RES: [FUGSPBR] Evitar Cópia

Renato Frederick frederick em frederick.com.br
Sáb Jul 26 11:40:37 BRT 2003 

Bom, deixa eu colocar um pensamento que me ocorreu:

O que eu considero importante vamos supor: /usr/local/vpopmail/*

Encripto este diretório via cfs  (estou ignorando aqui detalhes a
respeito de como vamos tratar a montagem de diretório e etc)

Faço algum sistema da seguinte maneira:

A senha para "montar" o diretório encriptado no momento do boot da
máquina é dada via programa perl compilado ou programa C.

Esta senha é pega via rede, de um servidor radius ou ldap, sendo que
este mesmo servidor só permite acesso via o IP especifico, no caso do
meu servidor de email.

Por favor, não venham me falar "e se o cara pegar os 2 servidores"?
Porque ai o ladrao em questão tem que ser alguém do desenvolvimento da
empresa, e no meio de uma pancada de máquinas pegar justo o servidor de
radius e o servidor email encriptado o cara tem que estar bem por dentro
da parte técnica da empresa! Ai contra funcionário pilantra que trabalha
no desenvolvimento só cadeia e porrada :)

Pra esclarecer, a situação do roubo que citei:
Quem roubou foram funcionários do prédio, porteiro/manobrista/servente,
arrombaram diversos andares, levaram diversos itens, computadores,
mesas, cadeiras. "estranhamente" as câmeras não funcionaram :)

Criei o email só porque estas questões me passaram na cabeça e queria a
opinião de cada um. Algo do tipo:
Roubou? Que bom, você tem um super servidor, mas o que ta lá dentro você
não vai ler.

Penso que com o sistema acima:

Alguém tira o hd hot swap, que era o que tinha o /var/spool montado:

Bom, primeiro o alguém que tirou  o HD tem que ser interno da empresa e
ter acesso a este servidor na console pra saber qual hd encontra-se o
/var/spool.
2o: Se ele levar o hd vai levar os dados encriptados, já que o script
que passa a senha via radius só funciona em conjunto com os 2
servidores.

Alguém pega o script e leva pra casa junto com o hd:

Nada adianta porque o servidor radius esta na outra maquina.

Cfs tem um bug e dá pau:

Senta e chora :) você perdeu tudo!

Quanto ao sistema do Windows xp/2000 que o colega comentou:

Não, o xp/2000 quando encripta um arquivo altera o cabeçalho do mesmo e
adiciona informações sobre quem pode acesasr: o dono dele no AD e o
Administrador global, além de criptografar.

Já me ferrei com isso, copiei um arquivo num disquetinho cheguei aqui em
casa e não li o arquivo.

So quem lê o arquivo é o criador do arquivo ou o administrador do ad,
que pode retirar a criptografia.
Se você criar um conjunto de certificados publico/privado pra este
arquivo, enquanto estiver no seu domínio AD copiar estes certificados
junto com o arquivo e souber sua senha de login ai sim você abre este
arquivo em qualquer maquina Windows 2000 ou XP, com criptografia forte.


> -----Mensagem original-----
> De: Antonio Torres [mailto:antonio.torres em newspace.net.br]
> Enviada em: sexta-feira, 25 de julho de 2003 23:07
> Para: Grupo Brasileiro de Usuarios FreeBSD
> Assunto: Re: [FUGSPBR] Evitar Cópia
> 
> 
> Recomendo a todos os interessados em  "segurança" meu 'livro de
cabeceira'
> :
> 
> Segurança.com
> Bruce Schneier
> 
> 
> Todos os assuntos que estão "rolando" são abordados; mas podemos
resumir
> em
> uma frase: Segurança eletronica de dados tambem inclui segurança
física de
> dados.
> 
> A ideia de uma camera gravando tudo nas proximidades do
servidor/backups
> me
> pareceu a mais simples e mais funcional (eu já uso isso a bastante
tempo)
> Até uma 'webcam'  seria eficiente (desde que a gravação não fique na
> "maquina protegida")
> 
> 
> 
> 
> []s
> Antonio Torres
> antonio.torres em newspace.net.br


_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd