Forum » Informacijska varnost » Zaščita vsebine osebnega računalnika pred 'špeganjem'
Zaščita vsebine osebnega računalnika pred 'špeganjem'
miramar ::
Živijo,
eno vprašanje za eksperte. Pri nas v dijaškem domu imajo promet preko interneta čisto pod kontrolo. Nekatere strani so sploh zablokirane. Sicer je intenet tu res zastonj in sem se s tem nekako (za silo) sprijaznil. Ni mi pa všeč, da bi informatik prečesaval vsebino mojega prenosnika. Govorijo namreč, da to počne. Na prenosniku imam namreč svoj osebni dnevnik in še nekatere 'občutljive' stvari, ki sem si jih prinesel od doma. Zame so te reči preveč zasebne in mi ni da bi jih delil s tem špeglarjem. Sicer nisem terorist ali kakšen manijak, a ne želim, da bi na koncu cela zbornica vedela, kaj pišem. Da me pol res ne bo zgrabila kakšna preganjavica. Kako lahko temu informatiku preprečim, da bi brskal po prenosniku? Imam antivirusnika, firewall. Datoteko z dnevnikom sem sicer zavaroval z geslom, toda nekako mi ne diši, da bi zdaj vse datoteke imel zakodirane. Je kaj bolje, če naredim v winsih račun za admina?
Hvala
eno vprašanje za eksperte. Pri nas v dijaškem domu imajo promet preko interneta čisto pod kontrolo. Nekatere strani so sploh zablokirane. Sicer je intenet tu res zastonj in sem se s tem nekako (za silo) sprijaznil. Ni mi pa všeč, da bi informatik prečesaval vsebino mojega prenosnika. Govorijo namreč, da to počne. Na prenosniku imam namreč svoj osebni dnevnik in še nekatere 'občutljive' stvari, ki sem si jih prinesel od doma. Zame so te reči preveč zasebne in mi ni da bi jih delil s tem špeglarjem. Sicer nisem terorist ali kakšen manijak, a ne želim, da bi na koncu cela zbornica vedela, kaj pišem. Da me pol res ne bo zgrabila kakšna preganjavica. Kako lahko temu informatiku preprečim, da bi brskal po prenosniku? Imam antivirusnika, firewall. Datoteko z dnevnikom sem sicer zavaroval z geslom, toda nekako mi ne diši, da bi zdaj vse datoteke imel zakodirane. Je kaj bolje, če naredim v winsih račun za admina?
Hvala
Mipe ::
Ne more kar tako brskati po tvojem prenosniku, če nima dostopa. V primeru brezplačnega brezžičnega omrežja ima pač dostop samo do map, ki jih "deliš". Sicer pa je vsakršen vdor v zasebnost, kar osebni računalnik je, protizakonit. Če lahko dokažeš, da vdira v osebne računalnike, ga prijavi.
Aja, pa svoj uporabniški račun obvezno zavaruj z geslom.
Aja, pa svoj uporabniški račun obvezno zavaruj z geslom.
Zgodovina sprememb…
- spremenil: Mipe ()
Tero ::
Uporabi tudi kakšen software za enkripcijo. Recimo TrueCrypt
Give a man a fish, he'll be fed for a day.
Teach a man to fish and he'll drown himself.
Teach a man to fish and he'll drown himself.
fosil ::
Kot prvo je tukaj na mestu vprašanje za kakšno vrsto vdiranja gre.
Ali naj bi bilo to prek mreže.
Ali pa je to mišljeno da ima fizični dostop do prenosnika in potem malo pobrska gor.
Od tega je potem tudi odvisna zaščita.
Ali naj bi bilo to prek mreže.
Ali pa je to mišljeno da ima fizični dostop do prenosnika in potem malo pobrska gor.
Od tega je potem tudi odvisna zaščita.
Tako je!
metalc ::
Truecrypt ali karkoli podobnega te ščiti samo, če ti vzamejo disk ali ko šifrirana vsebina ni zmountana (da ji pod Windowes dodeliš neko črko).
Kar tako sam po sebi ti nekdo drug ne more brskati po disku. Drugo je seveda, če ti na tak ali drugačen način inštalira program/malware, ki mu to omogoči. In kot so rekli, če kaj "sharaš", je to drugo, v tem primeru namreč prosotovoljno dovoliš, da imajo tudi drugi tak ali drugačen dostop (lahko določiš pravice za branje in pisanje) do deljenega imenika.
Lahko ti pa zlahka "prisluškujejo" tvojim internetnim povezavam. Če so šifrirane (URL se začne s https), ne morejo kar dosti, bolj je problem, da niso vse vsebine na voljo na šifriranih povezavah. V tem primeru lahko vzpostaviš šifriran tunel, vendar potrebuješ nekje/pri nekom zunaj doma strežnik, ki mu zaupaš. Najlažje je, če si na tem strežniku urediš SSH dostop z enablanim TCP port forwardiranjem, pri sebi pa inštaliraš en SSH odjemalec (za Windows sta najboljša Putty ali Tunnelier), nastaviš dinamično port forwardiranje, brskalnik skonfiguriraš na SOCKS in to je to. Verjemi, da je še dosti enostavneje, kot sem tu napisal. Potem prisluškovalec lahko vidi le "smeti", ki jih nikakor ne more dešifrirati, niti ne more neopaženo "popravljati" internetnih paketkov. Največ, kar lahko naredi, je, da ti blokira dostop do SSH strežnika, pa še tu ga lahko malo zafrkavaš, če SSH port spremeniš v 80 ali 443.
Naj ti pa še kdo pove, kako je s pravnim vidikom tega nadzora. Brez tvoje privolitve gotovo ne smejo inštalirati/ti podtakniti zadnjih vrat za brskanje po disku, tudi glede nadzora interneta se mi zdi, da te lahko samo opozori, da ne počni pi**arij (se spomniš nekega Prekmurca, ki je Bushu grozil s smrtjo?), ker bo v primeru sodnega naloga policiji izročil loge. In najbrž lahko le nadzoruje, če s tvoje mašine ne prihaja kakšen čuden promet, npr. da ti mašino kdo "owna" in jo uporabi za zle namene, npr. pošiljanje spama, DDOS napad ipd.
Upam, da sem bil dovolj razumljiv.
Kar tako sam po sebi ti nekdo drug ne more brskati po disku. Drugo je seveda, če ti na tak ali drugačen način inštalira program/malware, ki mu to omogoči. In kot so rekli, če kaj "sharaš", je to drugo, v tem primeru namreč prosotovoljno dovoliš, da imajo tudi drugi tak ali drugačen dostop (lahko določiš pravice za branje in pisanje) do deljenega imenika.
Lahko ti pa zlahka "prisluškujejo" tvojim internetnim povezavam. Če so šifrirane (URL se začne s https), ne morejo kar dosti, bolj je problem, da niso vse vsebine na voljo na šifriranih povezavah. V tem primeru lahko vzpostaviš šifriran tunel, vendar potrebuješ nekje/pri nekom zunaj doma strežnik, ki mu zaupaš. Najlažje je, če si na tem strežniku urediš SSH dostop z enablanim TCP port forwardiranjem, pri sebi pa inštaliraš en SSH odjemalec (za Windows sta najboljša Putty ali Tunnelier), nastaviš dinamično port forwardiranje, brskalnik skonfiguriraš na SOCKS in to je to. Verjemi, da je še dosti enostavneje, kot sem tu napisal. Potem prisluškovalec lahko vidi le "smeti", ki jih nikakor ne more dešifrirati, niti ne more neopaženo "popravljati" internetnih paketkov. Največ, kar lahko naredi, je, da ti blokira dostop do SSH strežnika, pa še tu ga lahko malo zafrkavaš, če SSH port spremeniš v 80 ali 443.
Naj ti pa še kdo pove, kako je s pravnim vidikom tega nadzora. Brez tvoje privolitve gotovo ne smejo inštalirati/ti podtakniti zadnjih vrat za brskanje po disku, tudi glede nadzora interneta se mi zdi, da te lahko samo opozori, da ne počni pi**arij (se spomniš nekega Prekmurca, ki je Bushu grozil s smrtjo?), ker bo v primeru sodnega naloga policiji izročil loge. In najbrž lahko le nadzoruje, če s tvoje mašine ne prihaja kakšen čuden promet, npr. da ti mašino kdo "owna" in jo uporabi za zle namene, npr. pošiljanje spama, DDOS napad ipd.
Upam, da sem bil dovolj razumljiv.
St235 ::
Pravno:
Nikakeršen nadzor vsebine ali prometa ni dovoljen in gre za resno kršitev oziroma kaznivo dejanje.
Nikakeršen nadzor vsebine ali prometa ni dovoljen in gre za resno kršitev oziroma kaznivo dejanje.
amigo_no1 ::
Ne furat sshja na privzetem portu 22/443 za ssl.To je kot da zakleneš in pustiš ključ pod tepihom zraven vrat.
65635 jih je na voljo
SSH + Tunel
copSSH + apache + putty
ne pozabi spremeniti dns serverje.
65635 jih je na voljo
SSH + Tunel
copSSH + apache + putty
ne pozabi spremeniti dns serverje.
Zgodovina sprememb…
- spremenilo: amigo_no1 ()
5er--> ::
Od kdaj je privzet ssh port 443? Sem vedno mislil, da je to za https...
Sam sicer ne vidim velike razlike med tem, da imaš ključavnico (port) na levi (port 22) strani vrat ali pa kje drugje (port 65635) na vratih. Samo bolj tečno je, če se moraš sklanjat (menjat port), ko hočeš vrat odpret.
Sam sicer ne vidim velike razlike med tem, da imaš ključavnico (port) na levi (port 22) strani vrat ali pa kje drugje (port 65635) na vratih. Samo bolj tečno je, če se moraš sklanjat (menjat port), ko hočeš vrat odpret.
dëych ::
Instaliraj bitmeter in glej prenose na mrežni.
Nafilaj mape z fake fajli (npr random slike v doc dokument). Imena fajlov daj čim bolj očitne.
Če bodo kakšni čudni peaki pri prenosih boš pač vidu, da se nekaj dogaja.
Sicer pa wireshark ali pa netstat -a in triggaš vsake 10 sec in shranis output v txt fajl.
Nafilaj mape z fake fajli (npr random slike v doc dokument). Imena fajlov daj čim bolj očitne.
Če bodo kakšni čudni peaki pri prenosih boš pač vidu, da se nekaj dogaja.
Sicer pa wireshark ali pa netstat -a in triggaš vsake 10 sec in shranis output v txt fajl.
eVro ::
Razumeti moraš, da se ne moreš zavarovati z eno stvarjo. Dobra zaščita vsebuje več dejavnikov. Zavarovati moraš:
1. fizičen dostop do računalnika: zaklep v omaro je dosti dobra rešitev, glej da imaš ključe le ti. gesla pri logiranju v sistem so sicer dobrodošla, A NISO DOVOLJ, se hitro zaobidejo. s fizičnim dostopom do mašine ti lahko prebere datoteke. če je fizičen dostop omogočen, je edini način da ne more do tvojih datotek enkripcija (recimo TrueCrypt).
2. remote dostop do računalnika (izklopi sharanje, izklopi remote desktop/assistance, itd.) tukaj je dosti univerzalna rešitev DOBER firewall, ki je PRAVILNO konfiguriran ALI pa izklop posameznih, prej omenjenih servisov. svoj računalnik lahko preskeniraš z brezplačnim orodjem nmap, ki ti izpiše odprte porte - na vsakem portu je en servis, ki omogoča potencialen dostop, vendar ne vsi. pokaži nam tukaj output od skeniranja in ti bomo pomagali kaj je potrebno še izklopiti.
3. transport med tvojim računalnikom in internetom tudi ni vedno zaščiten. pri http prometu se vidi vse, uporabljaj https kjer se le da. glede ostalih servisov (raznki Skypi, MSN, ipd.) je treba za vsakega preveriti ali uporabiti univerzalno rešitev, ki šifrira celoten promet iz tvojega računalnika. v tem primeru je rešitev VPN, ki je navidezen tunel v omrežje, ki mu zaupaš, npr. doma. to lahko storiš z že omenjenim ssh tunelom, možnost je tudi OpenVPN in še veliko drugih. Tako SSH kot OpenVPN lahko postaviš na routerjih s Tomato firmwarom, to si lahko doma nastavi prijatelj, lahko nastaviš pri sebi doma, itd. vendar mora biti drugi konec, kjer potem tvoj promet pride ven, na voljo vedno kadar rabiš internet (dovolj je že da imaš doma router ki laufa 24/7). Da ti dam malo vzpodbude da preštudiraš VPN: z uporabo VPNja ne bi bilo tudi nič blokirano, imel bi dostop do vsega na internetu oz. kot bi bil doma.
4. zdrava pamet: ne odpiraj/zaganjaj če ti je kaj ponujeno, preveri nastavitve ki ti jih da administrator za vnesti, itd. brez te ne gre v nobenem primeru, lahko je še tako hudo zaščiten sistem pa uporabnik klikne na nekaj kar ne bi smel
1. fizičen dostop do računalnika: zaklep v omaro je dosti dobra rešitev, glej da imaš ključe le ti. gesla pri logiranju v sistem so sicer dobrodošla, A NISO DOVOLJ, se hitro zaobidejo. s fizičnim dostopom do mašine ti lahko prebere datoteke. če je fizičen dostop omogočen, je edini način da ne more do tvojih datotek enkripcija (recimo TrueCrypt).
2. remote dostop do računalnika (izklopi sharanje, izklopi remote desktop/assistance, itd.) tukaj je dosti univerzalna rešitev DOBER firewall, ki je PRAVILNO konfiguriran ALI pa izklop posameznih, prej omenjenih servisov. svoj računalnik lahko preskeniraš z brezplačnim orodjem nmap, ki ti izpiše odprte porte - na vsakem portu je en servis, ki omogoča potencialen dostop, vendar ne vsi. pokaži nam tukaj output od skeniranja in ti bomo pomagali kaj je potrebno še izklopiti.
3. transport med tvojim računalnikom in internetom tudi ni vedno zaščiten. pri http prometu se vidi vse, uporabljaj https kjer se le da. glede ostalih servisov (raznki Skypi, MSN, ipd.) je treba za vsakega preveriti ali uporabiti univerzalno rešitev, ki šifrira celoten promet iz tvojega računalnika. v tem primeru je rešitev VPN, ki je navidezen tunel v omrežje, ki mu zaupaš, npr. doma. to lahko storiš z že omenjenim ssh tunelom, možnost je tudi OpenVPN in še veliko drugih. Tako SSH kot OpenVPN lahko postaviš na routerjih s Tomato firmwarom, to si lahko doma nastavi prijatelj, lahko nastaviš pri sebi doma, itd. vendar mora biti drugi konec, kjer potem tvoj promet pride ven, na voljo vedno kadar rabiš internet (dovolj je že da imaš doma router ki laufa 24/7). Da ti dam malo vzpodbude da preštudiraš VPN: z uporabo VPNja ne bi bilo tudi nič blokirano, imel bi dostop do vsega na internetu oz. kot bi bil doma.
4. zdrava pamet: ne odpiraj/zaganjaj če ti je kaj ponujeno, preveri nastavitve ki ti jih da administrator za vnesti, itd. brez te ne gre v nobenem primeru, lahko je še tako hudo zaščiten sistem pa uporabnik klikne na nekaj kar ne bi smel
mat xxl ::
Precej omenjate TrueCrypt... pa vsi vemo, da novejši tovrstni programi večinoma imajo in morajo imeti back door. Torej sam sem uporabljal dolgo stari dobri PGP 8, ki je bil in je še zmeram dovolj in nezlomljiv, razen z kakimi super mašinami bi šlo, samo ker nisem terorist me ni strah, žalje ta stari program imel samo 8 - 10 mb, zadnje verzije že komercialne ki so delale isto pa čez 100 mb.....ja so imeli razne dodatke back dore.... žal mi PGP ne dela pravilno na W7 64 bit zato iščem nekaj zanesljivega ..... ve kdo kaj več kak namig...
technolog ::
Pejd na linux, tam načeloma ni backdoorov, ker je izvorna koda programov dostopna vsakomur.
Highlag ::
Kakšni paranoiki. 
Dvomim, da se da komu iskati in uporabljati "backdor" vhode v kakršenkoli računalnik takole povezan v mrežo. Tudi človek nima nekih poslovnih skrivnosti gor, da bi rabil nevem kakšno zaščito izvajat.
Če do računalnika fizično nima dostopa, je prevsem važno, da ti na računalniku laufa kakšen požarni zid, ter da če ne potrebuješ onemogočiš deljenje datotek preko mreže, oziroma v mapah za deljenje ne hraniš svojih privatnih datotek.
Če ima pa dostop, bi bilo pa smiselno da datoteke zaščitiš s kakšnim geslom. Recimo zapakiraš v arhiv z nekim dolgim geslom. Spomni se nek stavek pa ga uporabi za geslo. Ali pa celo ne hraniš datotek na računalniku. Danes lahko uporabiš en kup brezplačnih servisov za hranjenje datotek na spletu. Tudi kakšen Googledocs... Samo potem gesla ne hrani v spominu brskalnika...
Dvomim, da se da komu iskati in uporabljati "backdor" vhode v kakršenkoli računalnik takole povezan v mrežo. Tudi človek nima nekih poslovnih skrivnosti gor, da bi rabil nevem kakšno zaščito izvajat.
Če do računalnika fizično nima dostopa, je prevsem važno, da ti na računalniku laufa kakšen požarni zid, ter da če ne potrebuješ onemogočiš deljenje datotek preko mreže, oziroma v mapah za deljenje ne hraniš svojih privatnih datotek.
Če ima pa dostop, bi bilo pa smiselno da datoteke zaščitiš s kakšnim geslom. Recimo zapakiraš v arhiv z nekim dolgim geslom. Spomni se nek stavek pa ga uporabi za geslo. Ali pa celo ne hraniš datotek na računalniku. Danes lahko uporabiš en kup brezplačnih servisov za hranjenje datotek na spletu. Tudi kakšen Googledocs... Samo potem gesla ne hrani v spominu brskalnika...
Never trust a computer you can't throw out a window
Furbo ::
Precej omenjate TrueCrypt... pa vsi vemo, da novejši tovrstni programi večinoma imajo in morajo imeti back door. Torej sam sem uporabljal dolgo stari dobri PGP 8, ki je bil in je še zmeram dovolj in nezlomljiv, razen z kakimi super mašinami bi šlo, samo ker nisem terorist me ni strah, žalje ta stari program imel samo 8 - 10 mb, zadnje verzije že komercialne ki so delale isto pa čez 100 mb.....ja so imeli razne dodatke back dore.... žal mi PGP ne dela pravilno na W7 64 bit zato iščem nekaj zanesljivega ..... ve kdo kaj več kak namig...
Trapaš. TrueCrypt je open source.
i5-13600K, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO, Toughpower GF3 1000W
RTX3070, ALIENWARE AW3821DW, DELL U3014
RTX3070, ALIENWARE AW3821DW, DELL U3014
mat xxl ::
No si mi vse povedal, tudi vidim, da je zelo kratek .... kar je samo en velik +.
Ja želim tako zaščito, da ko mi specialist odnese mašino je zanj neuporabna ... pač so visoke zahteve po zaščiti podatkov, kako se pa zaščitim, da mi na mašino kaj ne doda pa že vem.
Ja želim tako zaščito, da ko mi specialist odnese mašino je zanj neuporabna ... pač so visoke zahteve po zaščiti podatkov, kako se pa zaščitim, da mi na mašino kaj ne doda pa že vem.
Furbo ::
Pa zapomni si geslo, da ne boš kasneje tukaj spraševal, kako se geslo povrne/zlomi, whatever, ker je to praktično nemogoče.
i5-13600K, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO, Toughpower GF3 1000W
RTX3070, ALIENWARE AW3821DW, DELL U3014
RTX3070, ALIENWARE AW3821DW, DELL U3014
mat xxl ::
Če ni nemogoče me sploh ne zanima, sicer sam kriptiram le posamezne mape in ne celega računalnika.
fosil ::
Absolutna varnost/zaščita na tem svetu ne obstaja.
Obstajajo samo boljše in slabše zaščite in truecrypt je vsekakor ena izmed najboljših, za povprečnega uporabnika verjetno celo najboljša možna.
Obstajajo samo boljše in slabše zaščite in truecrypt je vsekakor ena izmed najboljših, za povprečnega uporabnika verjetno celo najboljša možna.
Tako je!
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Mala šola informacijske varnosti (strani: 1 2 3 4 5 6 7 8 )Oddelek: Informacijska varnost | 79132 (34613) | Dpool |
| » | Pregled kode TrueCrypta za zdaj ni našel stranskih vrat (strani: 1 2 )Oddelek: Novice / Varnost | 25084 (22086) | bobby |
| » | Izšel TrueCrypt 7.0 (strani: 1 2 3 )Oddelek: Novice / Zasebnost | 30636 (27136) | Jst |
| » | Evil Maid napad na TrueCryptOddelek: Novice / Varnost | 6239 (4726) | poweroff |
| » | Varovanje podatkov na prenosnem diskuOddelek: Pomoč in nasveti | 2171 (1884) | SasoS |