[sprzedam123]

Witam!

Proszę o pomoc i podpowiedź przy weryfikacji mojej "pracy nukowej" poświęconej zabezpieczeniu pracy przy komputerze przed nieuprawnionym dostępem do chronionych danych. Poniżej przedstawię założęnia i pomysł na schemat takiej pracy, a Was proszę o ocenę:

Cel: całkowita likwidacja prawdopodobieństwa odczytania danych chronionych na komputerze współdzielonym. Żadne dane na których wykonywana jest praca nie moga być odczytane zarówno przez osobę dopuszczoną do współdzielonego komputera (oczywiście w innym celu, niż praca), jak i przez nieuprawniony dostęp (włamanie/kradzież (fizycznie sprzętu) lub też przy pomocy włamania przez sieć...) System ma stałe łącze internetowe.




Warunki/ środowisko pracy:


System zainstalowany to W7 x64

Zainstlowany avast z możliwością blokady całego ruchu sieciowego, gdy pracuję lub odłączony kabel fizycznie

używanie ccleaner po każdej skończonej pracy (czyszczenie wg domyślnego schematu programu w zakładce programy i windows)

zainstalowany truecrypt i utworzony kontener 20GB (zabezpieczony długim hasłem symbole i litery duże i małe, kodowanie AES)

w ww. kontenerze TrueCrypt @AES zainstalowany virtualbox 4.1.8 x64

w tym ww. virtualbox 4.1.8 x64 (zainstalowanym w kontenerze TrueCrypt @AES) zainstalowny W7x64 -gość, zabezpieczony hasłem)






Proponowana procedura pracy:


[poniżej kroki wykonywane na W7 host]

Odłączenie systemu macierzystego W7 od sieci na czas pracy,

montuje w TrueCrypt kontener z vboxem (na tym samem kontenerze W7-gość)

Odpalam VBox

uruchamiam W7-gość


[poniżej kroki wykonywane na W7-gość w VBOx w TC/AES]

logowanie do W7-gościa (haslo)

montuje kontener z CHRONIONYMI DANYMI w TrueCrypt*
* = to Źródło danych znajduje się w kontenerze TrueCrypt, osadzonym w odrębnym kontenerze TC - nie tym samym, na którym jest Vbox i W7-gość, któy już jest w użyciu. Montowany w tym ktorku kontener z DANYMI CHRONIONYMI łącznie zabezpieczają 3 poziomy haseł AES, a cały ten 1 plik ważący ponad 100GB znajduje się "fizycznie" w W7 gospodarza i jest udostępniony dla W7-gościa.

Następnie pracuję na DANYCH CHRONIONYCH w W7-gościu. Wszyskie pliki zapisuję oczywiście na ww. dysku z TC z 3 poziomami haseł AES (nie ten na którym jest vbox i W7-gość).


Po zakończonej pracy odmontowuję dysk wirtualny w vbox w W7-gość,

uruchamiam ccleanera, czyszcze cache, etc.

wyłączam W7-gość, a tym samym wracam do W7 hostującego.


[poniżej już tylko kroki wykonywane na W7 hostującym]

uruchamiam ccleanera, czyszcze cache, etc.

restartuje komputer,

loguję się do W7 hosta,

podłączam ponownie internet.


PS: co do połączenia z siecią - jeśli lepszą opcją jest na czas pracy wyłączenie kabla z sieci w ogóle, to nie jest to żaden kłopot. Zdaję sobie sprawę z tego, że nie ma czegoś takiego jak 100% bezpieczeństwo w sieci...







A teraz moje pytania i prośba do chętnych do przemyślenia tematu:


Czy taka procedura działania jest w stanie skutecznie zabezpieczyć mnie przed dostępem do DANYCH CHRONIONYCH na których pracuję kogokolwiek? Oczywiście nie mówię tu o służbach specjalnych, itd, bo zamchu nie przygotowuję, więc się o to nie boję, ale mówię o przeciętnych użytkownikach, tych zaawansowanych też, czy złodziejach.

Każda praca w windows niesie ze sobą niebezpieczeństwo, bo winda pozostawia zapewne ogrom śladów w postaci miniatur, plików tymczasowych itd... ale ten problem chyba nie istnieje w przypadku osadzenia wirtualnego W7 w kontenerze VB, który to z koleii jest umieszczony w kontenerze zakodowanym długim hasłem AES w TrueCrypt...? Czy tu sie mylę? Nawet bowiem jeśli w W7-gościu zostają śmieci ze śladami, to ten system (do windy łatwo się włamać) jest niedostępny, ponieważ cały vbox i wirtualna maszyna są umieszczone w kontenerze TC@AES z długim hasłem...

Proszę oceńcie, czy taka forma zabezpieczenia danych przed nieuprawnionym dostępem jest dobra i gdzie można coś poprawić/ zmienić/ etc.

Oczywiście najprostrzym rozwiązaniem byłoby zbudować osobną maszynę bez dostępu do netu, ale mimo to proszę o opinie i porady, a przede wszystkim o wytknięcie błędów - gdzie może być szczelina, którą mógłby ktoś wykorzystać, aby DANE CHRONIONE przechwycić.




Pozdrawiam serdecznie każdego, kto choć przebrnął przez ten gąszcz tekstu:) Z góry przepraszam, jeśli się nie do końca jasno wyraziłem w opisie, ale to dopoiero moje założenia. Chętnie objaśnię, jeśli coś nie jest zrozumiałe.

[hot_stuff]

Na poczatku przyznam sie, ze nie przeczytalem w 100% twojego posta, wiec gdzies moglem napisac cos dziwnego no ale moze jednak to co napisalem podsunie ci jakies rzeczy ktore nalezaloby dokladniej przemyslec.

A co w przypadku gdyby na systemie hostujacym pojawil sie program, ktory wylapalby haslo do TC? Skoro jest to komputer ogolnodostepny i jedynie 'mega' zabezpieczany jest system postawiony na wirtualu, to problemow z pojawieniem sie programu, ktory wylapywalby wciskane klawisze raczej by nie bylo. Wiec slabym punktem jest system hostujacy.

Sprawa nr 2 --> co konkretnie chcesz zabezpieczac? Pliki jakie sie beda znajdowac na szyfrowanej partycji(w tym pliki systemowe)?

Sprawa nr 3 --> rozumiem, ze komputer jest wolnostojacy i ma latwo dostepne gniazda usb i/lub sprawna stacje cd/dvd/bd-rom? Jezeli tak to mozna latwiutko przekopiowac cala szyfrowana partycje gdzies np. przy uzyciu jakiegos live linuxa a po przechwyceniu hasla do TC mozna miec pelny dostep do danych z dowolnego innego komputera.

[waszu]

To ja dodam poradnik: http://pastie.org/pr...6u8aexa5lmcbkma

Dodatkowo, użycie comba vim/latex znakomicie utrudnia życie keyloggerom.

[sprzedam123]

System nie jest dostępny dla osób obcych, z wyjątkiem włamania się i fizycznej kradzieży lub kradzieży danych przez sieć.

Dane które mają być chronione znajdowac się mają w kontenerze, wewnątrz konenera, ktory obsługiwany bedzie przez wirtualny w7 na vbox, gdzie vbox i wirtualny w7 tez bedą na odrebnym kontenerze w TC.
Czyli mówiąc krótko - sa dwa kontenery AES na TC

kontener 1 20gb = system w7 na vbox, 20GB
kontener 2 100+gb = dane (zawarte w mniejszych kontenerach chronionych osobnym dlugim haslem AES, wewnatrz tego kontenera)

Kontener z danymi chronionymi ("2")miałby rozmiar pond 100GB wiec łatwo i szybko nie da się tego skopiować.
kontener ten celowo jest tak duży, mimo iż pliki tam się znajdujące będą mniejsze.




co do keylogera - to jest wlasciwie chyba moje jedyne najwieksze zmartwienie, bo chyba tylko odlaczenie sie od netu zapewnie 100% ochrony przed przechwyceniem ZDALNYM. (nie mowie tu o zamontowaniu mi logera w klawiaturze itd, bo to wykluczamy)


Jakie z tego płyną wnioski?
zła konstrukcja zabezpieczenia?

[dr Bliss]

Zgadzam się z hot_stuff - zabezpieczenie tylko systemu wirtualnego, to podstawowy błąd. Słabym elementem będzie tu system-host. W pierwszej kolejności programowy keylogger. W drugiej kolejności takie kwestie jak:
a) pamięć wirtualna - system Windows hosta będzie przechowywał na dysku dane w formie niezaszyfrowanej w pliku pamięci wirtualnej - nie znalazłem zasady współdzielenia pamięci przez system gościa i hosta, więc należałoby ostrożnie przyjąć, że vbox jako proces w systemie hosta podlega jego zarządzaniu pamięcią, stąd ryzyko zapisania danych z pamięci w pliku pamięci wirtualnej;
b) hibernacja systemu - problem w istocie taki sam jak powyżej,
c) pliki zrzutów pamięci w przypadku awarii systemu hosta,
d) pamięć operacyjna - co do zasady jest niezaszyfrowana, więc jakikolwiek pasożyt w systemie hosta ma łatwy dostęp do danych w pamięci RAM,
jest jeszcze kilka elementów, które mają wpływ na bezpieczeństwo danych i wcale nie pomaga tu, że masz zaszyfrowany kontener w zaszyfrowanym kontenerze.

W ogóle mam wrażenie, że nie zrobiłeś nawet podstawowego rozpoznania. Większość istotnych problemów porusza User Guide do Truecrypta, a ty pewnie nawet do niego nie zajrzałeś.

[sprzedam123]

Przyznaję się dr Bliss - nie czytałem całego UG od TC...
Właśnie nadrabiam ten brak...

Systemu nigdy nie hibernuje, o tym już czytałem
o zrzutach pamięci etc też...
dlatego też właśnie pytanie, na ile jakieś elementy w pamięci kompa wirtualnego zapisują się np na dysku tego hosta...
hmmm

[Galvatron]

Wystarczy Linux/Unix (BSD) + dysk USB + drugi na backup + ew. sejf(y). Windows 7 jako host do wirtualizacji to kiepski pomysł: Raz, że są na niego miliony malware, a dwa, że sam pożera stanowczo za dużo zasobów, a co dopiero przy dwóch na raz.., Na samym szyfrowaniu można się nieźle przejechać, bo jak coś się posypie, to możesz już nie odzyskać danych (przy takim wielokrotnym szansa jest znacznie wyższa).

[sprzedam123]

"Wystarczy Linux/Unix (BSD) + dysk USB + drugi na backup + ew. sejf(y)."

czy mógłbyś rozwinąć to podając szczegóły?
Zaznaczam, że kontener z chronionymi danymi ma rozmiar 120<150GB

Chyba najlepszą opcją byłoby jednak używanie live-cd linuca lub unix, bez mozliwosci zapisu na tej plycie...
a dysk podpiety pod ten live-cd musi byc zaszyfrowany np TC w calosci, tak aby kazde dane, jakie tam sie zapisza (tymczasowe, etc) nigdy nie byly w niezaszyfrowanej postaci.
Zakladajac, ze nie bedzie ten system z live-cd podlaczony do neta, zakladajac ze nie mam i nie bede mial sprzetowego keylogera, to jedyne miejsce, gdzie jeszcze mogą zostawac szczatki danych, to RAM... ale po kulku minutach od wylaczenia kompa, ten problem chyba znika.

Tylko zakladajac taka ww. konfigurację, to jakich składników użyć?
Na tym linux/unix chciałbym odpalić vboxa a w nim windowsa.
tylko jak przygotowac do tego dysk twardy pod kontener z danymi?
hmmm

[Mich486]

Ja bym użył jednak debiana + partycja/folder zaszyfrowana.
Jestem przekonany że takie rozwiązanie jest bezpieczniejsze a do tego prostsze w wykonaniu.

[McDonald]

Warto wspomnieć o użyciu czegoś na zasadzie terminala, tzn. system ładowany i obłsugiwany jest sieciowo.(Nie ma fizycznego dysku). Jedynie mógłby być problem w przypadku większej ilości końcówek klienckich. W pracy posiadam serwer Fujitsu Rx300 s6 i 15 terminali, i radzi sobię z tym wyśmienicie. Po za tym działa na nim jeszcze kontroler domeny i 5 baz SQLowych, obciążenie nie przekracza 75%.

[sprzedam123]

Użycie serwerów nie wchodzi w grę.
Może poda ktoś wg niego najlepszą konfigurację
linux live-cd + dysk szyfrowany i jak to zrobić?

dysk taki (hdd) moglbym podpinac w kieszen podczas gdy odpalałbym z plyty system
ewentualnie system z pendrive?
mam pena 16 gb, wiec sporo na nim moge tez zmiescic

kontener z danymi musi miec rozmiar ok 150gb

[Galvatron]

sprzedam123, o 23 Luty 2012 - 09:40, napisał(a):

"Wystarczy Linux/Unix (BSD) + dysk USB + drugi na backup + ew. sejf(y)."

czy mógłbyś rozwinąć to podając szczegóły?
Zaznaczam, że kontener z chronionymi danymi ma rozmiar 120<150GB

Chyba najlepszą opcją byłoby jednak używanie live-cd linuca lub unix, bez mozliwosci zapisu na tej plycie...
a dysk podpiety pod ten live-cd musi byc zaszyfrowany np TC w calosci, tak aby kazde dane, jakie tam sie zapisza (tymczasowe, etc) nigdy nie byly w niezaszyfrowanej postaci.
Zakladajac, ze nie bedzie ten system z live-cd podlaczony do neta, zakladajac ze nie mam i nie bede mial sprzetowego keylogera, to jedyne miejsce, gdzie jeszcze mogą zostawac szczatki danych, to RAM... ale po kulku minutach od wylaczenia kompa, ten problem chyba znika.

Tylko zakladajac taka ww. konfigurację, to jakich składników użyć?
Na tym linux/unix chciałbym odpalić vboxa a w nim windowsa.
tylko jak przygotowac do tego dysk twardy pod kontener z danymi?
hmmm

Dane trzymasz na dysku USB, obrabiasz pod Linuksem/BSD, a po robocie zamykasz w sejfie. W zależności od tego o czym mówimy, Windows może w ogóle nie być potrzebny. Na te systemy zasadniczo nie ma malware, więc tutaj nie ma się czego obawiać. Może jak byś trafił na prawdziwych, zdeterminowanych hakerów... Tylko tacy włamują się do firm i instytucji państwowych, nie do "Kowalskich". Ogólnie, model bezpieczeństwa systemów okołouniksowych jest zupełnie inny niż to co prezentuje MS: Tutaj użytkownik domyślnie nie ma praw administratora (root'a), a jeśli są potrzebne, to system prosi o hasło. Dzięki temu, nawet gdyby coś się napatoczyło, to wiele nie zdziała. Nie musisz się bawić w żadne odłączanie kabla sieciowego, żeby mieć pełne poczucie bezpieczeństwa.

Jak bardzo chcesz, to dla komfortu psychicznego oczywiście możesz zaszyfrować dyski, ale to raczej sztuka dla sztuki, bo i tak nic nie pobije fizycznego odłączenia i zamknięcia w pancernej skrytce. Przy okazji nie ma ryzyka że ktoś niepowołany przypadkiem je wyszpera.

[sprzedam123]

Najgorsze jest to, że jestem kompletnie zielony w linux/bsd:(
nie wiem ktorej konkretnie dystrybucji najlepiej uzyc itd

no i majac juz instalacje takiego systemu oczywiscie rozumiem, ze w nim musze tez miec truecrypta
montowac konteren itd... no i dysk musi byc zaszyfrowany,
aby nikt nie mogl odczytac nawet szczątkowych danych tymczasowych zapisanych gdzies na dysku

[Galvatron]

Nie mogę oprzeć się wrażeniu, że zwyczajnie przesadzasz. Chyba nie masz w domu samych hakerów, którzy tylko czyhają na Twoje prywatne pliki. Linux + dysk USB zapewni dostateczny stopień ochrony dla "zwykłego Kowalskiego". Bardziej bym się martwił o odpowiedni backup, niż o wyciek.

[sprzedam123]

A możesz w takim razie zaproponować konkretną dystrybucję linuxa, tak, aby była stabilna, maksymalnie bezpieczna przy jednocześnie na tyle łatwej obsłudze, że dam radę się jej nauczyć?

Tego linuxa chciałbym najlepiej mieć wgranego np na pendrive.

Sam system na pendrive chciałbym, aby oferował mi:

w najlepszym razie:
-możliwość zaszyfrowania całego dysku na którym się znajduje system (pendrive)
-obsługę truecrypta
-emulację windowsa w vbox
oraz zawierać ma:
-irfanview lub odpowiednik
-odtwarzacz mp4,wmv,flv,avi itd.
-openoffice word i calc

w najgorszym:
-możliwość zaszyfrowania całego dysku na którym się znajduje system (pendrive)
-obsługę truecrypta
oraz zawierać ma:
-irfanview lub odpowiednik
-odtwarzacz mp4,wmv,flv,avi itd.
-openoffice word i calc


System uruchamiałbym następująco (tak ja to sobie wyobrażam, jeśli jest inaczej, to proszę o info)

Wyłączam W7
Podpinam do wyłączonego komputera (na którym normalnie korzystam z W7) pendrive + dysk USB.
Odpalam komuter
ładuje się system z pendrive
system z pendrive korzysta TYLKO I WYŁĄCZNIE z DYSKU USB!!!
NIE MOŻE WIDZIEĆ, A TYM BARDZIEJ ZAPISYWAĆ NIC NA DYSKACH OD W7 (tych fizycznie wpiętych w budę)


PRACA.
Jeśli chodzi o pracę na plikach chronionych, to chciałbym, aby system ten pozwolił maksymalnie wykorzystać GPU gtx560ti. Chodzi mi tutaj o pracę z edycją i tworzeniem filmów, edycją zdjęć itd.


BEZPIECZEŃSTWO
System musi mieć opcję ustawienia zabezpieczenia typu:
sam zablokuje dostęp po określonej liczbie czasu w bezczynności
szybki skrót do blokady stacji
etc.
System musi być taki, że jeśli w dowolnej chwili ktoś zabierze ten dysk usb lub pendrive, to nie może uzyskać dostępu do plików chronionych.
Dlatego chcę właśnie jeszcze na dysku usb mieć kontener TC w razie czego i dopiero w nim pliki chronione.


PO PRACY
chcę wyłączyć system z pendrive i po odłączeniu pena oraz hdd@usb od komputera w W7, w tymże W7 nie może być żadnego śladu mojej działalności na tymże komputerze.
Czy to jest możliwe i tak właśnie by to wyglądało??? Komp z W7 użyczałby wtedy systemowi na penie+usb@hdd (mówiąc obrazowo) swoich mięśni, a mózg i cała pamięć o tym co się działo znajdowałyby się tylko na penie+usb@hdd. Czy tak to właśnie będzie działać?
Jedyne miejsce w którym mogłyby zostać fragmenty plików chronionych, to RAM, ale ten kasuje się po wyłączeniu, a już na pewno po kilku minutach...
Czy to się zgadza?






Nie wiem czy to powyżej to już wystarczająca ilość danych, aby mi pomóc.
Prosze o propozycję, najlepiej w konkretach co i skąd, żeby to było bezpieczne.




Pozdrawiam

[Galvatron]

Gdybyś jeszcze doprecyzował z jakimi dokładnie plikami i w jakich programach będziesz pracował (to co napisałeś o filmach, zdjęciach i biurze jest zbyt ogólne).

[sprzedam123]

obróbka tych samych plików jakie ma bez problemu odtwarzac system ,jak pisalem powyzej, czyli mp4,wmv,flv,avi itd.

jesli uda sie odpalic vboxa, to mysle bez problemu odpale tam wowczas na wirtualnym windowsie np sony vegas lub darmowy podobny edytor.
nie mowimy tu o mega skomplikownej edycji i eketami. prosta edycja crop obrazu i ciecie.
oczywiscie jesli w samym systemie na pendrive jest taki edytor, ktory umozliwi wykonywanie na mp4 ww prostych czynnosci, to sv nie jest potrzebny.


to samo tyczy sie grafiki - tiff,jpeg,

dokumenty, to juz zbeda dyskusja - doce i arkusze kalkulac excela/openofica

Ten post był edytowany przez sprzedam123 dnia: 24 Luty 2012 - 13:18

[Galvatron]

Kwestię grafiki powinien aż nadto załatwić stary dobry GIMP. Niestety nie wiem jak dokładnie wygląda obróbka wideo pod Pingwinem, w tym przy pomocy GPGPU, bo nigdy tego nie robiłem - tu musiałbyś popytać w dziale Linuksa.

[sprzedam123]

w kwestii bezpieczeństwa nadal nikt mnie nie oświecił ..

[Galvatron]

Ubuntu domyślnie ma blokowanie komputera jednym kliknięciem (no dobra, dwoma, bo trzeba najpierw nacisnąć na ikonę wyłączenia/wylogowania ).

Jak mówiłem, jeśli nie trafisz na zdeterminowanego hakera, ani nie instalujesz programów z jakiś pakistańskich serwerów, to system jest w 99,9% bezpieczny. Z tym odłączaniem kabla sieciowego to już wyraźna przesada, o ile to nie są np. jakieś sekrety nuklearne. Do zwykłych komputerów nikt się specjalnie nie włamuje, jeśli nie jest pewny że znajdzie tam coś ciekawego. Linux ma dość zaawansowany system uprawnień dostępu, tak więc nawet do nieszyfrowanych danych na HDD nikt nie powinien być w stanie Ci się dobrać - dostęp do katalogu domowego tylko dla Ciebie + tylko Ty znasz hasło root'a (administratora), które można ustawić na inne niż Twoje hasło użytkownika + odrębne konto dla pozostałych domowników + blokada odpalania kompa inaczej niż z HDD powinny skutecznie załatwić sprawę. Przy instalacji Ubuntu można także ustawić szyfrowanie katalogu domowego, ale tej opcji nie polecam, bo jak mi się raz posypał system, to straciłem wszystkie dane. Ew. mozna jeszcze po robicie wyczyścić katalog /tmp.

Oczywiście to wszystko przy założeniu że prace dałoby się przenieść w całości w obręb Linuksa, bez uczestnictwa Windowsa, współdzielonych partycji NTFS, czy też warstwy zgodności Wine (implementacja WinAPI dla Pingwina, robiona metoda inżynierii wstecznej), która zdaje się może wpływać niekorzystanie na poziom bezpieczeństwa.

Ten post był edytowany przez Galvatron dnia: 25 Luty 2012 - 12:42