Hallo, ich muss mehrere PCs dagegen absichern, daß jemand physisch an ihr Inneres rankommt und sie unbemerkt manipuliert. Also z.B. ein anderen BIOS-IC einsetzt, die Festplatte entnimmt, den Inhalt manipuliert und sie wieder einbaut etc. Die "Software-Seite" ist schon bedacht, mir geht es hier nur um den physischen Teil. Der Angreifer könnte es schaffen vielleicht 20 Minuten unbeobachtet an die PCs ranzukommen. Er könnte auch mehrfach rankommen, also erst schauen was er für Werkzeug braucht und dann wiederkommen. Er kann aber kein großes Werkzeug mitbringen (maximal Aktentasche) oder Lärm machen (Flex geht also nicht). Damit ein Angriff erfolgreich sein kann, darf der Benutzer danach nicht sehen daß der PC manipuliert wurde - wenn das Gehäuse schwer beschädigt ist fiele das sofort auf. Ich dachte an ein Stahlgehäuse um den PC rum, welches dann mit einem Vorhängeschloss oder ähnlichem abgeschlossen wird. Mit etwas Suchen habe ich nur diesen Anbieter gefunden: http://www.secuplus.com/SP2010DU/seculocker.html Allerdings wären deren Standardgehäuse etwas zu klein für die vorhandenen Towergehäuse und es wäre natürlich praktischer (und vermutlich auch billiger) wenn ich was von der Stange nehmen kann und nicht alle PCs in komplett neue Gehäuse umbauen müsste. Kennt jemand noch andere Anbieter die sowas in die Richtung im Programm haben? Oder eine andere Idee die Gehäuse zu sichern? Vielen Dank.
:
Verschoben durch User
Gerd E. schrieb: > Kennt jemand noch andere Anbieter die sowas in die Richtung im Programm > haben? Einen billigen Waffenschrank als Gehäuse nehmen? Gerd E. schrieb: > Der Angreifer könnte es schaffen vielleicht 20 Minuten unbeobachtet an > die PCs ranzukommen. Er könnte auch mehrfach rankommen, also erst > schauen was er für Werkzeug braucht und dann wiederkommen. Er kann aber > kein großes Werkzeug mitbringen (maximal Aktentasche) oder Lärm machen > (Flex geht also nicht). Damit ein Angriff erfolgreich sein kann, darf > der Benutzer danach nicht sehen daß der PC manipuliert wurde - wenn das > Gehäuse schwer beschädigt ist fiele das sofort auf. Da reicht ein normales Vorhängeschloss aber nicht mehr. Das ist in den 20 Minuten mindestens dreimal aufgepickt. Zumindest wenn man es kann...
Viele ganz gewöhnliche PC Gehäuse haben eine Öse, an die man ein Vorhängeschloss befestigen Kann. Das Gehäuse lässt sich dann nur noch gewaltsam öffnen, was sichtbare Schäden hinterlässt. > Der Angreifer könnte es schaffen vielleicht 20 Minuten unbeobachtet an > die PCs ranzukommen. Willst du denn auch gegen gewaltsamen Eingriff schützen? Dann brauchst du einen Safe mit Kühlung. In Rechenzentren stellt man besonders schützenswerte Geräte oft in einen Käfig, der mit Alarmanlage, Videoüberwachung und Wachdienst gesichert wird.
Schreiber schrieb: > Da reicht ein normales Vorhängeschloss aber nicht mehr. Das ist in den > 20 Minuten mindestens dreimal aufgepickt. Zumindest wenn man es kann... Wenn man es nicht kann, dann verwendet man einen Schlagschlüssel. Das geht ruckzuck! Und ebenso fix ist beispielsweise ein USB-Keylogger an der Rückseite des PC eingesteckt... :-)
Du könntest auch ne laute Sirene einbauen die losgeht wenn jemand versucht das Gehäuse zu öffnen...
Panzerknacker schrieb: > Schreiber schrieb: >> Da reicht ein normales Vorhängeschloss aber nicht mehr. Das ist in den >> 20 Minuten mindestens dreimal aufgepickt. Zumindest wenn man es kann... > > Wenn man es nicht kann, dann verwendet man einen Schlagschlüssel. Das > geht ruckzuck! Ich bin kein geübter Lock-Picker und habe es weder mit Lock-Picks noch mit einem Schlagschlüssel geschafft das Test-Vorhängeschloss (Burg-Wächter D600) zu öffnen. > Und ebenso fix ist beispielsweise ein USB-Keylogger an > der Rückseite des PC eingesteckt... :-) Der Fall ist bedacht: die Tastatur (ist selbst gegen Öffnen verklebt) hat ein kurzes USB-Kabel und ist in einen auf dem Schreibtisch im direkten Blickfeld stehenden USB-Hub gesteckt. Das Kabel vom USB-Hub zum PC ist am USB-Hub verklebt. Das Kabel geht dann direkt ins Innere des PCs und dort auf die USB-Steckerleiste am Mainboard. Solange man nicht ins Innere des PCs kommt, kann man da nichts dazwischenstecken ohne das es auffällt. Womit wir wieder beim Sichern des PC-Gehäuses wären...
Kannst du den PC in einen Nebenraum stellen? Z.B. mit Thunderbolt kannst du die gesamte Peripherie über ein relativ dünnes Kabel anschließen. Als Gehäuse fiel mir spontan noch ein 19" Schrank ein. Die sind abschließbar und kommen mit der Abwärme zurecht.
Gerd E. schrieb: > Ich bin kein geübter Lock-Picker und habe es weder mit Lock-Picks noch > mit einem Schlagschlüssel geschafft das Test-Vorhängeschloss > (Burg-Wächter D600) zu öffnen. Interessanterweise fand ich auf der HP von Burgwächter keinen Hinweis auf die Nachschliess-Sicherheit des D600. https://www.youtube.com/results?search_query=burgw%C3%A4chter+d600
Löter schrieb: > Kannst du den PC in einen Nebenraum stellen? Z.B. mit Thunderbolt kannst > du die gesamte Peripherie über ein relativ dünnes Kabel anschließen. Das ginge nur im Serverraum, die Kabel wären durch die Kabelkanäle mehr als 50 Meter lang. Ich muss USB und DVI/HDMI verwenden, Umstellung auf Thunderbolt würde komplett neue Hardware, Treiber etc. erfordern. Das wäre nicht zu unterschätzender Aufwand. 50 Meter sind auch mit USB- und HDMI-Verstärkern nicht ohne.
Mac G. schrieb: > Du könntest auch ne laute Sirene einbauen die losgeht wenn jemand > versucht das Gehäuse zu öffnen... Die Idee gefällt mir bisher am besten. Ist vermutlich am besten mit solchen Fenster-Öffnungskontakten wie sie für Alarmanlagen eingesetzt werden umzusetzen, oder? Das sind ja wenn ich es richtig sehe Reed-Kontakte. Kann man die von außen mit nem starken Magneten beeinflussen oder schirmt das Stahlblechgehäuse des PCs das stark genug ab?
Naja wenn er nicht laut sein darf (Bohrmaschine) warum nicht einfach die Schrauben durch Blindnieten ersetzen? Dazu könnte man ein Kabel mit Kabelöse festnieten und mit ner kleinen Schaltung überwachen ob die Niete entfernt wird und dies mit nem lauten piepsen quittiert
Gerd E. schrieb: > Panzerknacker schrieb: >> Schreiber schrieb: >>> Da reicht ein normales Vorhängeschloss aber nicht mehr. Das ist in den >>> 20 Minuten mindestens dreimal aufgepickt. Zumindest wenn man es kann... >> >> Wenn man es nicht kann, dann verwendet man einen Schlagschlüssel. Das >> geht ruckzuck! > > Ich bin kein geübter Lock-Picker und habe es weder mit Lock-Picks noch > mit einem Schlagschlüssel geschafft das Test-Vorhängeschloss > (Burg-Wächter D600) zu öffnen. üben, üben, üben!!! Das geht schon, siehe Youtube. Gerd E. schrieb: > Das sind ja wenn ich es richtig sehe Reed-Kontakte. Kann man die von > außen mit nem starken Magneten beeinflussen oder schirmt das > Stahlblechgehäuse des PCs das stark genug ab? Wenn der Magnet hinreichend stark ist: ja wenn nicht: nein Sinnvollerweise verwendet man keine Reed-Kontakte sondern Hall-Sensoren und überwacht richtung und Stärke des Magnetfeldes.
René F. schrieb: > Naja wenn er nicht laut sein darf (Bohrmaschine) warum nicht einfach die > Schrauben durch Blindnieten ersetzen? Für Wartungszwecke muss der PC natürlich einfach geöffnet werden können. Da wie oben beschrieben auch ein Teil der Kabel direkt nach innen geführt werden, muss man da für jedes größere Umräumen auf dem Schreibtisch ran. Jedesmal aufbohren und hinterher neu vernieten ist da nicht praktikabel.
Gerd E. schrieb: > René F. schrieb: >> Naja wenn er nicht laut sein darf (Bohrmaschine) warum nicht einfach die >> Schrauben durch Blindnieten ersetzen? > > Für Wartungszwecke muss der PC natürlich einfach geöffnet werden können. > Da wie oben beschrieben auch ein Teil der Kabel direkt nach innen > geführt werden, muss man da für jedes größere Umräumen auf dem > Schreibtisch ran. Jedesmal aufbohren und hinterher neu vernieten ist da > nicht praktikabel. Gut, ich weiß nicht wie oft der Rechner geöffnet werden muss, wenn ich so an meine Rechner denke ist das zu vernachlässigen, reine Nieten wären zumindest die günstigste Lösung ;)
Schreiber schrieb: > Sinnvollerweise verwendet man keine Reed-Kontakte sondern Hall-Sensoren > und überwacht richtung und Stärke des Magnetfeldes. Die Schalter, mit denen z.B. Fujitsu-Server den Deckel überwachen, sind ganz einfache mechanische Schalter mit Federhebel, wie im leichten Maschinenbau üblich. Passende Software vorausgesetzt, schicken die Rechner eine Meldung ins Netzwerk.
Manfred schrieb: > Die Schalter, mit denen z.B. Fujitsu-Server den Deckel überwachen, sind > ganz einfache mechanische Schalter mit Federhebel, wie im leichten > Maschinenbau üblich. nicht sicher. kleines loch ins gehäuse bohren und den schalter mit einer spritze mit sekundenkleber füllen.
Schreiber schrieb: > Manfred schrieb: >> Die Schalter, mit denen z.B. Fujitsu-Server den Deckel überwachen, sind >> ganz einfache mechanische Schalter mit Federhebel, wie im leichten >> Maschinenbau üblich. > > nicht sicher. kleines loch ins gehäuse bohren und den schalter mit einer > spritze mit sekundenkleber füllen. evtl. kommt man auch mit nem dünnen Stab oder ähnlichem zu ner Lüfteröffnung oder so rein und kann das Ding runterhalten während man das Gehäuse aufmacht. Ich hab mal weiter nach den Fensterkontakten gesucht und da gibt es wohl welche die als "Fremdfeldgeschützt" verkauft werden. Wenn da ein zu starkes Magnetfeld kommt, trennen die auch den Kontakt. Das dürfte dann nicht ganz so leicht zu überlisten sein.
Schreiber schrieb: > nicht sicher. kleines loch ins gehäuse bohren und den schalter mit einer > spritze mit sekundenkleber füllen. Dazu müsste der Angreifer aber wissen, wo der Schalter im Gehäuse untergebracht ist. Andere "intrusion detection"-Systeme arbeiten mit Optosensoren - wenn's im Gehäuse hell wird, ist es offensichtlich geöffnet. Geht natürlich nicht bei innenbeleuchteten Kinderzimmer-PCs, aber um die geht es hier ja auch nicht.
Rufus Τ. F. schrieb: > Dazu müsste der Angreifer aber wissen, wo der Schalter im Gehäuse > untergebracht ist. In 20 Minuten mit Aktenkofferwerkzeug und etwas Übung kann man verdammt viel machen. Schlösser aufpicken, Tresorzahlenschlösser (kein Witz, das wird gemacht) oder sonstige Gehäuse röntgen, mit dem Endoskop in Öffnungen aller Arten schauen, Löcher Bohren, kleben, Kabel unterbrechungsfrei spleißen...
Gewiss. Gerd hat seine Anforderungen noch nicht konkretisiert. Geht es um massive Paranoia (weil z.B. irgendwelche Agenten irgendwelcher Regierungsorganisationen erwartet werden), oder geht es um simplen Diebstahlschutz, weil die Werkstudenten nicht immer das RAM klauen sollen?
Dagegen hilft einfach einbetonieren. Nicht komplett, aber so ca. 10 cm würden schonreichen. Dann ist er auch erdbebensicher aufgestellt. :)
Beitrag #4948789 wurde von einem Moderator gelöscht.
Rufus Τ. F. schrieb: > Gerd hat seine Anforderungen noch nicht konkretisiert. Geht es um > massive Paranoia (weil z.B. irgendwelche Agenten irgendwelcher > Regierungsorganisationen erwartet werden), Es geht gegen Industriespionage. Primär denke ich an Keylogger und manipulierte Betriebssysteme und Hardware um damit dann Passwörter und andere wichtige Daten herauszubekommen. Also vor allem Angreifer die nicht auf dem Niveau von Geheimdiensten sind, die aber zumindest eine "Schnellbleiche" in dem Thema erhalten haben. Vorgebliche "Praktikanten", der neue Mitarbeiter beim Putzdienst etc. > oder geht es um simplen > Diebstahlschutz, weil die Werkstudenten nicht immer das RAM klauen > sollen? Diebstahl der Rechner ist quasi egal. Solange der Angreifer nicht gleichzeitig auch an die Cryptokeys für die Festplatten rankommt ist das kein großer Schaden.
Besondere Sicherheitbedürfnisse kosten dann eben etwas: https://www.assistyourwork.de/pc-safe-format-cst-1-495x335x620mm,art-7749
Gerd E. schrieb: > Primär denke ich an Keylogger und > manipulierte Betriebssysteme und Hardware um damit dann Passwörter und > andere wichtige Daten herauszubekommen. Muß man dazu das Blech öffnen? Ein Virus reicht. Du kannst aber gerne den Strom zur Tastatur und zur Maus ständig überwachen.
Gerd E. schrieb: > Hallo, > (Flex geht also nicht). Damit ein Angriff erfolgreich sein kann, darf > der Benutzer danach nicht sehen daß der PC manipuliert wurde Das waere doch einfach zu erreichen mit Klebesiegeln.
Rudi Radlos schrieb: > Muß man dazu das Blech öffnen? Ein Virus reicht. Per Virus ginge es natürlich auch. Die Software-Seite habe ich natürlich auch bedacht, das soll hier aber nicht Thema sein. Mir geht es hier drum wie ich die Hardware-Seite abgesichert bekommen. > Du kannst aber gerne > den Strom zur Tastatur und zur Maus ständig überwachen. Mein Konzept für den Schutz von USB habe ich hier schon beschrieben: Beitrag "Re: Suche abschließbares Sicherheitsgehäuse für PCs" Offen ist davon nur noch der Teil des Schutzes der Innereien des Gehäuses.
ff52 schrieb: > Das waere doch einfach zu erreichen mit Klebesiegeln. Ich halte es nicht für praktikabel daß alle Mitarbeiter nach jeder Pause, Toilettenbesuch etc. unter den Tisch kriechen und die Siegel an der Rückseite Ihres PCs kontrollieren.
Gerd E. schrieb: > ff52 schrieb: >> Das waere doch einfach zu erreichen mit Klebesiegeln. > > Ich halte es nicht für praktikabel daß alle Mitarbeiter nach jeder > Pause, Toilettenbesuch etc. unter den Tisch kriechen und die Siegel an > der Rückseite Ihres PCs kontrollieren. ... das waere dann dein oder der eines neuen Mitarbeiters Job :) Also gewoehnliche Blechkisten unter Schreibtischen. --- Aber Rueckseitig muss das nicht sein bei gewoehnlichen Buechsen muss ein Seitenteil abgenommen werden wenn man dort drauf freie Sicht hat ist das leicht zu erkennen, solange dir nichts einfaellt das sich selber meldet muss ja einer sowiso gelegentlich aktiv kontrollieren. Früher gabs mal, auch abschließbare, Lärmschutzeinhausungen K.A. ob es heute sowas noch gibt. ah doch, "cpu container", eg. http://www.duerrwaechter.de/laermschutz/fur-computer.html
ff52 schrieb: >> Ich halte es nicht für praktikabel daß alle Mitarbeiter nach jeder >> Pause, Toilettenbesuch etc. unter den Tisch kriechen und die Siegel an >> der Rückseite Ihres PCs kontrollieren. > > ... das waere dann dein oder der eines neuen Mitarbeiters Job :) Mein Traumjob! Endlich! ;) > Aber Rueckseitig muss das nicht sein bei gewoehnlichen Buechsen muss ein > Seitenteil abgenommen werden Wenn das Siegel vorne ist, kannst Du die Seitenwand nach vorne klappen ohne das Siegel zu beschädigen. Oder Du machst die andere, vom Benutzer abgewandte Seite auf. Außerdem hab ich schon so einige Garantiesiegel mit Heißluft angewärmt und konnte sie danach ohne Zerstörung ablösen. > ah doch, "cpu container", eg. > http://www.duerrwaechter.de/laermschutz/fur-computer.html Auch bei der "Referenzklasse" lese ich da leider "MDF-Türe". Das ist ganz klar nicht in Richtung Sicherheit entwickelt. Schade. Aber dennoch Danke für das Suchen des Links.
> Auch bei der "Referenzklasse" lese ich da leider "MDF-Türe". Das ist > ganz klar nicht in Richtung Sicherheit entwickelt. Schade. Du hast den offenbar Preis dieses Teils nicht gesehen :() ... Da gibts was in Stahlblech zu 1/3 der Holzkiste, "Digitus-PC-Schutzgehäuse", https://www.comstern.de/Digitus-PC-Schutzgeh%C3%A4use-mit-aktiver-L%C3%BCftung-3a14782152.htmhttps://www.comstern.de/Digitus-PC-Schutzgeh%C3%A4use-mit-aktiver-L%C3%BCftung-3a14782152.htm --- Alternativ bei B. Funk eine PC-Parkkralle in Auftrag geben ....
Gerd E. schrieb: > Es geht gegen Industriespionage. Primär denke ich an Keylogger und > manipulierte Betriebssysteme und Hardware um damit dann Passwörter und > andere wichtige Daten herauszubekommen. > > Also vor allem Angreifer die nicht auf dem Niveau von Geheimdiensten > sind, die aber zumindest eine "Schnellbleiche" in dem Thema erhalten > haben. Vorgebliche "Praktikanten", der neue Mitarbeiter beim Putzdienst > etc. Ok. Also fast auf dem Niveau von Geheimdiensten. Wenn die Firmengeheimnisse wirklich so wertvoll sind, dann muss man mit entsprechenden Angriffen rechnen. Wenn die Konkurenz >>100k€ bei ihrer Entwicklungsabteilung einsparen will, dann wird sie gerne bereit sein hierfür >10k€ zu investieren. Das reicht für mehr wie eine Schnellbleiche. Gewisse Staaten bieten hierbei sogar "behördliche Unterstützung" an... Beste Prävention: Überprüfung der Beschäftigten nebst deren Sippe. Man muss sich halt zweimal überlegen, ob man jetzt wirklich den chinesischen Praktikanten in die Firma lassen sollte... Angemessene Bezahlung sollte auch helfen, eine Putzfrau, die in München Mindestlohn verdient wird einer Nebentätigkeit nicht abgeneigt sein. Noch ein paar Tipps: die RAM-Riegel festkleben. Sonst kann man den Stecker ziehen, das RAM ausbauen und zeitnah auslesen. Firewirebuchsen ermöglichen direkten Lesezugriff aufs RAM, man brauch nur einen zweiten Computer. Im RAM werden die gesuchten Passwörter liegen... In Sicherheitsgehäuse einen USB=>PS2-Wandler (die richtigen, nicht die Steckeradapter) bauen und Tastatur sowie Maus nur darüber anschließen, wirkt nachhaltig gegen USB-Sticks.
ff52 schrieb: > Da gibts was in Stahlblech zu 1/3 der Holzkiste, > "Digitus-PC-Schutzgehäuse", > > https://www.comstern.de/Digitus-PC-Schutzgeh%C3%A4use-mit-aktiver-L%C3%BCftung-3a14782152.htmhttps://www.comstern.de/Digitus-PC-Schutzgeh%C3%A4use-mit-aktiver-L%C3%BCftung-3a14782152.htm Dem Foto nach scheinen die ja ein echtes Hochsicherheitsschloss zu verwenden. Das gabs vermutlich für 1,95€ bei Ikea. Müll^3 Ich würde einen ganz einfachen Langwaffenschrank aus dem Baumarkt empfehlen. Paar Löcher für die Kabel reinbohren, Kabel durchfädeln, Stecker montieren, Fertig. Kühlung sollte bei einem normalen Bürocomputer kein Problem sein. Stahl ist ein guter Wärmeleiter und so viel Wärme produziert ein Computer auch nicht. Bei schnellen Workstations Wasserkühlung verwenden, der Wärmetauscher kann außen an den Tresor.
Schreiber schrieb: > Dem Foto nach scheinen die ja ein echtes Hochsicherheitsschloss zu Meine Güte, dann halt richtig: Müller Safe Serie MLP
Stell noch zusätzlich Honeypot-Rechner mit Kameraüberwachung auf. Auslösen der Aufzeichnung mit kleinem Funkmodul im Rechner .. Ein bisschen nicht abwaschbare Farbe im Gehäuse angebracht dient der Überführung...
Eine Alternative wäre der konsequente Verzicht auf Arbeitsplatz-PCs und die Verwendung von Thin-Clients, die eigentliche Software läuft im gesicherten Serverraum (auf virtualisierten PCs o.ä., je nach Bedarf und Wunsch). Das ist allenfalls bei graphiklastigen Anwendungen (3D-Cad) ein Problem, aber die Welt besteht erstaunlicherweise nicht nur aus 3D-Cad.
Die Verwendung von Thin-Clients bringt meiner Ansicht nach nichts, wenn du local immer noch im BIOS-FLASH rumpfuschen kannst.
ich verstehe dass es nicht um "Vandalensicher" geht, weil Vandalismus durch Lärm auffällt. Nur um HW-Zugangssicherung. Also eine Glashaube (Aquarium) über den Rechner: das muss klirren wenn man da durch will. (ev. plus Glasbruchsensor). Gegen Überhitzung: 2 gegenüberliegende Glaswände doppelt machen und versetzte Öffnungen anbringen, ggfs. Deckel auch. Die Glashaube mit einem Stahlbügel an Möbel/Boden mit Spezialschrauben fixieren. Oder so.
5mm stahlblech, schweißgerät, beliebig viele vorhangschlösser in erforderlicher qualität, etwas zeit, fertig
Daniel F. schrieb: > 5mm stahlblech, schweißgerät, beliebig viele vorhangschlösser in > erforderlicher qualität, etwas zeit, fertig Gibts auch fertig aus dem Baumarkr mit Doppelbartschloss. Findet man unter der Bezeichnung Waffenschrank... Ist übrigens gar nicht so teuer, kostet etwa 100-200€
Schreiber schrieb: > Daniel F. schrieb: >> 5mm stahlblech, schweißgerät, beliebig viele vorhangschlösser in >> erforderlicher qualität, etwas zeit, fertig > > Gibts auch fertig aus dem Baumarkr mit Doppelbartschloss. Findet man > unter der Bezeichnung Waffenschrank... > Ist übrigens gar nicht so teuer, kostet etwa 100-200€ ich habe noch keinen waffenschrank in der preisklasse gesehen, in dem ein pc platz hat (mangelnde tiefe, dafür viel zu hoch). kann aber auch an der eingeschränkten auswahl in der umgebung liegen.
Paranoy schrieb: > wenn du local immer noch im BIOS-FLASH rumpfuschen kannst. In welchem "BIOS-Flash"?
Gerd E. schrieb: > Solange man nicht ins Innere des PCs kommt, kann man da nichts > dazwischenstecken ohne das es auffällt. Womit wir wieder beim Sichern > des PC-Gehäuses wären... Dann bau doch den Zugangsdeckel so um, dass man das sichern kann. Im Gehäuse Laschen befestigen, die durch den Zugangsdeckel gehen und da ne Stange durch, die mit einem Schloss gesichert wird. Kommt ja immer drauf an, wie sicher das sein muss. Sonst halt eben in einen abschließbaren Schrank stellen. So wie du das beschrieben hast, musst das ja wohl nicht absolut sicher sein. Man kann ja auch alles in einen abschließbaren Raum stellen und den entsprechend sichern, sodass das den Sicherheitsanforderungen entspricht. ... oder so was: http://www.it-budget.de/19-schraenke/pc-schraenke/tower-schutzgehaeuse/1722/pc-schrank-ip-40-mit-ventilator Ich persönlich würde auf beiden Seiten des Zugangdeckels, an geeigneter Stelle, Löcher über Eck bohren und eine Stange (die entsprechend abgewinkelt ist) in die eine Seite stecken und an der anderen Seite mit Schloss sichern. Ob man nun die Stange durchbohrt oder eine Scheibe drauf schweißt, sodass sie nicht durch das Schloss gezogen werden kann, das ist dann Geschmackssache. Bei häufig nötigem öffen, würde ich eine Scheibe auf die Stange schweißen. Wenn einfache Sicherheitsschrauben reichen, dann reichen auch ein paar Nietmuttern und die Sicherheitsschrauben, die nur mit entsprechendem Werkzeug gelöst werden können. ... hat mit keine Ruhe gelassen. Augenschrauben, Stange durch und Stange mit Schloss sichern. Von innen Nietmuttern. Kann das jetzt nicht zeichnen. Sonst melde dich, dann telefonieren wir und wir finden eine günstige und den Anforderungen entsprechende Lösung.
:
Bearbeitet durch User
Werwars schrieb: > Stell noch zusätzlich Honeypot-Rechner mit Kameraüberwachung auf. > Auslösen der Aufzeichnung mit kleinem Funkmodul im Rechner .. > > Ein bisschen nicht abwaschbare Farbe im Gehäuse angebracht dient der > Überführung... https://de.wikipedia.org/wiki/Sicherheitsp%C3%A4ckchen jaja gibts in jedem Auto, ist auch nicht teuer ... ;) ---- http://www.armagard.de/ip54-computer-schranke/kompakt-schaltschrank.html "sieben Hebel Einsteckschloss" ? Ansonsten haben alle nur einfache Anreibeschlösser. Aber so eine Umhausung bietet Platz für weitere Technik oder Anbau eines staerkeren Riegels mit ? Vorhängeschloss oder was einem Einfällt. Am PC selbst etwas zu machen wird eher ungünstig sein da man ihn dann nicht einfach so im Falle eines Defekt tauschen kann. http://www.rittal.com/de-de/product/list/variations.action?categoryPath=/PG0001/PG0002SCHRANK1/PG7660SCHRANK1/PGRP5095SCHRANK1/PRO0123SCHRANK&productID=PRO0123 http://www.apra-norm.de/Industrie_PC_Schutzgehaeuse.htm ---- passender link zu dem Tresor http://www.mueller-safe.de/produkte/moebeltresore/computersafe-mlp.html EOT
An einen PC muß man doch nicht ständig ran. Einfach das Gehäuse zuschweißen.
letzte Worte schrieb: > > Ansonsten haben alle nur einfache Anreibeschlösser. Vorreiber-Schlösser [ https://de.wikipedia.org/wiki/Vorreiber ] Irgendwas war komisch hier :() --- Noch einer, nicht so häßlich wie andere aber auch nicht besser was den mechanischen Teil anlangt. http://www.schaefer-it-systems.de/de/produkte/shoparticle/edv-schutzgehause-midi-600-x-250-x-620/shop/catalog/product/view/1840/0/?no_cache=1 Ich hab meine Info, vlt. jmd. Anderen ja auch weiter, bye.
Rufus Τ. F. schrieb: > Eine Alternative wäre der konsequente Verzicht auf Arbeitsplatz-PCs und > die Verwendung von Thin-Clients, die eigentliche Software läuft im > gesicherten Serverraum Du hast weiterhin das Problem, daß Du zwischen Tastatur und Thinclient unbemerkt einen Keylogger einstecken kannst. Außerdem kannst Du die Firmware des Thinclient so manipulieren daß die wichtigen Daten irgendwo "abfließen". Du musst dann halt statt des Rechners den Thinclient einschließen oder eine unauthorisierte Öffnung erkennen. Dazu kommt noch das fast alle betroffenen PCs 2 oder 3 Monitore haben, teilweise bis 5K-Auflösung hoch. Ich habe noch keine Thinclients gesehen die damit umgehen können. Ist nur wenig CAD, primär Softwareentwicklung. Aber auch da hilft es den Überblick zu behalten.
Gerd E. schrieb: > Der Fall ist bedacht: die Tastatur (ist selbst gegen Öffnen verklebt) > hat ein kurzes USB-Kabel und ist in einen auf dem Schreibtisch im > direkten Blickfeld stehenden USB-Hub gesteckt. Das Kabel vom USB-Hub zum > PC ist am USB-Hub verklebt. Das Kabel geht dann direkt ins Innere des > PCs und dort auf die USB-Steckerleiste am Mainboard. Das macht Sinn... ;-) Und was hindert jemanden daran das USB Tastaturkabel kurz vom HUB zu lösen und nen Stick dran zustecken? Völlig Unsinnig mit dem Hub. Die Tastatur und Maus werden direkt intern auf das Mainboard verlegt. Keine externen USB Zugriffsmöglichkeiten! Der gleiche Fall betrifft übrigens sämtliche Datenträger, DVD, BR, FDD Laufwerke... diese gehören sowieso garnicht an Rechner mit Sicherheitsrelevanten Daten. Fakt ist eins: der PC, und so kenne ich das ausschließlich, gehört in eine Separate Enclosure - ähnlich dem Tressor weiter oben. Welcher Firma der Kostenaufwand von 200€ per Sicherheitsrelevanten Arbeittsplatzes nicht wert ist - hat sowieso ein Grundlegendes Sicherheitsproblem. Und die letzte Sache: Wieso um gottes Willen hat jemand überhaupt Zutritt zu einem solchen Rechner wenn dieser Sicherheitsrelevante Daten beinhaltet?! Da läuft grundsätzlich was faul in deiner Firma!
F. F. schrieb: > Dann bau doch den Zugangsdeckel so um, dass man das sichern kann. > > Im Gehäuse Laschen befestigen, die durch den Zugangsdeckel gehen und da > ne Stange durch, die mit einem Schloss gesichert wird. Oben war ein Link zu den Lockpickern bei Youtube. Die haben die Vorhängeschlösser in unter ner Minute aufgemacht. Ich bin mir noch nicht sicher wie lange man üben muss um das hinzubekommen, aber da macht man sich schon Gedanken... Die Bügel der besseren Vorhängeschlösser sind gehärtet, da hast Du mit ner Säge keinen Spaß. Aber eine normale 5mm-Stange aus z.B. V2A hast Du mit ner kleinen Puksäge in den 20 Minuten, die ich dem Angreifer gebe, gut durch. Eine meiner ersten Ideen war daher größere Vorhängeschlösser durch die Seitenwände der Gehäuse zu ziehen. Das müsste man z.B. hinten oben und vorne unten machen damit man die nicht wegklappen kann. > http://www.it-budget.de/19-schraenke/pc-schraenke/tower-schutzgehaeuse/1722/pc-schrank-ip-40-mit-ventilator wenn ich mir das Schloß so anschaue habe ich da ein wenig bedenken. Man müsste das wohl gegen was besseres tauschen. > Augenschrauben, Stange durch und Stange mit Schloss sichern. > Von innen Nietmuttern. Wie sichere ich die Stange mit dem Schloss? Gibt es die Augenschrauben auch in gehärtetem Material?
Gerd E. schrieb: > Du hast weiterhin das Problem, daß Du zwischen Tastatur und Thinclient > unbemerkt einen Keylogger einstecken kannst. Außerdem kannst Du die > Firmware des Thinclient so manipulieren daß die wichtigen Daten irgendwo > "abfließen". Dann wäre es sinnvoll, einfach auf den Gebrauch von Computern zu verzichten. Oder dafür zu sorgen, daß keine unbefugten Personen Zugang zu den Räumen haben, in denen die Computer stehen. Mit schussfesten Gehäusen jedenfalls ist Dein Problem nicht lösbar.
letzte Worte schrieb: > http://www.armagard.de/ip54-computer-schranke/kompakt-schaltschrank.html > "sieben Hebel Einsteckschloss" ? den hatte ich auch schon gefunden. Leider: "Dieses Produkt ist ein Auslaufmodell" - gibts nicht mehr in den nötigen Stückzahlen. Die Nachfolger sind nicht mehr auf Sicherheit, sondern Staubschutz etc. optimiert. > http://www.rittal.com/de-de/product/list/variations.action?categoryPath=/PG0001/PG0002SCHRANK1/PG7660SCHRANK1/PGRP5095SCHRANK1/PRO0123SCHRANK&productID=PRO0123 > http://www.apra-norm.de/Industrie_PC_Schutzgehaeuse.htm Bei denen wird man ne ganz neue Schlossmechanik brauchen. > passender link zu dem Tresor > http://www.mueller-safe.de/produkte/moebeltresore/computersafe-mlp.html Das ginge auf jeden Fall. Ich fürchte aber das sprengt das Budget.
Gerd E. schrieb: > Oben war ein Link zu den Lockpickern bei Youtube. Die haben die > Vorhängeschlösser in unter ner Minute aufgemacht. Ich bin mir noch nicht > sicher wie lange man üben muss um das hinzubekommen, aber da macht man > sich schon Gedanken... Wer nach einem Monat üben mehr als 5 Minuten für ein Vorhängeschloss benötigt, der ist vermutlich beidseitig Armamputiert. Lockpicking ist wirklich kein Hexenwerk. Ich empfehle aus gutem Grund die teureren Doppelbartschlösser. Die sind wesentlich schwerer zu picken... Bei den Vorhängeschlössern sind nur die teuren Abus Granit zu empfehlen, aber die sind alles andere als billig: https://www.amazon.de/ABUS-Granit-Vorhangschloss-37-55-00842/dp/B014USEOIG/ref=sr_1_17?ie=UTF8&qid=1490364189&sr=8-17&keywords=abus+vorh%C3%A4ngeschloss Wobei mit einer Akkuflex gehen die auch recht schnell auf... Alternativ gibts noch die Impressionstechnik, damit kann man ein Schloss nicht nur öffnen, sondern auch einen Nachschlüssel erstellen. Funktioniert zumindest bei Zylinderschlössern sehr gut und schnell, bei Doppelbartschlössern oder Scheibenzylinderschlössern benötigt man sehr viel Erfahrung und Zeit. Das kann man auch auf zwei Personen aufteilen, die Person die den Schlüssel feilt benötigt viel Erfahrung, muss aber keinen Zugang zum Schloss haben. Bei der Person mit Zugang zum Schloss reicht eine 5-Minuten-Einweisung. Das kann auch die Putzfrau sein...
Beitrag #4949945 wurde vom Autor gelöscht.
Gerd E. schrieb: > Der Fall ist bedacht: die Tastatur (ist selbst gegen Öffnen verklebt) > hat ein kurzes USB-Kabel und ist in einen auf dem Schreibtisch im > direkten Blickfeld stehenden USB-Hub gesteckt. Ich nehme an, dass die Tastatur bereits von Experten darauf geprüft wurde, ob man aus ihrer Abstrahlung die gewünschte Information ermitteln kann. https://www.heise.de/security/meldung/Forscher-spaehen-Tastatureingaben-aus-20-Meter-Entfernung-aus-212494.html
:
Bearbeitet durch User
DraconiX schrieb: > Und was hindert jemanden daran das USB Tastaturkabel kurz vom HUB zu > lösen und nen Stick dran zustecken? Völlig Unsinnig mit dem Hub. Der Hub steht auf dem Tisch im direkten Blickfeld des Benutzers. Wenn da ein unbekannter Stick am Tastaturkabel steckt fällt das sofort auf. Bei den Nutzern handelt es sich um durchaus IT-Affine Benutzer für die das Thema IT-Sicherheit kein Fremdwort ist und die einen neuen Zwischenstecker sofort erkennen können wenn sie ihn sehen. > Fakt ist eins: der PC, und so kenne ich das ausschließlich, gehört in > eine Separate Enclosure - ähnlich dem Tressor weiter oben. Welcher Firma > der Kostenaufwand von 200€ per Sicherheitsrelevanten Arbeittsplatzes > nicht wert ist - hat sowieso ein Grundlegendes Sicherheitsproblem. 200 EUR sind kein Thema. So ein Tresor wird aber vermutlich eher das zehnfache davon kosten.
Btw. man müsste auch alle Kabel ordentlich abschirmen. Insbesondere von der Tastatur. Bzw. die Tastatur ansich müsste man ordentlich abschirmen. Ansonsten könnte man nämlich Daten auch drahtlos abgreifen - da gibts diverse Artikel zu im Netz wo das gezeigt wird. Dann muss da am Rechner gar nix manipuliert werden, es muss nur etwas irgendwo in den Raum versteckt werden (ginge natürlich auch in Form einer Kamera, aber die würde man leichter sehen...). Oder auch im Nachbarraum oder sogar draussen vor dem Fenster... AluHutAufsetz ;-) Edit: Da war A.K. schon schneller ;-)
:
Bearbeitet durch User
Gerd E. schrieb: > Thema IT-Sicherheit kein Fremdwort ist und die einen neuen > Zwischenstecker sofort erkennen können wenn sie ihn sehen. Nicht wenn er aussieht, wie eine auf dem Kabel stehende Kaffeetasse. ;-)
A. K. schrieb: > Ich nehme an, dass die Tastatur bereits von Experten darauf geprüft > wurde, ob man aus ihrer Abstrahlung die gewünschte Information ermitteln > kann. Nein. Aber Richtantennen + SDR-Empfänger aufstellen fällt auf und geht auch nicht im Nebenraum. Das müsstest Du schon in der Toilettenkabine machen...
Gerd E. schrieb: > Nein. Aber Richtantennen + SDR-Empfänger aufstellen fällt auf und geht > auch nicht im Nebenraum. Auch dann, wenn die nicht aussieht wie eine Richtantenne? Sondern wie etwas, was ganz normal in Büros rumsteht. Geh mal davon aus, dass Neugierige ihre Intention nicht dick draufschreiben, sondern die jeweiligen Geräte tarnen.
:
Bearbeitet durch User
Gerd E. schrieb: > 200 EUR sind kein Thema. So ein Tresor wird aber vermutlich eher das > zehnfache davon kosten. 500.- Link hatte ich auch übersehen. Autor: Michael Bauer (alter_mann) Beitrag "Re: Suche abschließbares Sicherheitsgehäuse für PCs" 2,5x sieht jdf. aus wie eine 'echter' bzw. der von "Müller Tresore"... da liegt so mancher 'Akustikkasten' schon drüber.
A. K. schrieb: > Gerd E. schrieb: >> Nein. Aber Richtantennen + SDR-Empfänger aufstellen fällt auf und geht >> auch nicht im Nebenraum. > > Auch dann, wenn die nicht aussieht wie eine Richtantenne? Sondern wie > etwas, was ganz normal in Büros rumsteht. Geh mal davon aus, dass > Neugierige ihre Intention nicht dick draufschreiben, sondern die > jeweiligen Geräte tarnen. Klar kann man die tarnen. Und die Geheimdienste machen das sicher auch. Aber wenn Du Dich vor denen schützen willst, müsstest Du noch wesentlich mehr Aufwand treiben, auf allen Ebenen. In dem verlinkten Paper ist von Optimalbedingungen die Rede. Also nicht getarnte Antennen und keine hohe Dichte von PCs die im Raum und allen Nebenräumen stehen. Ich bezweifle etwas, daß ein "normaler Industriespion" in Untergrundmarktplätzen oder ähnlichem fertiges Equipment auf dem Niveau mit Tranung etc. bekommt.
letzte Worte schrieb: > 500.- Link hatte ich auch übersehen. > > > Autor: Michael Bauer (alter_mann) > Beitrag "Re: Suche abschließbares Sicherheitsgehäuse für PCs" ja, danke, das geht schon in die richtige Richtung. Hier käme leider noch pro Arbeitsplatz jeweils ein neues PC-Gehäuse plus die Zeit für den Umbau hinzu, da die verwendeten Towergehäuse etwas tiefer sind.
Schreiber schrieb: > Wer nach einem Monat üben mehr als 5 Minuten für ein Vorhängeschloss > benötigt, der ist vermutlich beidseitig Armamputiert. Lockpicking ist > wirklich kein Hexenwerk. ok, das ist doch schon mal ne Einschätzung. Werde das vielleicht selber doch nochmal ausprobieren. > Ich empfehle aus gutem Grund die teureren Doppelbartschlösser. Die sind > wesentlich schwerer zu picken... Gibt es Vorhängeschlösser mit Doppelbartschloss oder Scheibenzylinderschloss? Gibt es Doppelbartschlösser oder Scheibenzylinderschlösser, die ich in eines der oben verlinkten einfachen Gehäuse nachrüsten kann? > Wobei mit einer Akkuflex gehen die auch recht schnell auf... Die macht aber Krach und das fällt sofort auf.
Gerd E. schrieb: > Wie sichere ich die Stange mit dem Schloss? > > Gibt es die Augenschrauben auch in gehärtetem Material? Nimm Ringschrauben, die sind gehärtet und du kannst eine dicke Stange durch schieben. Auf der einen Seite eine Scheibe auf schweißen und durch die andere Seite ein Loch durch und Schloss zum abschließen. Bei den Ringschrauben ist das Loch so groß, dass du eine dicke Stange durch schieben kannst.
Gerd E. schrieb: > Schreiber schrieb: >> Wer nach einem Monat üben mehr als 5 Minuten für ein Vorhängeschloss >> benötigt, der ist vermutlich beidseitig Armamputiert. Lockpicking ist >> wirklich kein Hexenwerk. > > ok, das ist doch schon mal ne Einschätzung. Werde das vielleicht selber > doch nochmal ausprobieren. Üben, üben, üben und vernünftiege Lockpicks verwenden. Einfach eine Kiste Vorhängeschlösser besorgen und zwei, drei Stunden am Tag üben. Beim ersten mal dauert es ewig, irgendwann geht es richtig schnell. Die 5 Minuten gelten für normale-hochwertige Vorhängeschlösser. Gerd E. schrieb: > Gibt es Vorhängeschlösser mit Doppelbartschloss oder > Scheibenzylinderschloss? Das Abus Granit ist ein Scheibenzylinderschloss. Definitiv nur mit Spezialwerkzeug zu picken. Mit Doppelbartschloss wird es vermutlich nichts geben, da ist die Mechanik zu sperrig für ein Vorhängeschloss. Schreiber schrieb: > Bei den Vorhängeschlössern sind nur die teuren Abus Granit zu empfehlen, > aber die sind alles andere als billig: > https://www.amazon.de/ABUS-Granit-Vorhangschloss-37-55-00842/dp/B014USEOIG/ref=sr_1_17?ie=UTF8&qid=1490364189&sr=8-17&keywords=abus+vorh%C3%A4ngeschloss Gerd E. schrieb: > Gibt es Doppelbartschlösser oder Scheibenzylinderschlösser, die ich in > eines der oben verlinkten einfachen Gehäuse nachrüsten kann? Die Tresorgehäuse haben serienmäßig ein Doppelbartschloss. Nicht ohne Grund...
Ich las weiter oben was von Tastatur und Kabel. Wie ist das Kabel denn gesichert? Das muss ja dannauch in einem Metallschlauch verschwinden, sonst könnte an da ja vorsichtig nach und nach aufpuhlen uns was anklemmen. Ans Gehäuse kommt man (zumindest mit genügend Zeit) auch ganz leise ran. Per Elektrolyse. Man tränke einen Lappen mit einem Elektrolyt, der kein "Stinkegas" erzeugt, schalte das Gehäuse mit einem Netzteil/Batterie auf + Dann muss der Lappen natürlich das Gehäuse berühren, eine Metallplatte auf den Lappen legen und die an minus. "ffffffffffffffffffffff" Je kleiner das Loch im Durchmesser nur sein muss, desto schneller biste durch.
● J-A V. schrieb: > Ich las weiter oben was von Tastatur und Kabel. > Wie ist das Kabel denn gesichert? > Das muss ja dannauch in einem Metallschlauch verschwinden, > sonst könnte an da ja vorsichtig nach und nach aufpuhlen uns was > anklemmen. Daher der Tipp Tastatur und Maus per PS2 anzuschließen. Damit kann man nicht so viel Unfug machen!
Nochmal: Ist es nicht viel einfacher, den Zugang zu den Räumen, in denen die zu sichernden PCs stehen, selbst zu sichern? Anscheinend geht es hier ja um betriebsfremde Personen, die bis zu eine halbe Stunde lang an irgendwelchen PCs herumwerkeln können. Warum müssen diese Personen überhaupt in die Räume hineingelangen dürfen, in denen die PCs stehen? Was ist das für eine merkwürdige Firma?
F. F. schrieb: > Nimm Ringschrauben, die sind gehärtet und du kannst eine dicke Stange > durch schieben. ok, ich packe ins Innere des Gehäuses eine Mutter und schraube durch den Deckel des Gehäuses die Ringschraube. Durch die Öse der Ringschraube kommt eine dicke Stange. > Auf der einen Seite eine Scheibe auf schweißen und durch die andere > Seite ein Loch durch und Schloss zum abschließen. Durch die aufgeschweißte Scheibe und das Schloss an dere anderen Seite kann man die Stange jetzt nicht mehr durch die Ringschraube ziehen. Aber was hindert mich jetzt dran die ganze Schraube zu drehen? Ich müsste die Stange an einer anderen Stelle festschließen und dafür dort auch eine Öse anbringen. Die Position genau festzulegen, zu der die Schraube fest sitzt, aber noch nicht überdreht ist, stelle ich mir nicht einfach vor. Vermutlich hab ich Deinen Vorschlag aber noch nicht richtig verstanden.
Schreiber schrieb: > Das Abus Granit ist ein Scheibenzylinderschloss. Definitiv nur mit > Spezialwerkzeug zu picken. Danke, damit wären diese Granit-Vorhängeschlösser durchaus eine Option.
● J-A V. schrieb: > Ich las weiter oben was von Tastatur und Kabel. > Wie ist das Kabel denn gesichert? > Das muss ja dannauch in einem Metallschlauch verschwinden, > sonst könnte an da ja vorsichtig nach und nach aufpuhlen uns was > anklemmen. Das Weg zwischen Hub und Rechner ist USB 3. Wenn Du weißt wie zickig das schon mit den normalen Kabeln ist, dann sehe ich da mit aufgepulten Kabeln keine stabile Verbindung.
Schreiber schrieb: > Daher der Tipp Tastatur und Maus per PS2 anzuschließen. Damit kann man > nicht so viel Unfug machen! Fürs Abhören der Passwörter reicht es!
Rufus Τ. F. schrieb: > Ist es nicht viel einfacher, den Zugang zu den Räumen, in denen die zu > sichernden PCs stehen, selbst zu sichern? > > Anscheinend geht es hier ja um betriebsfremde Personen, die bis zu eine > halbe Stunde lang an irgendwelchen PCs herumwerkeln können. > > Warum müssen diese Personen überhaupt in die Räume hineingelangen > dürfen, in denen die PCs stehen? Es geht z.B. um Praktikanten, den Putzdienst oder unzufriedene Mitarbeiter, die ihre Rechte ausweiten wollen. Die müssen in die Räume reinkommen und können dort kurzzeitig unbeobachtet sein, z.B. während der Mittagspause, wenn der Kollege in nem Meeting ist etc. Damit das Betriebsklima und die Produktivität der Mitarbeiter nicht leidet, kannst Du keine Policy einführen, bei der jeder auf Schritt und Tritt überwacht wird.
Ich hoffe ihr betreibt die Computer die du sichern möchtest im Stand-Alone Betrieb, oder nutzt wenigstens ein komplett autarkes Netzwerk, bei dem alle komponennten inkl. Netzwerkkabel zwischen PC und Server genauso gesichert sind. Ein Spion nutzt warscheinlich zuerst die einfachsten ihm zur Verfügung stehenden, zerstörungsfreien Möglichkeiten. Dem ist schliesslich daran gelegen, dass sein Eingriff möglichst spät, oder garnicht entdeckt wird. Auf zugängliche Anschlüsse, Kabel, (unnötige) Peripherie, die man womöglich sogar öffnen kann, solltest du besser verzichten. Es macht also auch Sinn, dass die Aufnahmen von Überwachungskammeras nicht den Inhalt der Bildschirme, Unterlagen zeigen. Des Weiteren sind Fenster (falls vorhanden) auch nicht gerade gut, also lasst sie zumauern. Ihr könntet zusätzlich ein System der gegenseitigen Überwachung einführen, damit meine ich, dass immer mehrere Personen im Raum an nebeneinander gelegenen Arbeitsplätzen arbeiten Müssen. Wenn einer den Raum verlässt und dadurch geg. das Protokoll verletzt wird, dann müssen die anderen ihre Arbeit eben auch unterbrechen und den Raum mit Zugangskontrolle einzeln verlassen (Biometrische Sensoren, Drehtüre oä.). Metalldetektor, Röntgengeräte am Eingang, natürlich keine Kameras, Handys, Aktentasschen, diese können außerhlb gestohlen werden,.. Lasse dich von einer Spezialfirma beraten! Bei Sicherheitsfragen sollten hohe Kosten keine Rolle spielen.
Hmm. Ich fände das Betriebsklima in einer Firma, in der Personen ernsthaft verdächtigt werden, an PCs massive Manipulationen vorzunehmen, und dazu auch noch Lockpicking, Keylogger etc. einzusetzen, auch schon äußerst bedenklich.
Solche Mitarbeiter haben in solchen Räumen einfach nichts zu suchen wenn dort mit solch sensiblen Daten gearbeitet wird. Eine Putzfirma schon dreimal nicht. Alles andere ist dann unwillkürlich eine "Vertrauenssache" denn kein System ist sicher, auch Harwarenah nicht. Entweder entschließt sich die Firma, wenn sie denn Angst hat, auf Safelösungen - oder eine aber eine bessere Auswahl und Augenmerk auf ihr Personal haben. Denn wie überall gillt: Kommt Zeit, kommt Rat... und irgendwann schafft es jemand in das System.
Gerd E. schrieb: > Aber was hindert mich jetzt dran die ganze Schraube zu drehen? Rechts und links Ringschraube. Die Stange verhindert das Drehen. Bild liegt leider auf der Seite. Wann die Forensoftware das endlich gebacken bekommt die Bilder richtig darzustellen?
:
Bearbeitet durch User
Rufus Τ. F. schrieb: > Hmm. Ich fände das Betriebsklima in einer Firma, in der Personen > ernsthaft verdächtigt werden, an PCs massive Manipulationen vorzunehmen, > und dazu auch noch Lockpicking, Keylogger etc. einzusetzen, auch schon > äußerst bedenklich. Kein Mitarbeiter lässt sich gerne - von wem auch immer - per Keylogger oder Trojaner ausspionieren. Ein schwerer Sicherheitsvorfall mit Kundendaten könnte die wirtschaftliche Stabilität des Unternehmens direkt beeinträchtigen. Auch daran hat kein Mitarbeiter ein Interesse. Von daher ist das Feedback der anderen Mitarbeiter zum Thema Sicherung der PCs durchweg positiv. Mehrere haben Vorschläge zu einzelnen Teilaspekten des Gesamtkonzepts gemacht.
Wie wäre es mit Laptops? Die kann man nicht so einfach öffnen und es ist nur wenig Platz für Manipulationen vorhanden. Reicht das nicht schon? Wer Laptops Hardwaremäßig manipulieren kann, der kommt auch über Software und Phishing rein.
man schreibe sich ein eigenes Betriebssystem mit Dateiformaten und -systemen wo keiner mit umgehen kann. ;)
Mir fällt gerade ein, dass viele Produkte von Apple nur gewaltsam geöffnet werden können - auch einige Desktop Rechner.
F. F. schrieb: > Gerd E. schrieb: >> Aber was hindert mich jetzt dran die ganze Schraube zu drehen? > > Rechts und links Ringschraube. Die Stange verhindert das Drehen. Ok, aber damit die ich da nen Stab durchbekomme, müssen die Ringe der Ringschrauben ja parallel zueinander ausgerichtet sein. Gleichzeitig müssen sie aber auch beide fest sitzen. Den Winkel, bei dem sie fest sitzen, vorher genau festzulegen stelle ich mir schwer vor. Das müsste man irgendwo noch justieren können.
Stefan U. schrieb: > Wie wäre es mit Laptops? Schlechtere Ergonomie. Siehe oben: fast überall 2-3 große Monitore, Ergo-Tastaturen etc. Um das auszugleichen, musst Du wieder nen Kabelverhau von Docking-Stations, HDMI-Splittern etc. bauen, so daß wieder genug Platz für Dongles und Sniffer entsteht.
Gerd E. schrieb: > Schreiber schrieb: >> Daher der Tipp Tastatur und Maus per PS2 anzuschließen. Damit kann man >> nicht so viel Unfug machen! > > Fürs Abhören der Passwörter reicht es! Korrekt. Aber für den Datenexport nicht. USB3 ist überhaupt nicht zickig, sofern man es nach dem aufpuhlen auf USB2 umstellt. Einfach ein paar Adern durchzwicken. Ein paar Gigabyte sind über USB schnell auf einen Stick kopiert. Gibt auch noch andere, "tolle" Sachen, die man über USB-Anschließen kann. Netzwerkadapter etwa...
Schreiber schrieb: >> Fürs Abhören der Passwörter reicht es! > > Korrekt. Aber für den Datenexport nicht. Und warum sollte der Export über USB gehen? Da kommt er doch eh nicht weit ohne zusätzliches Programm. Er könnte die Daten einfach bei sich im Flash speichern und nach ein paar Tagen kommt der Spion wieder und nimmt das ganze Ding mit samt den Daten wieder mit. Wenn in den paar Tagen niemand die Rechner untersucht fällt dann auch gar nichts auf. > USB3 ist überhaupt nicht zickig, sofern man es nach dem aufpuhlen auf > USB2 umstellt. Einfach ein paar Adern durchzwicken. Fällt sofort in der USB-Gerätetabelle und -Hierarchie auf. Die wird schon automatisch überwacht.
Gerd E. schrieb: > Ok, aber damit die ich da nen Stab durchbekomme, müssen die Ringe der > Ringschrauben ja parallel zueinander ausgerichtet sein. Gleichzeitig > müssen sie aber auch beide fest sitzen. Den Winkel, bei dem sie fest > sitzen, vorher genau festzulegen stelle ich mir schwer vor. Das müsste > man irgendwo noch justieren können. Gerd, irgendwie scheinst du das nicht so richtig zu verstehen. Bin leider auch nicht der beste Zeichner. Zwei 6mm Ringschrauben, innen im Gehäuse die Nietmuttern (einfach zwei Gehäuseschrauben durch die Nietmuttern und Ringschrauben ersetzen), Stange durch (diese muss an einem Ende eine Scheibe haben, die größer ist als die Ringschraubenlöcher und auf der anderen Seite ein Loch fürs Schloss) und Schloss drauf. Im Prinzip so wie die Tür (siehe Bild) gesichert ist.
F. F. schrieb: > Gerd, irgendwie scheinst du das nicht so richtig zu verstehen. irgendwie hab ich auch das Gefühl daß Du mein Problem mit Deinem Vorschlag nicht verstehst ;) > Im Prinzip so wie die Tür (siehe Bild) gesichert ist. Genau. Damit der Riegel an der Tür befestigt werden kann (oder die Stange für mein Gehäuse) müssen die Ringösen parallel zueinander ausgerichtet sein. Wenn ein Ring schief steht, geht die Stange nicht durch beide durch. Aber wie kriege ich die Ringe genau parallel ausgerichtet und gleichzeitig fest im Gewinde verschraubt? Der Winkel, bei dem eine Schraube im Gewinde fest zum sitzen kommt (meinetwegen 6 Nm oder so), ist vorher beim Setzen des Gewindes nicht vorherbestimmbar. ----------------- Ich habe gestern mal welche von den fremdfeldgeschützten Fensteröffnungkontakten bestellt. Mal testen wie gut eine Öffnungsalarm-Variante zu machen ist. Nächste Woche werde ich noch 2 von den Granit-Schlössern bestellen und dann ausprobieren, ob ich eine Gehäuseseite nicht mit je einem Schloss durch Deckel und Gehäuseseite sowie Boden und Gehäuseseite gesichert bekomme. Die anderen Gehäuseseiten werden zugeschweißt.
Gerd E. schrieb: > Aber wie kriege ich die Ringe genau parallel ausgerichtet und > gleichzeitig fest im Gewinde verschraubt? Der Winkel, bei dem eine > Schraube im Gewinde fest zum sitzen kommt (meinetwegen 6 Nm oder so), > ist vorher beim Setzen des Gewindes nicht vorherbestimmbar. ... dann ist maximal eine halbe Umdrehung lose. Also nicht ganz fest gezogen. Wenn dir das nicht reicht, Scheibe drunter.
Rufus Τ. F. schrieb: > Hmm. Ich fände das Betriebsklima in einer Firma, in der Personen > ernsthaft verdächtigt werden, an PCs massive Manipulationen vorzunehmen, > und dazu auch noch Lockpicking, Keylogger etc. einzusetzen, auch schon > äußerst bedenklich. Es gibt auch Firmen, in denen sich Kollegen generell physisch bedroht fühlen. Und zwar nur durch meine und anderer Kollegen Anwesenheit.
Gerd E. schrieb: > Aber wie kriege ich die Ringe genau parallel ausgerichtet und > gleichzeitig fest im Gewinde verschraubt? Die müssen gar nicht absolut fest verschraubt sein, denn durch die durchgesteckte Stange ist es unmöglich, sie zu verdrehen, selbst wenn sie ohne Stange von einem Dreijährigen abgeschraubt werden könnten.
Ab und an arbeite ich in der Atom Industrie und da kommt man in viele Bereiche gar nicht rein, hat einen Bewacher und Simkarte ist versiegelt.
Tastatur raus, manipulierten Stick rein, ding-dong, manipulierten Stick raus, Tastatur wieder rein. Fertig ist der Tojaner, dauert keine 10 Sekunden. Die Rechner hängen an einem kabelgebundenen Netzwerk? Mit ein paar passend adressierten Paketen übernimmt man Intels ME-Engine und kann im Betrieb den Speicher des Betriebssystems auslesen, inklusive Tastaturpuffer und Festplattenkeys. Zwischen Tastatur und Rechner gibt es ein Kabel? Zwischen Bildschirm und Rechner gibt es ein Kabel? Die Störstrahlung ist hinreichend stark, da geht einiges. Beamforming lässt sich da auch sicherlich gut benutzen. Den Rechner einmauern bringt dagegen relativ wenig. Von anderen Angriffsvektoren mal ganz zu schweigen: Eure Mitarbeiter bestehen aus gut einem Zentner organischer, überzeugbarer Masse? Mit dem passenden Schraubenschlüssel oder anderen "Incentives" kommt man im Zweifelsfall auch untechnisch an Passwörter oder Ideen. Eure Mitarbeiter reden miteinander? Die Luftvibrationen kann man optisch erfassen (z.B. an Pflanzen oder den Fensterscheiben) und die Worte daraus rekonstruieren.
S. R. schrieb: > Eure Mitarbeiter bestehen aus gut einem Zentner organischer, > überzeugbarer Masse? Wenn du vom Körpergewicht die circa 60% anorganisches Wasser abziehst, und dann noch gut ein Zentner organische Substanz übrig bleibt, dann bringst du recht ordentlich was auf die Waage. Ist das bei euch Einstellungsvoraussetzung? ;-))
A. K. schrieb: > ein Zentner organische Substanz In Österreich und der Schweiz ist ein Zentner doppelt so schwer wie in Deutschland. Das liegt nicht an der größeren Höhe über Normal-Null.
DraconiX schrieb: > Und die letzte Sache: Wieso um gottes Willen hat jemand überhaupt > Zutritt zu einem solchen Rechner wenn dieser Sicherheitsrelevante Daten > beinhaltet?! Da läuft grundsätzlich was faul in deiner Firma! Das ist finde ich der Knackpunkt hier. Wenn dir Daten ach sooo schützenswert sind dann gehören sie nicht auf Rechner die - mehr oder weniger - öffentlich zugänglich sind. Punkt. Findet ihr dafür eine Lösung dann geht das Problem ganz von allein weg...
F. F. schrieb: > Urananreicherunganlage. Da hat man in den Niederlanden mal den Fehler gemacht einen Praktikanten in die falschen Bereiche zu lassen. Das Ergebniss war ein unfreiwilliger Technologieexport mit erheblichen politischen Folgen...
Schreiber schrieb: > Das Ergebniss war ein unfreiwilliger Technologieexport mit erheblichen > politischen Folgen... Quelle? ggf 'n Link?
Eine gute Lösung wären auch die professionellen Grafikkarten von Matrox Matrox Extio Series http://www.matrox.com/graphics/de/products/kvm/extio/ Die Rechner in den Serverraum über LWL anbinden ... fertig Wir haben die Karten massenhaft im Einsatz. Allerdings nicht die günstigste Lösung. Gruß Bastler
● J-A V. schrieb: > Schreiber schrieb: >> Das Ergebniss war ein unfreiwilliger Technologieexport mit erheblichen >> politischen Folgen... > > Quelle? > ggf 'n Link? https://en.wikipedia.org/wiki/Abdul_Qadeer_Khan#Research_in_Europe
Hi Bei ungefähr der Hälfte habe ich auf 'FF' umgeschaltet :/ Plombendraht und Plomben In jeder Ecke wird der PC diagonal durchbohrt. Plombendraht durch alle Eck-Löcher und per Plombe miteinander verbinden. Ggf. würde es auch reichen, nur die Schrauben gegen Plombierbare auszutauschen. Dann per Firmenanweisung, daß jeder Mitarbeiter mit der Anmeldung an diesem PC bestätigt, daß die Plomben auf Vollzähligkeit geprüft und der PC einer Sichtkontrolle unterzogen wurde und keine Auffälligkeiten festgestellt wurden. Täglich werden vereinzelt PCs von der IT gegengecheckt und bei Fund (fehlende Plombe, Manipulation am Gehäuse, angefressenes Tastaturkabel) wird der zuletzt an diesem PC angemeldete Mitarbeiter 'freigestellt' - mit der Aussicht auf Begleichung einer noch kommenden Rechnung in mindestens 5-stelliger Höhe (ohne Komma). Dort kann nun manipulieren, wer will. Da Jeder, Der sich an einem beliebigen PC anmelden will zuvor den PC prüfen muß (bzw. zumindest unterschreibt, daß der PC vor Arbeitsbeginn 'sauber' war), werden entweder nur oberflächlich arbeitende Mitarbeiter das Haus verlassen, oder irgend wann Einer die Arbeit verweigern, da der PC wohl manipuliert wurde und somit zwischen der letzten Anmeldung und Jetzt die Manipulation stattgefunden haben muß. ... oder man achtet drauf, wen man in die Räumlichkeiten lässt bzw. bewacht diese Personen während der betriebsfremden Tätigkeiten. Bei der Bundeswehr war es durchaus normal, daß man von zwei Uzis (nebst Trägern) begleitet wurde, wenn man in irgendwelche Kellerräume rein musste - zumindest bei uns wurde dabei noch Keiner erschossen, waren aber auch wohl keine Spione bei :) MfG
Patrick J. schrieb: > Dann per Firmenanweisung, daß jeder Mitarbeiter mit der Anmeldung an > diesem PC bestätigt, daß die Plomben auf Vollzähligkeit geprüft und der > PC einer Sichtkontrolle unterzogen wurde und keine Auffälligkeiten > festgestellt wurden. Keine Angst, auch von einer Plombe kann man einen Abdruck nehmen und sich anschließend eine ensprechende Plombierzange basteln. Fällt bei einer normalen Untersuchung definitiv nicht auf. > Täglich werden vereinzelt PCs von der IT gegengecheckt und bei Fund > (fehlende Plombe, Manipulation am Gehäuse, angefressenes Tastaturkabel) > wird der zuletzt an diesem PC angemeldete Mitarbeiter 'freigestellt' - > mit der Aussicht auf Begleichung einer noch kommenden Rechnung in > mindestens 5-stelliger Höhe (ohne Komma). Da gibts Probleme mit dem Arbeitsrecht. In Deutschland definitiv nicht möglich...
Schreiber schrieb: > Keine Angst, auch von einer Plombe kann man einen Abdruck nehmen Die Plombe könnte wiederum mit einem Spezialklebeband gesichert sein, das beim Ablösen zerstört wird. In dieses selbstzerstörende Spezialklebeband könnte wiederum ein RFID-Etikett integeriert sein (das ebenfalls zerstört wird), das eine kryptographisch gesicherte eineindeutige Seriennummer hat. Die ganze Kiste dreht sich irgendwie im Kreis.
:
Bearbeitet durch User
Rufus Τ. F. schrieb: > Schreiber schrieb: >> Keine Angst, auch von einer Plombe kann man einen Abdruck nehmen > > Die Plombe könnte wiederum mit einem Spezialklebeband gesichert sein, > das beim Ablösen zerstört wird. Keine Angst, mit einem Föhn oder einem Handwärmer kann man hier ertwas nachhelfen, der Kleber wird dann etwas weicher. Hilft übrigens auch gegen die unverschämt hohen Mautforderungen in einigen Nachbarländern... Rufus Τ. F. schrieb: > Die ganze Kiste dreht sich irgendwie im Kreis. Durchaus. Ich denke, dass ein handelsüblicher Tresor für diesen Anwendungsfall ausreichend, wirtschaftlich und zweckmäßig ist.
Rufus Τ. F. schrieb: > In Österreich und der Schweiz ist ein Zentner doppelt so schwer wie in > Deutschland. Das war mir nicht bekannt, danke für den Hinweis.
Wenn Du diese Glasfaserlösung nimmst, dann kannst Du alle Rechner in den gesicherten Serverraum stellen. Normaler Weise hat ein gesicherter PC KEINEN USB Anschluss am Arbeitsplatz. Somit ist dies aus meiner Sicht die optimale Lösung für Deine Anforderungen. Hier ein Link zu einem Hersteller solcher Geräte: http://www.ihse.de/fileadmin/redakteur/pdf/quicksetups/k463_glasfaser.pdf Es gibt auch andere Hersteller die diese Systeme anbieten. Siemens hat das in den 80/90er Jahren auch mit Glasfaseranschlüssen bei seinen Z-Systemen (Hochsicherheit) gelöst. Monitor und Tastatur via Glasfaser abgebunden. Der Monitor hatte zusätzlich noch ein metallenes Micromesh über der Bildröhre, damit keine Strahlung ausgewertet werden konnte. Die Server standen in einem massiven Tresor, der über 1 Tonne gewogen hat.
Hi Schreiber schrieb: > Keine Angst, auch von einer Plombe kann man einen Abdruck nehmen und > sich anschließend eine ensprechende Plombierzange basteln. Die Angst habe ich seit einigen Jahren nicht mehr - Blei/Plastik-Plomben mit entsprechender Zange und Stempeln werden hier nicht mehr eingesetzt. Entweder nur zuziehbar (entfernte Ähnlichkeit, vom Prinzip, wie ein Kabelbinder) oder schnöde Blechplomben (im Endeffekt nur Stanz-Artikel), erfüllen aber wohl den gewünschten Effekt: nicht zerstörungsfrei aufzumachen. Aber auch hier ein:Ja Wenn mit >>10k Euro an ein Rechner dran gegangen werden soll, wird sich wohl auch eine schnöde Plombe fälschen lassen. Bleibt nur noch, ein LWL (statt Plombendraht) durch diese Löcher zu ziehen und in eine Auswerte-Schaltung einzustecken, sinniger Weise IM Rechner verbaut. Diese Schaltung schickt alle x ns ein beliebiges Byte seriell durch die Faser und schaut, ob Dieses auch wieder an kommt. Wenn nicht: KFZ-Alarmanlage mit 120db ... MfG
F. F. schrieb: > Gerd E. schrieb: >> Aber wie kriege ich die Ringe genau parallel ausgerichtet und >> gleichzeitig fest im Gewinde verschraubt? Der Winkel, bei dem eine >> Schraube im Gewinde fest zum sitzen kommt (meinetwegen 6 Nm oder so), >> ist vorher beim Setzen des Gewindes nicht vorherbestimmbar. > > ... dann ist maximal eine halbe Umdrehung lose. Also nicht ganz fest > gezogen. Wenn dir das nicht reicht, Scheibe drunter. Loctite.
Sheeva P. schrieb: > Loctite Sie sind nicht mehr verdrehbar, weil die Stange das Drehen verhindert. Im Grunde wie ne Drahtsicherung bei Flugzeugen, nur stabiler.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.