W dniu 2017-10-18 o 18:44, Sebastian Biały pisze:
>
> No chyba że zrobimy tak jak robia paranoicy:
>
> a) kupują pendrive z kluczem sprzetowym
> b) instaluja na nim linuxa live
> c) pauzują bios na wczesnym etapie bootowania
> d) odbezpieczają pendrive
> e) odpalają system

Na jakim tak się da?
Na moim Integral Crypto Dual+ FIPS 197 się nie da. Szkoda trochę bo na
128GB trochę by mi weszło dystrybucji jak i danych.


--
Irokez

do góry

W dniu 2017-10-17 o 22:45, Sebastian Biały pisze:
> On 10/17/2017 12:51 AM, Adam wrote:
>> Natomiast dla wrażliwych danych używam programu TrueCrypt.
>
> Ktory ma podstawowe założenie: uzywasz go na zaufanym systemie
> operacyjnym co do którego masz pewnośc że nie posiada trojanów.
> Pozostaje więc pytanie czy pytający uzywa go na komputerze zaufanym czy
> wsadza we wszystko co znajdzie w kawiarenkach internetowych. W drugim
> przypadku nie pomoze ani hasło sprzetowe ani truecrypt bo keyloggery to
> norma w kawiarenkach.
>

To może pytanie:
Nigdy nie interesowały mnie KeyLoggery.
Gdyby podnieść klawiaturę ekranową - to też jest w stanie przechwycić?

One korzystają z jakichś API, czy głębiej gmerają w systemie?
Bo już Win7 chyba powinien się bronić.

Natomiast teraz mając kawiarenkę internetową (miałem ze 20 lat temu), to
chyba wszystko bym postawił na zdalnych pulpitach z wyłącznie
tymczasowymi katalogami. Plus ewentualnie domena albo przynajmniej
gpedit.msc na lokalnym.


--
Pozdrawiam.

Adam

do góry

Nie załapuję składni tego zdania...


-----
> hasło wyjmujesz na lata a dane kopiujesz z tej chwili.

do góry

On 10/19/2017 10:50 AM, ń wrote:
> Nie załapuję składni tego zdania...
>
>
> -----
>> hasło wyjmujesz na lata a dane kopiujesz z tej chwili.


Podobnie jak ja cytowania.

a) hasła wyjmuje się na lata bo zmiana hasła w truecrypcie jest
upierdliwa i nikt tego nie robi
b) dane szyfrowane sprzetowo da się skopiować tylko w czasie przebywania
w dziurze

do góry

On 10/18/2017 10:45 PM, Irokez wrote:
>> No chyba że zrobimy tak jak robia paranoicy:
>>
>> a) kupują pendrive z kluczem sprzetowym
>> b) instaluja na nim linuxa live
>> c) pauzują bios na wczesnym etapie bootowania
>> d) odbezpieczają pendrive
>> e) odpalają system
>
> Na jakim tak się da?
> Na moim Integral Crypto Dual+ FIPS 197 się nie da. Szkoda trochę bo na
> 128GB trochę by mi weszło dystrybucji jak i danych.

Mialem taki z podwojnym rzedem przycisków, ale nie pamietam co to było
bo robiłem to dla kogoś.

Wygladał podobnie jak ten:

https://www.pcworld.com/article/2894712/portable-sto
rage-for-the-paranoid-we-test-two-secure-usb-drives-
on-keypad-vs-software-security.html

Ale jednak diody miał w innym miejscu, bodaj na końcu. Poszukam jeszcze
może mi wpadnie w oko.

A na marginesie: czemu się nie da?

do góry

On 10/19/2017 12:32 AM, Adam wrote:
> To może pytanie:
> Nigdy nie interesowały mnie KeyLoggery.
> Gdyby podnieść klawiaturę ekranową - to też jest w stanie przechwycić?

Tak, jeśli jest ona stabilna i komus się chce. Raczej dla nietypowych to
tylko akademicko da się, ale dla wbudowanej w windowsa to bodaj
wszystkie keyloggery mają od razu gotowca. nie mam pod reką opisu który
czytalem, ale jest gdzieś w necie zestawienie ficzerow i prawie kazdy
miał obslugę klawiatury ekranowej - systemowej.

> One korzystają z jakichś API, czy głębiej gmerają w systemie?
> Bo już Win7 chyba powinien się bronić.

Wstarczy przechwytywać globalna pozycje myszki. Nic więcej.

> Natomiast teraz mając kawiarenkę internetową (miałem ze 20 lat temu), to
> chyba wszystko bym postawił na zdalnych pulpitach z wyłącznie
> tymczasowymi katalogami. Plus ewentualnie domena albo przynajmniej
> gpedit.msc na lokalnym.

Znajomy był informatykiem w kawiarence "lotniskowej" jeszcze kilka lat
temu. Miał to tak zrobione: komputery nie miały dysków. Bootowaly się
jako netboot linux z NFS. Linux odpalal maszyne wirtualną, bodaj
VirtualBoxa. Na nim stał Windows. Opcje odpalania VB powodowały że
zawsze zaczytywal migawkę z jakiejś konkretnej chwili czasowej. Czyli
nawet nie było odzyskiwania, wystarczyło pacnąć reset i system wstawał
czysty za każdym razem. Dodatkowy bonus był taki ze mogli dostawiać
dowolne ilości komputerów i koszt instalacji ich sprowadzą się do
wetknięcia kabla i właczeniu bootroma karty sieciowej w biosie. Zaś
koszt zmiany/aktualizacji windowsa nie zależal od ilości złomu.

Można tez było wybrać jakąs wersję linuxa live. Co jakiś 20-ty klient
preferował linuxa.

do góry

W dniu 2017-10-19 o 20:49, Sebastian Biały pisze:
>> Na jakim tak się da?
>> Na moim Integral Crypto Dual+ FIPS 197 się nie da. Szkoda trochę bo na
>> 128GB trochę by mi weszło dystrybucji jak i danych.
...
>
> A na marginesie: czemu się nie da?

bo bez podania hasła nie ma dostępu do partycji.
Są dwie partycje. Jedna widoczna jako napęd CD z programem zarządzającym
dostępem (obsługa Windows/Mac) i druga właściwa która nie jest dostępna
w jakikolwiek sposób, dopóki nie odblokuję dostępu hasłem.

https://www.youtube.com/watch?v=qkkGEZhB3Hc


--
Irokez

do góry

On 10/19/2017 9:26 PM, Irokez wrote:
> bo bez podania hasła nie ma dostępu do partycji.
> Są dwie partycje.

Ah, zrozumiałem że masz ten z przyciskami. Takiego jak Twój nie
posiadam, ale myślę że jest faktycznie bezużyteczny w scenariuszu z
BIOSem i live linux.

do góry

W dniu 2017-10-18 o 18:44, Sebastian Biały pisze:
> On 10/18/2017 12:37 PM, Dominik Ałaszewski wrote:
>>> przypadku nie pomoze ani hasło sprzetowe ani truecrypt bo keyloggery to
>>> norma w kawiarenkach.
>>> Pomoże natomiast to:
>> Niekoniecznie, bo jak już sobie odbezpieczysz sprzętowo
>> ten nośnik, to wszelakiej maści badware ma tak czy
>> owak dostęp do Twoich danych. Chyba że większym
>> problemem jest utrata hasła niż rzeczonych danych,
>> ale czy takie dane warto zabezpieczać? ;-)
> Nigdy nie warto zabezpieczać danych w ten sposób, ale keylogger jest
> znacznie groźniejszy niz odczyt danych z pendrive bo hasło wyjmujesz na
> lata (bo niby kto zmienia hasła w truecrypcie) a dane kopiujesz z tej
> chwili. Wyciek jest mniej bolesny choć oczywiście zalezy czy tam nie ma
> klucza do portfela bicoinów.
>
>> Generalnie danych wrażliwych nie przetwarza się
>> na niezaufanych komputerach.
> Co dyskwalifikuje wszelkie metody zapewnienia bezpieczeństwa bo do
> niezaufanych nalezy zaliczyć komputery znajomych.
>
> No chyba że zrobimy tak jak robia paranoicy:
>
> a) kupują pendrive z kluczem sprzetowym
> b) instaluja na nim linuxa live
> c) pauzują bios na wczesnym etapie bootowania
> d) odbezpieczają pendrive
> e) odpalają system
>
> Prawdziwi paranoicy dodatkowo tego nie robią bo mają świadomośc że
> wsadzenie trojana do biosu UEFI nie stanowi obecnie większego problemu.
Mnie z dysku (druga partycja ) zginął wczoraj bardzo ważny folder z
danymi. Coś się kotłowało w komputerze jakby ktoś drugi ingerował, a
potem patrzę, a tu nie ma ważnego folderu.
Niedawno teą mi jakiś folder zniknął. Nie wiem kogo moge posądzać, ale
dostęp zdalny to ma chyba UPC, bo jak któregoś dnia rozmawiałam z
"pomoca" techniczną to w rozmowie z nim wyszło, że on wie kiedy wyłaczam
modem i telewizor z listwy i nawet miał pretensje, że wyłaczam, bo
rzekomo psuje mi się internet. Jakoś tak, bo dosłownie nie mogę
przytoczyć. Musiałabym nagrywać i odtworzyć tę rozmowę. Wychodzi na to,
że oni włażą na dyski klientów UPC.


--
animka

do góry

W dniu 2017-10-19 o 20:58, Sebastian Biały pisze:
> On 10/19/2017 12:32 AM, Adam wrote:
>> (...)
> Znajomy był informatykiem w kawiarence "lotniskowej" jeszcze kilka lat
> temu. Miał to tak zrobione: komputery nie miały dysków. Bootowaly się
> jako netboot linux z NFS. Linux odpalal maszyne wirtualną, bodaj

Dzięki za przypomnienie - prawie o tym zapomniałem.
Ostatnie maszyny bezdyskowe miałem jeszcze na kablu RG58, na Netware 3.x.
W wolnej chwili z ciekawości się pobawię.

> VirtualBoxa. Na nim stał Windows. Opcje odpalania VB powodowały że
> zawsze zaczytywal migawkę z jakiejś konkretnej chwili czasowej. Czyli
> nawet nie było odzyskiwania, wystarczyło pacnąć reset i system wstawał
> czysty za każdym razem. Dodatkowy bonus był taki ze mogli dostawiać

Takie właśnie założenie przyjąłem, z innym może sposobem realizacji.
Istotnie, niepotrzebnie założyłem, że "skorupa" ma HDD z jakimś systemem
- jest to niepotrzebne.

> dowolne ilości komputerów i koszt instalacji ich sprowadzą się do
> wetknięcia kabla i właczeniu bootroma karty sieciowej w biosie. Zaś
> koszt zmiany/aktualizacji windowsa nie zależal od ilości złomu.
>

Aktualnie koszty niesie cena licencji terminalowych.
Przykładowo: "WinRmtDsktpSrvcsCAL 2016 ALNG Emb MVL" czyli kod 6VC-03185
to niecałe 100 euro netto dla klienta końcowego.
Oczywiście przy założeniu, że za serwer robi WinSrv.

> Można tez było wybrać jakąs wersję linuxa live. Co jakiś 20-ty klient
> preferował linuxa.

W zasadzie można postawić jakiegoś Ubuntu i zmodyfikowany KDE czy inny
LXDE, i typowa "blądynka" (nie poprawiać) nie odróżni od Windowsa.
A, przepraszam, teraz odróżni ;)
Bo Windows już nie ma normalnego menu, tylko jakieś [....] (cenzura).

Przeglądarki na Gecko czy silnikach Google wyglądają prawie identycznie
na win i na linux. Różnice wychodzą najczęściej przy dostępie do pamięci
zewnętrznych lub w przypadku drukowania.


--
Pozdrawiam.

Adam

do góry