Перейти к содержимому


Фото
- - - - -

Предложение по улучшению "защиты от потери данных"


  • Please log in to reply
10 ответов в этой теме

#1 skapunker

skapunker

    Newbie

  • Posters
  • 22 Сообщений:

Отправлено 02 Февраль 2020 - 13:25

Итак, у меня есть очень важное предложение по улучшению работы компонента "защита от потери данных".

 

Нужно внедрить туда функцию защиты от чтения. Чтобы защищаемую папку могли читать только те приложения, которые находятся в этой папке (ну и конечно же доверенные).

 

Это было бы полезно, когда нужно защитить от похищения файлы с паролями. Сюда входят браузеры, ftp клиенты и другие клиенты, которые хранят пароли в открытом виде. 

 

На данный момент их может украсть любой троянец, неизвестный доктору вебу. Причем алгоритм кражи очень простой: Ищем установленные клиенты -> воруем файлы с паролями.

 

Очень странно, что такой функции еще нет.


Всем привет!


#2 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 415 Сообщений:

Отправлено 02 Февраль 2020 - 15:10

Если вы не в курсе, то настройки хранятся в профиле пользователя в текущей архитектуре операционной системы. Не рядом с приложением. А текстовичок с паролями - это уже не модно.



#3 SergSG

SergSG

    The Master

  • Posters
  • 12 646 Сообщений:

Отправлено 02 Февраль 2020 - 19:50

Итак, у меня есть очень важное предложение по улучшению работы компонента "защита от потери данных".

Нужно внедрить туда функцию защиты от чтения. Чтобы защищаемую папку могли читать только те приложения, которые находятся в этой папке (ну и конечно же доверенные).

Это было бы полезно, когда нужно защитить от похищения файлы с паролями. Сюда входят браузеры, ftp клиенты и другие клиенты, которые хранят пароли в открытом виде. 

На данный момент их может украсть любой троянец, неизвестный доктору вебу. Причем алгоритм кражи очень простой: Ищем установленные клиенты -> воруем файлы с паролями.

Это, конечно, осложнит работу трояна, но не решит проблему - троян вполне может получить доступ через разрешенные и доверенные приложения. Доверенные и разрешенные - это всегда потенциальная дыра в защите файлов и нужно очень аккуратно ими пользоваться, особенно такой дрянью, как файловые менеджеры, проводники и блокноты.

Есть и более простой вариант - троян может скопировать файл в незащищенную область и уже там делать с ним всё, что угодно.

Но вот чтобы отправить эти файлы трояну нужно будет поизвращаться, иначе файер покажет "попытку выхода в инет неизвестного приложения" и превратит троян  в пустышку.

 

Хотя, на мой взгляд можно было бы реализовать кейс выбора степени защиты:

- полный запрет доступа для всего, всех и вся;

- Read Only и только для доверенных и разрешенных;

- обычный режим - читать можно всем, изменять и удалять только доверенным и разрешенным.

 

Только трудно сказать, насколько этот кейс будет востребован. Нынешние настройки, хоть и не явно, но позволяют уже сейчас реализовать часть этого кейса, а "полный запрет доступа" и "Read Only для всех" реализованы в РК.

Идеология "защиты файлов" базировалась на принципе - защищать файлы от изменения / удаления, но не мешать ими пользоваться и работать с ними. Борьба со шпионажем в ее функции не входит.


Сообщение было изменено SergSG: 02 Февраль 2020 - 19:51


#4 skapunker

skapunker

    Newbie

  • Posters
  • 22 Сообщений:

Отправлено 03 Февраль 2020 - 08:54

Если вы не в курсе, то настройки хранятся в профиле пользователя в текущей архитектуре операционной системы. Не рядом с приложением. А текстовичок с паролями - это уже не модно.

 

1. Так их и из профиля пользователя утянуть не сложно. 

2. Текстовичок - хоть и не модно, но очень много программ их используют. Даже если текстовичок зашифровать, то троянцу не составит труда его утянуть, а потом уже заняться расшифровкой.


Всем привет!


#5 skapunker

skapunker

    Newbie

  • Posters
  • 22 Сообщений:

Отправлено 03 Февраль 2020 - 08:59

Это, конечно, осложнит работу трояна, но не решит проблему - троян вполне может получить доступ через разрешенные и доверенные приложения

очень интересно, как он у докотора веба вытянет список доверенных?

 

Есть и более простой вариант - троян может скопировать файл в незащищенную область

как он его скопирует, если чтение запрещено для всех приложений вне этой папки?

 

Но вот чтобы отправить эти файлы трояну нужно будет поизвращаться, иначе файер покажет "попытку выхода в инет неизвестного приложения" и превратит троян  в пустышку.

Это уже другой вопрос, но чисто в теории ему не обязательно сразу отправлять файл. Можно выждать отключение файера.

 

- полный запрет доступа для всего, всех и вся;

- Read Only и только для доверенных и разрешенных;

- обычный режим - читать можно всем, изменять и удалять только доверенным и разрешенным.

это вроде все и сейчас есть


Всем привет!


#6 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 415 Сообщений:

Отправлено 03 Февраль 2020 - 09:15

 

Если вы не в курсе, то настройки хранятся в профиле пользователя в текущей архитектуре операционной системы. Не рядом с приложением. А текстовичок с паролями - это уже не модно.

 

1. Так их и из профиля пользователя утянуть не сложно. 

2. Текстовичок - хоть и не модно, но очень много программ их используют. Даже если текстовичок зашифровать, то троянцу не составит труда его утянуть, а потом уже заняться расшифровкой.

 

1. О чем и речь. А заблокировать профиль пользователя... ну вы поняли.

2. То есть. По сути, вы рассматриваете сценарий блокировки отдельной конкретной папки с портабельным софтом, так? Уверен, что браться изобретать велосипед никто не будет. Софта для контейнеров/шифрования хватает.



#7 skapunker

skapunker

    Newbie

  • Posters
  • 22 Сообщений:

Отправлено 03 Февраль 2020 - 18:04

1. О чем и речь. А заблокировать профиль пользователя... ну вы поняли.

как раз не понял

2. То есть. По сути, вы рассматриваете сценарий блокировки отдельной конкретной папки с портабельным софтом, так?

с портативным в том числе.

 

Софта для контейнеров/шифрования хватает.

подскажите хоть что нибудь путевое


Всем привет!


#8 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 415 Сообщений:

Отправлено 03 Февраль 2020 - 18:27

 

1. О чем и речь. А заблокировать профиль пользователя... ну вы поняли.

как раз не понял

Современные ОС работают так: для программ есть соответствующее место, где они хранятся в неизменяемом для юзера виде и есть каталог переменных данных пользователя, откуда эти программы берут свои настройки. Блокировка каталога с настройками приведет к ошибкам/запуску программ с дефолтными настройками и т.д. На более высоком уровне это тоже работает: когда у Windows проблемы с чтением/записью профиля пользователя, она создает временный профиль с дефолтными настройками.

 

подскажите хоть что нибудь путевое

Почитайте. Возможно, найдете свой вариант.

https://texterra.ru/blog/shifrovanie-dannykh-na-kompyutere-likbez-i-proverennye-sposoby.html



#9 SergSG

SergSG

    The Master

  • Posters
  • 12 646 Сообщений:

Отправлено 03 Февраль 2020 - 18:41

очень интересно, как он у докотора веба вытянет список доверенных?

А зачем вытягивать? И по ассоциациям понять можно что и чем открывать.

 

как он его скопирует, если чтение запрещено для всех приложений вне этой папки?

Защита работает только от удаления / изменения. Чтение и копирование разрешено всем. Это не антишпионская фича.

 

 

- полный запрет доступа для всего, всех и вся;

- Read Only и только для доверенных и разрешенных;

- обычный режим - читать можно всем, изменять и удалять только доверенным и разрешенным.

это вроде все и сейчас есть

В защите фалов есть только обычный режим. Запрет доступа и Read Only (для всех без исключения) есть в РК.



#10 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 277 Сообщений:

Отправлено 03 Февраль 2020 - 23:47

С браузерами точно мимо, у них данные совсем в других местах от самого файла процесса. И тут как раз логично защитить профиль браузера для всех и доверить только файлу браузера. Тут можно и полный запрет накрутить. Типы блокировки искусственны в защите данных, можно при необходимости ввести и запрет на чтение. Если реально будет рабочий кейс.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#11 skapunker

skapunker

    Newbie

  • Posters
  • 22 Сообщений:

Отправлено 08 Февраль 2020 - 22:05

И тут как раз логично защитить профиль браузера для всех и доверить только файлу браузера.

 

Вот об это как раз и речь!!! 

 

И тут не только браузер. 

Возьмем даже бытовой пример: папка со сканами паспорта. Заблокировать чтение всем, кроме файлового менеджера, тобишь TC или другого какого.

 

Вот смотрел, из защитного софта никто практически этой фичей не обладает. Раньше помню был Outpost, вот у него она была.

Сейчас че нашел так это проактивный SpyShelter, но он дорогущий, и только из за этого его нет смысла брать.

Выглядит это у него как то так.

Прикрепленный файл  Снимок экрана (270).png   154,76К   0 Скачано раз


Сообщение было изменено skapunker: 08 Февраль 2020 - 22:05

Всем привет!



Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых