как узнать в какой компьютер подключалась флешка - Форум по вопросам информационной безопасности

to Бутч:
Вы писали: "Бегло пробежался по документации "Секрета" (http://prosecret.ru/documentation.html). Насколько понял, флэш накопитель "Секрет" не совсем то, о чём спрашивается в этой теме. Взять хотя бы необходимость установки ПО для работы с "Секретом"."

Например, для специального носителя (СН) "Секрет Особого Назначения" устанавливать ПО на СВТ не надо, все необходимое находится "на борту" носителя.


"....А нужно, чтобы была обычная флэшка, на которой бы содержался журнал с логированием событий. Чтобы была возможность узнать на каком АРМе, в какое время и каким пользователем использовалась флэшка. Плюс, ещё непоохо бы видеть все действия производимые с содержимым флэшки....."

СН "Секрет Особого Назначения" ведет журнал событий у себя "на борту". Он доступен для просмотра только Администратору. При подключении к рабочей станции СН фиксирует время подключения и информацию о СВТ (имя компьютера, домен или рабочую, серийный номер материнки, АМДЗ и ОС).

Для поддержания системных часов носителя имеется вариант исполнения с источником питания.

Вопрос регистрации действий с данными на носителе на данный момент прорабатывается.

Настораживает про домен и рабочую группу. Инфа дергается через штатные виндовые механизмы?
А если другая ОС?
Если не отходя от кассы подоткну носитель через переходник к телефону под андроидом и все солью. Что в журнале видно будет?

to: Dfg
1. А что Вас конкретно про домен и рабочую группу настораживает?
2. Да, информация поступает в Секрет через API Windows?
3. "...А если другая ОС?..." Пока официально поддерживаемые ОС только семейства Windows. Linux и Android в разработке.

Еще хотелось бы обратить внимание на функциональные возможности устройства:
1. ) Встроенные роли: администратор, пользователь.
Аутентификация пользователя для доступа к данным. Решение о доступе принимает контроллер носителя.
2.) В аппаратном журнале фиксируются все попытки работы с ним на различных ПК, вне зависимости от того, была ли попытка успешной.
3.) Шифрование данных «на лету» (опционально).
4.) Возможность администратором задать «белый список» компьютеров, на которых можно работать с носителем (при задании списка указываются уникальные параметры СВТ, например:
- серийный номер АМДЗ («Аккорд», «Соболь»);
- серийный номер материнской платы компьютера;
- серийный номер дистрибутива ОС;
- идентификатор домена Active Directory или рабочей группы;
- идентификатор ПК в домене (имя компьютера)).

Если ПК нет в списке, закрытый диск с данными не смонтируется.
Возможность назначения закрытого списка разрешенных компьютеров позволяет разрешить сотрудникам работу, например, на ПК фирмы и на их домашних ПК или ноутбуках, если это допускается политикой безопасности предприятия, но при этом запретить работу на всех остальных компьютерах. Даже если пользователь потеряет, или у него украдут, или даже самое худшее – он передаст носитель «конкурентам» фирмы вместе с паролем, доступ к данным на закрытом диске получить будет не возможно.
5.) Для работы с СОН не требуется установка на ПК никакого специального ПО, так что возможна работа на компьютерах, администрирование которых затруднено или невозможно.

Пока такие вопросы:

1) Сколько пользователей может быть для одного носителя (СОНа)?
2) Если пользователей несколько, то есть ли квотирование доступного места на носителе? Например, одному пользователю администратором выделяется 10 Мб на носителе, другому 300 Мб и т.п.
3) Для каждой отдельной роли (администратор, пользователь предусмотрено своё персональное шифрование? Т.е. данные одного пользователя не может просмотреть ни администратор, ни прочие пользователи или же, администратор имеет полный доступ к данным носителя?

>>>Даже если пользователь потеряет, или у него украдут, или даже самое худшее – он передаст носитель «конкурентам» фирмы вместе с паролем, доступ к данным на закрытом диске получить будет не возможно.

4) Как быть, если стал недоступен уникальный параметр СВТ из "белого списка" (например, сломалась материнская плата и её заменили), данные пользователя зашифрованы и их необходимо извлечь из носителя?
5) Вопрос, связанный с предыдущим 4-ым вопросом. Для носителя, для роли администратора "белый список" также можно задать? Если да, то что будет если станет недоступен уникальный параметр СВТ администратора и, соответственно, нельзя будет администрировать носитель?

Определять могут например с помощью такой программы
USBDeview
Скрыть можно отключив или очистив системный журнал и очистить данные об usb устройствах в реестре.

Интересно, что будет если "клонировать" уникальные параметры СВТ и применить их на несанкционированном СВТ, при подключении СОНа?

Т.е. предполагая, что СОН ориентируется на параметр "серийный номер дистрибутива ОС", на несанкционированном СВТ внести в реестр WIndows нужный, "санкционированный" серийный номер дистрибутива ОС и подключить СОН. СОН, полагаясь на уникальный параметр, получается подключится к несанкционированному СВТ?

Т.е., если у СОНа нет какого-либо внутреннего доп.контроля, помимо "белого списка", сравнивания с уникальными параметрами СВТ, то толку от такого защищенного носителя нет. Такой защищенной носитель можно, в теории, будет смонтировать на любом нужном, запрещенном, СВТ.

Возможно неудачное сравнение, но мне вспомнились случаи, когда для ПО, использующего для подтверждения лицензии аппаратные ключи типа Guardant, умудрялись делать пиратскую копию ПО. USB ключи защиты Guardant, клонировали, делали эмулятор. В случае с СОН можно, наверное, сделать эмулятор СВТ и применить этот эмулятор на несанкционированном СВТ.

To Бутч:
1.) В СОНе предусмотрены только 2 (встроенные) учетные записи – Администратор и Пользователь.
2.) Да, квотирование дискового пространства предусмотрено – администратор СОН может задать размер квоты как себе (место для ведения лога работы носителя), так и для пользователя.
3.) У СОНа с поддержкой шифрования предусмотрено шифрование только пользовательского логического диска с данными.
4.) «…Как быть, если стал недоступен уникальный параметр СВТ из "белого списка" (например, сломалась материнская плата и её заменили), данные пользователя зашифрованы и их необходимо извлечь из носителя? ….».
Для администраторов не предусмотрено создание политик "белых списков". Поэтому в случае такого инцидента администратор через свою консоль может поменять параметры рабочей станции. В данном случае с/н материнской платы.
5.) «… Интересно, что будет если "клонировать" уникальные параметры СВТ и применить их на несанкционированном СВТ, при подключении СОНа? …»
Нарушитель со средним уровнем подготовки не сможет реализовать данную атаку. С другой стороны, для нарушителя, с высоким уровнем подготовки есть более мощное средство – «Секрет фирмы». Подробнее можно почитать тут http://prosecret.ru/firm.html