информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Атака на InternetЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Google закрывает безлимитные Photos 
 Имя компании как средство XSS-атаки 
 Утекший код XP и Windows Server... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2004 / июль
2004
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость




The Bat!

Защиты от USB-устройств? Их есть у нас...
dl // 11.07.04 03:24
Похоже, что недавний отчет Gartner о потенциальной опасности расплодившихся USB-дисков, часов с флешкам и т.п.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2004/07/18.html]
был с воодушевлением встречен индустрией (понятное дело, нужно торопиться, пока средства ограничения доступа к подобным носителям не окажутся встроенными в ОС). Довольно синхронно о выходе новых версий программ, направленных на решение описанной проблемы, отрапортовали Pointsec Mobile Technologies и Смарт Лайн Инк.

Правда, каждый из продуктов оперирует с одной из сторон описанной проблемы - Pointsec Media Encryption занимается прозрачным шифрованием данных, записываемых на носители, устраняя опасность утечки при выносе этой информации/краже носителя, в то время как DeviceLock позволяет управлять доступом к любым потенциально опасным устройствам, причем не ограничиваясь подключаемыми к USB.

Источник: vunet.com, CNews.ru      
предложить новость  |  обсудить  |  все отзывы (15) [5327]
назад «  » вперед

последние новости
Google закрывает безлимитные Photos // 11.11.20 22:12
Имя компании как средство XSS-атаки // 30.10.20 17:01
Утекший код XP и Windows Server удалось собрать // 01.10.20 01:40
Дела виртуальные // 30.09.20 22:36
Простое пробивание рабочего/провайдерского NAT с помощью Tailscale // 20.08.20 03:02
400 уязвимостей в процессорах Snapdragon // 08.08.20 08:08
Яндекс неуклюже оправдался за установку Теледиска // 29.07.20 17:09

Комментарии:

Заплатите нам кучу бабок и мы вам сделаем хорошо. Зачем... 13.07.04 15:00  
Автор: null666 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Заплатите нам кучу бабок и мы вам сделаем хорошо. Зачем платить, если всё уже есть.

RTFM!

http://support.microsoft.com/default.aspx?scid=kb;en-us;823732
Это вряд ли 13.07.04 15:59  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
1) Во-первых, у пользователей может стоять не только WinXP, но и Win2K или даже 98SE.
В таком случае, твой метод не годится.

2) А во-вторых, юзер перезагружается под локальным админом, вставляет флешку и наслаждается жизнью.
Если юзерам раздают локальных админов или сажают на 9х, то ни о какой политике безопасности речи не идет 13.07.04 16:36  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> 1) Во-первых, у пользователей может стоять не только WinXP,
> но и Win2K или даже 98SE.
> В таком случае, твой метод не годится.
>
> 2) А во-вторых, юзер перезагружается под локальным админом,
> вставляет флешку и наслаждается жизнью.
И выносить оттуда можно все что угодно. Кроме того, метод по идее должен работать на 2к (а 9х давно пора на свалку истории)
Не совсем понял 13.07.04 17:11  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
1) Если ты захочешь, например, в софтверной фирме отобрать у девелоперов/тестеров/team-лидеров/program-менеджеров права локального админа - то я могу только порадоваться твоему оптимизму. С большой вероятностью, это будет твой последний день работы в компании.

2) На Win2K SP4 - в реестре такого ключа нет.
Если есть права админа, то и приведенный совет не работает... 13.07.04 17:20  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> 1) Если ты захочешь, например, в софтверной фирме отобрать
> у девелоперов/тестеров/team-лидеров/program-менеджеров
> права локального админа - то я могу только порадоваться
> твоему оптимизму. С большой вероятностью, это будет твой
> последний день работы в компании.
Если есть права админа, то и приведенный совет не работает. Ничто не помешает вернуть все обратно.
:-)

А девелоперы, тестеры и пр.. в более-менее крупной конторе должны тоже подчиняться политике безопасности. При этом данные никогда не должны переходить из более безопасного хранилища в менее безопасное (вернее для них должен существовать минимальный уровень, а все хранилища должны быть разбиты по уровням). Если правило не выполняются - политики безопасности нет.
Для тестирования и отладки в большинстве случаев хватает виртуальной машины, которая в любом случае не пересечет периметр хост-машины, но там можно иметь любые права.

> 2) На Win2K SP4 - в реестре такого ключа нет.
А его и не будет пока не установишь хоть одно усб масс сторэйдж устройство. Хотя в принципе имя сервиса и могло поменяться, но это сильно вряд ли.
Полностью согласен 13.07.04 18:06  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
> Если есть права админа, то и приведенный совет не работает.
> Ничто не помешает вернуть все обратно.
>
Так я про это и говорю. Вряд ли рекомендация MS кому-то помешает.

> А девелоперы, тестеры и пр.. в более-менее крупной конторе
> должны тоже подчиняться политике безопасности.
>
Ты все говоришь правильно, сложность в том, чтобы эту политику безопасности обеспечить. Все люди разные. И как правило, человек слаб - он не может быть рядом с водой и не напиться.. А когда девелопмент - 200 человек, то как говорится, всех не перестреляешь. И еще есть TechSupport, Writers, ect.
Не, а все просто. У всех отбираются права локального админа и говорится: 13.07.04 18:28  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
"Вам нужна машина с локальным админом? Вот вам VMWare/VirtualPC/Bochs/UserModeLinux, и вперед."
И уже на следующий день 13.07.04 18:39  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
ты можешь искать другую работу :)

Потому что - никакой CEO/team-leader/program-manager этого не потерпит и пошлет админа на три буквы со всеми его USB-девайсами.
Как раз ни фига 13.07.04 19:01  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
Отредактировано 13.07.04 19:01  Количество правок: 1
<"чистая" ссылка>
Очень многие CEO трясутся над сохранением их интеллектуальной собственности. Если на предприятии есть CIO - это даже не обсуждается, тогда, как правило, есть четко поставленная политика безопасности. Я уже не говорю о том, что как раз CEO вообще до большого фонаря, как будет обеспечена сохранность этой самой интеллектуальной собственности.
Я знаю две (оговорюсь - большие) конторы, в которых подобная идея вполне могла бы прижиться. В одной из них я работал, и в те времена у нас (разработчиков) была постоянная грызня с админами за эти самые несчастные права локального админа. Умолчу, зачем они нам были нужны, замечу только, что мы бы замечательно прожили и без них, гоняя все необходимое по работе под варькой. Высшему руководству на это было почти положить, и наш отдел спасало лишь то, что нам благоволил один из вице-президентов (почему, к делу не относится). Иначе бы админы своего добились и начальство их только похвалило бы.
Давай сделаем как можно проще - 13.07.04 19:32  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
ты когда будешь работать админом, сразу отбирай у CEO и у всех PM-ов права локального админа под предлогом борьбы за их интеллектуальную собственность. И напиши потом, чем все закончилось.

Просто извини, но твои советы - это разговор ни о чем.
Я могу сразу написать. :0) 14.07.04 12:35  
Автор: Vened Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> ты когда будешь работать админом, сразу отбирай у CEO и у
> всех PM-ов права локального админа под предлогом борьбы за
> их интеллектуальную собственность. И напиши потом, чем все
> закончилось.
Я могу сразу написать. :0)
У нас, конечно, не бог весть какая большая контора, но в сети нет прав локального администратора _ни у кого_. Ни у руководства, ни у обычных пользователей.
И ничего, живем. Выгонять с работы пока не собираются. :0)
Не буду, у меня профиль другой :) Но если я паче чаяния... 13.07.04 19:46  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
> ты когда будешь работать админом,
Не буду, у меня профиль другой :) Но если я паче чаяния когда-нибудь стану техдиректором, то к попыткам ограничить мои права на рабочей машине буду относиться спокойно. При условии, что это будет не единственная мера безопасности, разумеется.

> Просто извини, но твои советы - это разговор ни о чем.
Ну извини в свою очередь, нет у меня знакомых админов, уволенных за то, что они хотели отобрать права локального админа у высшего руководства. Наверное, вопрос об отборе этих прав не вставал. Мне очень трудно представить, чтобы высшему руководству требовалось портить жизнь собственной компании. А вот от синих воротничков и ниже подобного можно ожидать, потому что их лояльность по отношению к компании заведомо меньше. Бог с ними с CEO, почему хотя бы низшим чинам нельзя ограничить это дело?
Кроме того, если CEO захочет навредить конторе 14.07.04 12:58  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
У него есть ОЧЕНЬ много возможностей и помимо выноса интеллектуальной собственности. В винде есть такая штука как Trusted Computing Base - доверенная вычислительная база (или как то так). Смысл в том, что если кто-то попадает в ядро, то там за его действиями уже никто не следит и ни в чем не ограничивает. Точно так же и здесь, если человек УПРАВЛЯЕТ интеллектуальной собственностью (или, еще лучше владеет ею), то защищать от него эту собственность не имеет смысла
Метод кончено хорош (очепятался - только щас заметил :-) ) 13.07.04 15:49  
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 13.07.04 17:22  Количество правок: 1
<"чистая" ссылка>
> Заплатите нам кучу бабок и мы вам сделаем хорошо. Зачем
> платить, если всё уже есть.
>
> RTFM!
>
> http://support.microsoft.com/default.aspx?scid=kb;en-us;823
> 732
Но приводит к ПОЛНОМУ отключению usb mass storage устройств. А описанные решения позволяют управлять доступом к этим устройствам.
Конечно, есть! 12.07.04 21:36  
Автор: ч Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Конечно, есть!
http://www.securewave.com/turcana/securewave/sanctuary_DC.jsp давно и успешно решает обе проблемы
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach