Vlákno názorů k článku Projekt Bolt zabezpečí váš Thunderbolt, povolí přístup jen známým zařízením od Radek - Shrnuto: Je to k nicemu, user stejne klikne...
-
jinej muf (neregistrovaný)
Naopak, Radek má pravdu. Přidal se jeden další krok, který musí útočník udělat, aby zaútočil, ale problém se zdaleka nevyřešil. V době, kdy drtivá většina uživatelů výpočetní techniky (tj. běžný uživatel) nemá elementární návyky a znalosti z bezpečnosti, jsou takové ochrany směšné.
Je to asi tak, jako že buď necháte děti v mateřské školce hrát si přímo s naostřeným nožem, nebo ten nůž zabezpečíte a sice tak, že ho uložíte do stojánku na nože, který před ty děti postavíte...
Jediný opravdu zabezpečený počítač je počítač, ke kterému nemá nikdo ani vzdálený ani fyzický přístup.
-
Karel (neregistrovaný)
Ta ochrana není směšná a je plně funkční. Pokud to nemáte nainstalováno, tak můžu přijít k vašemu zamčenému počítači a k němu připojit "zlé zařízení". A to bude fungovat. Pokud to nainstalováno máte, tak to zařízení fungovat nebude a vy až přijdete k počítači a odemknete ho, tak uvidíte, že se někdo o něco pokusil.
O nějakého uživatele tu vůbec nejde. Jde o ochranu v situaci, kdy útočník má fyzický přístup k počítači ale nemá čas a prostor pro nějaký velký zásah, případně chce aby to nikdo nepoznal. On je trochu rozdíl mezi "někomu restartovat počítač, nabootovat z live CD, vytáhnout data a pak zrebootovat zpátky" a "na pár sekund zastrčit do thunderboltu malé zařízení a pak zase odejít". Navíc v tom prvním případě se můžete dostat do stavu, kdy máte jen zašifrované soubory, ke kterým neznáte heslo, zatímco v tom druhém se dostanete ke kompletnímu obsahu RAM po té, co uživatel už heslo zadal.
Řečeno ještě jinak: to není ochrana proti tomu, aby si uživatel sám nezasvinil počítač. To je ochrana proti tomu, aby někdo jiný nedokázal během chvilky a beze stopy zasvinit cizí běžící počítač.
-
j (neregistrovaný)
2Karel: Ty ses tarar ze? kdyz poslu milion SMS na milion cisel s tim, ze zpet maji zaslat pro overeni platby PIN svy karty, tak dostanu 999 000 PINu. A je uplne jedno, jestli mi ty telefony ten PIN poslou samy, nebo jestli pockaj, az user potvrdi, ze mi ho poslat maj.
Takze takovyhle "zabezpeceni" je leda khovnu. Je to uplne stejny jako antivirak, kterej se pta, jestli to dotycnej vazne chce spustit/otevrit/... a co jinyho by s tim asi tak chtel delat, kdyz na to prave klipnul. Presne stejnej vopruz jako UAC, ktery kazdej clovek co si chce zachovat zdravej rozum okamzite vypne.
-
. . (neregistrovaný)
Tenhle patch nedělá pouze možnost potvrdit připojené zařízení, ale umožňuje tohle potvrzení úplně vypnout a takové zařízení nikdy nepřipojit, stejně tak umožňuje dobře autorizovat konkrétní zařízení a pak se již na nic nedotazovat.
Vyhodit hlášku a tu nechat uživatele potvrzdit je jen jeden ze způsobů a záleží na správci (či výrobci/prodejci) počítače jakou variantu zvolí.
Ty upřednostňuješ variantu, kdy není žádná obrana a stačí pouze cizí zařízení připojit, protože stejně uživatel je kokot, tak si to zaslouží?
-
![~[,,_,,]:3](https://i.iinfo.cz/sh/profile/avatar/avatar-default.gif)
ad drtivá většina uživatelů [...] nemá elementární návyky a znalosti
Ano, tohle je fakt. Mám zkušenosti s tím, že člověk, který se počítačům nevěnuje, prostě jenom co nejrychleji kliká na OK či Povolit, aby se nemusel hádat se systémem, který mu brání v puštění filmu nebo vytisknutí dokumentu z média, které si právě připojil.
Jako (částečné) řešení vidím vyskočení dialogového okna, které by se uživatele ptalo "Co jste právě připojili?" - pod tím by bylo několik možností na výběr, podle toho, jaká žádají privilegia. Pokud by zařízení požadovalo více, než by požadovat mělo, ukázalo by se upozornění s varováním, že to může být nebezpečné zařízení a jestli chtějí pokračovat.
Nedělám si iluze, že by uživatel klikl na Ne, protože ho to nezajímá. Částečně za tento problém můžou WIndows 10, které při každém připojení flash disku hlásí "S tímto médiem jsou problémy". Při rozdílu hlášení média a výběru uživatele by se ale mohlo zapnout podrobnější sledování komunikace, která by (teoreticky) mohla blokovat čtení paměti, která číst nemá.
-
Radek (neregistrovaný)
Pokud mam fyzicky pristup k PC, tak nezabranis nicemu. Jsi kompromitovany. Tohle opravdu mohlo byt pouze pro usera, ala UAC. Spravne se to melo udelat uplne jinak, ve spolupraci OS, firmware HW a Thunderboltu. OS musi byt ten, kdo rozhoduje komu a kam povolit tak nebezpecnou vec jako je DMA.
