce783340c0cc497688e998bf9c5b20d5.jpg
Диск полный всякой секретной и ДСП инфы?
Хы а я на улице с каким то пацаном столкнулся. Он тут же на лету впаривал винты от ноутов всем желающим. Из ценника рубль за гигабайт. Ради лулзов (магниты, движки) купил 80ку. за аж 80р. Оказалась жива и набита всякой хренью из налоговой за 2005 чтоль год.
Да что там министерство, у нас КБ такие данные регулярно по почте пересылают, тоже мне новость.
Работал на трёх секретных предприятиях, только на одном из них полностью соблюдался режим.
Работал на трёх секретных предприятиях, только на одном из них полностью соблюдался режим.
Да, с приходом ИТ в делопроизводство все стало печальней… :(
С другой стороны, я что-то не слышал про раздачу офицерам планшетов или ноутбуков, аттестованых для работы с гостайной.
Получается что-то вроде «дали пистолет и крутись как хочешь»: обрабатывать информацию надо, а вменяемых средств для ее обработки нэма.
Вот и всплывают личные ноутбуки (ибо нормальных аттестованых нет), крякнутый MS Word (поскольку удобных текстовых редакторов нет), личная почта (так как служебной нет).
Единственное, что удивляет в этом случае — то, что человек из Москвы. В столичных-то и штабных частях все эти средства должны быть в достатке.
С другой стороны, я что-то не слышал про раздачу офицерам планшетов или ноутбуков, аттестованых для работы с гостайной.
Получается что-то вроде «дали пистолет и крутись как хочешь»: обрабатывать информацию надо, а вменяемых средств для ее обработки нэма.
Вот и всплывают личные ноутбуки (ибо нормальных аттестованых нет), крякнутый MS Word (поскольку удобных текстовых редакторов нет), личная почта (так как служебной нет).
Единственное, что удивляет в этом случае — то, что человек из Москвы. В столичных-то и штабных частях все эти средства должны быть в достатке.
Давно уж есть Распоряжение 2299-р об использовании свободного софта. И ГОСТ Р ИСО/МЭК 26300-2010 под ODT написан. Но все госучреждения сидят на винде и мсофисе, а РКН вмешиваться отказывается (писал).
Наш курс был последним, проходивним практику в профильном НИИ. Так там бумаги были пропитаны чем-то вроде селитры и даже потухнув — истлевали почти полностью.
Несоблюдена форма документа. Надо писать так:
В Департамент военной контрразведки ФСБ РФ
генерал-полковнику Безверхнему Александру Георгиевичу
от команды Анонимный Интернационал (b0ltai.org),
зарегистрированной по адресам: Москва, 3-я улици Строителей…
В Департамент военной контрразведки ФСБ РФ
генерал-полковнику Безверхнему Александру Георгиевичу
от команды Анонимный Интернационал (b0ltai.org),
зарегистрированной по адресам: Москва, 3-я улици Строителей…
В данный момент этот информационный массив продается Ндаа… плевок засчитан
Довольно странно вымарывать чёрным скриншоты ворда.
Символы слева влияют на рендеринг части строки справа, хотя бы тем, что у разных символов разная ширина.
Если очень заморочиться, можно восстановить текст.
Символы слева влияют на рендеринг части строки справа, хотя бы тем, что у разных символов разная ширина.
Если очень заморочиться, можно восстановить текст.
По жпегу 519х367? Покажите класс.
Я не могу. Но параноик внутри меня не спокоен. Если спецслужбы вытягивают ключи шифрования по помехам на линиях питания или пароли по акустическому шуму клавиатуры, то тут информации не меньше. Кроме утечек через рендер, тут алгоритмы hyphenation и justify имели доступ ко всему тексту, и можно ещё что-то восстановить по их результатам.
Простите, значит, где-то сидит Спецслужба, которая вместо того, чтобы заплатить $90k за оригинал пачки документов, сидит и кропотливо высчитывает пикселы и субпикселы с целью восстановить оригинал по посту на Хабре?
А qw1 может быть прав. В целом. Он не совсем корректно, но всё же воззвал к паранойе. Выглядит глупо, но точно так же глупо когда-то выглядел heartbleed. Так что не надо его сливать; следующий такой же скрин может быть более важным.
В смысле более важным? Эта замазка (на 99% уверен) — исключительно чтобы к перепубликующим сайтам небыло наездов со стороны власть имущих. Те, кому эта информация нужна — могут позволить выложить 350 биткойнов (не факт что у них нету заначки намайненной на заре становления валюты), да и пара выложенных в открытый доступ документов с замазанными названиями особой роли не играет, все остальные документы то никто не выкладывал.
Человек рассказывает о методе атаки, который теоретически возможен. Но мы поднимаем его на смех. Плевать на важность документа и мотивы, куда делась профессиональная IT-паранойя?
В этом разрезе — да, так же как и blur для которого во многих случаях можно успешно применить деконволюцию (и даже ядро искать не надо) — здесь теоретически тоже можно попробовать что-то вытащить, особенно если есть варианты слов из которых выбирать. Восстановить полностью — сомневаюсь конечно, но при известном формате написания дат можно сузить список кондадатов например — это да.
Я отвечал в основном применительно к данному случаю.
Я отвечал в основном применительно к данному случаю.
Кстати коллеги…
У кого есть практический подобных восстановлений. Скажите, чисто теоретически адрес на известном видео с одного брифинга одного МО по поводу одного самолета, таки могли восстановить? Или без шансов и таки фейк?
Если кто пробовал, то можно в личку результат?
У кого есть практический подобных восстановлений. Скажите, чисто теоретически адрес на известном видео с одного брифинга одного МО по поводу одного самолета, таки могли восстановить? Или без шансов и таки фейк?
Если кто пробовал, то можно в личку результат?
там разве был адрес? там по моему просто было мыльное изображение и все. А адрес типо на увеличенной картинке нарисовали.
Ну да, я в это тыкал всех кто не согласен в моей позиции.
Но я привык сомневаться в своем мнении… укрепитель веры. Так я больше уверен в своих словах потому что часто перепроверяю. И как перепроверку я предположил, что они могли вот таким образом это расшифровать, а потом не показывать расшифрованное, а просто это сказать, потому что всё равно восстановленное не настолько очевидно… Я не верю в такой вариант, там было слишком много и других ляпов. Но допускаю что теоретически могло быть как-то так…
Ну вот такой вот я гад, придумываю отмазки для оппонентов, тщательно всё это описываю, но потом им всё равно не верю, потому что это я придумал а не они :)
Но я привык сомневаться в своем мнении… укрепитель веры. Так я больше уверен в своих словах потому что часто перепроверяю. И как перепроверку я предположил, что они могли вот таким образом это расшифровать, а потом не показывать расшифрованное, а просто это сказать, потому что всё равно восстановленное не настолько очевидно… Я не верю в такой вариант, там было слишком много и других ляпов. Но допускаю что теоретически могло быть как-то так…
Ну вот такой вот я гад, придумываю отмазки для оппонентов, тщательно всё это описываю, но потом им всё равно не верю, потому что это я придумал а не они :)
А может они дезинформацию пересылали?
Кстати, да. Почему бы и не деза?
Потому что не надо объяснять умыслом то, что может быть обычным раздолбайством.
К сожалению это так. А ведь так хочется потом узнать, что это специально слита контрразведкой инфа, чтобы потом на Хабре отлавливать сотрудников КБ, которые в комментах пишут, что вот у нас то флешки можно носить и секретные доки по почте слать, а потом строго закрывать эти дыры в безопасности. Эх, мечты…
Почему бы и не деза?
вы наверно не работали в госструктурах. формированием такой дезы попросту некому заниматься
Может деза, а может быть и проще — кто-то хочет чтобы кого-то уволили. Как знать )
Товариш підполковник усе уважно занотував
Девушка ночью пробралась на Энергомаш.
lana-sator.livejournal.com/160176.html
lana-sator.livejournal.com/160176.html
Снова будет звездопад
Судя по датам, переписке полтора-два года. Фигурирующая на последнем скрине компания Стройпрофкомплекс успела за это время привлечь внимание ФСБ, и, судя по всему, закрыться. Развитие парковой зоны и работы на фарватере невероятный союзник вполне себе мог наблюдать в реальном времени со спутников.
Может это Honey Pot для врагов? Пресс-служба может не благодарить за идею
ещё выяснится что The Bat «крякнутый» )
А в результате чинам, отправляющим секретные данные через американские устройства и ихний же сервис скажут ай-яй-яй, а ребятам впаяют срок.
UFO just landed and posted this here
Это ж почти классика.
М.Жванецкий «Звонок»
— Скажите, это институт по отработке ориентации ракет в безвоздушном пространстве?
— А-а-а!
В институте упала трубка и раздался выстрел. Застрелился начальник третьего отдела.
На следующий день куча опавших листьев, под которыми ревели грузовики, переместилась в тайгу.
На старом месте только ветер шевелил оставшийся кусок парового отопления.
Звонок.
— Скажите, пожалуйста, это институт по отработке ориентации ракет в безвоздушном пространстве?
— А-а-а! Опять! А-а-а!
Ба-бах! Застрелился опытный сотрудник-секретчик, гордость организации.
На следующий день вся тайга вместе со снегом переехала в Каракумы.
Звонок.
— Простите, пожалуйста, это опять я, я вам, наверное, надоел… Это институт по отработке ориентации ракет в безвоздушном пространстве?
— Да. Чего тебе?
— Надю можно?
М.Жванецкий «Звонок»
— Скажите, это институт по отработке ориентации ракет в безвоздушном пространстве?
— А-а-а!
В институте упала трубка и раздался выстрел. Застрелился начальник третьего отдела.
На следующий день куча опавших листьев, под которыми ревели грузовики, переместилась в тайгу.
На старом месте только ветер шевелил оставшийся кусок парового отопления.
Звонок.
— Скажите, пожалуйста, это институт по отработке ориентации ракет в безвоздушном пространстве?
— А-а-а! Опять! А-а-а!
Ба-бах! Застрелился опытный сотрудник-секретчик, гордость организации.
На следующий день вся тайга вместе со снегом переехала в Каракумы.
Звонок.
— Простите, пожалуйста, это опять я, я вам, наверное, надоел… Это институт по отработке ориентации ракет в безвоздушном пространстве?
— Да. Чего тебе?
— Надю можно?
(сайт огорожен Роскомнадзором)
Это, мягко говоря, не соответствует истине.
У меня, к примеру, не открывается.
А вот биржа открывается. Там даже интересный лот есть про рейс MH-17 за ฿35000. Кто ж его купить сможет )
А вот биржа открывается. Там даже интересный лот есть про рейс MH-17 за ฿35000. Кто ж его купить сможет )
Если немного внимательнее посмотреть на текст «блокировки», на SSL-сертификат, который отдаётся сервером «блокировки» при заходе по https, станет видно: это на самом б0лтае заблокированы российские подсети. Такая небольшая ложь, и такая полезная. Но «вы не рефлексируйте, вы распространяйте» ©
А быть может, сотрудники МО наоборот — достаточно осведомленные ребята в области ИБ, и пересылка данных через публичные почтовики(в частности, gmail) — это лишь компроментация секретной информации с целью дезинформации кого бы то ни было?..
Sign up to leave a comment.
Министерство обороны уличили в пересылке секретных сведений через публичные почтовые сервисы