Здравствуйте, andyp, Вы писали:

A>Сложно. Это голографическая наклейка на тонкой пленке. Сразу будет понятно, что вскрывали. Оно и по жизни полезно — всегда будешь уверен, что в твой аппарат без тебя не влезали. Мы ж все ещё о паранойе говорим?

Можно подумать, такие вещи когда-то останавливали по настоящему упорных злоумышленников. А когда речь идет потенциально о сотнях мегабаксов, то можно и поднапрячься.
Или еще лучше. Сотрудники возвращают ноут, и сами ставят на нем печать "с признаками манипуляции". Юзер ничего не заметит. А потом, если что, экспертиза покажет, что печать была нарушена. Наверняка неизвестными злоумышленниками.

Здравствуйте, Codealot, Вы писали:

C>Можно подумать, такие вещи когда-то останавливали по настоящему упорных злоумышленников. А когда речь идет потенциально о сотнях мегабаксов, то можно и поднапрячься.
C>Или еще лучше. Сотрудники возвращают ноут, и сами ставят на нем печать "с признаками манипуляции". Юзер ничего не заметит. А потом, если что, экспертиза покажет, что печать была нарушена. Наверняка неизвестными злоумышленниками.

Блин, у всех технических мер есть предел. И тем не менее, я вполне себе жизненный и используемый комплекс мер тебе предлагаю. Если разговор о сотнях мегабаксов, то построй вокруг этого бука здание с соответствующим режимом доступа

Здравствуйте, andyp, Вы писали:

A>И тем не менее, я вполне себе жизненный и используемый комплекс мер тебе предлагаю.

Используемый — да. А насколько действенный, на самом деле?
Просто интересно.

Здравствуйте, Codealot, Вы писали:

C>Используемый — да. А насколько действенный, на самом деле?
C>Просто интересно.

Ну если железка находится не на улице и доступ на длительное время посторонних лиц к ней ограничен, если конторе ты хотя бы немного доверяешь неизвестен конечный получатель устройства, если буков ты на проверку отдаешь штук десять, а пользуешься потом одним на выбор, а остальные у тебя годами на полочке лежат до лучших времен...

Здравствуйте, m2user, Вы писали:

AS>>В общем если хочется поизвращаться с безопасностью — Qubes OS к вашим услугам.

M>А как же все эти уязвимости в интеловских CPU, позволявшие в том числе читать память вне "песочницы".

Вне песочницы, но все же замапленную в адресное пространство задачи. Пусть даже без явно открытых прав на чтение.

Мое представление о сегодняшнем состоянии дел таково:
1. все свое адресное пространство можно прочитать. Даже куски, которые в него замаплены без права на чтение. Даже из JS в бровсере.
2. две сговорившиеся между собой программы найдут способ обмениваться данными, даже если это им запрещено. Даже если они обе — JS в разных закладках/окнах бровсера

Но при этом данные невзломанной программы, которая не делит с кем-то адресное пространство, защитить впомне возможно.

M>IMHO, решение на VM это для случаев когда ты ограничен одним ПК (ноутбук например).
M>А в стационарных условиях можно спокойно позволить себе изолированное физ. устройство.

В стационарных условиях две сговорившиеся между собой программы завсегда найдут способ обмена данными, даже если они на физически разных машинах работают.

M>IMHO, решение на VM это для случаев когда ты ограничен одним ПК (ноутбук например).
M>А в стационарных условиях можно спокойно позволить себе изолированное физ. устройство.
Если приедет маски-шоу, то про существование VM (одной из множества) теоретически можно не сказать, а отдельный комп вызовет пристальный интерес термокриптоаналитиков.

Здравствуйте, Codealot, Вы писали:

C>Возникла такая мысль. Купить мини-комп, хранить там отдельно от основного компа особо важные данные и установить на нем софт, который имеет доступ к таким данным.
C>Какие здесь могут быть подводные камни?
C>Собственно, как к нему подключаться? Через KVM — надежнее всего, но гемор. Через RDP — а надежно ли? Есть еще варианты?

Чем сильнее заизолируешь, тем менее удобно будет пользоваться. Довольно изолированный и неудобный вариант — тетрадка с ручкой. Нет ничего лучше каллиграфии гуидов.

Pzz>В стационарных условиях две сговорившиеся между собой программы завсегда найдут способ обмена данными, даже если они на физически разных машинах работают.

Это как?

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>"Съесть-то он съест, да кто ж ему даст". Я, например, даю доступ к сети только тому софту, который предназначен для работы с сетью, а софта, который хочет обновляться принудительно, вообще не использую.
Не, я устал бороться. Да и глупо же. С широкополосным все страх потеряли.
Брандмауер, как мондавошка, бдит и всех обламывает. Даже меня, когда забываю про него.

Здравствуйте, akasoft, Вы писали:

A>Брандмауер, как мондавошка, бдит и всех обламывает. Даже меня, когда забываю про него.

Это его работа — обламывать все, что не было вдумчиво добавлено в правила. Даже когда для софта, который я планирую допускать до сети, вылезает стандартный системный запрос "приложение хочет в сеть, пустить?", я отказываюсь, и добавляю правила вручную, чтоб не давать лишнего.