10 ответов в этой теме

[skapunker]

Итак, у меня есть очень важное предложение по улучшению работы компонента "защита от потери данных".

 

Нужно внедрить туда функцию защиты от чтения. Чтобы защищаемую папку могли читать только те приложения, которые находятся в этой папке (ну и конечно же доверенные).

 

Это было бы полезно, когда нужно защитить от похищения файлы с паролями. Сюда входят браузеры, ftp клиенты и другие клиенты, которые хранят пароли в открытом виде. 

 

На данный момент их может украсть любой троянец, неизвестный доктору вебу. Причем алгоритм кражи очень простой: Ищем установленные клиенты -> воруем файлы с паролями.

 

Очень странно, что такой функции еще нет.

[maxic]

Если вы не в курсе, то настройки хранятся в профиле пользователя в текущей архитектуре операционной системы. Не рядом с приложением. А текстовичок с паролями - это уже не модно.

[SergSG]

Итак, у меня есть очень важное предложение по улучшению работы компонента "защита от потери данных".

Нужно внедрить туда функцию защиты от чтения. Чтобы защищаемую папку могли читать только те приложения, которые находятся в этой папке (ну и конечно же доверенные).

Это было бы полезно, когда нужно защитить от похищения файлы с паролями. Сюда входят браузеры, ftp клиенты и другие клиенты, которые хранят пароли в открытом виде. 

На данный момент их может украсть любой троянец, неизвестный доктору вебу. Причем алгоритм кражи очень простой: Ищем установленные клиенты -> воруем файлы с паролями.

Это, конечно, осложнит работу трояна, но не решит проблему - троян вполне может получить доступ через разрешенные и доверенные приложения. Доверенные и разрешенные - это всегда потенциальная дыра в защите файлов и нужно очень аккуратно ими пользоваться, особенно такой дрянью, как файловые менеджеры, проводники и блокноты.

Есть и более простой вариант - троян может скопировать файл в незащищенную область и уже там делать с ним всё, что угодно.

Но вот чтобы отправить эти файлы трояну нужно будет поизвращаться, иначе файер покажет "попытку выхода в инет неизвестного приложения" и превратит троян  в пустышку.

 

Хотя, на мой взгляд можно было бы реализовать кейс выбора степени защиты:

- полный запрет доступа для всего, всех и вся;

- Read Only и только для доверенных и разрешенных;

- обычный режим - читать можно всем, изменять и удалять только доверенным и разрешенным.

 

Только трудно сказать, насколько этот кейс будет востребован. Нынешние настройки, хоть и не явно, но позволяют уже сейчас реализовать часть этого кейса, а "полный запрет доступа" и "Read Only для всех" реализованы в РК.

Идеология "защиты файлов" базировалась на принципе - защищать файлы от изменения / удаления, но не мешать ими пользоваться и работать с ними. Борьба со шпионажем в ее функции не входит.

Сообщение было изменено SergSG: 02 Февраль 2020 - 19:51

[skapunker]

Если вы не в курсе, то настройки хранятся в профиле пользователя в текущей архитектуре операционной системы. Не рядом с приложением. А текстовичок с паролями - это уже не модно.

 

1. Так их и из профиля пользователя утянуть не сложно. 

2. Текстовичок - хоть и не модно, но очень много программ их используют. Даже если текстовичок зашифровать, то троянцу не составит труда его утянуть, а потом уже заняться расшифровкой.

[skapunker]

Это, конечно, осложнит работу трояна, но не решит проблему - троян вполне может получить доступ через разрешенные и доверенные приложения

очень интересно, как он у докотора веба вытянет список доверенных?

 

Есть и более простой вариант - троян может скопировать файл в незащищенную область

как он его скопирует, если чтение запрещено для всех приложений вне этой папки?

 

Но вот чтобы отправить эти файлы трояну нужно будет поизвращаться, иначе файер покажет "попытку выхода в инет неизвестного приложения" и превратит троян  в пустышку.

Это уже другой вопрос, но чисто в теории ему не обязательно сразу отправлять файл. Можно выждать отключение файера.

 

- полный запрет доступа для всего, всех и вся;

- Read Only и только для доверенных и разрешенных;

- обычный режим - читать можно всем, изменять и удалять только доверенным и разрешенным.

это вроде все и сейчас есть

[maxic]

 

Если вы не в курсе, то настройки хранятся в профиле пользователя в текущей архитектуре операционной системы. Не рядом с приложением. А текстовичок с паролями - это уже не модно.

 

1. Так их и из профиля пользователя утянуть не сложно. 

2. Текстовичок - хоть и не модно, но очень много программ их используют. Даже если текстовичок зашифровать, то троянцу не составит труда его утянуть, а потом уже заняться расшифровкой.

 

1. О чем и речь. А заблокировать профиль пользователя... ну вы поняли.

2. То есть. По сути, вы рассматриваете сценарий блокировки отдельной конкретной папки с портабельным софтом, так? Уверен, что браться изобретать велосипед никто не будет. Софта для контейнеров/шифрования хватает.

[skapunker]

1. О чем и речь. А заблокировать профиль пользователя... ну вы поняли.

как раз не понял

2. То есть. По сути, вы рассматриваете сценарий блокировки отдельной конкретной папки с портабельным софтом, так?

с портативным в том числе.

 

Софта для контейнеров/шифрования хватает.

подскажите хоть что нибудь путевое

[maxic]

 

1. О чем и речь. А заблокировать профиль пользователя... ну вы поняли.

как раз не понял

Современные ОС работают так: для программ есть соответствующее место, где они хранятся в неизменяемом для юзера виде и есть каталог переменных данных пользователя, откуда эти программы берут свои настройки. Блокировка каталога с настройками приведет к ошибкам/запуску программ с дефолтными настройками и т.д. На более высоком уровне это тоже работает: когда у Windows проблемы с чтением/записью профиля пользователя, она создает временный профиль с дефолтными настройками.

 

подскажите хоть что нибудь путевое

Почитайте. Возможно, найдете свой вариант.

https://texterra.ru/blog/shifrovanie-dannykh-na-kompyutere-likbez-i-proverennye-sposoby.html

[SergSG]

очень интересно, как он у докотора веба вытянет список доверенных?

А зачем вытягивать? И по ассоциациям понять можно что и чем открывать.

 

как он его скопирует, если чтение запрещено для всех приложений вне этой папки?

Защита работает только от удаления / изменения. Чтение и копирование разрешено всем. Это не антишпионская фича.

 

 

- полный запрет доступа для всего, всех и вся;

- Read Only и только для доверенных и разрешенных;

- обычный режим - читать можно всем, изменять и удалять только доверенным и разрешенным.

это вроде все и сейчас есть

В защите фалов есть только обычный режим. Запрет доступа и Read Only (для всех без исключения) есть в РК.

[Konstantin Yudin]

С браузерами точно мимо, у них данные совсем в других местах от самого файла процесса. И тут как раз логично защитить профиль браузера для всех и доверить только файлу браузера. Тут можно и полный запрет накрутить. Типы блокировки искусственны в защите данных, можно при необходимости ввести и запрет на чтение. Если реально будет рабочий кейс.

[skapunker]

И тут как раз логично защитить профиль браузера для всех и доверить только файлу браузера.

 

Вот об это как раз и речь!!! 

 

И тут не только браузер. 

Возьмем даже бытовой пример: папка со сканами паспорта. Заблокировать чтение всем, кроме файлового менеджера, тобишь TC или другого какого.

 

Вот смотрел, из защитного софта никто практически этой фичей не обладает. Раньше помню был Outpost, вот у него она была.

Сейчас че нашел так это проактивный SpyShelter, но он дорогущий, и только из за этого его нет смысла брать.

Выглядит это у него как то так.

 Снимок экрана (270).png   154,76К   0 Скачано раз

Сообщение было изменено skapunker: 08 Февраль 2020 - 22:05