Вот, все радовались, а пришёл умный Влад и всё опошлил ;-)
> что "маски" - совсем безмозглые? и сервер найдут, и пароль
А как ВООБЩЕ можно от шоу защититься?
Как ты описал - никак, разве что далеко не 100%-ый вариант с всё же жёстким диском, и удивительно похожей на настоящую информацию ;-)
Или устроить шоу на входе, как разминку для охраны?
Задача. нужно спроектировать бездисковую рабочую станцию. под винды, чтобы офис работал, желательно 2000.
Требования. за компом должны работать люди с офисными пакетами(ворд , Эксель, может быть Аксес). Но на этом компе ничего не должно сохраняться, на случай маски шоу. при этом инфа естественно должна храниться где-то в другом месте, ибо она нужна руководству. Так же руководство должно изредка иметь возможность просматривать документы.
Приходит на ум - станция без винта, грузится с СД, файлы на серваке, работает по сети. Сервак сейчас под НТ4. сеть по ТСР/IP что посоветуете, как умнее это сделать, какую операционку заюзить? возможен ли вариант загрузки не с СД а с ЛАНа? Помогите, а то начальство сожрет.
Есть такая софтина, называется Citrix ICA 4.1
Ставишь ее на сервак, физически удаленный от конторы (города, страны...)
Далее.
В офисе на компы ставишь ее клиента, наз Citrix ICA Client 4.1
Операционка на компах может быть Линух, МакОС, Вынь,....
(Почти подо все есть)
Машинки - Пень2, 64, ЖД - 1-4Гб (!)
Происходит следующее.
Когда запускаешь клиента, в окне загружается раб. стол пользователя, все перс. настройки и т.д. и он работает на серваке (в окне), как на машине Вин2000.
+
Бегает все очень шустро,
Все рабочие файлы - на серваке автоматом
:)
Для быстрого разрыва соединения - ТОПОРОМ РУБИМ Интернет-КАБЕЛЬ !!!! ВСЕ - связи нет - концы вводу.
Нету даже намека на информацию. На машинах - голая ОС.
> Приходит на ум - станция без винта, грузится с СД, файлы на > серваке, работает по сети. Сервак сейчас под НТ4. сеть по > ТСР/IP что посоветуете, как умнее это сделать, какую > операционку заюзить? возможен ли вариант загрузки не с СД а > с ЛАНа? Помогите, а то начальство сожрет.
зачем так сложно? Тебе надо документы скрыть или факт операционки?
если документы то: ставиш на комп ZIP дисковод, у шефа хранится дискета с доками под PGD (PGP disk). Надо поработать, воткнул, открыл диск и работай. 100М для работы обычно хватает.
Как Маски шоу начались, дави Ctrl+F12 и пусть хоть головой о стенку бьются, но хрен расшифруют. Ну резервную не забывай каждый день делать.
PS: не помню кто сказал: "при современных методах допроса скрыть информацию невозможно..."
...
> пакетами(ворд , Эксель, может быть Аксес). Но на этом компе > ничего не должно сохраняться, на случай маски шоу. при этом > инфа естественно должна храниться где-то в другом месте, > ибо она нужна руководству. Так же руководство должно ...
Народ, я с вас удивляюсь! Какие терминальные сервера? Какие расшаренные диски? Насколько я понимаю, если админ обязан предоставить информацию о паролях, то он обязан предоставить информацию и о нахождении требуемой маскам информации, в том случае если они обнаружат какие-либо ее следы.
Так что ИМХО, единственный вариант - хранение всей информации на одном сервере с бакапом за пределы офиса. Только так можно получить какую-то гарантию, что маски не доберуться до бэкапа. А во время шоу в офисе в принципе не должно быть в наличии никакой скрытой информации, т.к. при обыске ее все равно ее найдут (это, кстати, касается и бумажек).
А если использовать FreeBSD 4.x ? Или QNX?11.06.02 04:27 Автор: Niodemon Статус: Незарегистрированный пользователь
FreeBSD, по крайней мере 4,3 (других не смотрел) может грузиться с лановки, далее, если юзать KDE то её K-Офис гораздо более мощный пакет, чем масдаевский. И своп ей редко нужен, так что на бездисковой станции пойдёт неплохо.
А QNX вообще не нужен своп, и все офисные приложения для неё никаких временных файлов не создают, насколько я знаю. QNX была бы оптимальным решением.
> FreeBSD, по крайней мере 4,3 (других не смотрел) может > грузиться с лановки, далее, если юзать KDE то её K-Офис > гораздо более мощный пакет, чем масдаевский. И своп ей > редко нужен, так что на бездисковой станции пойдёт неплохо. > А QNX вообще не нужен своп, и все офисные приложения для > неё никаких временных файлов не создают, насколько я знаю. > QNX была бы оптимальным решением.
Она озверительно дорогая в полных реализациях. Тогда автора ветви точно уволят. И переучивать народ, и тратиться нешуточно...
M-o-o-t01.06.02 10:28 Автор: SerpentFly <Vadim Smirnov> Статус: Member
Я полагаю можно сделать следующее, можно закатать на компашку Линукс, вот тебе и бездисковая станция, загружать по сети это помоему глюк, большая нагрузка и тп., да нет смысла, вобще невижу смысла даже с компашки грузитьс, тока гемороя с настройкой много будет, лучше все заваять на винте, один хрен там никаких левых временных файлов создаваться небудет, на том винте будет тока система и ВСЕ, "маскам" толку от просмотра системных файлов небудет никакого :)
Под линуксом есть ПО которое может подрубаться к Терминальной сесии NT, и там можно полне работать с офиссе и тп., никаких временных файлов нет, все на серваке.
По поводу шифрации данных, я скажу так, никакая шифрация неустоит перед ударом резиновой дубинкой.
У меня был 2 года назад опыт работы с фирмой я им писал прогу смысл которой был грохнуть БД предприятия, просто если влетает "маска" нужно заваять прогу которая будет перезаписывать инфу мусором, причем именно перезаписывать, ну и стирать потом, я писал такую прогу под упрощенную задачу, было это так - если входит налогивая то секретутка или кто нить из офиса, нажимает супер комбинацию клавиш, на любом компе, прога посылала сигнал серваку, и выгружалась из памяти, там запускалась другая прога. сервак стоял в другой комнате, пока до него добираются, данных нет:) В твоем случае, если все будут фактически работать в терминале это еще проще, так как комп 1, и никакого сетевого программирования :).
но полная потеря данных...01.06.02 15:08 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman Отредактировано 01.06.02 15:08 Количество правок: 1
> - это СОВСЕМ не лучший выход из ситуации... я б несказал, данные можно востановить из бэкапов, бэкапы могут писаться на матрици и храниться у директора, а вот уплывание информации в чужие руки увы невосполнимо :)
A kak naschet etogo....30.05.02 14:24 Автор: Miha.iL Статус: Member
> Задача. нужно спроектировать бездисковую рабочую станцию. > под винды, чтобы офис работал, желательно 2000. на NT 3.51 такую штуку строили с помощью Insignia NTRigue. сейчас, наскольок я знаю, надо искать по ключевым словам Citrix Metaframe :)
ну, и уже упомянутый terminal server. только, ты думаешь, что "маски" - совсем безмозглые? и сервер найдут, и пароль к ключу шифрования с 3 ударов угадают...
2 cybervlad31.05.02 00:07 Автор: Renkvil <Boris> Статус: Member Отредактировано 31.05.02 00:09 Количество правок: 1
Вот, все радовались, а пришёл умный Влад и всё опошлил ;-)
> что "маски" - совсем безмозглые? и сервер найдут, и пароль
А как ВООБЩЕ можно от шоу защититься?
Как ты описал - никак, разве что далеко не 100%-ый вариант с всё же жёстким диском, и удивительно похожей на настоящую информацию ;-)
Или устроить шоу на входе, как разминку для охраны?
> А как ВООБЩЕ можно от шоу защититься? ты в курсе, кого в России называют "маски-шоу"? это "физические" подразделения налоговой полиции, СОБР и т.п. - те, кто участвует в "фиксации состояния" офиса перед проверкой ;)
> Как ты описал - никак, разве что далеко не 100%-ый вариант > с всё же жёстким диском, и удивительно похожей на настоящую > информацию ;-) ненадолго можно ввести в заблуждение, если скрыть сам факт наличия информации. однако, как правило, если вламываютсятак то есть наводка. т.е. людям точно известно, что инфа есть и ее просто надо найти.
> Или устроить шоу на входе, как разминку для охраны? видишь ли, лицензированные охранники (а кто их без лицензии работать возьмет?) на курсах проходят в том числе и правовые вопросы. и очень не хотят иметь трения с властью за сопротивление сотрудникам правоохранительных органов ;)
не стоит забывать и о том, что они стоят в "цивильных" костюмах, с резиновой палочкой или газовым пистолетом (в лучшем случае - со служебным "макаровым"). а маски приходят в тяжелом снаряжении - при попытке дать в табло или солнечное сплетение, просто пальцы сломаешь ;) не говоря уже о просто разнице в физ подготовке ;)
> > к ключу шифрования с 3 ударов угадают... > Это уже жёстко, если не за что ;-) зато действенно. и бить можно не по лицу, а по почкам, дабы синяков не оставалось. и без свидетелей. самый безотказный метод криптоанализа ;)
это была длинная прелюдия ;) теперь ответ изначально вопрошавшему.
кроме обеспечения отсутствия копий информации на локальном диске рабочей станции, необходимо обеспечить быстрое ее уничтожение на сервере. естесвенно, 1-2 раза в день (или чаще - надо смотреть по типу информации и режиму ее использования) делать резервную копию в место, быстрый доступ к которому затруднен даже законному владельцу, например на сервер какой-нибудь фирмы SuperDataSAFE, расположенной на Багамах ;) в случае реального сбоя, руководство фитрмы запросит этот бэкап и восстановит инфу. маски это сами сделать не смогут, а пока длится процедура, должен подтянуться адвокат и журналисты ;)
зы. а может, просто работать надо так, чтобы не опасаться налета масок? ;)
2 cybervlad01.06.02 06:00 Автор: Renkvil <Boris> Статус: Member
> ты в курсе, кого в России называют "маски-шоу"? это
Нет, ты что, я только про маски-шоу слышал ;-)))
> "физические" подразделения налоговой полиции, СОБР и т.п. -
... а с ними такой умный чувак, без оружия, но в очках.
> те, кто участвует в "фиксации состояния" офиса перед > проверкой ;)
> > Как ты описал - никак, разве что далеко не 100%-ый > вариант > > с всё же жёстким диском, и удивительно похожей на > настоящую > > информацию ;-) > ненадолго можно ввести в заблуждение, если скрыть сам факт > наличия информации. однако, как правило, если вламываются >так то есть наводка. т.е. людям точно известно, что инфа
> есть и ее просто надо найти.
Вообще security by obsurity достаточно недейственная вещь, но криптоаналитике ТАК устают.
А время работает простив них...
> видишь ли, лицензированные охранники (а кто их без лицензии > работать возьмет?) на курсах проходят в том числе и > правовые вопросы. и очень не хотят иметь трения с властью > за сопротивление сотрудникам правоохранительных органов ;)
Это я так сказал, со смайликом на лице... ;-)
> > > к ключу шифрования с 3 ударов угадают... > > Это уже жёстко, если не за что ;-) > зато действенно. и бить можно не по лицу, а по почкам, дабы > синяков не оставалось. и без свидетелей. самый безотказный > метод криптоанализа ;)
А в солидной фирме, с камерами наблюдения, юристами и свидетелями, не чревато ли?
> кроме обеспечения отсутствия копий информации на локальном > диске рабочей станции, необходимо обеспечить быстрое ее > уничтожение на сервере. естесвенно, 1-2 раза в день (или
Т.е. харакири?
Есть даже одноимённая программа...
> чаще - надо смотреть по типу информации и режиму ее > использования) делать резервную копию в место, быстрый > доступ к которому затруднен даже законному владельцу, > например на сервер какой-нибудь фирмы SuperDataSAFE, > расположенной на Багамах ;) в случае реального сбоя, > руководство фитрмы запросит этот бэкап и восстановит инфу. > маски это сами сделать не смогут, а пока длится процедура, > должен подтянуться адвокат и журналисты ;)
Идея сильная.
Но какчастоделать такой бакап так далеко?
> зы. а может, просто работать надо так, чтобы не опасаться > налета масок? ;)
Вот в ФИДО говорили про злых конкурентов, подталкивающих у проверкам...
> Вообще security by obsurity достаточно недейственная вещь, > но криптоаналитике ТАК устают. при предложенном почечно-шланговом методе криптоанализа? ;)
> А время работает простив них... если кому-то почек не жалко ;)
> > синяков не оставалось. и без свидетелей. самый > безотказный > > метод криптоанализа ;) > > А в солидной фирме, с камерами наблюдения, юристами и > свидетелями, не чревато ли? 1. это делается быстро, пока юристов нет
2. это делается индивидуально, а не со свидетелями
3. камер наблюдения нет, например, в туалате ;)
мысль ясна? ;))
> > уничтожение на сервере. естесвенно, 1-2 раза в день > (или > > Т.е. харакири? > Есть даже одноимённая программа... не успеешь. есть девайсы для быстрого размагничивания с автономным питанием, или более кардинальные - с пиропатроном ;) открыл корпус - и хана винту ;) никакой undelete не поможет ;)
> Идея сильная. > Но какчастоделать такой бакап так далеко? читать умеем? зависит от инфы, "вообще" сказать сложно.
насчет "далеко" - вопрос в толщине канала связи. тут уже пофиг, где этот бэкап: в соседнем офисе или на Багамах. кстати, jfyi, существуют схемы инкрементального бэкапа и комбинированные, при которых объемы минимизированы.
скрыть инфу можно очень просто31.05.02 11:06 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
достаточно чтобы вся она была на в2к сервере который бы крутится под VMWare на юнихах (FreeBSD, Linux etc)
ставить сервер надо как Guest OS тогда VMware создат один файл который будет файловой системой для в2к
естесственно этот файл нужно зашифровать с помошью CFS
при шмоне достаточно просто ребутнуть или выключить по питалову сервак
после этого этого получить инфу с него не силовыми методаминевозможно
два вопроса.11.06.02 05:37 Автор: ab0 Статус: Незарегистрированный пользователь
> достаточно чтобы вся она была на в2к сервере который бы > крутится под VMWare на юнихах (FreeBSD, Linux etc) > ставить сервер надо как Guest OS тогда VMware создат один > файл который будет файловой системой для в2к > естесственно этот файл нужно зашифровать с помошью CFS > при шмоне достаточно просто ребутнуть или выключить по > питалову сервак > после этого этого получить инфу с него не силовыми методами >невозможно
Нет ли под юнихами методов реализации криптедфайлсистем в части "пароля под принуждением", по аналогии с виндовыми крипторами дисков?
Кстати, попытки действовать наоборот, т.е. эмулировать юниха под виндой на подмаунченом криптодиске винды - я не делал, нет ли у тебя опыта, как оно?
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
