» »

Sifriranje diska ali servis za obvescanje

Sifriranje diska ali servis za obvescanje

tmz ::

Hi!

Imam eno teoretično vprašanje, ki pa bo imel posledice v praksi - vsaj zame :-)
Torej. Imam nov računalnik in sedaj ne vem ali bi:
1. šifriral celotni disk: kot je recimo opisano tukaj truecrypt-windows-system-drive-encryption oz. mogoče celo z BitLockerjem
2. naredil program, ki bi tekel kot servis in bi se zagnal takoj ob prižigu računalnika (še pred logiranjem v sistem) in bi se pofočkal na neki internetni strani in če ne bi prišel iz znanih IP številk, bi stran poslala alert - namen tega je, če je računalnik ukraden in bi ga lopov slučajno prižgal in bi bil priklopljen na internet bi zvedel njegovo IP številko.

Obe rešitvi se med seboj izključujeta. Tako da se je treba odločiti za nekaj. Prva varianta je preizkušena in lopov ne dobi podatkov. S tega stališča je kul. Nimaš pa nobene možnosti, da bi ga izsledil.
Druga varinta ima zelo veliko če-jev in je malo verjetnosti da deluje, vseeno pa je verjetnost.

Torej. Kaj vi pravite? Za kaj bi se vi odločili? Mogoče malodebate na to temo.

Če bi se odločil za prvo varianto in glede na to, da sem si naložil win 7 ali bi šifriral z BitLockerjem ali recimo tem Truecrypt?

tony1 ::

Prava rešitev je Truecrypt.

misek ::

Druga varianta je popolnoma neuporabna, razen če naletiš na butastega lopova :D

OmegaBlue ::

Kaj pa zmes obojega, sistem sam po sebi pustiš tak kot je, in na njem laufa servis, vse profile programov in pomembne podatke pa preseliš na drugo particijo, ki je šifrirana.
Never attribute to malice that which can be adequately explained by stupidity.

BlueRunner ::

Če se gre za preprečevanje dostopa do podatkov na ukradenem prenosniku, potem je bistveno, da že v izhodišču preprečiš zagon sistema. Pol-pol varianta je enako kompleksna kot šifriranje celotnega sistema, saj boš moral dostop do šifrirane vsebine profila urediti tako, da bo vsebina dostopna po zagonu, vendar pa še pred prijavo v sistem. Varen način kako to storiti pa vključuje neko zunanji medij s ključem (pametna kartica, lahko tudi TPM) in geslo. Oboje pa potrebuješ že pri zagonu sistema, če se odločiš uporabiti TrueCrypt ali pa BitLocker.

Če imaš Visto/Win7 IN, če nimaš potrebe po zagonu drugih sistemov, ti priporočam BitLocker. Sicer pa TrueCrypt, GNU/Linux pa zavaruješ s posebej kriptirano particijo.

Druga varianta, da se ti računalnik oglaša "domov" je pri nas večinoma neuporabna, saj kraja računalnika ni tako težko kaznivo dejanje, da bi za njega sodnik odobril vpogled v podatke o prometu. Tako boš sicer imel na voljo IP naslov, vendar pa ne ti, ne policija v večini primerov ne boste mogli izvedeti komu je ta IP naslov pripadal. Lahko to narediš, vendar pa ne pričakuj preveč rezultatov iz tega naslova.

tmz ::

Kaj pa zmes obojega, sistem sam po sebi pustiš tak kot je, in na njem laufa servis, vse profile programov in pomembne podatke pa preseliš na drugo particijo, ki je šifrirana.


Tako nekako sem razmišljal za drugo varianto, ja. Da bi vseeno svoje podatke imel šifrirane. Edino kar je, da ni praktično.

Tole mi je pa uporaben podatek:
Druga varianta, da se ti računalnik oglaša "domov" je pri nas večinoma neuporabna, saj kraja računalnika ni tako težko kaznivo dejanje, da bi za njega sodnik odobril vpogled v podatke o prometu. Tako boš sicer imel na voljo IP naslov, vendar pa ne ti, ne policija v večini primerov ne boste mogli izvedeti komu je ta IP naslov pripadal. Lahko to narediš, vendar pa ne pričakuj preveč rezultatov iz tega naslova.

Da v praksi nič ne moreš narest.

Zakaj sem sploh začel razmišljat o tej drugi opciji. Ker sem zadnjič eno novico zasledil (mislim da tukaj, na SloTechu) kako je nekdo tako dobil svoj notebook nazaj, ker mu je delal backup online.

Karen ::

Bios (fingerprint) geslo za boot, geslo za dostop do diska, pa truecrypt particija za podatke, pa bodo notebooka imeli za rezervne dele. Aja, zavarovanje proti kraji je kar ugodno (samo ne smeš ga npr. pustiti v torbi na sedežu avta, ampak v prtljažniku:-) - za to boš že poskrbel, a ne?

WinXP ::

Karen je izjavil:

Bios (fingerprint) geslo za boot,

S katerim PROGRAMOM bi pa dobil zaščito z geslom za BOOT če že veš?
U Sloveniji više ne živim,ali jezik u kome pričam još zaboravio nisam...
Wrong? No,no... Thats it... Pozz

OmegaBlue ::

Nobenim, mora bit vgrajeno.
Never attribute to malice that which can be adequately explained by stupidity.

retsom ::

BlueRunner je izjavil:

Druga varianta, da se ti računalnik oglaša "domov" je pri nas večinoma neuporabna, saj kraja računalnika ni tako težko kaznivo dejanje, da bi za njega sodnik odobril vpogled v podatke o prometu. Tako boš sicer imel na voljo IP naslov, vendar pa ne ti, ne policija v večini primerov ne boste mogli izvedeti komu je ta IP naslov pripadal. Lahko to narediš, vendar pa ne pričakuj preveč rezultatov iz tega naslova.


To ni čisto res. Kraja prenosnika je kaznivo dejanje, ki če ga prijaviš na policiji, ga policija obravnava po uradni dolžnosti. Če boš imel IP naslov, lahko policija (ne pa sodišče) ponudnika zaprosi za posredovanje osebnih podatkov o lastniku tega IP naslova. Vsekakor je IP naslov dosti bolj uporaben podatek kot MAC naslov enega od vmesnikov, na podlagi katerega policija zaprosi za morebitne podatke o dostopu vse slovenske ponudnike dostopa.

LP

Furbo ::

Seveda pa so med tem časom občutljivi podatki že lahko na internetu.

Če pa (minimalno pameten) tat bere podatke z diska, ne da bi dejansko zaganjal mašino, pa sploh nimaš nič od take 'zaščite'.

Zadevi sploh nista primerljivi in alternativa druga drugi.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

BlueRunner ::

To ni čisto res. Kraja prenosnika je kaznivo dejanje, ki če ga prijaviš na policiji, ga policija obravnava po uradni dolžnosti. Če boš imel IP naslov, lahko policija (ne pa sodišče) ponudnika zaprosi za posredovanje osebnih podatkov o lastniku tega IP naslova.

Kar sem jaz napisal je čisto res, saj sem opisal dejansko stanje. Ti pa si naredil kratek povzetek enega dela relevantne zakonodaje, nisi pa podal celotne informacije.

Če policija zaprosi za podatek, potem to lahko je, lahko pa tudi ni obdelava podatkov o prometu, policija pa tega vnaprej ne more vedeti - zato praktično vedno najprej pride zaprosilo. Tožilci in preiskovalni sodniki to zavrnitev običajno priložijo predlogu preiskovalnem sodniku v katerem predlagajo pridobitev podatkov o prometu.

Če se ugotovi, da je za pridobitev zahtevanega podatka potrebna obdelava podatkov o prometu, potem je nujna odredba sodišča, sicer je obdelava protizakonita. Glede na to, da marsikaterem zavrnjenem zaprosilu ne sledi odredba sodišča, sklepam da so sodniki konzervativni pri odrejanju takšnih posegov v zasebnost.

Glede na to, da veš kakšna zaprosila policija pošilja, potem upam, da tudi veš na katera zaprosila operater sme odgovoriti, na katera pa brez odredbe sodišča ne sme odgovoriti. Čeprav ta razlika včasih kakšnega kriminalista malo ujezi, pa je bolje strogo spoštovati zakon, kot pa dajati podatke, ki jih lahko kasneje v sodnem postopku odvetnik obtoženega izloči in potencialno doseže oprostitev zaradi napake v postopku. Zastrupljen sadež in to.

Po mojih izkušnjah so kriminalisti zelo pragmatični in hitro groknejo kje je težava ter se tudi hitro prilagodijo dodatni okoliščini, ko so na njo opozorjeni. Kar se tiče dela sodišč oziroma preiskovalnih sodnikov, pa velja YMMW. Do sedaj jih je bila večina zelo konzervativnih glede izdajanja odredb za pridobitev podatkov o prometu, če se je šlo za tatvine manjše vrednosti.

Kot nasvet OP-u še vedno stojim za tem, da je možnost, da se računalnik prijavi na spletno stran, ki si shrani njegov IP naslov sicer izvedljiva, vendar pa ne zagotavlja uspeha. Čez palec in na podlagi osebnih izkušenj pa menim, da v Sloveniji preiskovalni sodniki niso vedno navdušeni nad izdajanjem odredb za dostop do podatkov o prometu. Če pomislim, da je morda kakšnih 10-15% IP naslovov takšnih, da je možno lastništvo ugotoviti brez vpogleda v podatke o prometu, potem je produkt teh dveh verjetnosti relativno majehn. Recimo nekje med 1:60 in 1:100. Torej mnogo boljše šanse kot loterija, vendar tudi mnogo manjše kot verjetnost, da se bo našlo ukradeno vozilo (med 1:5 in 1:3).

luky ::

Nekako sem v dvomih katerega uporabiti za šifriranje sistemske particije na PC-ju Lenovo ThinkCentre M90p ali BitLocker ali Truecrypt. Gor se nahaja OS Win7 x32 original instalacija Lenovo.

Kaj predlagate? :)
luky!

retsom ::

luky je izjavil:

Nekako sem v dvomih katerega uporabiti za šifriranje sistemske particije na PC-ju Lenovo ThinkCentre M90p ali BitLocker ali Truecrypt.

Gl. prejšnjo temo v istem delu foruma.

BlueRunner je izjavil:


Glede na to, da veš kakšna zaprosila policija pošilja, potem upam, da tudi veš na katera zaprosila operater sme odgovoriti, na katera pa brez odredbe sodišča ne sme odgovoriti.

Glede tega ti seveda ne morem ugovarjati. Če dvoliš bi samo dodal razlago za tiste, ki se jim sanja ne, o čem govoriš: ponudnik storitve policiji ne sme posredovati podatkov o uporabniku dinamičnega IP naslova, ker se to že smatra kot prometni podatek, kar pa ponudnik lahko posreduje samo na podlagi odredbe sodišča.

BlueRunner je izjavil:

Čeprav ta razlika včasih kakšnega kriminalista malo ujezi, pa je bolje strogo spoštovati zakon...

Če smo čisto natančni, nikjer v zakonu ne piše, da se dinamični IP naslov tretira drugače kot statični IP naslov. Gre zgolj za razlago zakona s strani informacijske pooblaščenke. Sicer se sam z njenimi mnenji velikokrat strinjam, ampak tale je pa po mojem osebnem mnenju ena velika bedarija. Zakaj je potrebno podatek, komu je bil v določenem času dodeljen določen IP naslov, šteti za prometni podatek, mi nikoli ne bo jasno. Ampak to je že druga zgodba.

LP

BlueRunner ::

Res je. Zakon se o tem ne opredeljuje. Vendar pa, ker je to eden izmed podatkov iz 107.b ZEKom, zaradi česar se ga obdeluje samo v skladu s 107.a - 107.e, obdelava tako ni možna brez ustrezne odredbe. ZKP tako daje policiji pravico podatek zahtevati, ZEKom pa ji to pravico omejuje na tej zbirki podatkov. T.i. statičen IP naslov je običajno "statično" vpisan v neki drugi zbirki osebnih podatkov (CRM, RADIUS, "statično" na routerju, ...) in s tem ni upravičen do posebnega varstva, ki ga sicer uživajo podatki o prometu.

Sicer pa je tako kar prav. Razkritje podatka iz seznama podatkov o prometu razkrije ne samo lastništvo, temveč tudi samo okoliščino, da komunikacija je bila vzpostavljena. Pri raznih ADSL-jih in kablih to sicer ne pove kaj veliko, pove pa to veliko več pri mobilčkih. Zakon pa teh dveh znova ne loči.

Nekaj kriminalistov pa je bilo tudi že presenečenih, ko se jim je pojasnilo, da v primeru PPPoE dostopov marsikateri operater dopušča dostope na različnih lokacijah in ne samo na lokaciji stalnega prebivališča oziroma priklopa priključka. Tudi to je bilo za njih neprijetno presenečenje, saj se je izkazalo, da velikokrat dejansko potrebujejo pravo lokacijo komunikacije, ne pa samo naslov plačnika - ki je lahko tudi nedolžen s čemer preiskava zaide v slepo ulico. No, lokacija pa je že globoko notri v "no no" zbirki za zaprosila.

Jux ::

Če iščete proper trace rešitev, ki se vgradi v BIOS računalnika: http://www.absolute.com/en/lojackforlap.... Ne vem pa če je na voljo v slo.
web&blog&etc: http://lukabirsa.com


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Prvi v celoti razkrit tajni nalog NSL

Oddelek: Novice / Zasebnost
138143 (6695) AndrejO
»

t2 trdi dinamični IP 2 meseca isti IP (strani: 1 2 )

Oddelek: Informacijska varnost
7015502 (13817) AndrejO
»

Hramba podatkov 2.0 (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
11646719 (39820) m0LN4r
»

Ena tema za Matthai...

Oddelek: Problemi človeštva
124686 (3606) BlueRunner

Več podobnih tem