שלום לכולם,

אני מעוניין להתקין מחשב שישמש אצלי בעבודה כעמדת הלבנה שרק דרכה יכניסו קבצים ממדייה כגון Disk on key וכיו"ב לתוך הארגון.
האם מישהו מתמצא בנושא ויודע מה חשוב שעמדה כזו תכיל?

האם אתה מכיר את המושג הזה במקרה בזכות מערכת הבטחון?

מדובר, בעיקר, בבולשיט...

נמאס לכם לזכור סיסמאות? לחצו כאן!

האמת ששמעתי על זה פעם במקום העבודה הקודם שלי, בכל אופן איך דבר כזה צריך לתפקד?
המטרה היא :
א. להשתדל למנוע כמה שיותר כניסת וירוסים ורוגלות לתוך הארגון.
ב. לפקח על הוצאת מידע מהארגון.

אז הם שמעו על זה ממשהו בטחוני.

יש לך אינטרנט בארגון?

כדי למנוע מוירוסים ו"רוגלות" להיכנס לארגון, הדרך השפוייה היחידה שאני יכול לחשוב עליה, היא להעיף את המוצרים של מיקרוסופט מהארגון. "לא יכול"? אז אתה גם לא יכול להמנע מהוירוסים והרוגלות. אם היה פתרון קסם, כולם היו משתמשים בו.

אתה לא יכול לפקח על הוצאת מידע מהארגון (ממש לא כשמידע יושב אצל מחשבי המשתמשים, ויותר קשה, אבל עדיין אפשרי, כשעובדים במודל של VDI. ע"ע "צילום מסך", literally). שמעת על ענת קם? היא הגיעה מארגון עם "עמדות הלבנה"...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני מבין שאי אפשר להמנע בצורה מוחלטת מהכל, אבל לפחות לייצר איזושהי הרתעה שיש פיקוח על מידע שיוצא מהארגון כי עד לא מזמן היית יכול להכניס DOK לכל מחשב ולהעתיק אליו כל מה שרצית

עד לא מזמן?

גם עכשיו אתה יכול. אני מוכן להוכיח לך שכל הגנה שתשים, אני עדיין אוכל. ובקלות.

השאלה היא האם אתה מחפש לעבוד על עצמך בעיניים, או משהו אחר. אתה מבין, תחושה שגוייה של אבטחה גרועה מאי אבטחה כלל... (לדעתי)

שאלתי שאלה, יש אינטרנט בארגון?

נמאס לכם לזכור סיסמאות? לחצו כאן!

אינטרנט כמובו יש..אני לא מחפש לעבוד על עצמי בעיניים, ברור לי שהאבטחת מידע באירגון לא מתקרבת אפילו להיות מושלמת או אפילו טובה, אבל בתור מישהו שלא מבין יותר מדי בנושא אני מנסה לשפר.

חסמת דיסק און קי.

אני נכנס לג'ימייל (להזכיר, מוצפן, אתה לא יכול להאזין [אא"כ תעשה התקפת MITM על כל תעבורת ה SSL באמצעות מוצר נלוז; גם דרך זה ניתן להעביר מידע מוצפן למי שיודע לעשות 1+1]) ושולח במיילים נפרדים קובץ דחוס של GB עם כל החומר הסודי של הארגון, לאט ובזהירות.

למעשה, אני לא מבין מדוע שאשתמש ב Disk On Key מלכתחילה. זה משאיר שאריות במחשב. גלישה בדפדפן במצב Private Browsing (או איך שלא קוראים לו בדפדפן האהוב עלייך) לא משאירה שאריות בכלל.

למה לעבור דרך עמדת הלבנה אם כל אחד גולש באינטרנט (וכמיטב הישראלים - עם הדפדפן אינטרנט אקספלורר, שאוהב להריץ קוד מהאינטרנט לעתים אף בלי לשאול את המשתמש) ויכול להכניס וירוסים פנימה בלי שום Disk On Key?

בלי להיפטר ממוצרי מיקרוסופט, חוששני שבלתי אפשרי אפילו בתאוריה להיפטר ממה שאתה רוצה להיפטר. העולם מלא ב tradeoff-ים. רוב הארגונים בוחרים להפקיר את המידע שלהם בשביל הנוחות (?!) של מוצרי מיקרוסופט. שיהיה להם בהצלחה.

לענ"ד הפתרון הנכון הוא "שוט" - שבו גם משתמשים. בחוזה של העובדים צריך להיות מסוכם מה קורה לו הם מדליפים מידע מהארגון - וסנקציות כבדות מוסכמות - כלכלית - במידה וקורה דבר כזה. כמובן שעובד שצפצף על החוקים, מלבד הסנקציות הכלכליות, יפוטר, באופן מיידי. (תתפלא כמה זה לא קורה, ואז אנשים לומדים שמותר להם לעשות מה שהם רוצים...).

אנשים חייבים להפסיק להאמין שיש פתרון טכנולוגי לבעיות אנושיות. האנשים הם הבעייה, לא הטכנולוגיה. ברגע שמבינים את הנקודה הזו... (אני מדבר עכשיו על הדלפה באמצעות העובדים. לא על מיקרוסופט, שזו אכן בעיה בטכנולוגיה. מצד שני, מישהו בחר את הטכנולוגיה הזו. אנשים )

נמאס לכם לזכור סיסמאות? לחצו כאן!

למה אין פה סמיילי שמוחא כפיים?

כמו תמיד שימי אני אוהב לקרוא את התשובות שלך, אני יודע שאתה צודק אבל כנראה לא נצליח להתנהל פה בלי מייקרוסופט אז פיתרון אמיתי אין.

שאלה קצת מחוץ לנושא,
האם SSL לא נועד מלכתחילה בכדי למנוע מצב של האזנה למידע שאני שולח? (ע"י MITM או בכל צורה אחרת?)
הרי אותו אחד שיצוטט לתעבורה שלי יראה את המידע בצורה מוצפנת, כיצד זה יעזור לו?

אם זה מוצפן זה לא יעזור לו.
אבל הוא יכול לגרום לך לחשוב שזה מוצפן, וזה כבר סיפור אחר.

אוקי, וזה כבר נכנס לתחום הפישינג. (כלומר, הוא לא גנב ממך את המידע בצורה ישירה בזמן התקשורת בינך לבין השרת המבוקש, אלא "עבד עליך" שאתה באתר המאובטח שאתה חושב שאתה נמצא בו, ובמציאות אתה לא באמת שם)

אפשר לעשות את זה גם בלי פישינג, תחפש sslstrip .