id: Гость   вход   регистрация
текущее время 15:04 15/07/2024
создать
просмотр
ссылки

Помогите выбрать программу


Здравствуйте!


Хотелось бы получить совет по следующим задачам:


1. Защита домашнего компа от людей Х
2. Защита компов на работе от людей Х


Люди Х – люди обладающие широкими правовыми и техничекими возможностями, а если не повезет, то и "неправовыми".


На всех компах установлена Xp.


В связи с этим возникаеют следующие вопросы:
1. Чем лучше шифровать? Есть ли программы равные PGP по надежности и открытости?
2. Если шифровать отдельный раздел, то, насколько я понимаю, пароль может быть перехвачен каким-нибудь keylogger'ом, есть ли эффективный способ защиты от этого?
3. Если шифровать весь диск, чтобы пароль спрашивался до загрузки винды, смогут ли люди Х узнать или как-то перехватить его, при условии, что пароль будет храниться только в моей памяти? (исключая способы с утюгом и пинками :) )
3.1. Скажется ли это на производиельности компьютера?
4. Как лучше организовать сеть на работе, чтобы пароль знали как можно меньше людей?
5. Какие еще меры можете посоветовать? (не требующие больших мат. вложений?)


Спасибо


 
На страницу: 1, 2 След.
Комментарии
— SATtva (16/07/2008 16:51, исправлен 16/07/2008 16:51)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Чем лучше шифровать? Есть ли программы равные PGP по надежности и открытости?

Шифровать почту или диски? В первом случае — GnuPG, во втором — TrueCrypt или DiskCryptor.

Если шифровать отдельный раздел, то, насколько я понимаю, пароль может быть перехвачен каким-нибудь keylogger'ом, есть ли эффективный способ защиты от этого?

От программных кейлоггеров — только меры по укреплению ОС. (В целом, среда Windows для этого плохо подходит, но штатными средствами контроля привилегий аккаунтов можно максимально ограничить возможности по исполнению неизвестных программ. Это полумера, конечно: от исполнения произвольного кода Вы эту ОС не защитите.) От аппаратных кейлоггеров — меры физического контроля территории. От технических каналов утечки (с Вашим условием минимальных материальных затрат) — ничего.

Если шифровать весь диск, чтобы пароль спрашивался до загрузки винды, смогут ли люди Х узнать или как-то перехватить его, при условии, что пароль будет храниться только в моей памяти?

Да: подменой загрузочного кода или вот так. И то, и другое при условии физического доступа к ПК. Или удалённо через технические каналы утечки.

Скажется ли это на производиельности компьютера?

Полное дисковое шифрование? Незначительно. Скорее всего, даже не заметите.

Как лучше организовать сеть на работе, чтобы пароль знали как можно меньше людей?

Очень аккуратно. :-) Сформулируйте вопрос корректно.

Какие еще меры можете посоветовать?

Проявлять здравый смысл. Почаще обращаться к нам. Отказаться от Windows.
— Гость (16/07/2008 18:43)   <#>
Отказаться от Windows

Вот мне интересно и на какую ось должен перейти автор темы? Он ведь указал, что дома и на работе у него стоит XP. ИМХО Что ни говори, а продукт от Microsoft намного удобней по сравнению с Linux. И потом возникает извечный вопрос, какой дистрибутив выбрать толи убунту, толи ASP, плюс проблемы с дровами и прикладным ПО. Вот лично я, раз десять пытался перейти на Linux и все равно возвращался к XP. Приведу небольшой пример: подъем VPN-соединения – сущий геморрой и пляски с бубном, а в Windows это настраивается парой кликов мышкой. Или установка TrueCrypt под Ubuntu – тоже мало приятного.

От программных кейлоггеров — только меры по укреплению ОС. (В целом, среда Windows для этого плохо подходит, но штатными средствами контроля привилегий аккаунтов можно максимально ограничить возможности по исполнению неизвестных программ. Это полумера, конечно: от исполнения произвольного кода Вы эту ОС не защитите.)

Как будто нельзя написать кейлоггер для Linux?! Даже под АйПод написали вирус. К тому же для Windows хотя бы существуют антивирусы и антишпионы, чего не скажешь о Linux.
— SATtva (16/07/2008 19:18, исправлен 16/07/2008 19:24)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Гость (16/07/2008 18:43), Ви таки тролль? Отвечу только раз, и то потому, что Ваша критика адресована мне. Но разводить флейм не советую.

Вот мне интересно и на какую ось должен перейти автор темы? Он ведь указал, что дома и на работе у него стоит XP.

Автор спросил дополнительных советов и получил их. Относительно текущей ситуации я высказался выше.

ИМХО Что ни говори, а продукт от Microsoft намного удобней по сравнению с Linux.

Это и есть сугубо Ваше ИМХО. Моё совершенно не находит Windows ни удобной, ни логичной ни в сравнении с Линуксом, ни *BSD.

И потом возникает извечный вопрос, какой дистрибутив выбрать толи убунту, толи ASP, плюс проблемы с дровами и прикладным ПО.

Вот бядаааа-то! (качая головой)

Приведу небольшой пример: подъем VPN-соединения – сущий геморрой и пляски с бубном, а в Windows это настраивается парой кликов мышкой. Или установка TrueCrypt под Ubuntu – тоже мало приятного.

VPN настраивается и подключается буквально парой команд. Если Ваш провайдер не способен предоставить параметры соединения (или Вы не способны почитать man), ну, это бесспорно трагедия для Линукса. Об установке TC не особо понял, но и использовать Убунту я бы не рекомендовал.

От программных кейлоггеров — только меры по укреплению ОС... В целом, среда Windows для этого плохо подходит... от исполнения произвольного кода Вы эту ОС не защитите.

Как будто нельзя написать кейлоггер для Linux?!

Внимательно перечитайте оба фрагмента и покажите между ними связь (исключая встречаемое там и там слово "кейлоггер" :-). Неверные ответы не принимаются.
— Гость (16/07/2008 20:01)   <#>
Здравствуйте, я кейлоггер для Linux. К сожалению я не могу следить за вами из за наличия в Linux системы безопасности, пожалуйста введите пароль root, уважайте труд честных хакеров.
— Gunslighter (16/07/2008 20:17)   <#>
Скажу честно, я далек от программирования, поэтому заранее извиняюсь за вопросы, которые могут показаться глупыми.

Шифровать почту или диски?


Диски

Да: подменой загрузочного кода или вот так. И то, и другое при условии физического доступа к ПК.


Сколько занимает времени подобная подъмена кода?
Она требует специалиста или с ней может справиться правильно проинструктированный исполнитель?
Можно ли каждый раз при загрузке восстанавливать загрузочный код например со сменного носителя?
Есть ли способ заметить подмену не сведующему в программировании человеку?

По поводу остаточной памяти в ОЗУ – насколько я понимаю достаточно, чтобы компьютер был выключен более 10-15 минут без заморозки и ничего уже востановить не удасться?

Или удалённо через технические каналы утечки.


Компьютеры почти всегда подключены к интернету, это можно считать каналом? :)

Очень аккуратно. :-) Сформулируйте вопрос корректно.


Как я уже говорил, я не программист, и пользоваться умею только виндой. Однако логика мне подсказывает, что можно сделать так, чтобы вся важная информация и базы данных были на сервере, на котором будет стоять Linux и средства шифрования, при этом на других компах будет все та же Xp и почти никакой инфы, а пароль от сервака будут знать только 1-2 человека, которые и будут вводить его вначале рабочего дня. Я правильно мыслю или есть способы лучше?

От аппаратных кейлоггеров — меры физического контроля территории.

Можно поподробнее, что за меры?

От технических каналов утечки (с Вашим условием минимальных материальных затрат) — ничего.

Хорошо, тогда если снять это условие, то о каких мерах и суммах идет речь?

Проявлять здравый смысл. Почаще обращаться к нам. Отказаться от Windows.

Спасибо :) Я, можно сказать, сейчас как раз исследую границы этого здравого смысла :)
— Гость (16/07/2008 20:50)   <#>
VPN настраивается и подключается буквально парой команд

Два десятка строк и прописка всех роутингов в консоли, плюс дополнительные пакеты, которые надо качать из инета которого нет – конечно, это "буквально пара команд":)))

Если Ваш провайдер не способен предоставить параметры соединения (или Вы не способны почитать man)

У моего провайдера есть ман(который не работает) только под Убунту и форум с сомнительными рецептами от техно-маньяков. Так, что VPN в Linux для меня проблемма.

Убунту я бы не рекомендовал

Может посоветуете, какую Linux выбрать и где почитать про VPN.

PS SATtva простите, если я вас обидел.
— SATtva (16/07/2008 20:51)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Скажу честно, я далек от программирования, поэтому заранее извиняюсь за вопросы, которые могут показаться глупыми.

Ничего страшного. Не стыдно чего-то не знать, стыдно — не хотеть учиться.

Да: подменой загрузочного кода или вот так. И то, и другое при условии физического доступа к ПК.

Сколько занимает времени подобная подъмена кода?
Она требует специалиста или с ней может справиться правильно проинструктированный исполнитель?

Атака может быть выполнена за полминуты, достаточно запустить ПК с заранее подготовленного загрузочного CD. Это может сделать и уборщица. Ну и потом ещё раз прийти и забрать ключ на флэшку.

Запароливание BIOS и установка в нём запрета на загрузку с внешних носителей способны немного затруднить операцию, минут на 5-10.

Можно ли каждый раз при загрузке восстанавливать загрузочный код например со сменного носителя?

Не знаю программ дискового шифрования, которые бы это поддерживали (зато Linux позволяет держать загрузчик и ядро на внешнем носителе). Если хорошо попросите ntldr'a, может быть реализует в своём DiskCryptor.

Есть ли способ заметить подмену не сведующему в программировании человеку?

Маловероятно.

По поводу остаточной памяти в ОЗУ – насколько я понимаю достаточно, чтобы компьютер был выключен более 10-15 минут без заморозки и ничего уже востановить не удасться?

Правильно. На самом деле для современных микросхем ОЗУ хватит даже одной-двух минут.

Или удалённо через технические каналы утечки.

Компьютеры почти всегда подключены к интернету, это можно считать каналом? :)

Нет, речь о таких вещах, как электромагнитное излучение от цепей компьютера. Решается экранизацией помещения и техники, стоит примерно от 100 тыс. руб., не считая работы специалиста.

От аппаратных кейлоггеров — меры физического контроля территории.

Можно поподробнее, что за меры?

Ничего сверхъестественного: решётки на окнах, крепкие двери, сигнализация и дедушка с берданкой (образно).

можно сделать так, чтобы вся важная информация и базы данных были на сервере, на котором будет стоять Linux и средства шифрования, при этом на других компах будет все та же Xp и почти никакой инфы, а пароль от сервака будут знать только 1-2 человека, которые и будут вводить его вначале рабочего дня. Я правильно мыслю или есть способы лучше?

Всё правильно. Связь клиентов с сервером тоже можно шифровать (если имеется потребность). Так что Вы сами всё сказали, по существу ничего не добавить. Но если придут злые дяди, пароль от сервера могут заставить рассказать.
— ntldr (16/07/2008 20:58)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Сколько занимает времени подобная подъмена кода?

Ровно столько, сколько нужно для загрузки компьютера с любого внешнего носителя.

Она требует специалиста или с ней может справиться правильно проинструктированный исполнитель?

Специалист требуется для написания кода для подмены. С установкой может справиться кто угодно.

Можно ли каждый раз при загрузке восстанавливать загрузочный код например со сменного носителя?

Завтра будет выпущен релиз DiskCryptor 0.3, в нем вы можете выносить загрузочный код на внешний носитель.

Компьютеры почти всегда подключены к интернету, это можно считать каналом? :)

Да, это опаснейший канал утечки. Если вы храните важную информацию, обрабатывайте ее на отдельной, изолированной машине.


Можно поподробнее, что за меры?

Крепкие замки, железные двери, пропускная система и охрана территории.

Хорошо, тогда если снять это условие, то о каких мерах и суммах идет речь?

Вам необходима специальная, хорошо изолированная от внешней среды комната для обработки секретных данных. Обязательно наличие электромагнитного экранирования, отсутствие окон, звукопоглотители на стенах, фильтрация сетевого питания или автономное питание. Также желательно иметь приборы для обнаружения подслушивающих устройств, видеокамер, и радиопередатчиков. Совершенно обязательна надежная охрана.
— SATtva (16/07/2008 21:00)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Гость (16/07/2008 20:50), Вы меня ничем не обидели. :-) Я только настоятельно прошу придерживаться обсуждаемой темы. Похоливарить можно на ЛОРе при желании, здесь это не поощряется. Про настройку VPN тоже можете узнать на соответствующих форумах и в списках рассылки.
— SATtva (16/07/2008 21:14)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Завтра будет выпущен релиз DiskCryptor 0.3, в нем вы можете выносить загрузочный код на внешний носитель.

ntldr, большой респект. Пожалуйста, перепишите features программы на /soft/diskcryptor.
— Гость (16/07/2008 21:19)   <#>
Можно ли каждый раз при загрузке восстанавливать загрузочный код например со сменного носителя?
Не знаю программ дискового шифрования, которые бы это поддерживали

TrueCrypt при первоначальном шифрование диска создает CD- восстановления, с которого можно восстановить загрузочную запись (клавиша F8)
— poptalk (16/07/2008 21:51)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
Извиняюсь за offtop, а кто-нибудь мне подскажет, зачем программе шифрования восстанавливать загрузочный сектор, если можно просто запретить загрузку компьютера с внешнего носителя? Я исхожу из того, что изменять аппаратную часть компьютера злоумышленник не может.
— Gunslighter (16/07/2008 21:58)   <#>
Ничего страшного. Не стыдно чего-то не знать, стыдно — не хотеть учиться.


Такое отношение только радует :)

Компьютеры почти всегда подключены к интернету, это можно считать каналом? :)

— SATtva
Нет, речь о таких вещах, как электромагнитное излучение от цепей компьютера.

— ntldr
Да, это опаснейший канал утечки. Если вы храните важную информацию, обрабатывайте ее на отдельной, изолированной машине.


Уточню вопрос: при условии, что диски будут зашифрованы полностью, можно ли, пользуясь только интернетом, перехватить пароль?

По поводу утечки – как я понял, важная информация в незашифрованном виде может быть украдена с компьютера подключенного к интернету только тогда, когда у пользователя открыт сеанс (т.е. пароль уже введен пользователем и хакер тоже может видеть расшифрованные файлы)?

Но если придут злые дяди, пароль от сервера могут заставить рассказать.


Просто злые дяди не придут, могут прийти злые государевы дяди – насколько для них допустимо использование "неправовых" методов допроса? Понятно, что для милиции такие методы норма, так ли это для других служб?
— Гость (16/07/2008 23:11)   <#>
Извиняюсь за offtop, а кто-нибудь мне подскажет, зачем программе шифрования восстанавливать загрузочный сектор

Если загрузчик будет поврежден, то вы не сможете загрузит/расшифровать операционную систему. Повреждение загрузчика может произойти по разным причинам, например: Установка второй операуионки, Апаратный сбой во время загрузки, Человеческий фактор (кривые руки).
— SATtva (16/07/2008 23:30)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Уточню вопрос: при условии, что диски будут зашифрованы полностью, можно ли, пользуясь только интернетом, перехватить пароль?

Теоретически. Если противник способен удалённо перепрошить сетевую карту, то может извлечь содержимое ОЗУ. Исследования в этой области есть, некоторые карты к таким атакам уязвимы (по крайней мере были до этих исследований, но кто знает, у кого уязвимости остались?). Подробностей немного. Как отметил ntldr, если ведётся обработка сверхценных данных, машина должна быть полностью автономной, никаких сетей, всё взаимодействие с внешним миром — через оператора и принтер.

Просто злые дяди не придут, могут прийти злые государевы дяди – насколько для них допустимо использование "неправовых" методов допроса?

При наличии существенных доказательств и возбуждении уголовного дела, потребовать могут и вполне правовым путём. А там уж Вам решать, отказываться от сотрудничества со следствием или добровольно смягчать свою участь. Но здесь это уже офф-топик. Обсуждается там.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3