Форум Краматорська
Краматорськ та світ навколо нас => Компьютеры, мобилки, софт, Интернет, провайдеры => Тема розпочата: dmp від 27 Вересня 2010, 12:49:58
-
Как-то тут в новостях прочел, что вломились "маски-шоу" в бухгалтерию, а, по-видимому, у бухгалтера было "рыльце в рушку", и она выбросила ноут в окно. Как бы, хочу поделиться небольшим секретом (я себе на ноут поставил Windows Server 2008, и обнаружил эту фичу). Есть 2 способа
послать в зад оставить без улик проверяющие органы: использовать BitLocker на системный диск, и использовать возможности EFS для секретных материалов, которые будут лежать в отдельной шифрованой папке. Система сама создает сертификат, закрытый ключ лежит в системе, система зашифрована и защищена BitLockerom - ключ от ларца лежит в ларце, а ларец закрыт на ключ :)
use case в работе такой:
1) BitLocker: ключ на старт - на флешке: перед загрузкой системы, венда просит вставить ключ. Как только он будет успечно свалидирован - система попросит его вынуть, и продолжит загрузку. Без этого ключа, система не стартанет, а вся информация на системном диске - зашифрована. даже низкоуровневый доступ спец. утилитами (типа ERD Commander) запрашивает ключ (или пароль, для восстановления ключа)
2) EFS: заходим в Проводник, клацаем на папку или файл, далее Свойства, Общие, Атрибуты, ставим галочку напротив "Шифровать блаблабла" - если эта фича используется первый раз, и в системе нет сертификата шифрования файловой системы - мастер поможет его создать. Теперь, чтобы прочесть какой-либо файл, нужно, чтобы именно этот сертификат в системе находился. без сертификата его не прочесть НУ НИКАК, скажем так.
3) В настройках электропитания ставим на кнопку включения спящий режим (hibernate), а на закрытие крышки ноута - его выключение. И можно спать спокойно, в случае чего резко можно обесточить компьютер, и все улики будут в целости и ссохранности, и под 10 замками :) кстати, фича BitLocker есть и в Виста Ультимэйт, но ставится отдельно. И кстати, настройка битлокера - дело немного мудреное, в нескольких строчках не рассказать
Для пользователя это все будет прозрачно и незаметно, разве что при старте системы прийдется один раз вставлять флешку (которую береь как зеницу ока, и хранить в секретном месте). на эту же флешку можно записать и вышеописаный сертификат шифрования файловой системы - чтобы проимпортировать для других пользователей этого компьютера, или на другие компьютеры, чтобы была возможность доступа к секретным файлам
-
это конечно интересно , но компы заберают в спецотдел в область и поверьте там спецы сделают с ним все что хотите и прочтут
информацию ( к примеру стертая инфа и очищена корзина , а польностью восстановили ..... :o )
-
к примеру стертая инфа и очищена корзина , а польностью восстановили ..... :o
да фигня это, при таких исходных школьник восстановит информацию за 5 минут :)
-
это конечно интересно , но компы заберают в спецотдел в область и поверьте там спецы сделают с ним все что хотите и прочтут
информацию ( к примеру стертая инфа и очищена корзина , а польностью восстановили ..... :o )
То все понты, потому что:
1) Когда вы удаляете файл - он копируется в корзину, скажем так, в виде как есть. Исходный файл в системе удаляется - т.е. он ПЕРЕИМЕНОВЫВАЕТСЯ (добавляется спец. символ в его имени, и вроде ставится соотв. атрибут), а также обнуляется цепочка указателей на кластера в FAT таблице. НО САМО СОДЕРЖИМОЕ ФАЙЛА ОНО НА ДИСКЕ ЕСТЬ В ЯВНОМ ВИДЕ. В незанятых кластерах.
2) Когда файл удаляется из корзины - он просто удаляется из корзины, и все.
В этом варианте спецы не помогут (как минимум 32 битное RSA шифрование, ёпт :)) - все данные зашифрованы и взлому 99.999 и еще 9 в периоде процентов не подлежат
-
Есть такая штука, как Терморектальный криптоанализатор (https://www.kramatorsk.info/talk/go.php?url=http%3A%2F%2Flurkmore.ru%2F%25D0%25A2%25D0%25B5%25D1%2580%25D0%25BC%25D0%25BE%25D1%2580%25D0%25B5%25D0%25BA%25D1%2582%25D0%25B0%25D0%25BB%25D1%258C%25D0%25BD%25D1%258B%25D0%25B9_%25D0%25BA%25D1%2580%25D0%25B8%25D0%25BF%25D1%2582%25D0%25BE%25D0%25B0%25D0%25BD%25D0%25B0%25D0%25BB%25D0%25B8%25D0%25B7%25D0%25B0%25D1%2582%25D0%25BE%25D1%2580), которая взломает любой пароль
-
Вариант с
зажиманием яиц в дверь получением доказательств, не действительных в суде, мы не рассматриваем
-
Либо ситуация - пришли проверить на наличие лицензионности программного обеспечения. ну нате, проверяйте. ах, не включается? так выключатель сгорел, против себя я имею право не свидетельствовать, вам надо - вы и включайте, и доказывайте :)
Кстати, если винт вставить в другой комп - вся инфа будет безвозвратно утеряна, и разлочить можно только паролем, похожим на GUID
-
у меня маленький съемный диск ( как спичечный коробок , он и по дизайну один в один на 180 гиг , когда менты сумку перерывали его за спички приняли натурально , поскольку там в верхную крышку ложат спички и они торохтят , и они натуральные ) при втыкании оного незнакомцем ( не зная тонкостей и пароля ) он полностью очищаеться , способ уже проверен,и это пока для меня лично единственный способ спать спокойно....
-
Zena, а Вы случайно не фигурант этого дела?
У Вас, похоже, SSD накопитель: http://it-master.biz/chto-luchshe-diski-ssd-hhd (https://www.kramatorsk.info/talk/go.php?url=http%3A%2F%2Fit-master.biz%2Fchto-luchshe-diski-ssd-hhd)
В принципе, тоже вариант, но только вся инфа будет утеряна, как я понял. А это не всегда есть хорошо. ИМХО
-
нет , но там пострадала моя коллега и офисы наши были в одном здании , они трусили в тот день
всех без объяснения , многие фирмы до сих пор не могут забрать свою технику из Донецка , наши
адвокаты защищали 6 фирм и мы подали в суд сразу , сейчас технику забрали , но с трудом , а моя
знакомая в тот день была дома с компом и работала , она приболела и вот результат , у них даже
по решению суда не был указан ее домашний адрес , а только адрес офиса , но как видите пришли
и что сотворили , я насмотрелась и как говориться , чувствую будущий год и пройдя по поводу этих
разборок с налоговой не один суд , я поняла одно - на местах может и сидят простачки , но в областях
и в спецотделах там совсем не лохи , а времена наступают очень жестокие и надо быть готовым
к всякой гадости .....хорошего я впереди не вижу .....
-
если уж пошла такая пьянка что инфа супер-пупер ценная и за эту инфу "яйген крутен" - взять колокейшн где нить за бугром, и работать удаленно через терминал и защищенное соединение. многие аферисты так и поступают.
-
бухгалтерский учет так вести - стремно и как-то дико :lol: и потом бухгалтера они не аферисты , а самоубийцы....
-
Если слово "collocation" заметить словосочетанием "выделенный сервер" - то да, как вариант - вполне. а как насчет распечаток? Можно, конечно, на сервере генерить файлы, типа pdf, по сети их заливать локально и печатать - следы в виде файлов останутся. Потом, сертификат шифрования на защищенный канал - нужно, чтоб хостер разрешал в своей политике безопасности поставить фактически невалидный сертификат, если не покупать его за 400 долларов у tawthe или других доверительных центров сертификации (во всяком случае, на shared хостинге такой финт не прокатывал). Либо для распечатки использовать принтер с возможностью принт-сервера, имел адрес, зареганый в DNS либо имел статический IP адрес. Да гемор это! :D
p.s. Кстати, если файлы удалять с флешек или карт памяти - несмотря на то, что Винда говорит, что файл будет удален безвозвратно - это означает, что файл она просто не сможет восстановить. Файлы с флешек восстанавливаются нараз.
-
Если слово "collocation" заметить словосочетанием "выделенный сервер" - то да, как вариант - вполне. а как насчет распечаток? Можно, конечно, на сервере генерить файлы, типа pdf, по сети их заливать локально и печатать - следы в виде файлов останутся. Потом, сертификат шифрования на защищенный канал - нужно, чтоб хостер разрешал в своей политике безопасности поставить фактически невалидный сертификат, если не покупать его за 400 долларов у tawthe или других доверительных центров сертификации (во всяком случае, на shared хостинге такой финт не прокатывал). Либо для распечатки использовать принтер с возможностью принт-сервера, имел адрес, зареганый в DNS либо имел статический IP адрес. Да гемор это! :D
Вот это фантазия. ))) Вам знакома аббревиатура RDP?
-
Серж предложил самый лучший вариант
с нынешними скоростями - ничего волшебного
у нас есть клиент, хозяева в Маскве... так вот они взяли такой канал - шоб начальство 1С из Масквы могло глядеть...
опять же сервер не обязательно должен быть за бугром... даже в этой стране - главное что он не в одном офисе... пусть дома у кого из сотрудников...
-
опять же сервер не обязательно должен быть за бугром... даже в этой стране - главное что он не в одном офисе... пусть дома у кого из сотрудников...
вот и я так пользуюсь и это очень правильно..... :D
-
и немного рекламы:
пакупайте наших слоновинтернет! :)
-
Вот это фантазия. ))) Вам знакома аббревиатура RDP?
Елки, я ж как раз и говорю про remote desktop: для шифрованного канала связи нужен сертификат / пара ключей + насчет распечаток
-
для шифрованного канала связи нужен сертификат
Не обязательно. Есть разный уровень шифрования. Для того, чтобы сохранить 5 коп. не стоит строить Форт-Нокс.
насчет распечаток
Стандартными средствами шарятся локальные принтеры. Не изобретайте велосипед с педалями впереди и рулем сзади.
-
Стандартными средствами шарятся локальные принтеры. Не изобретайте велосипед с педалями впереди и рулем сзади.
Я имел ввиду, что выделенный сервер находится не у сотрудника, не в соседнем офисе, а вообще, в каком-то датацентре, за пределами досягаемости органов. В этом случае, проблему с удаленной распечаткой не решить подключением принтера к серверу физически, верно?
Как бы, определить, где находится физически сервер по имени хоста / ip адресу труда вообще не составляет, и если маски-шоу туда нагрянут, то тут уже реально можно попасть за соучастие (улики реально неопровержимые, сколько ниточке не виться - местоположение хоста определяется) - через remote desktop ходят ведь с указанием конкретного IP адреса / адреса хоста. даже у VPN есть шлюз :)
И не стоит конечно же надеяться на защиту Венды, основанную на паролях и ролях: существуют средства сброса пароля администратора, средство полазить по диску не загружая систему. В частности ERD commander - загружается с CD roma вместо загрузки Венды. И вся файловая система, реестр и пр. доступен безо всяких паролей. Так что если изымут физический сервер - ой какой облом будет: ничего не спасет, если там не будет настроено шифрование данных.
-
В этом случае, проблему с удаленной распечаткой не решить подключением принтера к серверу физически, верно?
а кому нужна удаленная распечатка?!
и вообще шо эт такое
и если маски-шоу туда нагрянут, то тут уже реально можно попасть за соучастие
туда они нагрянут - завтра... а сегодня они офис грабят
до завтра многое может случицо с сервером... мысль продолжить? :)
-
Я имел ввиду, что выделенный сервер находится не у сотрудника, не в соседнем офисе, а вообще, в каком-то датацентре, за пределами досягаемости органов. В этом случае, проблему с удаленной распечаткой не решить подключением принтера к серверу физически, верно?
А я имел ввиду, что ваш локальный принтер, подключенный к вашему компьютеру (кленту) через RDP будет доступен на сервере. Он туда мапится. И не надо ничего городить.
-
Он туда мапится. И не надо ничего городить
да, да, да, мапится, никто ж не спорит, но без статического IP адреса (статический адрес клиентского компьютера, статический IP сервера, либо VPN, что еще дороже в плане регистрации диапазона адресов) ничего не выйдет, верно?
а кому нужна удаленная распечатка?!
ну вообще-то нет на 200% полностью электронного документооборота - что-то все равно приходится распечатывать, даже если и скармливать потом шрёдеру. А иначе это очень неудобно.
до завтра многое может случицо с сервером... мысль продолжить?
та мысль понятна - в случае опасности выпить капсулу с ядом :) я же говорю о модели безопасности данных, основанной на невозможности физически эти данные получить.
-
та мысль понятна - в случае опасности выпить капсулу с ядом :) я же говорю о модели безопасности данных, основанной на невозможности физически эти данные получить.
это фантастика - ректальный дешифратор - и Вы сами за пару часов всю базу по памяти напишет заново :)
-
Он туда мапится. И не надо ничего городить
да, да, да, мапится, никто ж не спорит, но без статического IP адреса (статический адрес клиентского компьютера, статический IP сервера, либо VPN, что еще дороже в плане регистрации диапазона адресов) ничего не выйдет, верно?
Не верно. Учите матчасть.
-
Не верно. Учите матчасть.
Вы тоже учите мат.часть про эшелонированную защиту :D
-
Нахера он нам? (с)
-
Нахера он нам? (с)
Самый первый пост в топике прочтите
-
Не интересует. Игрушки это.
-
жесть, дарю последнюю разработку цру :)
truecrypt - есть такая тулзина, криптует целый диск.
покупаете SD карточку и картридер. Пароль даже помнить не нужно для защиты от терморектального анализа, достаточно сгенерировать ключ и записать на SD-карточку.
use case - ломятся маски-шоу, ломаете карточку, ну или стаканчик рядом с серной/соляной кислотой.
всё очень просто и дешево, без удалённых серверов :)
-
жесть, дарю последнюю разработку цру
БитЛокер - это и есть TrueCrypt, только имплементированный в Венду. Функционально один к одному! Только, шифрует он только системные диски. И нужно спецом готовить разделы \ воспользоваться утилитой для изменения разделов диска. Это минус. Плюс - все низкоуровневые утилиты для работы с диском затребуют ключ или пароль. И от винта. На остальные диски - серитфикат EFS.
Или эшелонированный вариант - сервер с битлокером, доступный через remote desktop.
И в свете грядущих отрываний яиц изменений в налоговом законодательстве - можно неплохо заработать на настройке ноутов \ серверов под Win по защите информации, или кому-то просто сделать доброе дело :)
И даже картридер не нужен - в ноутах есть дырка для чтения SD карт. Покупаете MicroSD карту на 1 гиг, вставляете в переходник SD - MicroSD - и ключ готов (я так себе сделал). Вообще не виден, плоский 2х3 см и не занимает отдельный USB слот.
-
Не нра мне ваша Венда :)
-
Не нра мне ваша Венда :)
Если вместо полноценного 2008 сервера поставить server core, где из гуёв одна консоль - это еще страшнее :)
-
Не нра мне ваша Венда :)
Если вместо полноценного 2008 сервера поставить server core, где из гуёв одна консоль - это еще страшнее :)
Я знаю каратэ, тайквандо, джиуджитсу и много других страшных слов :)(с) Маршрутное такси
Если серъёзно, то закриптовал / на сервере убунту 10.04 lts , а в виртуалках поднимай хоть соларис... для бухгалтеров, так будет проще...
-
а мы Вам тут не мешаем ??? :D
-
нет :) truecrypt.org - для Вас или Вашего админа вполне достаточно, чтобы железо сохранить, расшифровать после поломки ключа уже не удасться :o
P.S. поставил, посмотрел, не вижу повода не пользоваться под любой системой :?
-
я сама себе хозяин , я сама себе админ .... :D ( нет у меня никакого админа )
-
http://lurkmore.ru/%D0%A2%D0%B5%D1%80%D0%BC%D0%BE%D1%80%D0%B5%D0%BA%D1%82%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9_%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80 (https://www.kramatorsk.info/talk/go.php?url=http%3A%2F%2Flurkmore.ru%2F%25D0%25A2%25D0%25B5%25D1%2580%25D0%25BC%25D0%25BE%25D1%2580%25D0%25B5%25D0%25BA%25D1%2582%25D0%25B0%25D0%25BB%25D1%258C%25D0%25BD%25D1%258B%25D0%25B9_%25D0%25BA%25D1%2580%25D0%25B8%25D0%25BF%25D1%2582%25D0%25BE%25D0%25B0%25D0%25BD%25D0%25B0%25D0%25BB%25D0%25B8%25D0%25B7%25D0%25B0%25D1%2582%25D0%25BE%25D1%2580)
-
http://lurkmore.ru/%D0%A2%D0%B5%D1%80%D0%BC%D0%BE%D1%80%D0%B5%D0%BA%D1%82%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9_%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0%D1%82%D0%BE%D1%80 (https://www.kramatorsk.info/talk/go.php?url=http%3A%2F%2Flurkmore.ru%2F%25D0%25A2%25D0%25B5%25D1%2580%25D0%25BC%25D0%25BE%25D1%2580%25D0%25B5%25D0%25BA%25D1%2582%25D0%25B0%25D0%25BB%25D1%258C%25D0%25BD%25D1%258B%25D0%25B9_%25D0%25BA%25D1%2580%25D0%25B8%25D0%25BF%25D1%2582%25D0%25BE%25D0%25B0%25D0%25BD%25D0%25B0%25D0%25BB%25D0%25B8%25D0%25B7%25D0%25B0%25D1%2582%25D0%25BE%25D1%2580)
:shock: :shock:
-
"При использовании терморектального криптоанализатора скорость перебора пароля прямо пропорциональна квадрату температуры."
-
в этом методе защиты пароль не знает никто, кроме microSD-флэхи, которая физически разрушается в момент маски-шоу, таки никто не вскроет :)
-
я сама себе хозяин , я сама себе админ .... :D ( нет у меня никакого админа )
Со следующего года однозначно нужен симбиоз IT минимизатора предпринимателя с бухгалтером: бухгалтер будет вести его бухгалтерию (щас там такие напряги в новом НК прописали: по ВЭду, по 1500 грн), а он - делать, чтобы она спала спокойно настраивать ее компьютер :)
-
нет :) truecrypt.org - для Вас или Вашего админа вполне достаточно, чтобы железо сохранить, расшифровать после поломки ключа уже не удасться :o
P.S. поставил, посмотрел, не вижу повода не пользоваться под любой системой :?
Давненько использую. Вот только не уверен что в этом софте нет дырочки "специально для спецслужб"
Такая вот паранойя:)
-
Давненько использую. Вот только не уверен что в этом софте нет дырочки "специально для спецслужб"
Такая вот паранойя:)
T r u e C r y p t
Free open-source disk encryption software
Ну так можно стянуть исходники, их проревьюить и для себя перебилдить.
Хотя, с другой стороны - х.з. - проект ведь опен-сорсный, мало ли че.
Может, где-то у спецслужб есть какой-нибудь абстрактно-мифический мастер-ключ для обратимости необратимых хэш-функций, но это из разряда фантастики, и явно уровень не областного управления.
-
Как-то на нашей фирме ожидались налоговые маски-шоу...Ну,обычное дело-все мордой в пол,шмон по всей конторе,всё изымут-вернут половину...Дело то -житейское-как любил поговаривать товарищ Карлсон.
Только вот накануне записал знакомый программист мне пяток дисков самыми зловредными вирусами...А я для верности ещё их и подписал-"Чёрная бухгалтерия"....и рассовал по столам....
Изъяли их конечно с радостными визгами...Две недели налоговая на карантине-вся база по п....... пошла. А не хрен доверчивыми такими быть.... :good: :good: :good: :good: :lol: :lol: :lol: :lol: :lol:
-
Жень, это хте? у нас или у ВАС? :lol:
не поверю что у ВАС такие же ТУПЫЕ.
-
Жень, это хте? у нас или у ВАС? :lol:
не поверю что у ВАС такие же ТУПЫЕ.
это анегдот :?.
у нас нет маски-шоу.в пол никого не ложат.
просто перекрывают весь кислород,арест счетов,жилья,машин,выезд за бугор.сам прийдёшь и отдашь.но это после решения суда.
а есть ещё люди которые работая в фирмах сливают фин.инфу за %ты в налоговую.и живут припеваючи. :D
-
а есть ещё люди которые работая в фирмах сливают фин.инфу за %ты в налоговую.и живут припеваючи. :D
если у нас такой клич кинут, пойдут не некоторые а все строем, чтоб жить припеваючи :D
-
есть такая фигня в новом налогом кодексе и есть такая фигня в новом законе , уже работающем с августа 2010 г о финансовом мониторинге , единственный ньюанс , нет конкретики ...скока заплатят :D
-
а есть ещё люди которые работая в фирмах сливают фин.инфу за %ты в налоговую.и живут припеваючи. :D
если у нас такой клич кинут, пойдут не некоторые а все строем, чтоб жить припеваючи :D
все наврядли.нужны конкретные документы и конкретная информация.
типа,мне плотют зарплату в конверте не катит.
платят от 25%.
-
да, да, да, мапится, никто ж не спорит, но без статического IP адреса (статический адрес клиентского компьютера, статический IP сервера, либо VPN, что еще дороже в плане регистрации диапазона адресов) ничего не выйдет, верно?
Если уж есть коннект к серверу по RDP, то, само собой, есть и статический IP сервера. Что вам еще нужно?
-
неужели ты считаешь ,что в таких конторах сидят полные идиоты и ты один в белом?! :? :lol:
-
неужели ты считаешь ,что в таких конторах сидят полные идиоты и ты один в белом?! :? :lol:
Ну уж во всяком случае, кто назовет умным человека, который спичечный коробок от SSD диска не отличит :D
-
неужели ты считаешь ,что в таких конторах сидят полные идиоты и ты один в белом?! :? :lol:
Ну уж во всяком случае, кто назовет умным человека, который спичечный коробок от SSD диска не отличит :D
не все обязаны в этом разбираться.
ты ведь не разбираешься в холодном синтезе :o и ничё.