Помогите выбрать программу
Здравствуйте!
Хотелось бы получить совет по следующим задачам:
1. Защита домашнего компа от людей Х
2. Защита компов на работе от людей Х
Люди Х – люди обладающие широкими правовыми и техничекими возможностями, а если не повезет, то и "неправовыми".
На всех компах установлена Xp.
В связи с этим возникаеют следующие вопросы:
1. Чем лучше шифровать? Есть ли программы равные PGP по надежности и открытости?
2. Если шифровать отдельный раздел, то, насколько я понимаю, пароль может быть перехвачен каким-нибудь keylogger'ом, есть ли эффективный способ защиты от этого?
3. Если шифровать весь диск, чтобы пароль спрашивался до загрузки винды, смогут ли люди Х узнать или как-то перехватить его, при условии, что пароль будет храниться только в моей памяти? (исключая способы с утюгом и пинками :) )
3.1. Скажется ли это на производиельности компьютера?
4. Как лучше организовать сеть на работе, чтобы пароль знали как можно меньше людей?
5. Какие еще меры можете посоветовать? (не требующие больших мат. вложений?)
Спасибо
комментариев: 11558 документов: 1036 редакций: 4118
Шифровать почту или диски? В первом случае — GnuPG, во втором — TrueCrypt или DiskCryptor.
От программных кейлоггеров — только меры по укреплению ОС. (В целом, среда Windows для этого плохо подходит, но штатными средствами контроля привилегий аккаунтов можно максимально ограничить возможности по исполнению неизвестных программ. Это полумера, конечно: от исполнения произвольного кода Вы эту ОС не защитите.) От аппаратных кейлоггеров — меры физического контроля территории. От технических каналов утечки (с Вашим условием минимальных материальных затрат) — ничего.
Да: подменой загрузочного кода или вот так. И то, и другое при условии физического доступа к ПК. Или удалённо через технические каналы утечки.
Полное дисковое шифрование? Незначительно. Скорее всего, даже не заметите.
Очень аккуратно. :-) Сформулируйте вопрос корректно.
Проявлять здравый смысл. Почаще обращаться к нам. Отказаться от Windows.
Вот мне интересно и на какую ось должен перейти автор темы? Он ведь указал, что дома и на работе у него стоит XP. ИМХО Что ни говори, а продукт от Microsoft намного удобней по сравнению с Linux. И потом возникает извечный вопрос, какой дистрибутив выбрать толи убунту, толи ASP, плюс проблемы с дровами и прикладным ПО. Вот лично я, раз десять пытался перейти на Linux и все равно возвращался к XP. Приведу небольшой пример: подъем VPN-соединения – сущий геморрой и пляски с бубном, а в Windows это настраивается парой кликов мышкой. Или установка TrueCrypt под Ubuntu – тоже мало приятного.
Как будто нельзя написать кейлоггер для Linux?! Даже под АйПод написали вирус. К тому же для Windows хотя бы существуют антивирусы и антишпионы, чего не скажешь о Linux.
комментариев: 11558 документов: 1036 редакций: 4118
Автор спросил дополнительных советов и получил их. Относительно текущей ситуации я высказался выше.
Это и есть сугубо Ваше ИМХО. Моё совершенно не находит Windows ни удобной, ни логичной ни в сравнении с Линуксом, ни *BSD.
Вот бядаааа-то! (качая головой)
VPN настраивается и подключается буквально парой команд. Если Ваш провайдер не способен предоставить параметры соединения (или Вы не способны почитать man), ну, это бесспорно трагедия для Линукса. Об установке TC не особо понял, но и использовать Убунту я бы не рекомендовал.
Внимательно перечитайте оба фрагмента и покажите между ними связь (исключая встречаемое там и там слово "кейлоггер" :-). Неверные ответы не принимаются.
Диски
Сколько занимает времени подобная подъмена кода?
Она требует специалиста или с ней может справиться правильно проинструктированный исполнитель?
Можно ли каждый раз при загрузке восстанавливать загрузочный код например со сменного носителя?
Есть ли способ заметить подмену не сведующему в программировании человеку?
По поводу остаточной памяти в ОЗУ – насколько я понимаю достаточно, чтобы компьютер был выключен более 10-15 минут без заморозки и ничего уже востановить не удасться?
Компьютеры почти всегда подключены к интернету, это можно считать каналом? :)
Как я уже говорил, я не программист, и пользоваться умею только виндой. Однако логика мне подсказывает, что можно сделать так, чтобы вся важная информация и базы данных были на сервере, на котором будет стоять Linux и средства шифрования, при этом на других компах будет все та же Xp и почти никакой инфы, а пароль от сервака будут знать только 1-2 человека, которые и будут вводить его вначале рабочего дня. Я правильно мыслю или есть способы лучше?
Можно поподробнее, что за меры?
Хорошо, тогда если снять это условие, то о каких мерах и суммах идет речь?
Спасибо :) Я, можно сказать, сейчас как раз исследую границы этого здравого смысла :)
Два десятка строк и прописка всех роутингов в консоли, плюс дополнительные пакеты, которые надо качать из инета которого нет – конечно, это "буквально пара команд":)))
У моего провайдера есть ман(который не работает) только под Убунту и форум с сомнительными рецептами от техно-маньяков. Так, что VPN в Linux для меня проблемма.
Может посоветуете, какую Linux выбрать и где почитать про VPN.
PS SATtva простите, если я вас обидел.
комментариев: 11558 документов: 1036 редакций: 4118
Ничего страшного. Не стыдно чего-то не знать, стыдно — не хотеть учиться.
Атака может быть выполнена за полминуты, достаточно запустить ПК с заранее подготовленного загрузочного CD. Это может сделать и уборщица. Ну и потом ещё раз прийти и забрать ключ на флэшку.
Запароливание BIOS и установка в нём запрета на загрузку с внешних носителей способны немного затруднить операцию, минут на 5-10.
Не знаю программ дискового шифрования, которые бы это поддерживали (зато Linux позволяет держать загрузчик и ядро на внешнем носителе). Если хорошо попросите ntldr'a, может быть реализует в своём DiskCryptor.
Маловероятно.
Правильно. На самом деле для современных микросхем ОЗУ хватит даже одной-двух минут.
Нет, речь о таких вещах, как электромагнитное излучение от цепей компьютера. Решается экранизацией помещения и техники, стоит примерно от 100 тыс. руб., не считая работы специалиста.
Ничего сверхъестественного: решётки на окнах, крепкие двери, сигнализация и дедушка с берданкой (образно).
Всё правильно. Связь клиентов с сервером тоже можно шифровать (если имеется потребность). Так что Вы сами всё сказали, по существу ничего не добавить. Но если придут злые дяди, пароль от сервера могут заставить рассказать.
комментариев: 371 документов: 19 редакций: 20
Ровно столько, сколько нужно для загрузки компьютера с любого внешнего носителя.
Специалист требуется для написания кода для подмены. С установкой может справиться кто угодно.
Завтра будет выпущен релиз DiskCryptor 0.3, в нем вы можете выносить загрузочный код на внешний носитель.
Да, это опаснейший канал утечки. Если вы храните важную информацию, обрабатывайте ее на отдельной, изолированной машине.
Крепкие замки, железные двери, пропускная система и охрана территории.
Вам необходима специальная, хорошо изолированная от внешней среды комната для обработки секретных данных. Обязательно наличие электромагнитного экранирования, отсутствие окон, звукопоглотители на стенах, фильтрация сетевого питания или автономное питание. Также желательно иметь приборы для обнаружения подслушивающих устройств, видеокамер, и радиопередатчиков. Совершенно обязательна надежная охрана.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
ntldr, большой респект. Пожалуйста, перепишите features программы на /soft/diskcryptor.
TrueCrypt при первоначальном шифрование диска создает CD- восстановления, с которого можно восстановить загрузочную запись (клавиша F8)
комментариев: 271 документов: 13 редакций: 4
Такое отношение только радует :)
Уточню вопрос: при условии, что диски будут зашифрованы полностью, можно ли, пользуясь только интернетом, перехватить пароль?
По поводу утечки – как я понял, важная информация в незашифрованном виде может быть украдена с компьютера подключенного к интернету только тогда, когда у пользователя открыт сеанс (т.е. пароль уже введен пользователем и хакер тоже может видеть расшифрованные файлы)?
Просто злые дяди не придут, могут прийти злые государевы дяди – насколько для них допустимо использование "неправовых" методов допроса? Понятно, что для милиции такие методы норма, так ли это для других служб?
Если загрузчик будет поврежден, то вы не сможете загрузит/расшифровать операционную систему. Повреждение загрузчика может произойти по разным причинам, например: Установка второй операуионки, Апаратный сбой во время загрузки, Человеческий фактор (кривые руки).
комментариев: 11558 документов: 1036 редакций: 4118
Теоретически. Если противник способен удалённо перепрошить сетевую карту, то может извлечь содержимое ОЗУ. Исследования в этой области есть, некоторые карты к таким атакам уязвимы (по крайней мере были до этих исследований, но кто знает, у кого уязвимости остались?). Подробностей немного. Как отметил ntldr, если ведётся обработка сверхценных данных, машина должна быть полностью автономной, никаких сетей, всё взаимодействие с внешним миром — через оператора и принтер.
При наличии существенных доказательств и возбуждении уголовного дела, потребовать могут и вполне правовым путём. А там уж Вам решать, отказываться от сотрудничества со следствием или добровольно смягчать свою участь. Но здесь это уже офф-топик. Обсуждается там.