Strona 1 z 3 123 OstatniOstatni
Pokaż wyniki 1 do 10 z 21

Temat: Demolka lub calkowite zablokowanie komputera z poziomu softu

  1. #1
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie Demolka lub calkowite zablokowanie komputera z poziomu softu

    Hej!

    Wlasnie z kolega pracuje nad pewnym projektem. Poniewaz na desktopach w firmie ludki maja Windows a nie chcemy tu widziec Active Directory i wszelkie zadania jak aktualizacje, sprawdzanie co kto ma poinstalowane itd sa dosc uciazliwe (mowiac krotko - robi sie to recznie) a do tego pare osob ma uprawnienia admina na swoich kompach (nie maja czasu aby dolaczyc do domeny ktora prowadzimy), chcemy napisac software ktory bedzie robil robote za nas.

    Mam pewne pomysly jak to robic i implementacja uslugi windows to nie problem, nawet w sposob, ktory pozwoli na monitorowanie laptopow uzywanych przez osoby ktore sa wiecznie poza biurem... bedziemy wiedzieli co instaluja, kiedy itd... albo co deinstaluja. Pewne elementy systemu sa narzucane przez nas i chcemy to egzekwowac bez uzywania AD.

    Jeden z pomyslow jaki nam zaswital w glowie to funkcja call-home w wypadku kradziezy laptopa. Kwestia zgloszenia jego lokalizacji firmie i policji to jedno, to jest latwe... ale po takim zgloszeniu chcemy calkowicie zniszczyc dane a najlepiej sprzetowo zablokowac komputer - tylko jak to zrobic z poziomu softu? Jesli komputer ma modul TPM to mozemy probowac unieszkodliwic sprzet na poziomie TPM, jesli jednak nie ma TPM (a poza dzialem IT nikt jeszcze nie ma TPM w laptopie) to sprawa jest trudniejsza. Cel jest jeden - aby sprzet byl bezuzyteczny dla zlodzieja - cegla i tyle.

    Czekam na pomysly - jesli ktos chce podac dokladniejszy opis techniczny to prosze na forum tylko po lebkach a wiecej detali na PM.

    Jestem ciekaw jakie macie pomysly! My tez idziemy sie zastanawiac.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  2. #2
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    1 kazdego miesiaca niech laptop wysyla info do glownego komputera 'jestem caly i zdrowy' i jesli nie wysle w przeciagu 24 godzin nastepuje podniesienie napiecia/format/PDoS/zamazanie danych?
    nie wiem czy do konca zrozumialem
    War, war never changes.

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Ja raczej mysle ze laptop bedzie co powiedzmy 15 minut sprawdzal w bezpiecznym miejscu na sieci (lub paru miejscach na wypadek gdyby jedno padlo) czy nie zostal oflagowany w jakis dziwny sposob - np. "zostales ukradziony, sprzatamy" czy "glupi user wylaczyl firewall - deaktywuj konto i wylacz komputer". Chodzi mi o takie rzeczy w sumie. Zalozenie jest jedno - mozliwosc zdalnego wyslania sygnalu uruchamiajacego destrukcje.

    Wiadomo, ze dysk powinien byc kodowany do tego - to nie problem, mozemy zawsze dodac tym bardziej ze True Crypt 6 dodal nieco mozliwosci...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  4. #4
    Avatar VLN
    VLN
    VLN jest offline Banned
    Zarejestrowany
    Jan 2008
    Postów
    277

    Domyślnie

    Cel jest jeden - aby sprzet byl bezuzyteczny dla zlodzieja - cegla i tyle.
    MBR Delete ?

    Albo może jakiś soft który po którymś tam błędnym podaniu hasła nadpisze MBR ,bądź coś jak GpCode - czyli kodowanie plików przez RSA z 1024 bitowym (albo więcej) kluczem . Ale z tego co mi wiadomo to można przywrócić takie dane .

    PS. Jak zobaczyłem tytuł postu to pierwsze o czym pomyślałem to CIH.


    Pozdrawiam VLN.
    Kod php:
    $zmienna $_POST['COS']; 
    Zamiast tego :
    Kod php:
    $zmienna htmlspecialchars($_POST['COS']); 
    I mamy zabezpieczenie przed XSS

  5. #5
    Avatar javaman
    javaman jest offline www.javainside.pl
    Zarejestrowany
    Mar 2008
    Skąd
    no przed monitorem przecież...
    Postów
    474

    Domyślnie

    Pomysł - stawiacie bazkę jakąś z dostępem z zewnątrz, bazka zawiera np. jakieś dane identyfikujące lapka. Teraz jeśli ktoś tego lapka "pożyczy", wrzucacie do jakiejś tabeli dane o nim. Tzn. taka tabela zawiera numery "pożyczonych" lapków. Teraz - system przy uruchomieniu sprawdza czy nie jest czasem w tej tabeli zarejestrowany - jak jest to wywolanie blokady na biosa, zalozenie hasla. Np. Sprawdza, oł oł jestem na liście, wysyła ipka na wasz serwer, jeśli jest kamerka wbudowana w lapki - robi zdjęcie swojemu nowemu przyjacielowi, wysyla je na serwer, dostajecie maila/smsa ze namierzono kradzieja, blok na bios, tak by sie zablokowal komp i nie dalo sie np. odpalic botowania by system wrzucic. Calosc da się z pewnością napisać w javie+assembler

  6. #6
    rip
    rip jest offline Banned
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie

    jedyne co mozna zrobic, to zaszyfrowac dane.
    To naprawde nie ma sensu, niech user ma dostep tylko do tego co potrzebuje, i za to odpowiada...

  7. #7
    Avatar dexter
    dexter jest offline Element wywrotowy
    Zarejestrowany
    Jun 2007
    Skąd
    Poznań
    Postów
    159

    Domyślnie

    Sytuacja o jakiej piszesz faktycznie czerpie z Active Directory - jest to bardzo dobre roziwazanie (zakladam poziom funkcjonalnosci kontrolera i lasu na poziomie conajmniej 2003) i niebardzo rozumiem dlaczego mozesz go nie chciec. EFS z PKI pieknie zalatwilby ci temat, dane musza byc juz zabezpieczone w momencie kradziezy, nadpisywanie czegokolwiek albo szyfrowanie jakichkolwiek danych po kradziezy zdecydowanie mija sie z celem i jest bez wiekszego sensu.

    Jedynym problemem sa uzytkownicy na zewnatrz firmy z poufnymi danymi - tutaj sugerowalbym zainteresowanie sie wlasnie TPM

    Wszystko zalezy od tego jaki level bezpieczenstwa chcesz osiagnac

  8. #8
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    moim zdaniem robienie demolki z poziomu systemu operacyjnego jest mało bezpieczne bo atakujący może nawet nie próbować logować się do skradzionego laptopa a będzie próbował innych metod, żeby zdobyć dostęp do dysku...
    gdyby umieścić kod w MBR - coś na zasadzie wirusa - który bedzie się uaktywniał jeśli nie zostanie wciśnięta na przykład jakaś kombinacja klawiszy...
    może niszczyć tablicę partycji albo wywołać jakiś program destrukcyjny z dysku o ile takie coś jest w ogóle możliwe...
    nie wiem czy to nie za duża abstrakcja ale gdyby ktoś takie coś oprogramował mogłoby to spełnić Twoje oczekiwania tak myślę

    @dexter
    nikt nie mówi że AD jest złe ale na Linux mamy NIS, który też dobrze się może sprawdzić
    Ostatnio edytowane przez markossx : 07-10-2008 - 21:22
    ***********
    * markossx *
    ***********

  9. #9
    Avatar dexter
    dexter jest offline Element wywrotowy
    Zarejestrowany
    Jun 2007
    Skąd
    Poznań
    Postów
    159

    Domyślnie

    Jestem świadom wad i zalet obu systemów, i w przypadku szyfrowania danych niestety (a jestem zwolennikiem open source) muszę przyznać ze jestem pod wrażeniem tego co może zdziałać AD, nie wiem czy NIS bylby w stanie przy podobnym nakladzie pracy jak w AD uzyskac takie rezultaty jakie daje implementacja wspomnianego przezemnie EFS z uzyciem PKI. Oczywiscie nie ma systemów idealnych - ostatnio czytałem o możliwości ataku na EFS poprzez odzyskanie teoretycznie ulotnego stanu pamięci RAM i przechowywanych w niej kluczy EFS (dotyczy to szczególnie laptopów z aktywnym trybem hibernacji lub standby)

    Także nadal podtrzymuję opinię, że bezpieczeństwo danych w sieci zapewni EFS + PKI a w przypadku laptopów platforma TPM.
    Jesli nawet ktos ukradnie laptopa z TPM to i tak nie bedzie w stanie dostac sie do danych na hdd - niezaleznie od zainstalowanego systemu operacyjnego i uzywanych aplikacji

  10. #10
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Dexter - co do AD to sie zgadzam... nie znam moze doglebnie tej technologii ale wiem co dzieki niej moge miec. Dlaczego nie chcemy miec AD? Z przyczyn politycznych ze tak to ujme.

    Poczatkowe wymaganie dla mnie to aktualizacje softu itd. Cos jak WSUS+GPO razem wziete tylko ze bez AD, wiec trzeba samemu oprogramowac to. Poza tym AD ok ale co jak mam ludzi ktorzy do biura jedynie via VPN albo w ogole nic, no moze mail raz na tydzien - takich tez mam :-/

    Demolka to jako dodatek na koniec calego projektu tzw. ver 2.0 gold edition
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Strona 1 z 3 123 OstatniOstatni

Podobne wątki

  1. Odpowiedzi: 1
    Autor: 07-12-2008, 13:50
  2. Modyfikacja pliku z poziomu konsoli
    By lukasz6547 in forum Linux
    Odpowiedzi: 5
    Autor: 05-17-2008, 15:10
  3. Zablokowanie kompa na lan czy włamanie?
    By Piotrus Pan in forum Hacking
    Odpowiedzi: 8
    Autor: 03-03-2008, 20:18
  4. [HTTP] wysylanie zadan z poziomu kodu
    By zeeolek in forum C/C++
    Odpowiedzi: 2
    Autor: 09-10-2007, 03:44
  5. Instalacja softu z jednego kompa na drugi
    By pi4r0n in forum Windows
    Odpowiedzi: 1
    Autor: 08-16-2007, 13:39

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj