Информационная безопасность IT

Всем привет!

Поводом для написания данного поста послужила очередная ревизия моих паролей, стараюсь делать это регулярно и вам советую! После нее я решил поделиться своими наблюдениями, размышлениями и общими рекомендациями по данной теме.

Но давайте начнем с печальных фактов. Топ используемых в 2023 году паролей выглядят так:

Теперь всем стало ясно чем я вдохновлялся при придумывании заголовка для данного поста.

В открытом доступе существуют целые словари простых и одновременно популярных паролей, состоящие из сотен тысяч уникальных записей, которые перебираются специальными инструментами за вполне вменяемое время. Эти словари регулярно пополняются благодаря также регулярно утекающим данным, включая пароли пользователей. Вдобавок можно найти словари, которые оптимизированы под конкретный регион и язык.

К топу простых используемых паролей можно еще добавить пароли по умолчанию, которые больше характерны для каких-либо устройств, например, тех же самых домашних роутеров, которые задал производитель, а пользователи не потрудились их сменить. Кстати, на одном из мероприятий по ИБ в ходе своего доклада сотрудник Лаборатории Касперского сказал, что одним из наиболее часто встречающихся и при этом успешных векторов атак на различные компании являются именно пароли по умолчанию.

Из горячо любимого нашими согражданами могу еще отметить gfhjkm yf fyukbqcrjq hfcrkflrt rkfdbfnehs, то есть пароль на английской раскладке клавиатуры, когда из русских слов получается "абракадабра" на латинице. Нужно помнить, что это крайне ненадежный способ задания пароля.

Также не могу не упомянуть про категорически недопустимое использование в качестве пароля, его составной части или кода-пароля дат рождения и имен (своих, супруга, детей и т.д.), кличек животных, названия любимой команды и т.п.

Ну и по классике еще пройдёмся, по самому больному так сказать, но присущему более возрастным людям - это пароли и код-пароли на бумажных носителях, чаще всего по традиции размещенные под клавиатурой, или же в открытом виде. Под открытом видом я понимаю данные, размещенные в никак и ничем незащищенных текстовых файлах на компьютере, таких как ~.txt (блокнот), ~.docx (ms word), ~.xlsx (ms excel) и т.д. Я ни раз встречал подобные файлы у пользователей, в которых было все - от их рабочих логинов и паролей, до полных номеров банковских карт с пин-кодом и cvc.

Так что же в итоге делать? Как по максимуму постараться обезопасить себя от подбора пароля?

Я предлагаю как минимум запомнить и придерживаться следующих 6-ти простых правил.

• Нулевое правило. Не используйте автосохранение паролей.

Никогда. Нигде. Всегда отключайте автосохранение паролей в браузерах и смартфонах.

• Первое правило. Используйте надежные пароли.

Более-менее надежным сейчас считается пароль из минимум 16-ти символов, который содержит в себе как заглавные, так и прописные буквы латинского алфавита, а также в обязательном порядке цифры и спецсимволы.

• Второе правило. Используйте везде разные пароли.

Да, для каждого сайта, аккаунта, приложения и т.д. нужно иметь уникальный и надежный пароль, который удовлетворяет всем требованиям, описанным выше.

• Третье правило. Используйте менеджер паролей.

Так как физически не получится хранить в голове десятки различных надежный паролей, то придется их аккумулировать в каком-то едином хранилище, называемом менеджером паролей.

Есть как платные, в том числе российские, так и бесплатные менеджеры паролей. Я, например, использую в быту и в работе KeePass и Kaspersky Password Manager (не реклама).

Из преимуществ почти любого менеджера паролей могу отметить то, что пароли хранятся в едином защищенном (скрестим пальцы) хранилище, в них есть встроенный генератор надежных паролей, проверка надежности сохраняемых в менеджер паролей, в том числе на предмет их компрометации, плагины для браузеров для удобства в использовании.

Доступ к единому хранилищу осуществляется с помощью ввода так называемого мастер пароля, который должен быть очень надежным и который придется все-таки запомнить как отче наш.

Минус один и он очевидный - при взломе мастер пароля или эксплуатации уязвимости в менеджере паролей злоумышленник получает доступ ко всем вашим паролям. Ну, еще можно забыть мастер пароль, но это немного другая история, менее критичная и поправимая.

• Четвертое правило. Регулярно меняйте все пароли.

Даже надежные пароли следует регулярно менять, желательно не реже 1 раза в 3 месяца. Не стоит в этом лениться, так как это ваша собственная безопасность.

• Пятое правило. Используйте второй фактор.

Там, где есть такая возможность, нужно защищать даже надежный пароль каким-либо вторым фактором. Вариантов второго фактора сейчас много, но чаще всего используются коды, состоящие из нескольких цифр - это может быть постоянный код-пароль, код из смс или код из пуша приложения, код из мессенджера, одноразовый код, сгенерированный специальным приложением, например, Google Authenticator, и т.д.

Ну а что в итоге я могу сказать про ревизию своих паролей? А то, что остались те ресурсы, на которых менеджер паролей считает мои пароли (без тавтологии тут никак, прошу простить) недостаточно надежными. Что это за ресурсы и почему я их не могу поменять? Давайте ниже я приведу 3 примера (тоже не реклама).

1. Мегафлаг (https://www.megaflag.ru/)

Тут я в свое время регистрировался, чтобы заказать флаг и вымпел со своим дизайном.

Не могу сменить пароль, потому что текущий по каким-то причинам не подходит, а ссылка на страницу восстановления пароля выглядит следующим образом:

2. Emex (https://emex.ru/)

Достаточно популярный "маркетплейс" для покупки расходников и запчастей для авто.

Также не могу сменить пароль, потому что текущий по каким-то причинам не подходит, функция восстановления не работает - проверочный код не хочет отправляться как на телефон, так и на почту. На странице авторизации заголовок "логин", но по факту требуется ввод телефона или почты.

И, предвосхищая замечания, нет, ошибка не потому, что такого пользователя не существует в системе, естественно, я вводил перед этим свои релевантные данные.

3. Билайн (https://moskva.beeline.ru/)

Ну и вишенка на торте - это известный всем интернет-провайдер (и не только). Со сменой пароля в их личном кабинете в целом нет проблем, но почему-то его длину ограничили до 15 символов, а это по оценке менеджера пароля уже средняя надежность, а еще не считают хорошей практикой спецсимволы в пароле.

Ну, come on, ребята из Билайна, вам жалко символов что ли, какие тут могут быть технические ограничения? :) Одно дело, когда могут ограничивать выбор спецсимволов, которые могут быть использованы в пароле, чтобы, например, нельзя было инжектить команды или случайно не заэкранировать что-то, но вот ограничение в длине пароля мне не понятно.

В целом я хотел бы отметить, что на большинстве ресурсов проще сменить пароль с помощью функции "забыл пароль", чем из личного кабинета, такой вот у них UX/UI.

На этом у меня все, надеюсь, что было интересно и полезно прочитать эту простыню хоть кому-то!

Недавно я купил себе Mi band 7, по началу хотел купить 6-ую версию, пока не узнал, что на 7-ой обновилась операционная система и теперь она поддерживает установку приложений. Да, официально они об этом не заявили, но умельцы уже сделали множество приложений. Они ставят их как циферблаты, и это вполне обычные приложения. Но все эти приложения работают только локально на самом MiBand 7, не имея возможности взаимодействовать ни с телефоном, ни с интернетом. Я углубился в байткод приложения и документацию по Zepp OS чтобы найти способ создавать приложения, взаимодействующие с интернетом, в этой статье я опишу свой путь. В итоге у меня получилось сделать запрос в интернет с часов и даже запустить мост для отладки приложений.

Сразу скажу, что я уже публиковал эту статью на Хабр. Но хочу теперь попробовать начать писать статьи на Пикабу, так что я буду очень рад любым комментариям и отзывам. Надеюсь пользователям Пикабу эта статья тоже зайдет)

Эта статья написана чисто в ознакомительных целях. Я не призываю никого к переработке кода для добавления новых функций с целью использования и распространения переделанного ПО.

Почему приложения официально не поддерживаются?

Мне интересен этот вопрос, но к сожалению я не знаю причин. Похоже что Xiaomi Band 7 сделала для xiaomi компания zepp. И им было проще не поддерживать другую операционную систему, а использовать уже имеющиеся наработки для часов zepp. Поэтому на этих часах стоит система ZeppOS. Вероятно Xiaomi решила не платить за все фишки системы и поэтому функционал часов программно ограничен.

Начало

Для начала, чтобы разобраться как работает система, я попробовал поставить пару приложений от MelianMiko. Ставил самым простым способом, через приложение для установки циферблатов, подробности можете почитать на 4PDA. Я немного поразбирался в структуре приложений и вот что я понял: приложение это bin файл, который является простым zip архивом с, как минимум, несколькими файлами: app.json(Manifest), app.js(Код инициализации и деинициализации приложения при запуске), index.js(Код страницы),icon.png. Далее я пошел на сайт официальной документации по ZeppOS, там описано как включать режим отладки через приложение ZeppApp. Но попробовав подключить часы через это приложения я получил ошибку:

Я решил на этом не останавливаться, скачал это приложение версии 7.0.1, декомпилировал через apktool в байткод и через jadx в java код:

apktool d com.huami.watch.hmwatchmanager_7.0.1-play_100802.apk jadx com.huami.watch.hmwatchmanager_7.0.1-play_100802.apk -d com.huami.watch.hmwatchmanager_7.0.1-play_100802_JADX

Далее для исследование кода проще использовать результат jadx, но скомпилировать обратно получится только результат apktool, поэтому изменения придется делать в байткоде.

Для начала я убедился что это приложение поддерживает ну или когда-то поддерживало MiBand. Для этого я нашел несколько упоминаний MiBand 7 (Официально он называется Xiaomi Smart Band 7). Его кодовое название в приложении “MILI_L66”.

Далее я решил обмануть приложение(пока без его изменения) и попробовал подключить свои часы к приложению, притворившись другими часами. Для этого я отсканировал qr для сетапа на своих часах я получил такую ссылку:

https://hlth.io.mi.com/download?redir=7800&mac=CE82E4D50...

В ней указан мак адресс, pnpNumber, pnpVersion - это похоже какие-то идентификаторы устройства. Я пробовал их заменить, но это не помогло, поэтому я решил посмотреть, какие qr коды у других устройств zepp при сетапе. В гугл я нашел видео в привязкой Amazfit Band 7, отсканировал код, получил такую ссылку:

https://api-watch.huami.com/forwarding/watchUS?macAddress=C9...

Эта ссылка ссылается совсем на другое доменное имя. Далее я решил попробовать просто подставить в этот URL macAddress из своего qr кода и сделать с этого url qr код. И это помогло, мои часы подключились, приложение засетапило их как Amazfit Band 7.

Я обнаружил что весь функционал из приложения Xiaomi здесь есть и я могу полноценно настраивать свои часы. Но после сетапа приложения понимало что у меня не Amazfit а Mi Band и не давало возможности ставить никакие приложения и циферблаты для Amazfit. Поэтому дальше я решил переделать приложение.

Перекомпиляция приложения

Чтобы приложение дало мне возможность ставить mini apps на часы, я решил заставить его думать что у меня не Xiaomi Smart Band 7, а Amazfit Band 7. Для этого таже как и для Mi Band 7, нашел кодовое название для Amazfit Band 7 - “MiliBari”:

Далее нашел все упоминания MILI_L66 и MILI_BARI. Самым интересным показался класс HMDeviceSource:

Вы можете в нем увидеть коды соответствующие разным типам устройств - их идентификаторы.

Далее необходимо переключиться на байткод, который нам выдал apktools.

Здесь я тоже нашел байткод класса HMDeviceSource$a.smali и изменил в нем 3 строки как на скриншотах:

Теперь можно собрать его обратно, подписать, установить. Оригинальное приложение придется сначала удалить, так как подпись теперь не оригинальная.

apktool b com.huami.watch.hmwatchmanager_7.0.1-play_100802 --use-aapt2 apksigner sign --ks-key-alias alias_name --ks-pass pass:123456 --ks release-key.keystore com.huami.watch.hmwatchmanager_7.0.1-play_100802/dist/com.huami.watch.hmwatchmanager_7.0.1-play_100802.apk adb install com.huami.watch.hmwatchmanager_7.0.1-play_100802/dist/com.huami.watch.hmwatchmanager_7.0.1-play_100802.apk

Теперь можно снова логиниться в приложении и подключать Mi Band как я описывал выше, изменяя qr код.

Работа перекомпилированного приложения

После этих манипуляций приложение начало отображать функционал как для amazfit band 7! Ура! На изображении сначала будет Mi Band 7, но если поменять циферблат, то оно сменится на amazfit band 7. У меня циферблат от Аmazfit встал как родной.

Также теперь появилась кнопка App Store, там можно поставить приложения из магазина для amazfit band 7. Не все заработали идеально, но большинство. Их почему-то в магазине пока только 5. Видимо пока весьма маленькое сообщество разработчиков)

Далее я уже пытался поставить свое приложение, с сервисной частью, сначала я пошел по сложному пути, подменяя файлы приложения. Позже понял, что можно воспользоваться мостом в режиме разработчика на приложении, что гораздо проще и позволяет выводить логи. Вероятно разработчики могут прекратить поддерживать отладку через мост, когда эта версия приложения устареет. Но в этой статье я опишу только путь попроще, через мост. Если вам будет интересно, могу потом описать второй путь.

Создание проекта

На 4PDA я нашел проекты пользователя MelianMiko. Он сделал и симулятор mi band, и множество приложений, и утилиту для сборки проектов - zmake. Можете ими воспользоваться для создания простых приложений, но как я понял zmake создает проекты только без сервисной части, выполняемой на телефоне. Еще в отличии от официального сборщика он, не сжимает код в bin файл, а оставляет в формате js(Тут может ошибаюсь, поправьте если не так). Симулятор к сожалению не работает под Linux и MacOS, поэтому я им не пользовался, вместо него использовал официальный симулятор Amazfit band 7.

Для создания проекта я использовал официальную утилиту zeus для ZeppOS. Новый проект можно создать командой zeus create project-name. Необходимо выбрать “1.0 API”, апи второй версии MiBand 7 не поддерживает.

Далее опишу содержимое собранного приложения, это не очень нужная информация, просто для общего ознакомления.

Когда проект будет готов, его можно собрать командой zeus build. В папке dist появится архив в формате zab, его можно открыть как простой zip архив. В нем манифест с описанием приложения и архив common.zpk, который тоже открывается как zip архив. В нем уже можно увидите основные составляющие приложения:

• Файл device.zip содержит код выполняемый на часах, ему можно сменить формат на bin и поставить даже через приложение для установки циферблатов.

• Файл app-side.zip сожержит код выполняемый на стороне телефона.

• Вроде еще может быть файл, описывающий настройку mini app с помощью приложения телефона.

Отличный набор примеров приложений, в том числе с сервисной частью, есть на github. Я, как основу, взял пример “fetch-api”.

Настройка моста

Тут нет ничего особенного, все из документации ZeppOS. Необходимо залогиниться в один аккаунт в приложении на телефоне и в приложении симуляторе. Включить режим разработчика в приложении и потом выбрать часы в списке устройств, открыть внизу настройки разработчика и в выпадающем списка нажать кнопку включения моста. После подключиться к мосту надо и в приложении симуляторе, нажав кнопку Bridge.

Теперь можно пользоваться консольной утилитой zeus для отладки проекта:

zeus bridge
сonnect
install

Запрос в интернет по кнопке на часах.

Как я уже писал выше, я взял за основу пример проекта с официального гитхаб аккаунта zepp os, “fetch-api”. Изменив код в app-side, я сделал запрос с телефона на домен ident.me, чтобы получить мой текущий внешний ip, ради примера.

Вывод

В итоге я получил небольшое приложение на часах, которое может когда угодно выводить мне мой внешний ip. Это конечно не та цель, к которой я стремился.  Моей целью было продемонстрировать, то что на самом деле у часов Mi Band 7 есть скрытый, программно ограниченный функционал. Эти часы могут не просто менять циферблаты, но и работать с приложениями. И даже отправлять данные через телефон в интернет и получать ответ. Такие приложения можно использовать например для управления умным домом) Вероятно в будущих версиях часов об этом официально заявят, но пока такого нет. Даже на Band 7 Pro официально не стоит zepp os.

P.S. Это была моя первая статья. Надеюсь вам было интересно, пишите комментарии, буду рад любой критике!

Недавно я создал телеграм канал. Там я планирую регулярно делиться интересными мыслями по темам информационной безопасности, программирования и нейросетей. Если вам интересны такие темы, присоединяйтесь) буду делиться там подобным контентом.

Доброго времени суток, пикабутяне!
Достаточно долгое время я провел на данном ресурсе без регистрации (порядка 12 лет) и еще какое-то время я провел в режиме "read only" не проявляя, практически, никакой активности.
На волне авторских постов о работе разных людей решил и я попробовать себя в качестве автора.

Начитавшись горячего наткнулся на несколько постов о том, как ведут себя специалисты по информационной безопасности (и (или) системные администраторы) на работе (слив личных переписок, интимных фото, шантаж и тому подобное), я не смог остаться в стороне как человек, который непосредственно относится к данной профессии, а именно - защите информации.
Примеры постов:
Интимная переписка на работе
Ответ на пост «Интимная переписка на работе»
Ответ на пост «Интимная переписка на работе»

Коротко о себе: ведущий инженер по информационной безопасности в одной из топовых ИТ-компаний. 8 лет занимаюсь информационной безопасностью как для внешних (оказание услуг), так и для внутренних заказчиков. Я не являюсь "кулцхацкером", специалистом по взлому и др, хоть и могу переустановить "винду" и сделать прочие непотребства с вашими компьютерами. Для людей в теме - я смесь бумажного и практического безопасника, включая выполнение некоторых работ, отнесенных к смежным профессиям.

В данном посте я постараюсь кратко (на сколько это возможно) изложить кто же такие "информационные безопасники" и чем они занимаются (или должны) на работе касательно той проблематики, которую я увидел в постах пикабушников.

Как ни странно, но специалисты по информационной безопасности должны заниматься защитой информации, а именно (как учат в университетах) обеспечивать конфиденциальность, целостность и доступность информации, которая существует и циркулирует внутри какой-либо организации.

Информация - это сведения вне зависимости от формы их представления (текст, фото, видео, аудио и тд).

Не буду вдаваться в терминологию. Если говорить простым языком, то:
конфиденциальность - сохранение какой-либо информации в тайне от посторонних лиц (или лиц, для которых доступ к информации должен быть ограничен);
целостность - сохранение данных в неизменном виде (согласитесь, что вам не понравится, если содержимое вашей таблицы на 1000 строк вдруг примет непонятный вам вид или же фото/видеофайлы перестанут открываться);
доступность - обеспечение доступа для вас (пользователей) к информации в различных нештатных ситуациях (согласитесь, многих приводит в бешенство, если какой-то ресурс, которым вы должны пользоваться в личных или рабочих целях недоступен здесь и сейчас).

Вся работа специалистов по информационной безопасности должна сводиться к реализации вышеперечисленных целей с применением в своей работе организационных и (или) технических мер.

Организационные меры - это то, что многие люди не очень любят и не особо вникают в содержимое, а именно: какие-либо инструкции и регламенты по обеспечению информационной безопасности (например, парольные политики, инструкции по работе с каким-либо программным обеспечением, инструкции о пропускном режиме и прочая непонятная гадость, которую требуют подписать специалисты по кадрам (и не только) как при трудоустройстве, так и после него).
Технические меры - специализированное программное обеспечение (ПО) и программно-аппаратные комплексы (ПАК).

Так как данный пост я пишу на основе прочитанного на пикабу и эмоций, что я испытал, то хочется остановиться на конкретной технической мере защиты информации, а именно DLP-системах.

DLP (Data Loss Prevention) - системы, целью которых является предотвращение утечки информации из организации (и (или) защищенного контура, в котором производится обработка информации).

Функционал ПО такого рода обычно реализует следующий набор функций (но не ограничиваясь ими, т.к. системы постоянно дорабатываются в соответствии с ситуацией на рынке РФ и в мире):
- мониторинг доступа к каким-либо ресурсам, файлам и т.д.;
- отслеживание и блокирование передачи (отправка за пределы организации или защищенного "контура") информации (как пример, копирование на "флешку", отправка фото, видео, документов и т.д. через мессенджеры, почту и др.);
- запись действий через веб-камеру;
- запись разговоров через микрофон).

Реализация вышеуказанных функций DLP-систем достигается в том числе за счет:
- мониторинга и блокирования популярных мессенджеров (в т.ч. архивной переписки) и веб-ресурсов;
- мониторинга получения доступа к файлам и программам (рабочим и не очень);
- создания скриншотов (снимков) или видеозаписи при использовании каких-либо приложений;
- фотографирования людей через веб-камеры;
- записи происходящего через микрофоны (если таковые используются в работе, например являются частью наушников);
- других функций, которые не указаны выше.

Администрируют (управляют, имеют полный доступ) такие системы обычно специалисты по информационной безопасности, реже - системные администраторы (как правило, такое бывает когда размер организации не превышает 100 сотрудников).

Законна ли слежка на работе? Да, если вы подписали соответствующие документы при приеме на работу (как правило, информация о применении такого программного обеспечения должна быть прописана в трудовом договоре и иных нормативно-правовых актах организации, в которую вы устраиваетесь на работу).

Что могут увидеть специалисты, администрирующие системы такого рода ?
1) переписку любого рода, включая фото и видео вложения участников в почте и мессенджерах (в т.ч. та переписка, которая существовала несколько лет назад, но не была удалена вами) с использованием как веб-версий, так и в виде ПО;
2) содержимое файлов, которые вы открываете (работаете с ними, пересылаете и т.д.);
3) фото и видео ваших действий за рабочим ПК (скриншоты и (или) видеозапись ваших действий);
4) фото и видео с веб-камер, установленных на вашем рабочем месте и подключенных к вашему рабочему ПК;
5) запись любых переговоров, которые проводились рядом с вашим рабочим ПК;
5) нечто иное, что не описано в данном посте, но отнесенное к функционалу систем подобного класса.

И что эти люди делают со всей этой информацией?
Обычно, полученная информация не покидает пределы разума администратора такого рода систем и (или), в случаях, когда это необходимо, отдела информационной безопасности (наименование подразделения может отличаться) хоть и жить с этой информацией не всегда просто и иногда некоторые случаи хочется рассказать коллегам, друзьям или родным некоторые детали.

На моей памяти случались следующие события:
- просмотр порно на рабочем месте;
- поиск секс-игрушек на торговых площадках;
- обсуждение интимной жизни между мужем и женой или любовниками;
- попытки передачи конфиденциальной информации (плана продаж с указанием сумм и заказчиков) конкурентам и продажи собственности компании через площадки типа Avito;
- другие случаи, которые нет смысла описывать в данном посте.

Этика - главное понятие и правило людей, решивших заняться информационной безопасностью.
В силу специфики своей профессии я получаю доступ к различной информации, которая может быть отнесена к персональным данным, коммерческой тайне и иным конфиденциальным сведениям, разглашение которых может причинить вред конкретным людям и организациям.

Могу ли я разглашать сведения, которые получаю в рамках исполнения своих служебных обязанностей ? Да, если ваши действия нарушают законодательство Российской Федерации и нормативно-правовые акты организации, в которой вы работаете, в области защиты информации.

Может ли специалист по защите информации (или иное лицо) разглашать ваши персональные данные, если ему просто хочется обсудить вашу переписку (и иные сведения) ? Нет, т.к. вас защищает Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ и Конституция Российской Федерации (и соответствующие статьи УК РФ).

Как понять, какие сведения о вас и вашей деятельности могут быть распространены специалистом по информационной безопасности ?
В этом вопросе нет ничего сложного.
О вас могут быть распространены следующие сведения, если вы являетесь (подозреваетесь в совершении таких действий) нарушителем требований информационной безопасности установленных в организации:
- ФИО;
- занимаемая должность и подразделение, в котором вы работаете;
- доказательная база в отношении вас (переписка в мессенджере, скриншот рабочего стола, запись с веб-камеры или микрофона, время и дата совершения правонарушения и т.д.), которая позволит установить факт нарушения требований информационной безопасности с вашей стороны, и которая позволит достоверно определить вашу причастность.

Данные сведения могут быть предоставлены только:
- руководителю отдела, в котором работает администратор системы или вышестоящему руководителю;
- руководителю организации;
- ФСБ, МВД, прокуратуре, суду и (или) иным органам правопорядка, в соответствии с законодательством РФ и Конституцией.

Могут ли такие сведения быть переданы иным лицам (например, коллегам, друзьям, родственникам и тд) ? Нет! (за исключением случаев, когда это делается в соответствии с законодательством РФ и (или) обезличено, когда невозможно установить личность, к которой относятся те или иные сведения).

Все остальные случаи являются нарушением законодательства и должны (!) рассматриваться в претензионном и (или) судебном порядке.

Информация, которая может быть интересна для исследования:
Должностные лица не соблюдают тайну переписки | ComNews
Штатные «разглашатаи»: пять судебных дел по статье 183 в российских компаниях - SearchInform
Судебная практика: Использование DLP для доказательства разглашения информации (securitylab.ru)

Краткий итог моего посыла в данном посте:
1) Могут ли за вами следить на работе ? Да, если это прописано в трудовом договоре и иных документах, с которыми вы соглашаетесь при трудоустройстве и (или) в дальнейшем.
2) Что могут видеть специалисты по информационной безопасности при осуществлении своей деятельности ? Практически все, что вы делаете на рабочем ПК или находясь перед ним.
3) Могут разглашать сведения обо мне, полученные в результате "слежки" ? Да, если ваши действия нарушают нормативно-правовые акты организации в области защиты информации, но данные сведения могут быть доступны только определенному кругу лиц.
4) Должны ли "безопасники" руководствоваться "этикой" в своей работе ? Да. Но каждый из нас является личностью со своими порядками и нравоучениями, что может быть хорошо не в каждой работе.
5) Что делать, если сведения обо мне, стали доступны большему кругу лиц, чем это определено в нормативно-правовых актах работодателя ? Что делать, если меня шантажируют, используя полученные данные ? Обращаться в МВД или судебные органы для защиты ваших прав!

Благодарю всех за прочтение. Если у вас остались вопросы, то добро пожаловать в комментарии. Ответы на самые интересные вопросы готов представить в виде отдельного поста. Чтобы ваш вопрос не остался не отвеченным прошу призывать меня по нику через "@".
Желаю всем адекватных безопасников!

То, что в список ассоциаций не заглядывают даже матёрые админы (большая часть из них) — это факт. Более того, разворачивая в Windows системах какой-либо из интерпретаторов, админы соглашаются с установщиком добавить ассоциации с соответствующими расширениями файлов, а после недоумённо пожимают плечами "как же нас таки поломали?", — в самом то деле?! Windows, чай, не UNIX где для исполнения какого-либо сценария нужно уметь чмодить (хотя в UNIX своих проблем безопасности с ворох газет), так что просто нужно взять на карандаш избегать ассоциаций, предпочитая им колхозные, но более безопасные средства запуска. Для наглядности (командная строка):

assoc .url | sed "s/.*=\(.*\)/ftype \1/" | cmd | sed "/=/!d"

Возвращает:

InternetShortcut="C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\ieframe.dll",OpenURL %l

С виду вроде обычная ассоциативная команда, если бы не одно но. Помимо стандартных протоколов в URL файле в качестве точки назначения может быть указан и локальный файл, причём это может быть как специально сформированный HTML, так и HTA или даже PE:

[InternetShortcut] URL=file:///C:\Windows\notepad.exe

Учитывая же, что некоторых разработчиков программ хлебом не корми, но дай понапихать упаковочной плёнки в виде тех же URL файлов в конечный дистрибутив, поднапрячь свои булки всё же стоит, если не взять под пристальный контроль ассоциации. Так что:

ftype InternetShortcut=

И\или:

assoc .url=

Это снизит риски, но не устранит проблемы полностью. Если вы подумали, что всё же можно будет вызвать URL файл из командной строки так:

rundll32 ieframe.dll,OpenURL <путь до URL файла>

можете запахнуть халат, ибо подобный эксгибиционизм отлавливается даже Windows Defender. Так почему же проблема не будет устранена полностью?

С одной стороны, ничто не помешает восстановить ассоциативные связи. С другой, можно вполне обойтись и без ассоциаций. ieframe.dll — это COM (явлющийся к тому же форвардом для shdocvw.dll, поэтому их интерфейсы аналогичны). Глянув содержимое ieframe.dll в OLEView, найдём весьма живописное полотно кисти анонимного танцовщика кода.

В чём прикол? Запускаем pwsh и пишем:

[Activator]::CreateInstance(
[Type]::GetTypeFromCLSID('C08AFD90-F2A1-11D1-8455-00A0C91F3880')
).Navigate('file:///C:\Windows\notepad.exe')

Такие коврижки. А ведь на месте Блокнота может оказаться удалённый зловред. В общем, делаем выводы.