» »

Varen prenos podatkov

Varen prenos podatkov

«
1
2

Scotch3M ::

Imam denimo 2 računalnika. Eden je priključen na internet 24/7, drugi pa je vedno odklopljen, ker nosi delikatne podatke, ki morajo biti vsaj kar se tiče vdora po elektronski poti 100% varni.

Problem nastane, ko želim prenašati neko manjšo količino podatkov med tema dvema računalnikoma. Peka dvd-jev je zamudna, prenos preko USB ključka pa se je tudi izkazal za zamudnega in preveč dela je, ker je potreba po dnevnem večkratnem prenosu manjših datotek. LAN povezava ni 100% varna, kljub routerju in softwerskemu firewallu. Odklop iz interneta za čas prenosa tudi ni zaželjena opcija in odpade. Potreboval bi način prenosa, ki POD NOBENIMI POGOJI nebi omogočal drugega, kot LE IN SAMO prenos v ali iz določenega direktorija na zavarovanem računalniku. Kako torej napraviti, da bo ne glede na vse hekerske finte in zmožnosti (vključno s trojanci in črvi), možen varen prenos iz ali v določen direktorij na zavarovani mašini. Rekli boste sicer, kako pa naj bi se črvi in trojanci znašli na pc-ju, ki (recimo da) nikoli ni bil na internetu, pa vendar... so tudi druge luknje. Nič ne sme biti prepuščeno naključju. Tako ali drugačno čiščenje sistema sicer ne more škoditi, vendar se s tem ne tolažim.

Za lažjo predstavitev vzemimo, da za sosednjim PC-jem, ki JE prikjučen na internet, že sedi heker, v polni pripravljenosti in se recimo zaveda, da se na zavarovani mašini nahaja nek trojanski konj, ki bi mu lahko po konvencionalnem linku omogočil dostop.

Torej tukaj me ne zanimajo protokoli, firewalli, ipd.
Zadeva mora biti 100% in ne sme spustiti čez drugega, kot tisti direktorij.
Videl sem tudi že USB to USB povezovalne adapterje. Ali tudi te delujejo v smislu ethernet adapterjev, ne vem.

Torej še enkrat, nobenih tcp/ip portov, firewallov in podobnih stvari. Nek čisto poseben protokol, ki ga NI MOGOČE zlorabiti enostransko na noben način. Vdor ni mogoč IN PIKA.
  • spremenil: Scotch3M ()

iggy ::

Vzami COM1 priključke pa poveži skupaj. Čeprov maš dost nejasno napisano kaj hočeš, ali sploh hočeš uporabljat tcpip protokol ali ne?
Hey, you're fat!

Scotch3M ::

Preko Com ter LPT smo prenašali pred davnimi časi, ko smo imeli še Dos sisteme. Današnji sistemi za enkrat sicer še niso omejitev, vendar se spomnim, da so bile hitrosti zelo uboge, celo za takratne potrebe. Za prekopiranje 30 MB igrice se je kar čakalo in čakalo pri kopiranju z Norton Commanderjem ali FastWire-om.

Tcp/ip mi takoj asociira na komplikacije s porti, hekerji in firewalli. Nič ni sicer nemogoče, vendar ker ne obvladujem področja, se ne mislim kosati s tem. Raje imam nekaj preprostega, kjer niso mogoči vdori, ker tehnologija preprosto ne omogoča, da bi jo kdo zlorabljal enostransko (torej si preko interneta ali lokalne mreže pridobil dostop do česa več, kot do dodeljenega direktorija).

fiction ::

Vzami COM1 priključke pa poveži skupaj. Čeprov maš dost nejasno napisano kaj hočeš, ali sploh hočeš uporabljat tcpip protokol ali ne?
To je potem kvecjemu security-through-obscurity.

Torej še enkrat, nobenih tcp/ip portov, firewallov in podobnih stvari. Nek čisto poseben protokol, ki ga NI MOGOČE zlorabiti enostransko na noben način. Vdor ni mogoč IN PIKA.
Res ne vem zakaj TCP/IP pri vseh zbuja asociacijo na nekaj nevarnega, medtem ko recimo kaj drugega deluje toliko bolje. Ok, vse skupaj je bilo nacrtovano ze davno nazaj in na nekatere podrobnosti se ni mislilo. Ampak zdaj je zadeva do neke mere zaflikana in tudi preizkusena tako da deluje dovolj dobro za cel internet - zakaj ne bi bilo to dovolj dobro tudi zate? Neka cudna resitev je ponavadi "boljsa" samo toliko casa, dokler nobeden ne pozna detailov.

Zbudite se! Vdor je vedno mogoc. Prav je, da razmisljas o tem, kako bi bilo to zate cim manj bolece, ampak ce sistem nacrtujes na dejstvu, da se vdor nikoli ne bo mogel zgoditi, si ze od zacetka obsojen na propad. Ce ne drugega imas vedno v igri zelo sibek clen - cloveka.

Prenos datotek prek USB-ja je samo ena obskurnost, ki ti da boljsi obcutek. Naceloma lahko heker tudi preko datotek, ki se kopirajo komunicira s tistim osamljenim racunalnikom. Da ne pozabimo na najbolj trivialno moznost: nekdo podkupi tistega slabo placanega studenta, ki ga uporabljas za prenasanje kljuckov sem in tja. :)

Jaz osebno bi se cisto lepo zanasal na en FTP daemon ali kaj podobnega. Jasno, zadevo bi chrootal in dostop preko firewalla omogocil samo tistemu drugemu racunalniku. Pa podatki bi bili vedno zasifrirani, kar pa je upam, ce je vse skupaj tako zelo pomembno, ze zdaj tako.

Scotch3M ::

Vzami COM1 priključke pa poveži skupaj. Čeprov maš dost nejasno napisano kaj hočeš, ali sploh hočeš uporabljat tcpip protokol ali ne?
To je potem kvecjemu security-through-obscurity.

Torej še enkrat, nobenih tcp/ip portov, firewallov in podobnih stvari. Nek čisto poseben protokol, ki ga NI MOGOČE zlorabiti enostransko na noben način. Vdor ni mogoč IN PIKA.
Res ne vem zakaj TCP/IP pri vseh zbuja asociacijo na nekaj nevarnega, medtem ko recimo kaj drugega deluje toliko bolje. Ok, vse skupaj je bilo nacrtovano ze davno nazaj in na nekatere podrobnosti se ni mislilo. Ampak zdaj je zadeva do neke mere zaflikana in tudi preizkusena tako da deluje dovolj dobro za cel internet - zakaj ne bi bilo to dovolj dobro tudi zate? Neka cudna resitev je ponavadi "boljsa" samo toliko casa, dokler nobeden ne pozna detailov.

Zbudite se! Vdor je vedno mogoc. Prav je, da razmisljas o tem, kako bi bilo to zate cim manj bolece, ampak ce sistem nacrtujes na dejstvu, da se vdor nikoli ne bo mogel zgoditi, si ze od zacetka obsojen na propad. Ce ne drugega imas vedno v igri zelo sibek clen - cloveka.

Prenos datotek prek USB-ja je samo ena obskurnost, ki ti da boljsi obcutek. Naceloma lahko heker tudi preko datotek, ki se kopirajo komunicira s tistim osamljenim racunalnikom. Da ne pozabimo na najbolj trivialno moznost: nekdo podkupi tistega slabo placanega studenta, ki ga uporabljas za prenasanje kljuckov sem in tja. :)

Jaz osebno bi se cisto lepo zanasal na en FTP daemon ali kaj podobnega. Jasno, zadevo bi chrootal in dostop preko firewalla omogocil samo tistemu drugemu racunalniku. Pa podatki bi bili vedno zasifrirani, kar pa je upam, ce je vse skupaj tako zelo pomembno, ze zdaj tako.


Ko se človeku enkrat pripeti vdor in meni se je, začne gledati malce drugače na te stvari. Dogodilo se mi je, da mi je heker (preko trojanskega konja ali pa backdoor-a, saj niti ne vem kako je točno kateri definiran) vdrl in pregledoval moje osebne dokumente in mi potem še pustil zbadljivo sporočilo. Podatke nisem razobešal po stenah, ampak sem jih imel na mojem lastnem PC-ju, imel sem naložen Sygate-ov personal firewall. Dokler imaš naložene neke filme in glasbo iz p2p, igrice in ti je računalnik bolj za zabavo, ni neke sekerancije, če ti je kdo šaril. Ko pa imaš veliko osebnih zadev, postane stvar osebna.

O človeškem faktorju raje nebi govoril, sicer pa ne bo dolgo, ko se bodo verjetno vsi podatki shranjevali na online diske. Takrat bo varnost protokolov, kot so danes npr. tcp/ip, pač morala biti zadovoljiva tudi lažjim vrstam paranoikov. Do tedaj pa mislim, da ni razloga, da bi se izpostavljal.

Če lahko še enkrat bolj po domače povem, iščem način, da se "zavarovani" računalnik pravzaprav ne bo bil pripravljen z drugim računalnikom meniti O NIČEMUR DRUGEM, kot LE in SAMO o prenosu datotek SAMO iz ali v imenik na njemu, ki je bil za to določen. Karkoli bi heker poskušal, bi naletel na "gluha ušesa". Internetni protokoli so narejeni, da ponujajo vse mogoče. Najboljša zaščita za moj primer bi bila uporaba protokola, ki pravzaprav ne ponuja "nič kaj prida". Če nič ne ponuja, je tudi manjša verjetnost, da ga bo heker izkoristil za karkoli "pametnega".

Kar se pa tiče komuniciranja preko datotek, je glede na mojo konkretno situacijo to že bolj znanstvena fantastika, poleg tega bi imela varovana mašina dovolj veliko varnost, da se nebi mogli programi kar sami zaganjati in s spreminjanjem datotek pošiljati hekerju nazaj informacije. Bolj ali manj bi šlo za prenos dokumentov in slik/filmov v smer proti varovanemu računalniku, nazaj bolj poredko. Sicer se pa vsak "tampering" s programi (in njihovimi datotekami) hitro zazna kot virus.

Zgodovina sprememb…

  • spremenil: Scotch3M ()

Brane2 ::

IMHO internet protokoli tu niso ahilova peta.

Tudi če je server 100% varovan, se napadalec vedno lahko spravi na tvojo mašino in jo uporabi za svoj proxy.

Edina stvar, ki mi pade na pamet, je kak SELinux na vseh udeleženih mašinah, ustrezno zategnjen in utrjen seveda.

O xBSDju pojma nimam, verjetno tudi kaj iz tega sveta in najbrž ustrezen ekvivalent v Win okolju.

A domnevam, da ti tak klient ne bi bil najbolj všeč, saj bi ti blokiral vsako stvar, ki odstopa od definiranih poti.

IMHO je tako, da folk opleta s ku*em po grmovju toliko časa, da naleti na koprive, potem pa si ga še za scanje ven ne upa vzet- ziher je ziher.

To, da bi imel podatke na varovane strežniku, je _lahko_ dobra ideja, ni pa 100% varna, jasno ( kaj pa je ).

Vendar, če je narejena po pameti ( lahko zdravi kmečki logiki ), je lahko za neke civilne namene povsem spodobna.

BTW: sta ta dva računalnika fizično blizu in med njima lahko potegneš še en mrežni kabel ali sta na različnih lokacijah in se lahko "vidita" samo čez internet ?
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • spremenil: Brane2 ()

Scotch3M ::

Fizično sta zelo blizu. Tudi o sekundarnem LAN adapterju na internetni mašini sem že razmišljal, vendar če predpostavljam, da se je heker lahko že brez problema prebil do internetne mašine, potem niti nima več veze na kakšen način je povezana z varovano mašino oziroma ali je varovana mašina povezana na switch ali direktno na internetno mašino.

Brane2 ::

To je vedno rizik.

Varovati moraš tako strežnik kot klienta, in kot sem že rekel, najbrž boš na klientu hotel meti nek kompromis in ne do konca zategnjen SELinux ali njegov ekvivalent, ker boš sicer znorel.

No, razen če se ti na klientu v bistvu nič ne spreminja in ne instaliraš novih programov, potem mogoče...
On the journey of life, I chose the psycho path.

solatko ::

USB data transfer kabel.
Imam enega za prodat cca 20EUR. Piši na ZS.

jkreuztzfeld ::

..., drugi pa je vedno odklopljen, ker nosi delikatne podatke, ki morajo biti vsaj kar se tiče vdora po elektronski poti 100% varni.


Čestitke. Rešil si problem.
--
Great minds run in great circles.

fosil ::

Ena nepreverjena ideja.

Zunanji disk z mrežnim in usb priklopom. Nekaj takega. Na net pc ga priklopiš prek mrežnega vmesnika na izoliranega pa preko usbja ali pa obratno.

Vprašanje pa je, če bi disk na tak način deloval in kako bi se obnašal v takem primeru.
Tako je!

Zgodovina sprememb…

  • spremenil: fosil ()

iggy ::

Imam občutek, da je lastnik teme samo male preveč paranoičen. Kar se tiče rešitev, ki so na voljo je to čez glavo. Sploh pa je najšibkejši člen človek.
Hey, you're fat!

overlord_tm ::

Diske imas kriptirane? Je offline hista na varni lokaciji, za zaklenjenimi vrati, nadzorom dostopa? Ker drugace gradis obzidje brez temeljev, bo pisel heker pa kisto odnesel, ce se mu res toliko gre za tvoje podatke :)

brodul ::

Recimo, da imaš superduper pomembne podatke. Jst bi se lotil tako ...

Ne štekam zakaj bi bil prenos prek seriskih vrat (USB .... karkoli že) bolj varen od TCP/IP. Pomoje te še prej pohackajo, prav tako pa ni neki močnih modernih varnosnih sistemov za seriske, USB protokole (ker pač ni potrebe) .

Izbira sistem na 'varnem kompu zna biti zabavna'. V grobem bi rekel da maš dve varjanti. Ena je neka hardened linux distribucija, to načeloma lažje obvladaš (no vsaj jst bi jo ... ). Druga je da greš v eksotiko: openSolaris (problem je da najbrš manj poznaš ... nardiš več lukenj).

Diske v varni mašini imas v RAID pa lepo šifrirane. Po potrebi prižgeš mrežno kartico in sshd. Preveriš da na NICu ni kakšnih čudnih stvari !!!

Za prenos uporabljaš openSSH (kluče za dostop zakljenjene z geslom, imaš na flash kartici to pa zakljenjeno v sefu). Če ti kdo sheka proper postavljen openSSH. "then we are doomed"

V "varni" računalnik si poleg diskov namestiš tuljave povežeš na izmenični eletrični vir z spreminajočo se frekvenco tega pa na alarm, ki varuje prostor s 'varnim' računalom.

Kako boš pa podatke varoval na primarnem računalu ... to pa nisi vprašal :D
Pretending to be a mature adult is so exhausting.

st0jko ::

Če ste res v tako veliki nevarnosti, oziroma mislite, da hekerji samo čakajo dan in noč, da tisti računalnik priklopite na net, in imate res tako zelo strogo zaupne podatke, potem se ne sprašuje glede varnosti tukaj po forumu, ampak se najame strokovnjaka. To po forumu mi deluje precej šalabajzersko.
keks?

terryww ::

in kaj je narobe z gateway/proxy varianto, kjer se žene kak honeypot z dpi oz ids-om? za os pa kak hardened xBSD, ker blackhatov za linux je že malo morje. skratka, nekaj znanja je treba vložit
It is the night. My body's weak.
I'm on the run. No time to sleep.

Mare2 ::

st0jko, na forumu se včasih več izve kot od kakega strokovnjaka. Razen od tebe, seveda. :)

Pejt spat.

cyber_killer ::

Shut down your computer and you will be safe.

techfreak :) ::

Tudi USB ključ ni varen.

1. Nekdo na prvi računalnik namesti program, ki bo skopiral nek drug program na USB
2. USB daš v drugi računalnik, virus se presname in prekopira vso vsebino v neko skrito mapo na USBju
3. Daš nazaj v prvi računalnik na katerem se program poveže z netom in podatke iz USBjeve skrite mape skopira na oddaljeno lokacijo

Scotch3M ::

Tudi USB ključ ni varen.

1. Nekdo na prvi računalnik namesti program, ki bo skopiral nek drug program na USB
2. USB daš v drugi računalnik, virus se presname in prekopira vso vsebino v neko skrito mapo na USBju
3. Daš nazaj v prvi računalnik na katerem se program poveže z netom in podatke iz USBjeve skrite mape skopira na oddaljeno lokacijo


Pa saj gre za takorekoč isti problem!

TCP/IP je omrežni protokol, podatki se prenašajo po paketih. Če izredno poenostavim in posplošim zadevo, bi lahko tudi usb ključi bili neke vrste paketi. In seveda bi bilo tudi tu potrebno, enako kot pri že omenjenem direktnem prenosu (usb, omrežje ali karkoli bi že omogočalo varen prenos), poskrbeti za to, da bi pred kopiranjem iz USB na "varni računalnik" poseben pregledovalni program (zagotovo ne windows explorer ali total commander) prikazal vse, kar se nahaja na ključku in do nekega mojega ukaza 100% blokiral vse ostalo, kot SAMO in LE listanje fajlov, potem bi pa označil kaj želiš prekopirati in program nebi dovolil prekopirati NIČ DRUGEGA, vse ostalo bi bilo blokirano. USB ključki za enkrat še niso tako pametni, da bi se zlagali kaj imajo gor in kaj dejansko bodo odposlali (razen tega potencialnemu virusu nebi dosti koristilo, če bi bil shranjen npr. v obliki .mp3). Sistem zaščiten. Pri tem bi bilo torej čisto vseeno ali je še kaj skritega na ključku, ker tako ali takoli nebi prišlo nič drugega skozi, prenos bi bil varovan. Če pa bi se, bog ne daj, na varovanem sistemu naselil virus, potem pa seveda ni pomoči. Ampak računalnik, katerega edina komunikacija z zunanjim svetom je preko varovanega kopiranja s ključka ali na ključek, je veliko lažje zavarovati pred virusi oziroma vdori, kot sicer.

In kot že omenjeno, bi se preko ključka prenašali le dokumenti, glasba, video in podobno. Programov (npr. .exe) se torej nebi prenašalo. Če pa lahko poslušanje mp3-jev ali zagon videa sproži virus, potem pa mislim, da sem zgrešil temo. Po potrebi (če bi bilo res nujno) se podatki iz varovanega sistema sploh nebi prenašali nikamor, v kolikor pa bi hotel prijatelju poslati .jpg sliko, bi pa poslikal monitor s fotoaparatom. Če bi se pri tem na sliki pojavili "skriti" piksli ali pa variacije v barvah, kontrastu ali biločem, ki bi nosili podatke in virus, ki bi ob odprtju .jpg slike na kolegovem računalniku programu za pregledovanje slik ukazal, naj te in te podatke prenese na oddaljen sistem, kam pa potem pridemo? Mislim da v znanstvenofantastični triler, ki bi ga rad videl, vendar ne na svojem računalniku, ker bi bil računalnik spet tako pameten, da bi se iz filma še kaj naučil in to uporabil proti meni.

Malo šale na moj račun, ampak mislim, da sem bistvo povedal. Vedno so nekje meje, preko katerih noben virus ali pa hacker ne more. Kako torej postaviti te meje?

Zgodovina sprememb…

  • spremenil: Scotch3M ()

Scotch3M ::

Če ste res v tako veliki nevarnosti, oziroma mislite, da hekerji samo čakajo dan in noč, da tisti računalnik priklopite na net, in imate res tako zelo strogo zaupne podatke, potem se ne sprašuje glede varnosti tukaj po forumu, ampak se najame strokovnjaka. To po forumu mi deluje precej šalabajzersko.


1. Računalnika NE PRIKLOPIM na net, ravno to je delna rešitev in hkrati nastanek novega problema.

2. Podatki niso strogo zaupni, kajti če bi bili, verjetno nebi brali moje teme. Podatki so osebni in ker imam slabo izkušnjo iz preteklosti, ko so prišli do njih in se mi potem še režali in me prizadeli, ne želim, da se to ponovi, morda celo v kakšnem hujšem scenariju. Osebne stvari so pač osebne stvari, nedotakljive, tako kot moje ali tvoje misli (tukaj smo pač ranljivi). To ni tema za debato in ne potrebuje dodatnih pojasnil ter utemeljitev, ker gre bolj ali manj za temelj oziroma temeljno vrednoto v družbi ali v večji skupini posameznikov, ki so si jo za temelj postavili.

3. Za strokovnjaka nimam denarja in ker gre le za občasen prenos datotek med od omrežja izoliranim računalnikom in računalnikom, priključenim na omrežje, ga tudi ne rabim, saj gre za izredno preprosto potrebo (željo, če tako hočete). Poleg tega bi se rad še kaj naučil in naredil SAM - tudi to je vrednota. Od strokovnjaka se bom naučil bistveno manj, kot s spraševanjem na forumu, ne glede na to, ali problem na koncu rešim ali ne.

Gre za moj osebni sistem. Podatki v nekem podjetju so lahko dostopni večji skupini ljudi znotraj podjetja in so varni toliko, kot najšibkejši člen verige. Lahko vseeno nekdo podjetje izda in podatke kljub varovanju odnese ven.

V mojem primeru pač ni podjetja, ampak sem jaz sam in svojih podatkov, ker so OSEBNE narave, ne zaupam nikomur. Najšibkejši člen verige je komunikacija med računalnikoma, razen če bi pod vplivom določenih substanc, hipnoze ali pa svoje druge izdajalske osebnosti (če bi imel dve), sam sebi "ponagajal".

4. Forum je forum. Nič napačnega ne vidim v tem, da se sprašuje. Varnost na internetu se v primeru povečanja takih razprav po forumih ne bo zmanjšala, kvečjemu povečala. Kdor je res hotel ali pa hoče kam shackati, od te teme ne bo odnesel verjetno nič novega. Bodo pa morda nekateri, ki morda še niso razmišljali v tej smeri, zdaj začeli ali pa poglobili razmišljanje.

Tisti zaključek "šalabajzarsko" mi kaže na neko vzvišenost, ki je v tej temi popolnoma nepotrebna (saj ne da kje drugje je). Če bi spraševal nekaj neprimernega za ta forum, je pač delo moderatorjev, da temo odstranijo ali pa jo premaknejo v smeti. Vendar mi odgovori (posti) ne kažejo na tak zaključek.

Vprašanja, nasprotovanja in dvomi o določenih rešitvah znotraj teme so zaželjen pojav, saj sprožijo oziroma razširijo debato in lahko vodijo le k napredku. Takle dvom v primernost ali smiselnost debate pa vodi v nazadovanje. O primernosti teme ali postov glede na pravila foruma pa, kot že rečeno, razsojajo moderatorji. Zato so tudi "poklicani".

Zgodovina sprememb…

  • spremenil: Scotch3M ()

Scotch3M ::

Shut down your computer and you will be safe.


Problem ni v tem, da misliš, da je to lahko rešitev. Problem je v tem, da misliš, da lahko človek z obupanjem problemu uide. Vsa zdrava pamet in logika govorita v prid temu, da v življenju ali pa v vesolju ničemur ne moreš ubežati. Ali to pomeni, da se bo problem pojavil v kaki drugi obliki ali drugem življenju, tega ne vem. Vedi pa, da so problemi zato, da se rešijo. Ne-rešitev ali opustitev enega problema s časoma vodi k drugemu problemu.

blackbfm ::

Kaj pa če bi kupil še en računalnik?

overlord_tm ::

1. Najsibkejsi clen je vedno clovek. Racunalniku nikoli ne pridejo na misel take neumnosti kot cloveku, ker racunalnik pac ne razmislja, ampak se ravna po pravilih ki mu jih doloci clovek.

2. Ja, zivimo v znanstvenofantasticnem trilerju, tudi jpeg slike in mp3 lahko vsebujejo viruse. Ubistvu so .exe virusi samo se en oldskull ostanek, ki cilja na tiste najbol neuke uporabnike.

Scotch3M ::

Kaj pa če bi kupil še en računalnik?


...bi bila to le upočasnitev/zakasnitev problema napada in popolnoma nepotreben strošek, predvsem s stališča porabe električne energije. Že z dvema imam slabo vest, čeprav so bile izbrane komponente z nižjo porabo in se "varen" pc redno izklaplja. Razen, če bi ta vmesni računalnik služil kot nek hudo sofisticiran firewall, ki pa bi moral biti tudi kvalitetno nastavljen.

Zgodovina sprememb…

  • spremenil: Scotch3M ()

blackbfm ::

bi bila to le upočasnitev/zakasnitev problema napada

Saj bi bil računalnik s podatki stalno izoliran od interneta?

Ah veš kaj, če ti nekaj 100 eur pomeni več kot varnost, potem brezveze kompliciraš. Konvencinalne metode so čisto dovolj dobre, stvar mora bit samo dobro nastavljena. To da ti je nekdo vdrl je bistveno več možnosti da je prišel not na ultra banalen/glup/beden način, kot pa da te je poheku v pravem pomenu besede. Raje premisli kje je bila takrat šibka točka.

Scotch3M ::

1. Najsibkejsi clen je vedno clovek. Racunalniku nikoli ne pridejo na misel take neumnosti kot cloveku, ker racunalnik pac ne razmislja, ampak se ravna po pravilih ki mu jih doloci clovek.

2. Ja, zivimo v znanstvenofantasticnem trilerju, tudi jpeg slike in mp3 lahko vsebujejo viruse. Ubistvu so .exe virusi samo se en oldskull ostanek, ki cilja na tiste najbol neuke uporabnike.



Malo sem po-googlal in naletel na zanimive prispevke:
http://www.computing.net/answers/securi...
http://features.slashdot.org/features/0...

Če povzamem:
Teoretično bi bilo mogoče v katerokoli datoteko ali celo radijski signal, zvok, ipd. spraviti virus, čemur (kakor je nekdo napisal na computing.net) pravijo stenografija. Vendar je tveganje, da se bo virus iz denimo .jpg-ja zagnal, odvisno od tega, kako se te datoteke obravnavajo. Če program za slike ne prepozna formata slike, bo javil error in če bo predelana, je ne bo prikazal pravilno. Edini pogoj za zagon virusa bi bil, da bi bil na sistemu že naložen nek virus, ki bi omogočal detekcijo in ekstrakcijo iz ovojnice ter zagon tega virusa. Tak primer je bil ravno tale "nedolžen" extrk.exe program za pregledovanje slik.

Pri mp3-jih je menda nevarnost, da bo npr. winamp zagnal potencialno nevarno html kodo, ki je lahko del .mp3-ja. Rešitev: izklop avtomatskega html pregledovalnika v winampu.

Vsekakor pa biti previden in skrbeti za antivirusni program.

Zgodovina sprememb…

  • spremenil: Scotch3M ()

Brane2 ::

Stenografija je sposobnost tipkanja.


Verjetno misliš na steGAnografijo, ampak tudi to ni to. Steganografija pomeni prenos prikritih informacij poleg pričakovanih.

Recimo skrivanej teksta v jpgju ali kaj podobnega.
On the journey of life, I chose the psycho path.

Scotch3M ::

bi bila to le upočasnitev/zakasnitev problema napada

Saj bi bil računalnik s podatki stalno izoliran od interneta?

Ah veš kaj, če ti nekaj 100 eur pomeni več kot varnost, potem brezveze kompliciraš. Konvencinalne metode so čisto dovolj dobre, stvar mora bit samo dobro nastavljena. To da ti je nekdo vdrl je bistveno več možnosti da je prišel not na ultra banalen/glup/beden način, kot pa da te je poheku v pravem pomenu besede. Raje premisli kje je bila takrat šibka točka.


Kot že rečeno, bil je backdoor ali nekaj podobnega. Računalnik je bil v tistem obdobju precej "zapuščen", ker me skoraj ni bilo doma in ga nisem utegnil čistiti. Enako se lahko zgodi tudi danes, razen, če je default stanje sistema tako, da so podatki offline. Moj cilj je pravzaprav ta, da če net PC ni dobro preskrbljen, to na varovanega pri nekem prenosu ne bo nič vplivalo. Ne morem pa vedno stati zraven net PC-ja in gledati kaj se gor dogaja in čistiti za drugimi.

Glede denarja pa takole. Rad bi iz že obstoječega sistema naredil nekaj, kupovanje dodatne opreme se mi zdi, da je samo tolažba. In kot si že napisal, "stvar mora biti dovolj dobro nastavljena", saj v tem je tudi point načete teme.

Pa vendar, recimo da bi res dokupil še en PC. Ali bi lahko služil kot nek sofisticiran firewall ali si mel kaj drugega v mislih?

Zgodovina sprememb…

  • spremenil: Scotch3M ()

techfreak :) ::

Če imaš pomembne podatke, bo nekdo do njih prišel pa četudi imaš 500 vojakov pred hišo postavljenih.

Če pa imaš manj pomembne, pa dvomim, da se bo kdo sploh trudil. Razen če ti frend preko MSNja pošlje nek program, ki ga ti poženeš in mu ponudi dostop do tvojih podatkov.

Programski požarni zid (npr. ZoneAlarm), antivirusni program (npr. NOD32, BitDefender, Avast, AVG) in kakšen Linksys router z DD-WRT firmwareom bi moralo zadostovati za večino ljudi.

Scotch3M ::

Če imaš pomembne podatke, bo nekdo do njih prišel pa četudi imaš 500 vojakov pred hišo postavljenih.

Če pa imaš manj pomembne, pa dvomim, da se bo kdo sploh trudil. Razen če ti frend preko MSNja pošlje nek program, ki ga ti poženeš in mu ponudi dostop do tvojih podatkov.

Programski požarni zid (npr. ZoneAlarm), antivirusni program (npr. NOD32, BitDefender, Avast, AVG) in kakšen Linksys router z DD-WRT firmwareom bi moralo zadostovati za večino ljudi.


No, mogoče kot zanimivost. V času vdora sem imel starejši SMC router, operacijski sistem Windows XP SP2 ter Sygate personal firewall. Slednji je tečnaril za vsako aplikacijo, ki se je hotela kam povezati. Žal ne vem kako se je tisti backdoor uspel prebiti brez da bi sygate to javil in vprašal za dovoljenje pri povezovanju.

Zgodovina sprememb…

  • spremenil: Scotch3M ()

blackbfm ::

Verjetno ga je ugasnil prej. Obstajajo pa še druge možnosti.

amigo_no1 ::

@DejanL15
Če že predlagaš programski požarni zid, potem bi predlagal Comodo Firewall in ne gnilega free ZA.

Nod kot AV je tudi zaspal na stari slavi... avira ali avast je v redu.

Linksys router z ddwrt ali nekim XYZ fwjem ne bo na ven blokiral nič... tako za info.. tomato fw ima vse kar potrebuje dober fw, ne pa dd z milijon nastavitvami, saj ko jih pogledaš izgleda fancy, uporabno je bolj tako tako.


@Scotch3M
Če si pognal nek backdoor , ki ti ga je nekdo poslal, potem ti noben FW in AV ne pomaga ker ti manjka zdrave logike oz. kmečke pameti. Če že surfaš si namesti VM v VM in surfaj od tam.
Glede na to kako si specifično dlakocepski pri iskanju rešitve in zelo NEspecifičen kako je do vdora dejansko prišlo me niti ne čudi, če klikaš/poganjaš vse kar leze in gre. Preventiva, ne kurativa + ne delaj več kot je nujno z admin privilegiji.

Raje poglej, kako imaš nastavljen do pcja, bolj natančno dostop do nastavitev OS; če kot praviš da si bil nekaj časa odsoten in se je medtem navlaka ("ga nisem utegnil čistiti") kar sama od sebe nabrala na njem ali kaj ??? Tole je meni zelo zelo čudno.

Zgodovina sprememb…

fiction ::

Teoretično bi bilo mogoče v katerokoli datoteko ali celo radijski signal, zvok, ipd. spraviti virus, čemur (kakor je nekdo napisal na computing.net) pravijo stenografija. Vendar je tveganje, da se bo virus iz denimo .jpg-ja zagnal, odvisno od tega, kako se te datoteke obravnavajo. Če program za slike ne prepozna formata slike, bo javil error in če bo predelana, je ne bo prikazal pravilno. Edini pogoj za zagon virusa bi bil, da bi bil na sistemu že naložen nek virus, ki bi omogočal detekcijo in ekstrakcijo iz ovojnice ter zagon tega virusa. Tak primer je bil ravno tale "nedolžen" extrk.exe program za pregledovanje slik.
Eno so podatki drugo pa izvrsljiva koda. Ti naceloma lahko preimenujes .exe v .jpg pa to ne pomeni, da bo pregledovalnik slik tisto kodo iz slike izvedel. Naceloma bo samo prikazal sliko oz. napako, ker bo po vsej verjetnosti zapis napacen. Ce ze imas namescen malware (extrk.exe) si tako ali tako screwed, ne vem zakaj bi se potem se sekiral kako se prenasa dodatna zlobna koda (magari zakamuflirana v ICMP echo requeste, v sliki ali pa kakorkoli). Tvoj racunalnik je bil ze prej kompromitiran.

Obstaja pa dodatna nevarnost pri programih, ki delajo s kompleksnejsimi zapisi datotek. In sicer da ima program varnostno ranljivost. Npr. da obstaja prekoracitev izravnalnika (buffer overflow) v pregledovalniku slik. Takrat lahko odpres posebej pripravljeno sliko, ki izkorisca to napako in se bo v kontekstu tega programa izvedla poljubna programska koda (recimo nekaj kar je zapisano v sliki). Se zmeraj sama datoteka s sliko ni izvrsljiva, ampak s pomocjo luknje lahko tudi ze samo z gledanjem slike pri tebi povzroci izvedbo poljubnih ukazov, priblizno tako kot ce bi sam pognal nek zlonameren program.

Scotch3M ::

Teoretično bi bilo mogoče v katerokoli datoteko ali celo radijski signal, zvok, ipd. spraviti virus, čemur (kakor je nekdo napisal na computing.net) pravijo stenografija. Vendar je tveganje, da se bo virus iz denimo .jpg-ja zagnal, odvisno od tega, kako se te datoteke obravnavajo. Če program za slike ne prepozna formata slike, bo javil error in če bo predelana, je ne bo prikazal pravilno. Edini pogoj za zagon virusa bi bil, da bi bil na sistemu že naložen nek virus, ki bi omogočal detekcijo in ekstrakcijo iz ovojnice ter zagon tega virusa. Tak primer je bil ravno tale "nedolžen" extrk.exe program za pregledovanje slik.
Eno so podatki drugo pa izvrsljiva koda. Ti naceloma lahko preimenujes .exe v .jpg pa to ne pomeni, da bo pregledovalnik slik tisto kodo iz slike izvedel. Naceloma bo samo prikazal sliko oz. napako, ker bo po vsej verjetnosti zapis napacen. Ce ze imas namescen malware (extrk.exe) si tako ali tako screwed, ne vem zakaj bi se potem se sekiral kako se prenasa dodatna zlobna koda (magari zakamuflirana v ICMP echo requeste, v sliki ali pa kakorkoli). Tvoj racunalnik je bil ze prej kompromitiran.

Obstaja pa dodatna nevarnost pri programih, ki delajo s kompleksnejsimi zapisi datotek. In sicer da ima program varnostno ranljivost. Npr. da obstaja prekoracitev izravnalnika (buffer overflow) v pregledovalniku slik. Takrat lahko odpres posebej pripravljeno sliko, ki izkorisca to napako in se bo v kontekstu tega programa izvedla poljubna programska koda (recimo nekaj kar je zapisano v sliki). Se zmeraj sama datoteka s sliko ni izvrsljiva, ampak s pomocjo luknje lahko tudi ze samo z gledanjem slike pri tebi povzroci izvedbo poljubnih ukazov, priblizno tako kot ce bi sam pognal nek zlonameren program.


Se pravi tako kot lahko v programu sam kliknem npr. file/open, lahko program po navodilih te kode tudi sam izvrši tak ukaz? Pa se to ne da kako omejiti samo za potrebe viewanja brez ostalih funkcij? Če bi recimo koda velevala izvršitev nečesa, kar smo prej določili, da ni dovoljeno, bi program pač javil napake?

Scotch3M ::

@DejanL15
Če že predlagaš programski požarni zid, potem bi predlagal Comodo Firewall in ne gnilega free ZA.

Nod kot AV je tudi zaspal na stari slavi... avira ali avast je v redu.

Linksys router z ddwrt ali nekim XYZ fwjem ne bo na ven blokiral nič... tako za info.. tomato fw ima vse kar potrebuje dober fw, ne pa dd z milijon nastavitvami, saj ko jih pogledaš izgleda fancy, uporabno je bolj tako tako.


@Scotch3M
Če si pognal nek backdoor , ki ti ga je nekdo poslal, potem ti noben FW in AV ne pomaga ker ti manjka zdrave logike oz. kmečke pameti. Če že surfaš si namesti VM v VM in surfaj od tam.
Glede na to kako si specifično dlakocepski pri iskanju rešitve in zelo NEspecifičen kako je do vdora dejansko prišlo me niti ne čudi, če klikaš/poganjaš vse kar leze in gre. Preventiva, ne kurativa + ne delaj več kot je nujno z admin privilegiji.

Raje poglej, kako imaš nastavljen do pcja, bolj natančno dostop do nastavitev OS; če kot praviš da si bil nekaj časa odsoten in se je medtem navlaka ("ga nisem utegnil čistiti") kar sama od sebe nabrala na njem ali kaj ??? Tole je meni zelo zelo čudno.



Očitno nisi vsega prebral. Takoimenovani "net PC" me niti ne zanima kar se tiče varnosti, pa naj se sliši še tako brezbrižno. Imam pač dober razlog za to. Tam se je marsikaj dogajalo in se še marsikaj bo. Zaščita na net pc-ju NI OPCIJA in ni izvedljiva. To je vse, kar moraš vedeti. To so začetni pogoji za reševanje novega problema, ki zagotovo ni to, kar si tu napisal. V redu, sugestiral si reševanje nekega drugega problema, ki pa ga ne bom izvajal, razlogov ne bom tule navajal. Če si pa firewall mislil za varovani PC, naj pa še enkrat poudarim, da ethernet in tcp/ip tudi nista opcija. Povezava pa bi se tudi fizično prekinila, ko bi bil prenos končan.

Človek, ki IMA nekaj 'zdrave logike oz. kmečke pameti', zraven pa morda ščepec pismenosti, bi lahko iz tistega, kar sem napisal med vrsticami jasno razbral, da je na računalniku zelo očitno delal še nekdo drug, ko sem bil odsoten. Upam, da sem razkril vsaj del te misterije. Ampak dvomim, da gre pri takih odgovorih za pomanjkanje omenjenih vrlin, pač pa za dejstvo, da se nekaterim ne da prebrati celih stavkov in zraven razmišljati. Sicer je pa to, kako je do okužbe prišlo, za reševanje novega problema popolnoma nepomembno in ti odgovarjam le zato, ker vidim, da nisi vsega prebral.

No pred časom sem zasledil na nekem tujem forumu razpravo o tem, kako bi se dalo na firewallu blokirati torrente (ki naj bi veljali za nezaustavljive) z neke druge, fizično nedostopne mašine, a ji še vedno dopustiti povezovanje e-mail programov, web browserjev, ftp, ipd. Zaključek nekih strokovnjakov tam je bil, da je edini način QOS, kar pa routerji za domačo uporabo, kolikor jih poznam, nimajo, razen, če bi imel računalik kot router ali pa firewall. Tukaj jaz zdaj imam dostop do mašine, ki jo želim varovati, torej bi se varnost lahko izvedla tudi na njej.

Zgodovina sprememb…

  • spremenil: Scotch3M ()

Scotch3M ::

Takole, za enkrat imam problem rešen z USB ključem, za naprej bom pa še videl. Vsekakor hvala za vaše sodelovanje in za prispevke, dokončno bom raziskal predloge, ko bom utegnil.

Lp

Zgodovina sprememb…

  • spremenil: Scotch3M ()

Ales ::

Saj nisi dobil nobenih res konkretnih predlogov... Samo zelo splošne smernice, ki dvomim, da ti bodo res kaj pomagale.

Najprej bi za debato rabili nekaj več podatkov. Drugi korak bi bil šele ustvarjanje nekega sprejemljivega security policy-ja, tako da bi bil sistem dovolj uporaben za tvoje potrebe pa še vedno maksimalno varen pod danimi pogoji in brez dodatnih stroškov.

Se pravi, najprej vprašanja:
- kakšno strojno opremo imaš na voljo, predvsem kar se povezljivosti tiče
- kateri OS je na obstoječih mašinah
- kakšno vrsto podatkov prenašaš
- kolikšna je količina teh podatkov in kako pogosto jih prenašaš?

Za začetek. Napisal si da gre nekajkrat dnevno, za manjše datoteke, itd. Zakaj je torej USB ključ zamuden? Ali pa tega dejansko ni tako malo...

Na splošno je pa iz dosedanje debate jasno, da je tvoja prva mašina popolnoma ranljiva, torej se jo lahko odmisli kar se tiče višanja varnosti. Osredotočiti bi se torej bilo treba na drugo mašino... Jaz bi ti kljub temu predlagal, da tudi na prvi narediš kar se da, ker boš s tem precej zmanjšal verjetnost vdora.

Na splošno pa:
- uporabljaj kvaliteten firewall in antivirusni program
- posodabljaj sistem takoj, ko je popravek na voljo
- uporabljaj čim manj programov, samo nujni minimum
- ne uporabljaj programov z ukradenimi licencami/cracki/itd. (ne pravim, da jih...)
- uporabljaj močna gesla (minimalno 8 znakov, vsaj eno veliko, eno malo črko, številko in poseben znak, nikakor ne uporabljaj kaj drugega kot random znake)
- ne uporabljaj istih gesel za več kot en program/storitev, redno menjaj gesla
- ne uporabljaj istih gesel na teh dveh računalnikih, pod nobenim pogojem
- ne uporabljaj adminstrativnih/root accountov za vsakodnevno delo
- poskrbi za varen backup, če ti je kaj do podatkov

Tvoj sistem je toliko varen, kot je njegov najšibkešji člen.

Verjetno večino tega že veš in se držiš, ampak brez bolj konkretnih podatkov ti težko kdo kaj več pove.

Drugače pa je prenos preko USB ključa lahko kar varen ali pa zelo nevaren, odvisno kako si se lotil zadeve.

Zgodovina sprememb…

  • spremenil: Ales ()

Tear_DR0P ::

kaj pa ce bi vi fantu predlagali da naj se malo nauci o varnosti podatkov? pa mu bo zadostoval en racunalnik
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

techfreak :) ::

Takoimenovani "net PC" me niti ne zanima kar se tiče varnosti, pa naj se sliši še tako brezbrižno. Imam pač dober razlog za to. Tam se je marsikaj dogajalo in se še marsikaj bo. Zaščita na net pc-ju NI OPCIJA in ni izvedljiva.

Tukaj je varnostna luknja.

Skoraj vse varno ali pa skoraj nič, to se moraš odločiti. Če pa je še nekdo drug uporabljal računalnik, pa bi mu dal omejen račun in ne bi mogel kaj nameščati ali dostopati do podatkov drugih uporabnikov.

Glede varnosti USB ključev ... zakaj so jih že prepovedali v Pentagonu? Ker nimajo denarja za AVje in požarne zide?

overlord_tm ::

No pred časom sem zasledil na nekem tujem forumu razpravo o tem, kako bi se dalo na firewallu blokirati torrente (ki naj bi veljali za nezaustavljive) z neke druge, fizično nedostopne mašine, a ji še vedno dopustiti povezovanje e-mail programov, web browserjev, ftp, ipd. Zaključek nekih strokovnjakov tam je bil, da je edini način QOS, kar pa routerji za domačo uporabo, kolikor jih poznam, nimajo, razen, če bi imel računalik kot router ali pa firewall. Tukaj jaz zdaj imam dostop do mašine, ki jo želim varovati, torej bi se varnost lahko izvedla tudi na njej.


l7 je stvar o kateri govoris.

Glede buffer overflow-ov, resit se jih da samo tako da sam napises programcek, in ga zelo temeljito stestiras in preveris. Pa se takrat ne mores 100% trdit da je varen :)

Kar je komercialnega programja, so to zelo kompleksni deli kode in temeljito testiranje in zagotavlanje varnosti bi verjetno stalo precej $$, tako da se ne splaca. Pac, ko kaka "dobra dusa" odkirije luknjo, izdas patch in je :). Ko se nabere dovolj patchov imas pa service pack xD. Kasneje lahko izdas iz vseh teh patchov ze novo verzijo :p

Scotch3M ::

Torej po dolgem času se ponovno oglašam.

Zanima me kakšna je možnost, da ti vdrejo v sistem, če uporabljaš internet samo znotraj nekega drugega sistema v Virtual PC (po principu undo disk ob vsakem ponovnem "zagonu"), v gostiteljskem sistemu pa imaš dostop do omrežja popolnoma blokiran oziroma bolje rečeno, SPLOH NI OMOGOČEN.

Hvala za odgovor(e)

Lp

Zgodovina sprememb…

  • spremenil: Scotch3M ()

Mavrik ::

Z disablano mrežo na hostu ne moreš dostopati do interneta znotraj VirtualPCja.

Prebiti z VMa se da (je bilo pred kakim letom objavljeno tukaj).
The truth is rarely pure and never simple.

Scotch3M ::

S sistemi, kot so Radix Protector in softverski Deep Freeze nimam izkušenj, vendar domnevam, da so zlomljivi.

Ali obstaja kaka varianta read-only serverja, s katerega bi preko gigabitne mreže ob vsakem restartu zbootal ta računalnik svoj sistem? Sistem bi lahko bil zaradi mene tudi tak, da bi se najprej naložilo neko osnovno okolje, potem pa bi se prekopiral image in bi iz tistega potem računalnik mlel sam od sebe naprej...

Sistem ni omejitev, lahko je Windows, Linux, BSD...karkoli že, čeprav tisto

Pred leti vem, da sem nekje videl računalnike, ki so bootali s serverja. Ne dam prsta v ogenj, ampak mogoče je šlo za Novell.

To, da bi windowse laufal iz cd-roma (že naložene), sem tudi pomislil in naletel na negativne odgovore. Ampak zagotovo mora obstajati kaka izvedba read-only medija, s katerega se boota vedno svež sistem (ponovno, Radix in Deepfreeze naj nebi bila dovolj zanesljiva).

Če pa kdo razmišlja o "Linux s cd-ja" varianti, naj pove še katerega priporoča. In kakšne so možnosti, da bi si pri ob prihodu patch-ov in npr. novejših firefoxov na zelo enostaven način zapekel nov DVD s temi popravki.

Lp

Zgodovina sprememb…

  • spremenil: Scotch3M ()

fosil ::

Ker vidim da si paranoik, te opozarjam, da tudi če bootaš sistem z live cd-ja, lahko še vedno dostopaš do diska. Torej če bi imel ta live cd sistem kakšno ranljivost, bi lahko medtem ko ti brskaš po netu, nekdo brskal po tvojem disku.
Tako je!

techfreak :) ::

TrueCrypt za kriptiranje diska in potem še Live CD.

iggy ::

S sistemi, kot so Radix Protector in softverski Deep Freeze nimam izkušenj, vendar domnevam, da so zlomljivi.


Pa ti resno misliš, da bo kdo vdiral v te programe zato, da lahko najde zbirko tvojih porničev??
Hey, you're fat!

Vice ::

Hudo.... kmalu se bo razvila nova veja psihiatrov - cyber psihiatri.
zdaj pa on topic - Scotch3M tvoje želje so tako bizarne da ne vem ali se zafrkavaš ali ne, če ne ali lahko razložiš kaj boš s tem rešil - tehnično...

Matthai ::

No, jaz bi naredil virtualno mašino, ki bi se bootala iz virtualnega CDja (npr. Debian LXDE) brez virtualnega diska. OK, da se vdreti iz guest mašine na host, a verjetnost je tako majhna, da ni potrebe po kompliciranju.
All those moments will be lost in time, like tears in rain...
Time to die.

Gandalfar ::


Če pa kdo razmišlja o "Linux s cd-ja" varianti, naj pove še katerega priporoča. In kakšne so možnosti, da bi si pri ob prihodu patch-ov in npr. novejših firefoxov na zelo enostaven način zapekel nov DVD s temi popravki.


Ce si pripravljen slepo zaupat svojemu vendorju operacijskega sitema, potem uporabljas npr. kaken debian-live, vzames kaksen .xml ki ga prilagodis in potem si sam gradis linux livecd s pomocjo skript.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Hekerji - vdor v PC realno (strani: 1 2 3 )

Oddelek: Loža
1408027 (2918) jero_no1
»

Kripto virus kako reševati če sploh, umrem sicer ne če ne restavriram (strani: 1 2 3 4 5 6 )

Oddelek: Pomoč in nasveti
25042490 (19346) SeMiNeSanja
»

Nenehni napadi na porte (strani: 1 2 3 )

Oddelek: Informacijska varnost
10020049 (16523) Jst
»

internet vdori v računalnik, rešitev!?! (strani: 1 2 )

Oddelek: Omrežja in internet
945871 (4440) ToniT
»

nekdo mi vdira notr (strani: 1 2 )

Oddelek: Omrežja in internet
614004 (3009) undefined

Več podobnih tem