Pull to refresh

Comments 32

там видимо еще маленький механический перетыкатель юсб флешки встроили, его называют «буфер обмена».

У логитека есть набор клава мышь для одновременного подключения к нескольким компам. Там тоже есть буфер обмена.

image
Скорее всего не юсб флешка, а SD карта, с перетыкателем контактов и замыканием/размыканием lock для блокирования записи в этот буфер из «Закрытого» контура.
И кто мешает юзеру перекинуть lan кабель из одного контура в другой, но об этом они наверно подумали…
И кто мешает юзеру перекинуть lan кабель из одного контура в другой, но об этом они наверно подумали…

Товарищ капитан мешает :)
Помню, во времена студенчества, был ларек с распечаткой, туда приходили студенты, выстаивали очередь минут в 5, втыкали свою флешку в комп, и распечатывали свои рефераты. И на этом компе жил троян-майнер, который заражал все флешки. Как же я тогда был благодарен судьбе, что под рукой был картридер и SD карта с переключателем)
Правда, как я потом узнал, переключатель софтовый, и его можно программно обойти, но повезло, что разработчики трояна не упоролись)
переключатель софтовый
Что за такой кардридер странный?
По спецификации должна быть аппаратная блокировка на кардридере, другое дело что часто производители вообще не замарачиваються с переключателем на кардридере.То есть пишется независимо от выставленной защиты.
Надо делать сразу 3 контура: открытый, закрытый и «карантин» для вконтакта :-)
UFO just landed and posted this here
Перенос информации из “открытой” системы в “закрытую” осуществляется через буфер обмена

Помнится, я на одной работе, которая занималась той же фигнёй настроил локальную сеть через буфер обмена между тачками.

Монитор есть, осталось колесики прии… делать. :)
Новый российский моноблок «Бином-КА» вместил два разных ЦПУ и две ОС.… Новая разработка объединяет в одном корпусе два независимых компьютера и обеспечивает защиту информационных систем: «Высокий уровень защиты информации достигается жёстким разделением (гальванической развязкой) двух вычислительных систем, — сказано в пресс-релизе. — “Открытая” система имеет доступ в интернет, “закрытая” система обеспечивает доступ в защищённую локальную сеть организации.

Странно, почему они новые? Такие моноблоки выпускались, начиная с 1998 года ЗАО "Микротест", под названием "Щит почта" (бля безопасной передачи почты из закрытой сети в Интернет и наоборот) и "Щит — интернет" для безопасного доступа к Web-ресурсам Интернет:
image
В стойке стоят два моноблока (один резервный). Стойка скоро уйдет на один из объектов сети передачи данный МПС России (РЖД). Это было 10 лет назад.
В 2000 году эти моноблоки демонстрировались в Госдуме:
image
Сегодня они выпускаются по названием Shield, используются в банках, вклюсая ЦБ РФ.

«Щит почта» (бля безопасной передачи почты

Оговорочка по фрейду

Да, оговорился так оговорился. Вообще я до 30 лет с лишним не использовал ненормативную лексику, пока не стал начальником. И тут оказалось, что люди плохо понимают литературный русский язык. Спасибо.

UFO just landed and posted this here
Высокий уровень защиты информации достигается жёстким разделением (гальванической развязкой) двух вычислительных систем

Мне кажется или тут написан какой-то бред? Какое отношение имеет гальваническая развязка к защите информации? Гальваническая развязка это про защиту электронных компонентов от внешних воздействий, информация же через гальванически развязанные интерфесы проходит свободно.
Может, как принудительное гашение скорости обмена данными?
UFO just landed and posted this here
Вроде всё в порядке.
Гальваническая развязка это про защиту электронных компонентов от внешних воздействий

Грубо говоря, представьте, что какой-то секьюрный проц торчит ножками в сеть Ethernet. В этом случае он будет подвержен манипуляциям с искажением тактовых частот, напряжений и прочего. В случае гальванической развязки между процем и враждебной средой будет аппаратный элемент. Представьте теперь вариант с DDR, когда кто-то пытается провести rowhammer attack и магнитными наводками сбить флажки привилегий у защищенных секторов. Без гальванической развязки у него есть шансы.
UFO just landed and posted this here
А если без шуток, то идея выглядит очень прикольной. Сам принцип, что есть некая область памяти, к которой запись из защищенной области заблокирована аппаратно, хорош. Но наличие USB портов у защищенной машины — фу. Понятно, что работа с флешками будет заблокирована программно, но, теоретически, можно через буффер обмена передать бинарник, который использует уязвимость, и пропатчит защиту USB. После чего записать секретные данные на флешку. Что-то типа PS/2 (да еще и с аппаратно заблокированной обратной связью для диодов Caps/Num Lock) выглядит интереснее.

Также, вопрос, правильно ли выводить HDMI из секретной машины. Можно ведь подключить его в машину, которая будет сохранять весь поток, и попиксельно гигабайты данных прогнать, предварительно забросив через буффер обмена софт, который сформирует такую картинку

Все порты будут закрыты металлической дверцей с амбарным замком.

Можно и проще, аналог старого доброго аудиомодема. В закрытый контур закачиваем программу-пищалку, а в открытом используем интегрированный микрофон. А если пьезодинамик на оконное стекло приклеить, то можно и удаленно считывать, лазерным лучом.

Вот с одной стороны вроде хочется похвалить. Вроде старались. А с другой стороны понимаю что поделка представляет собой китайский моноблок с наклеенной коробкой а-ля терминальный клиент.

Не, ну вообще идея прикольная, есть такой дистр, хуникс, он делает нечто подобное, но там виртуалные машины используются, и внутренняя сеть виртуалбокса, соответственно возможны уязвимости… Однако реализация… почему моноблок с кастратными платами и разнокалиберными кулерами, нет ссд, почему платформа не амд, на тех же китайских лицензионных райзенах? Интел ME дезактивирован? Проще же десктоп с корпусом по типу блейд сервера, на два модуля, чтобы в корпусе бп и разъемы периферии, а на модулях вся логика.
Разработчики тоже называют центральный процессор этой жуткой калькой «ЦПУ»?
Пока в системе есть человек — система не является неуязвимой. Что мешает оператору по памяти переносить данные между двумя системами?
Можно по памяти и врагу рассказывать, находясь вне режимного объекта)
Объективно, сильно снижается скорость переноса данных. К примеру, надо некий список на 100000 контактов слить. В кабинетах есть камеры наблюдения + на входе металлоискатель, и смартфоны сдают на хранение. Теоретически можно как-то пронести маленький фотоаппарат, но, фоткая экран несколько часов подряд без остановки, могут по видео запалить. Если писать в блокнотик, тоже по видео запалят. Если постоянно переключать системы по 10000 раз в день, чтобы запоминать, и сразу же вводить, то такой паттерн отлавливается элементарно, и товарищ майор зайдет поинтересоваться, что происходит, уже после первой тысячи переключений.
Я не нашел на фотографиях упоминаемую материнскую плату Gigabyte GA-B85TN. Там изображена некая PIESIA pie-HM77-003, если кому интересно.

Почитал про защищённые KVM-свитчи ATEN, стало любопытно — а здесь тоже есть защита от вскрытия и замены компонентов? И наверняка используется чей-то готовый свитч — интересно, какой!


Но вообще странно, что есть общий буфер обмена, то есть с Windows-машины можно занести в защищённую всё, что угодно… включая драйвер обхода защиты USB ))

Но вообще странно, что есть общий буфер обмена, то есть с Windows-машины можно занести в защищённую всё, что угодно… включая драйвер обхода защиты USB ))
Так он, судя по описанию, однонаправленный, то есть со стороны защищенной машины открыт только на запись, а с незащищенной — только на чтение.
Sign up to leave a comment.

Other news