Здравствуйте, andyp, Вы писали:
A>Сложно. Это голографическая наклейка на тонкой пленке. Сразу будет понятно, что вскрывали. Оно и по жизни полезно — всегда будешь уверен, что в твой аппарат без тебя не влезали. Мы ж все ещё о паранойе говорим?
Можно подумать, такие вещи когда-то останавливали по настоящему упорных злоумышленников. А когда речь идет потенциально о сотнях мегабаксов, то можно и поднапрячься.
Или еще лучше. Сотрудники возвращают ноут, и сами ставят на нем печать "с признаками манипуляции". Юзер ничего не заметит. А потом, если что, экспертиза покажет, что печать была нарушена. Наверняка неизвестными злоумышленниками.
Ад пуст, все бесы здесь.
Re[10]: отдельный комп для особо важных данных и софта
Здравствуйте, Codealot, Вы писали:
C>Можно подумать, такие вещи когда-то останавливали по настоящему упорных злоумышленников. А когда речь идет потенциально о сотнях мегабаксов, то можно и поднапрячься. C>Или еще лучше. Сотрудники возвращают ноут, и сами ставят на нем печать "с признаками манипуляции". Юзер ничего не заметит. А потом, если что, экспертиза покажет, что печать была нарушена. Наверняка неизвестными злоумышленниками.
Блин, у всех технических мер есть предел. И тем не менее, я вполне себе жизненный и используемый комплекс мер тебе предлагаю. Если разговор о сотнях мегабаксов, то построй вокруг этого бука здание с соответствующим режимом доступа
Re[11]: отдельный комп для особо важных данных и софта
Здравствуйте, Codealot, Вы писали:
C>Используемый — да. А насколько действенный, на самом деле? C>Просто интересно.
Ну если железка находится не на улице и доступ на длительное время посторонних лиц к ней ограничен, если конторе ты хотя бы немного доверяешь неизвестен конечный получатель устройства, если буков ты на проверку отдаешь штук десять, а пользуешься потом одним на выбор, а остальные у тебя годами на полочке лежат до лучших времен...
Re[6]: отдельный комп для особо важных данных и софта
Здравствуйте, m2user, Вы писали:
AS>>В общем если хочется поизвращаться с безопасностью — Qubes OS к вашим услугам.
M>А как же все эти уязвимости в интеловских CPU, позволявшие в том числе читать память вне "песочницы".
Вне песочницы, но все же замапленную в адресное пространство задачи. Пусть даже без явно открытых прав на чтение.
Мое представление о сегодняшнем состоянии дел таково:
1. все свое адресное пространство можно прочитать. Даже куски, которые в него замаплены без права на чтение. Даже из JS в бровсере.
2. две сговорившиеся между собой программы найдут способ обмениваться данными, даже если это им запрещено. Даже если они обе — JS в разных закладках/окнах бровсера
Но при этом данные невзломанной программы, которая не делит с кем-то адресное пространство, защитить впомне возможно.
M>IMHO, решение на VM это для случаев когда ты ограничен одним ПК (ноутбук например). M>А в стационарных условиях можно спокойно позволить себе изолированное физ. устройство.
В стационарных условиях две сговорившиеся между собой программы завсегда найдут способ обмена данными, даже если они на физически разных машинах работают.
Re[6]: отдельный комп для особо важных данных и софта
M>IMHO, решение на VM это для случаев когда ты ограничен одним ПК (ноутбук например). M>А в стационарных условиях можно спокойно позволить себе изолированное физ. устройство.
Если приедет маски-шоу, то про существование VM (одной из множества) теоретически можно не сказать, а отдельный комп вызовет пристальный интерес термокриптоаналитиков.
Друга ищи не того, кто любезен с тобой, кто с тобой соглашается, а крепкого советника, кто полезного для тебя ищет и противится твоим необдуманным словам.
Re: отдельный комп для особо важных данных и софта
Здравствуйте, Codealot, Вы писали:
C>Возникла такая мысль. Купить мини-комп, хранить там отдельно от основного компа особо важные данные и установить на нем софт, который имеет доступ к таким данным. C>Какие здесь могут быть подводные камни? C>Собственно, как к нему подключаться? Через KVM — надежнее всего, но гемор. Через RDP — а надежно ли? Есть еще варианты?
Чем сильнее заизолируешь, тем менее удобно будет пользоваться. Довольно изолированный и неудобный вариант — тетрадка с ручкой. Нет ничего лучше каллиграфии гуидов.
Re[7]: отдельный комп для особо важных данных и софта
Pzz>В стационарных условиях две сговорившиеся между собой программы завсегда найдут способ обмена данными, даже если они на физически разных машинах работают.
Это как?
Re[6]: отдельный комп для особо важных данных и софта
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>"Съесть-то он съест, да кто ж ему даст". Я, например, даю доступ к сети только тому софту, который предназначен для работы с сетью, а софта, который хочет обновляться принудительно, вообще не использую.
Не, я устал бороться. Да и глупо же. С широкополосным все страх потеряли.
Брандмауер, как мондавошка, бдит и всех обламывает. Даже меня, когда забываю про него.
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Re[7]: отдельный комп для особо важных данных и софта
Здравствуйте, akasoft, Вы писали:
A>Брандмауер, как мондавошка, бдит и всех обламывает. Даже меня, когда забываю про него.
Это его работа — обламывать все, что не было вдумчиво добавлено в правила. Даже когда для софта, который я планирую допускать до сети, вылезает стандартный системный запрос "приложение хочет в сеть, пустить?", я отказываюсь, и добавляю правила вручную, чтоб не давать лишнего.
Я, например, даю доступ к сети только тому софту, который предназначен для работы с сетью, а софта, который хочет обновляться принудительно, вообще не использую.
