Michal Kawecki wrote:
> Konkretne aplikacje zapisują swoje dane w konkretnych miejscach,
> łatwo je ustalić.
Znaczy się, że nie potrafisz zrozumieć, że to jest podejście od dupy
strony? Zamiast zrobić coś raz a dobrze? To klasyczny przykład
przyklejania łatek i zatykania dziury w tamie paluchem.
> Rozumiem, że konsekwentnie bagatelizujesz ryzyko wycieku danych drogą
> sieciową i na nośnikach wymiennych? W jaki sposób ochroni Cię przed
> nim szyfrowanie partycji?
A jak niby moje dane same wyciekną przez sieć, albo przez USB?
Przestanie im się podobać mój dysk i poszukają nowego, lepszego domu?
> W Windows XP nie da się w prosty sposób zezwolić na akceptację
> jedynie wybranych penów. Akceptowane są albo wszystkie, albo żaden.
Jest dobry soft do tego, ale w tej chwili nie pamiętam jego nazwy.
Zresztą - nieistotne dla tematu.
> A nie jest żadnym problemem spreparowanie pena uruchamiającego
> automatycznie (lub półautomatycznie) aplikację wyciągającą w ciągu
> kilku minut wszystkie użyteczne informacje z atakowanego systemu, są
> już takie gotowe projekty dostępne w sieci.
Bo funkcja AutoRun/AutoPlay jest ZŁA, przy czym informacje jak
skutecznie ignorować autorun.inf dostępne są powszechnie. Trywialne do
zrealizowania w domenie przez Group Policy.
> Czy istnieje możliwość uzyskania dostępu na kilka minut do cudzego
> komputera? Owszem, jak znam życie, nie jest to wcale trudne. Czy
> szyfrowanie partycji TC uchroni właściciela przed wyciekiem danych?
> Nie.
Ech... Zakładając, że zadziała sztuczka z penem, to EFS również nie
uchroni danych osoby obecnie zalogowanej. Zły kod uruchomi się w
kontekście tej osoby i system grzecznie rozszyfruje dane. Z założenia
szyfrowanie tego typu chroni dane "on rest".
> Szyfrowanie całego dysku IMO chroni tylko i wyłącznie przed jednym:
> przed uzyskaniem dostępu do zaszyfrowanej partycji przez osoby
> nieautoryzowane w przypadku zagubienia notebooka. Jeżeli uważasz
> inaczej, to poproszę o konkretne przykłady scenariuszy zagrożeń,
> które TC eliminuje.
Zagrożenia istnieją zawsze. Eliminujesz podatności. Oczywiście, że
szyfrowanie chroni przede wszystkim dane "w spoczynku". Przy okazji
jeszcze poprawia kwestię integralności systemu operacyjnego, ale znów
temat inny.
Poza tym nie twierdzę, że szyfrowanie na poziomie dysku rozwiązuje
wszystkie problemy. Nawet na laptopie, na którym mam zaszyfrowany dysk,
korzystam z dodatkowych szyfrowanych kontenerów na kolejne projekty,
które montuję tylko, gdy jest taka potrzeba.
-- Paweł Goleń mailto:p_golen@ks.onet.pl "Wszyscy przecież wiemy, że nikt nie dostaje żadnych spamów" - mój trol UGVybCBTVUNLUw==Received on Sun Jul 20 02:35:05 2008
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 20 Jul 2008 - 02:42:02 MET DST