Константин Ильин Опубликовано 8 февраля, 2007 Поделиться Опубликовано 8 февраля, 2007 В общем понятно... В шпионов в детстве не наигрались. Ваша т.н. система не работает в случае: 1. Отсутствия подключения к Инету, даже временного. Ни один уважающий себя "крот" не будет читать украденное на подключенном к инету компе (как и в обычном случае работы с КИ). 2. При открытии файла в другой программе, чем он был создан. Если Вы не знаете, то чужие файлы во избежании неприятностей открывают блокнотом или падом, так что Ваши макросы мимо кассы. К тому же - тот же ворд спрашивает про макросы - открывать или нет... 3. Если отключена автоматическая загрузка внешнего источника. А это делают практически все пользователи - задалбывает автоматическое загрузка диска... 4. Если стоит нормальный антивирусник со сканером Любое несанкционированное изменение пресекается Что касается форматирования жесткого диска - свежо предание, да верится с трудом ... Аналогично со скрытым копированием последних открытых файлов. Приличные люди журналы чистят регулярно. В общем вся система сводится к попытке внедрения программ-шпионов, в лучшем случае. ИМХО, к Вашей системе нужна инструкция для пользователя: Прежде чем открыть украденные тобой документы, убедись, что твой компьютер подключен к сети Интернет, отключена антивирусная защита и сканер, включена опция автоматической загрузки содержимого, журналы посещений не вычищены. Да, файлы нужно открывать той программой, что были созданы и разрешить выполнение макросов. А Ваш последний пассаж- это просто чудо. Не читайте плохих детективов на ночь и поменьше смотрите Голливуда... Без обид. Я думал, Вы серьезно говорили о какой-то новой технологии выявления утечки информации... А про комплекс мер я уже где-то читал ... Ссылка на комментарий Поделиться на другие сайты More sharing options...
Искендер Опубликовано 10 февраля, 2007 Поделиться Опубликовано 10 февраля, 2007 "Компания SanDisk в рамках предстоящей конференции по вопросам компьютерной безопасности RSA Conference собирается представить новый программный продукт, предназначенный для защиты корпоративных сетей. Как сообщает CNET News, посредством готовящегося к выпуску программного пакета SanDisk системные администраторы смогут запрещать сотрудникам компаний и организаций использование флэш-брелоков или внешних устройств, которые могут применяться в качестве накопителей. Карманные плееры, различные гаджеты и флэш-брелоки представляют серьезные угрозу для корпоративных сетей. Такие устройства могут стать источником вирусов, троянов и шпионского ПО. Кроме того, недобросовестные работники могут использовать портативные накопители с целью кражи конфиденциальной информации. Пакет SanDisk как раз и поможет решить данные проблемы. Впрочем, представители компании SanDisk отказались дать какую-либо более конкретную информацию о новом продукте. Однако обозреватели полагают, что в основу пакета будут положены разработки фирмы mSystems, которую SanDisk приобрела в прошлом году за 1,55 миллиарда долларов США. Информация с Компьюленты Ссылка на комментарий Поделиться на другие сайты More sharing options...
Гость a007 Опубликовано 11 февраля, 2007 Поделиться Опубликовано 11 февраля, 2007 Ваша т.н. система не работает в случае: 1. Отсутствия подключения к Инету, даже временного. Ни один уважающий себя "крот" не будет читать украденное на подключенном к инету компе (как и в обычном случае работы с КИ). 2. При открытии файла в другой программе, чем он был создан. Если Вы не знаете, то чужие файлы во избежании неприятностей открывают блокнотом или падом, так что Ваши макросы мимо кассы. К тому же - тот же ворд спрашивает про макросы - открывать или нет... 3. Если отключена автоматическая загрузка внешнего источника. А это делают практически все пользователи - задалбывает автоматическое загрузка диска... 4. Если стоит нормальный антивирусник со сканером Любое несанкционированное изменение пресекается по п.2, 3, 4 - Ваши выводы неверны, хотя ирония мне понятна для информации: упомянутые мной макросы - это лишь пример, технология, о которой я говорил, их не использует Что касается форматирования жесткого диска - свежо предание, да верится с трудом ... Аналогично со скрытым копированием последних открытых файлов. Приличные люди журналы чистят регулярно. тогда, однажды, обнаружив у себя троян - не удивляйтесь ;-) В общем вся система сводится к попытке внедрения программ-шпионов, в лучшем случае. ИМХО, к Вашей системе нужна инструкция для пользователя: Прежде чем открыть украденные тобой документы, убедись, что твой компьютер подключен к сети Интернет, отключена антивирусная защита и сканер, включена опция автоматической загрузки содержимого, журналы посещений не вычищены. Да, файлы нужно открывать той программой, что были созданы и разрешить выполнение макросов. без комментариев А Ваш последний пассаж- это просто чудо. Не читайте плохих детективов на ночь и поменьше смотрите Голливуда... Без обид. Я думал, Вы серьезно говорили о какой-то новой технологии выявления утечки информации... А про комплекс мер я уже где-то читал ... Послушайте Константин, мне от Вас ничего не нужно и спорить с Вами мне незачем. Я лишь говорю о вещах, которые работают, в надежде, что уважаемые коллеги примут информацию к сведению, кого-то, возможно мой пост подтолкнёт сделать, что-то подобное. С уважением, a007 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Константин Ильин Опубликовано 11 февраля, 2007 Поделиться Опубликовано 11 февраля, 2007 Уважаемый a007. И в мыслях не было над Вами смеяться. Вы сказали, что можно установить систему обнаружения утечки, которая при открытии документа "сигнализирует", что был открыт, "говорит" ip-адрес, время и проч. компьютера, на котором документ читается/редактируется. Эта технология давно и с успехом используется для выявления "кротов". Естественно, что я заинтересовался данным вопросом, и попросил Вас уточнить, как работает эта система. Вы сказали, что есть документированные и не очень возможности форматов doc, rtf, xls, ppt ... заставляющие программы скрытно от пользователя компьютера выполнять действия, позволяющие установить источник прочтения документа, при условии, что компьютер подключен к сети Интернет (это ограничение). А так же, что Кроме того, если флэшка, которую Вы несанкционированно взяли формата U3 (http://www.u3.com/), можно встроить скрытый код, с неограниченными возможностями - от форматирования Вашего домашнего компьютера (это - жесть), до незаметного копирования последних открытых на Вашем компьютере документов на эту самую флэшку в скрытый раздел (imho - это будет честно, Вы возьмёте мои документы, а я Ваши ;-) ). Я осмыслил выданную Вами информацию и сделал выводы, что это не технология, а Ваши предложения по попытке организовать нечто подобное. Судите сами - не может технология выявления "крота" зависеть от того, подключился он к Инету или нет. Второе - для запуска активного содержимого нужно разрешение системы. Методов блокировки этой опции множество. Формат U3 не шпионский, он лишь позволяет с разрешения пользователя сохранить все данные пользователя на скрытый раздел флешки, и если Windows вдруг откажется загружаться в один прекрасный момент – вы можете восстановить работоспособность с помощью этой флэшки. А когда вы просто вставляете флэшку в ПК, на ней срабатывает программа «автозапуск» – со списком программ на вашем носителе. И программе нужны необходимые права доступа От троянов никто не застрахован. Но есть обычный набор мер безопасности - постоянно предохраняться, инфу извне обязательно проверять, важную информацию хранить отдельно. И даже если Ваша U3 запустит диск-формат (в чем я сильно сомневаюсь) или начнет копировать файлы пользователя (по умолчанию - системные и настройки), то никакого вреда компьютеру нормального "крота" она не принесет. А Вам - пользы. Если вещи, о которых Вы говорите, работают, расскажите - КАК? Пока я только понял, что у "крота", когда он будет читать украденные документы, компьютер должен быть подключен к Интернету. В противном случае Ваша система не работает.Так в чем ее эффективность? А если на компьютере "крота" запрещена активация внешнего содержимого - как тогда с флешки U3 активируется команда копирования или форматирования? И еще. Если Вы вордовский документ откроете простым блокнотом - какие команды формата Word могут быть выполнены, если фактически идет открытие в формате txt? Ответьте, если не сложно. Я с удовольствием признаю свою неправоту и с не меньшим удовольствием извинюсь перед Вами, если выясниться, что я заблуждался по поводу хотя бы одного из последних трех вопросов. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Гость a007 Опубликовано 15 февраля, 2007 Поделиться Опубликовано 15 февраля, 2007 ... no comments не может технология выявления "крота" зависеть от того, подключился он к Инету или нет. Константин, не мыслите шаблонами... Все делают ошибки. В том числе Вы и я. "Кроты" (или их заказчики) не исключение. Второе - для запуска активного содержимого нужно разрешение системы. Методов блокировки этой опции множество. методов "запуска активного содержимого" тоже. Вы уверены, что всё охватили с помощью "методов блокировок этой опции"? Формат U3 не шпионский, он лишь позволяет с разрешения пользователя сохранить все данные пользователя на скрытый раздел флешки, и если Windows вдруг откажется загружаться в один прекрасный момент – вы можете восстановить работоспособность с помощью этой флэшки. ??? !!! ???... ну да неважно... А когда вы просто вставляете флэшку в ПК, на ней срабатывает программа «автозапуск» – со списком программ на вашем носителе. И программе нужны необходимые права доступа style_emoticons/default/smile6.gif а права доступа - нужны, это бесспорно по умолчанию троян выполнится с правами текущего пользователя От троянов никто не застрахован. Но есть обычный набор мер безопасности - постоянно предохраняться, инфу извне обязательно проверять, важную информацию хранить отдельно. "От троянов никто не застрахован" - да. В этой фразе ищите ответ на свой вопрос. Только трактуйте понятие "троян", как нечто, что делается компьютером в интересах атакующего и скрытно от вас. И даже если Ваша U3 запустит диск-формат (в чем я сильно сомневаюсь) или начнет копировать файлы пользователя (по умолчанию - системные и настройки), то никакого вреда компьютеру нормального "крота" она не принесет. А Вам - пользы. Даже и не знаю что Вам ответить... Просто сами подумайте, зачем трояну копировать "файлы пользователя (по умолчанию - системные и настройки)". Что мешает ему поискать .doc, .xls, .eml, .pst, .dbf и другие файлы, к которым текущий пользователь имеет доступ ... А хранить важную инфу отдельно - это да. Хороший термин - "постоянное предохранение". Боюсь представить, что он означает в других областях style_emoticons/default/smile7.gif . Если трояна напишут персонально чтобы взять Вас, Вы его даже не "почувствуете". Не помогут многочисленные антивирусы, антихакеры и проч. Сигнатуры этого персонального трояна в антивирусных базах нет, эвристические механизмы обманываются, Вы почти, что беззащитны. Рано или поздно совершите ошибку. Нападающему тоже сложно, но если охота идёт постоянно (т.е. желание взять крота не пропадает), вероятность успеха довольно высока. Это касается и U3 и технологии выявления кротов через украденные ими электронные документы. Пока я только понял, что у "крота", когда он будет читать украденные документы, компьютер должен быть подключен к Интернету. В противном случае Ваша система не работает.Так в чем ее эффективность? Не совсем так. Кроме того эффективность = результат / затраты . результат = кол-во выявленных "кротов" (или предотвращённый ущерб) затраты = стоимость мероприятий для одних эта технология не подходит, а для других в самый раз. И еще. Если Вы вордовский документ откроете простым блокнотом - какие команды формата Word могут быть выполнены, если фактически идет открытие в формате txt? Ответьте, если не сложно. Отвечаю - никакие. Продолжая эту логику, следует отказаться от офисных программ, операционных систем, Интернета... и от компьютеров вообще, т.к. это слишком опасно. С уважением a007 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.