id: Гость   вход   регистрация
текущее время 21:17 02/04/2020
Автор темы: Гость, тема открыта 12/03/2004 10:03 Печать
https://www.pgpru.com/Форум/ПрактическаяБезопасность/ЗащитаФайловОтКопирования
создать
просмотр
ссылки

Защита файлов от копирования


Подскажите, пожалуйста, существует ли такая программа, с помощью которой можно было бы защитить файлы от копирования. Например, чловек скачал с сайта файл, но передать его по e-mai, скопировать на диск (дискеты и т.д.) l или выложить на другом сайте не мог? Т.е. если кому-то еще нужен такой же файл, то он вынужден бы был идти на тот же самый сайт и скачивать файл оттуда опять же без возможности передавать его третьям лицам...


Или это нереально в принципе?


Спасибо


 
На страницу: 1, 2 След.
Комментарии
— Maxi (12/03/2004 10:34)   профиль/связь   <#>
комментариев: 6   документов: 1   редакций: 0
Cуществуют программы позволяющие ограничить запуск вашего файла (если это программа конечно) на компютере, файл запускается только в том случае, если вы сгенерировали для данного компьютера действующую лицензию.

Если ваш файл не является программой, а так-же в том варианте который вы описали – это технически "нереально в принципе", но в отдельных случаях может быть решено административными методами.
— Гость (12/03/2004 10:42)   <#>
Спасибо, Вы меня успокоили :-)
— SATtva (12/03/2004 12:45)   профиль/связь   <#>
комментариев: 11545   документов: 1036   редакций: 4094
Ирина, если возможно, опишите ситуацию более подробно: какого типа файл, какие действия с ним хотите разрешить, какие — запретить. В принципе, есть несколько способов регулирования прав пользования цифровым контентом. Эта часто ругаемая сегодня технология называется DRM — Digital rights management. Реализована она, в частности, в MS Office 2003 (обязательно в среде MS Server 2003), в Adobe Acrobat 6.0.
— Lahesis (12/03/2004 17:15)   профиль/связь   <#>
комментариев: 38   документов: 5   редакций: 0
Вот бы господин Нуралиев (1С) порадовался, если бы такое было возможно, а то парится человек который год с аппартными ключами :) .
— Гость (13/03/2004 21:12)   <#>
"... Если программу можно запустить, то, значит, ее можно и сломать..."
Если к этому файлу можно получить доступ, то, теоретически, можно сделать с ним все, что душе угодно... Хотя это порой и проблемно...
Это, кстати, головная боль издателей CD дисков... Диск можно, например, запаролить, но если Вы дадите хотя бы 1 пароль, то уже можно будет наладить нелегальное копирование... Поэтому не стоит, мне кажется, париться с этим вопросом... Если к контенту можно плучить доступ и закачать его на комп, то уже вопрос техники – как его сохранить... В "темпах" этот файл все одно осядет...
— paranoid ant (13/03/2004 22:56)   <#>
Помочь в данной ситуации может только отказ от собственнического подхода к информации.
Замочите в себе буржуа, разможите его пустую голову о свой монитор

и тогда желание срубить бабла пройдет само собой
— uacommerce (09/01/2008 23:34)   <#>
уважаемые знатоки. Можно ли разрешить копирование файлов с компьютера на внешние носители (usb, cd/dvd, floppy, отправка через инет почтой или через вебинтерфейс) только с одним расширением. С любыми другими расширениями файлы не должны покидать комп без участия пользователя. Т.е. если какой то файл с запрещенным разрешением появился вне компа это целиком на ответственности юзера.
Есть сетка – 5 машин подключены к роутеру с фаерволом к которому подключен ADSL
Если такую задачу решить возможно, был бы крайне признателен за подробное решение
сюда забрел в поисках решения, пишите на rubelko(собака) gmail.com
C Уважением
Константин
— Гость (10/01/2008 03:22)   <#>
С любыми другими расширениями файлы не должны покидать комп без участия пользователя.

Видимо, вы хотели сделать запрет не на копирование файлов с заданным расширением а запрет на копирование файлов какого-то типа (расширение можно поставить по желанию любое). Однако и это не спасёт ситуацию. Если программа написана с учётом обхода защиты, она отредактирует так называемый "заголовок" файла (первые его несколько байт, отвечающих за его тип), после чего пошлёт, например, картинку как текст или наоборот. По моему мнению, при правильной стратегии безопасности потребность осуществить то что вы хотите не возникнет. Всё решается на уровне разделения прав между пользователями. Разные же типы файлов – это плод восприятия, а реально всё это нули и единицы и концептуальных отличий между ними нет. Можно попытаться наворотить систему, запретив пользователю запускать много какие программы, запретив пользоваться теми или иными протоколами передачи данных, я даже допускаю столь сильное половое извращение как подгруженный модуль к ядру, который смотрит на все копируемые файлы, пытается понять их тип по заголовку или распознаванием данных что внутри (на основе конечного набора алгоритмов и известных ему типов расширений), и в итоге запрещает или разрешает некоторые действия. Однако, всё это предельно косолапо, криво и т.д. и легко ломается :) Есть так называемый "политики монопольного доступа" в Linux, и их простейшие аналоги в других серьёзных системах, где делается что-то подобное, но вот до различения разных типов файлов, думаю, там тоже "не додумались", так как это бредово. Обычно решаются задачи типа "запретить исполнение файлов хэш которых не состоит в списке" или "запретить исполнение того-то и того-то строго в такое время" и т.д. Вам следует осознать, что "разные типы файлов" – это слишком человеческий язык и он на абстрактном уровне очень хреново формализуется. Скажем так, я могу подделать файл любого типа под тот, который разрешён, скопировать его куда хочу, а потом вернуть ему исходный вид. Возводить же комплексную схему типа псевдоселинукса+ещё много чего... во-первых нереалистично сложно, во-вторых, как я уже написал выше, не нужно.

Я даже догадываюсь зачем это может быть нужно, типа фирма хочет чтоб сторудники не уводили документы на сторону и всё такое. В этом смысле тоже лучше не изобретать велосипед а воспользоваться существующим опытом режимных предприятий: интернет отключить, а ту информацию что всё-таки надо выносить – проверять вручную (этим может заниматься отдельное лицо). Всё остальное слишком уже ненадёжно.
— SATtva (10/01/2008 14:14)   профиль/связь   <#>
комментариев: 11545   документов: 1036   редакций: 4094
Всё решается на уровне разделения прав между пользователями.

Механизмы добровольного контроля доступа для этого не годятся. Задачу можно решить средствами принудительного (мандатного) контроля доступа (SELinux, RSBAC, grsecurity): определите типы несекретных объектов (включая и приложение, которое может писать "разрешённые" файлы), остальное ограничьте. Отличие подобных систем в том, что атрибуты безопасности всегда перемещаются вслед за самими объектами, т.е. пользователь не может, к примеру, вставить текст из секретного объекта в несекретный или сохранить его через "разрешённое" приложение, чтобы организовать утечку.

Замечу, что даже такая схема не исключает принятия организационных мер (как отметил выше Гость). Легко понять, что в обычном случае ничто не помешает пользователю сфотографировать экран компьютера на цифровую фотокамеру или даже на камеру сотового телефона.
— ntldr (10/01/2008 15:06)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Для предотвращения кражи данных на предприятии необходимо вводить ряд как программных, так и организационных мер.
Я опишу методику настройки ОС Windows которая была опробована в нескольких организациях и дала превосходный результат.
Первое что нужно сделать – это определить список софта нужного для работы пользователя. Затем проверяем этот софт на возможность его работы с понижеными привилегиями (из под ограниченого пользователя). Софт не работающий в этом режиме относим к категории опасного, и ищем ему замену. После ставим пароль на учетную запись администратора, и создаем учетную запись пользователя. Обязательно проверяем права доступа. Пользователь не должен иметь прав на запись куда-либо кроме своей директории.
Затем открываем апплет Local Security Policy и создаем там Software Restriction Polices. Устанавливаем по умолчанию запрет на запуск всего, удаляем дефолтовые правила и создаем для каждого приложения правило разрешающиее его запуск. Обязательно следите за тем, чтобы ни один разрешенный на исполнение путь не был доступен на запись.
После проводим общую настройку системы заключающуюся в отключении всего лишнего (коего в Windows навалом), и устанавливаем фаерволл wipfw. (порт ipfw с BSD на винду). В фаерволле выбираем политику блокировки всего по умолчанию, и разрешаем входящие соединения только по нужным нам портам.

Этот несложный комплекс мер призван защищить систему от вредоносного софта (вирусов, троянов, эксплоитов), причем он в отличии от антивируса дает практически 100% гарантию отсутсвия нежелательных программ. За два года эксплуатации парка машин настроеных по такой методике не было ни одного случая взлома или заражения.

Если вы хотите защищиться от инсайдеров, то все это следует дополнить контролем деятельности пользователей. Для этого разрешаем HTTP только через корпоративный прокси, и ведем логи доступа. Разрешаем SMTP только через корпоративный сервер, и сохраняем копию всей передающейся почты. Все остальные протоколы запрещаем на фаерволле шлюза и разрешаем лишь по мере необходимости. Желательно ставим на рабочие машины кейлогер с возможностью снятия скриншотов (пойдет bpk keylogger) и сливаем логи на корпоративный сервер.
Если для работы не нужен доступ к USB портам, то отключаем их в менеджере устройств. Ставим пароль на BIOS, системный блок опечатываваем. Все логи должны периодически просматриваться службой безопасности. Целостность печатей на системных блоках тоже должна иногда проверяться.

Ну и наконец организационные меры:
1 – Заставить сотрудников подписать договор о секретности обрабатываемой информации содержащий требование о полной компенсации убытков в случае нарушения.
2 – Ввести меры по контролю физического доступа к рабочим помещениям. Поставить охрану, ввести пропускную систему.
3 – Поставить на входе чувствительный металлоискатель и запретить вход с любыми запрещенными предметами (такими как камеры, мобилы, внешние накопители, и.т.д.)
4 – Ввести обыск сотрудников на выходе.
— SATtva (10/01/2008 15:28)   профиль/связь   <#>
комментариев: 11545   документов: 1036   редакций: 4094
Вот так вот: человек спрашивал, нельзя ли запретить копирование файлов определённого типа, а получил уже и SELinux, и охранников с металлоискателями на проходной. :-))
— Гость (10/01/2008 15:43)   <#>
ntldr, предлагаю сделать ваш последний пост новым документом в вики ибо познавательно.

Ваша методика подойдёт когда можно обойтись только минимальным интернетом и когда можно позволить пользователям работать с компьютером как с банкоматом (то есть нельзя исполнять смамим написанные проги).

Для этого разрешаем HTTP только через корпоративный прокси, и ведем логи доступа. Разрешаем SMTP только через корпоративный сервер, и сохраняем копию всей передающейся почты.

Не нравится мне это вот чем: де-факто, никаких мер препятствующих пересылке запрещённых документов, получается, нет, единственное лишь – "неминуемое" наказание.

Если кому-либо хоть раз удастся пронести мобильный телефон с фотокамерой, то он его может больше никогда не проносить мимо охраны а хранить в стенах организации, посредством него можно фотать экран и отсылать по мобильному инету скрины. Заметим, что всего один пронос телефона, и вся защита может оказаться фикцией.

А пользователи уведомляются о том что за ними сле6дят или нет?

Для комплекта надо повесить скрытые видеокамеры и в реальном времени наблюдать за всеми: не вздумал ли кто фотографировтаь экран, не болтает ли кто с соседом вместо работы и т.д. Ещё лучше научить всех сотрудников стучать друг на друга что существенно повысит надёжность, ну и как завершающий аккорд переехать на место жительства в Японию или хотя бы в Америку (в Японии во многом по описанию такие же схемы как у вас+стукачество+видеокамеры).
— SATtva (10/01/2008 15:51)   профиль/связь   <#>
комментариев: 11545   документов: 1036   редакций: 4094
А пользователи уведомляются о том что за ними сле6дят или нет?

Должны. Без предупреждения работодатель делать такое не вправе.

в Японии во многом по описанию такие же схемы как у вас+стукачество+видеокамеры

А у нас пофигизм и разгильдяйство.
— Гость (10/01/2008 15:52)   <#>
Да, ещё забыл добавить, мы же всё-таки русские, потому советский опыт отменять никак нельзя, и странно было бы им не воспользоваться. После работы с особо секретной информацией или после выполнения особо секретной работы сотрудников надо "убирать". Сейчас гуманный век, потому лучше не расстреливать а им самим давать в руки пистолет и предлагать убить себя. В качестве трюка искусства современного менджмента предлагаю не сообщать принимаемым на работу сотрудникам о том какое прекрасное будущее их ждёт после выполнения работы (дабы отсеять психически не сформировавшихся и ненадёжных личностей). Стоит отметить, что предложенная схема с успехом работает и поныне, например, ею пользуются киллеры, мафия и др. организации. Как говаривал Вождь,
нет человека – нет проблемы
P. S.: я пошутил :)
— ntldr (10/01/2008 17:50)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20

Такие меры не стоят даже обсуждения ввиду их принципиальной ненадежности. Если есть возможность пересылать разрешенные документы, то можно переслать запрещенный, в крайнем случае перепечатав его с клавиатуры вручную.
Если вы работаете с информацией высокой секретности, то на рабочих местах не должно быть даже намека на сеть, а передача любой информации из системы должна выполняться админом через вскрытие пломб и подключение внешнего носителя с последующим опечатыванием портов после завершения процедуры.
Для более простых случаев будет достаточно договора о секретности и максимально полного наблюдения за каждым шагом сотрудников.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3