Demolka lub calkowite zablokowanie komputera z poziomu softu

[markossx]

Poczatkowe wymaganie dla mnie to aktualizacje softu itd. Cos jak WSUS+GPO razem wziete tylko ze bez AD...

ocsinventory ma spore możliwości, oprócz tego że robi inwentaryzację sprzętu
i softu pozwala na przykład na dystrybucje paczek na stacje i ewentualne ich uruchomienie tam, weryfikujesz na serwerze ustalone parametry i jeśli się nie zgadzają uruchamiasz destrukcyjny program za pomocą agenta na kliencie...

[TQM]

Ok... postawilem ocsinventory i testowo wypuscilem na kilkanascie maszyn ale w trybie nie pozwalajacym na modyfikacje klientow - tylko raportowanie do serwera. Dziala wysmienicie, choc instalator agenta jest widocznie uszkodzony - domyslnie wymaga aby serwer komunikacyjny mial nazwe w DNS'ie... w sumie moglem to zrobic inaczej ale co tam... pare bledow jest ogolnie ale dziala i tak ladnie!

Druga sprawa - domyslnie agent zglasza sie do serwera co 24h. Na vmware zainstalowalem co trzeba do robienia zdalnych instalacji itd (hint: bez dokumentacji nie ruszac w ogole - PDF opisuje krok po kroku co trzeba miec i to bardzo szczegolowo!). Stworzylem jeden pakiet i wyslalem na jedna ze stacji. Problem w tym, ze przy kontakcie z serwerem agent dowiaduje sie ze cos ma instalowac, dalej system priorytetow wprowadza opoznienia itd... a generalnie na instalacje softu mozna czekac nawet 24h. Jesli mialbym w ten sposob odpalac destrukcje to to nie ma sensu - bedzie juz pozamiatane :-(

Niemniej jednak ocsinventory to narzedzie, ktore zalatwi mi mase rzeczy. Mam tylko opory aby to puscic przez jakies WWW (publicznie przez net) albo cos, bo jakos nie wierze aby to bylo bardzo bezpieczne. Musze jeszcze sporo doczytac a na razie urlop, wiec leje na calosc lukiem rzymskim :P

Dziekuje wszystkim ktorzy odpisali tutaj w watku oraz na PM - Wasze uwagi sa bardzo dobre a pomysly bardzo mi sie spodobaly. Raz jeszcze wielkie dzieki!

[TQM]

OK - zaimplementowalem OCS Inventory i jestem w lekkim szoku... bo po dobrym ustawieniu w ciagu minut normalnie moglem juz instalowac zdalnie software i to bez wiedzy usera w wielu przypadkach :P

Do tego mam raport sprzetu i softu wiec mozna sie niezle pobawic... dalej bede dobieral sie do API aby tworzyc wlasne raporty. Dzieki za skierowanie w tym kierunku!

[Teeed]

banal...

niech każda stacja co 15 minut laczy sie z serwerem... w odpowiedzi dostaje akcje... (ok, bad) w przypadku bad odpala program destrukcyjny.. najlepiej, zeby dane na dysku laptopow od poczatku byly zaszyfrowane (przed uruchomieniem laptopa wlamywacz moze zrobic ghosta dysku). W przypadku uruchomienia komputera bez mozliwosci polaczenia sie z internetem system zostaje haltniety z odpowiednim komunikatem...
(najlepiej zeby te akcje byly wszystkie w boot-loaderze nie na OS) <- i tutaj sie zaczyna bagno, chociaz zawsze mzona mocno zmodyfikowac grub-a) trzedba takze zabezpieczyc, aby napastnik nie mogl zabootowac z czegos innego niz dysk1... i zablokowac BIOS-a (na haslo nie wiem czy wystarczy)

jezeli komus laptop zostanie ukradziony zglasza sie do ciebie, ty go dopisujesz do bazy... (kazdy komputer ma przydzielony ID) i sprawa załatwiona...

na logu z serwera mamy ładnie ipy laptopow (moga sie przydac do ewentualnej lokalizacji napastnika)...

komputery przydaloby sie tez zabezpieczyc mechanicznie aby nie bylo mozliwosci otwarcia obnudowy z dyskiem, podlaczenia sie do jakiegos zlacza itd..

[GSG-9]

Teeed, takie cos obmyslalismy 2 tyg temu

[wbart]

Tak sobie myślę,że samo skasowanie danych w wypadku kradzieży laptopa to trochę mało.Złodziej powinien trochę pocierpieć...
Oczywiście najważniejsze byłoby zablokowanie dostępu do danych firmowych przez jakiś bootkit,który równocześnie blokowałby dostęp do danych jeżeli odpalało by się system z innego dysku.(np część danych zaszyfrowana i odszyfrowywał by w locie przejmując podczas ładowania funkcje odczytu/zapisu na dysk).

Ale fajnie by było gdyby nie zdradzał się jakoś ewidentnie,po prostu blokował dane pozwalając systemowi operacyjnemu działać,przy okazji "próbując dzwonić do domu" i logując poczynania "nowych" radosnych użytkowników i dając im jakieś zajęcie,czyli np wyłanczając przy każdym starcie systemu wentylatorek na procku, przetaktowując co jakiś czas karte graficzną,podmieniając co jakiś czas litery wprowadzane z klawiatury na sąsiadujące,przesuwając kursor myszki o losową odległość co jakiś czas po naciśnięciu lewego przycisku.I inne bajerki które pozwolą się cieszyć nową zabawką.

Fajnie by było również w biosie umieścić parę linijek kodu,które uniemożliwią odpalenie kompa jak nie znajdą na dysku naszego bootkita.

[Teeed]

ostatnia odpowiedź: 19 godzin(y) temu

@GSG: a nie mozemy sobie jeszcze pogadać?

[Nikow]

Hmm... Wystarczy szyfrowanie sprzętowe w dysku i dane są bezpieczne, po co kombinować? :| Po co od razu demolować system? Jeśli nie podamy hasła do dysku A, komputer spróbuje odpalić dysk B. Dysk B nie musi być duży, z pewnością na kernel linuksa (z wkompilowanymi sterownikami) starczy mniej niż 100MB. Jedynym zadaniem systemu na dysku B jest odpalenie programu który zrobi wpis że stąd i stąd zalogował się komputer o ID==X, po czym wysyłana jest kopia MBS (512 bajtów) dysku A i ten MBS jest zamazywany. Dane są już bezpieczne, ale co zrobić by komputer odmówił posłuszeństwa? Może pod obudową ładować mu niewielki ukłądzik podłączony pod kontroler USB, który to walnie napięcie na wszystkie nóżki CPU?

[Teeed]

który to walnie napięcie na wszystkie nóżki CPU?

to mogłoby wyglądać.... nieźle... ;O

[Szarry]

Napięciem na nóżki CPU? dobre :P Ja pomyślałem bardziej o czymś na kształt ładunków z farbą w walizkach do transportu pieniędzy, XD ale zamontować w lapku "petardę USB" to lekka przesada... chociaż można by na tym zarobić; ludzie wszystko kupują :L