web-dev-qa-db-ja.com

悪意のある可能性のある同僚からコンピューターを保護するにはどうすればよいですか?

したがって、私はこの小さな会社(10人)で働いており、さまざまなプラットフォームでプログラミングを行っています。卒業後すぐに(2ヶ月)そこで働き始めました。私の仕事は正確にプログラミングに関連しているわけではありませんが、bashでのスクリプトの作成(LinuxとMacを使用)、単純なプログラムの作成とコンパイルなどの中間レベルのプログラミングを実行するのに十分な知識がありますが、ネットワークとセキュリティのトピックに関する理解制限されています。

反対に、私の同僚の何人かは、経験豊富なプログラマーであり、コンピューターサイエンスを卒業し、ネットワークシステム、Webアプリケーション、プログラミングに関する深い知識を持っています。とてもカジュアルでフレンドリーな職場環境で、仕事帰りに飲み会をすることもあります。

職場では、全員が同じLANネットワークを共有しており、リモートデスクトップ制御とファイル転送のためのプログラムを繰り返し使用しています。また、ウェブサービスを介してアクセス可能なアプリケーションをホストします。私たちのすべてのコンピューターはログイン保護されており、理論的には誰もお互いのパスワードを知りません。

その上、個人的には仕事以外の目的でコンピューターを使用します。自分のメールにアクセスしたり、友達とチャットしたり、ホームバンキングやソーシャルネットワークにアクセスしたり、コンピューターのハードドライブに保存した個人文書を編集したりします。

最近、同僚の何人かは、特別な理由もなく、散発的に仕事に早く(一度に1人ずつ)到着することに気づきました...小さな部屋で仕事をしているので、彼らの言い訳は、騒音が少なくて、朝早く集中できるということです。 。さらに、ブルームーンに一度出会った人たちの中には、自分のラップトップを持って仕事関連のことをする人もいることに気づきました。 (これらの動作が質問自体に関連しているかどうかはわかりませんが、事実をお伝えします。)

これを置くのは非常に難しいですが、同僚が私のコンピューター情報と個人ファイルにアクセスできることはありますか?または私の個人パスワードを見つけるために使用できる方法はありますか =?

もちろん、私は不幸にもこれが起こらないことを願っていますが、私はそれを発見する方法がなく、確かにそれを疑う権利があります。

上記の質問は一般的すぎるように思えるかもしれませんが、これもあなたにお任せします。

一部のログやその他の情報にアクセスして、誰かが私のコンピュータにログインしているかどうかを確認する方法はありますか?私はすべての入力を受け取ります。LinuxとMacを使用していることを思い出してください。

operating-systemslinuxmacos
20
Coffee Nestea

はい。同僚は、本当に望めば、コンピューター、個人用ファイル、パスワード、銀行口座などにアクセスする可能性があります。これはまさにその方法です。

彼らが不正直で悪意があることを望んだ場合、彼らがこれを行う方法はいくつもあります。簡単な方法の1つは、誰かがいないときに、キーロガー(または他のスパイウェア)をマシンにインストールすることです。もう1つの方法は、コンピューターを起動し(Linux LiveCDを使用して、パスワード保護をバイパスする)、ブラウザーで保存されたパスワードなど、コンピューターに保存されているすべてのファイルを確認することです。アカウントのパスワード保護は、基本的には正直です人々は正直ですが、不正な同僚を止めません。

一般に、攻撃者が(1)マシンへの物理的アクセス、および(2)ローカルネットワークへの許可されたアクセスを持っている場合、知識のある攻撃者から身を守ることは困難です。あなたはそれを防ぐことはできません。そして、それを合理的に検出することはできません。ログファイルを調べることで改ざんを確実に検出できる方法はありません。 (つまり、それは可能かもしれませんが、それは非常に困難で複雑であり、人生は短すぎます。)

一般的に、これは主に社会的な問題であり、技術的な問題ではありません。同僚やルームメートがあなたを混乱させる方法はいくつもあります。幸いなことに、圧倒的多数の人々は一般に正直です(または、少なくとも自分を正直であると考えたいと思っています)。ですから、技術的な問題について心配することにあまり時間をかけません。作業機に敏感すぎるものを置かないようにして、生活を続けてください。

言い換えれば、これが私の推奨です。オンラインバンキングやポルノなどの機密性の高い個人的なもの、または雇用者に知られたくない機密性の高いもの(たとえば、副コンサルティングの仕事、あなたの自由な時間に物議を醸す活動など)。セキュリティ上のリスクは別として、あなたは雇用主にそのすべての情報への許可されたアクセスを与えています。あなたは本当にあなたの雇用主がアクセスできるようにしますか?そして、そのすべての情報を会社のバックアップに保存しますか?それはおそらく素晴らしいアイデアではありません。また、同僚に嫌悪感を抱かせて、嫌な報復を仕掛けようとしないでください(コンピューターのセキュリティ問題に関係なく、常に良いアドバイスです)。

個人的には、コンピューターのセキュリティリスクについてはあまり心配しません。一方、これが心配で、ある種のいたずらから身を守りたい場合は、次のいくつかの控えめな手順を実行することを検討してください。

  1. フルディスク暗号化をインストールし、推測が難しいパスフレーズを使用します。これにより、マシンに物理的にアクセスできる人が個人のファイルにアクセスすることが難しくなります。
  2. マシンを離れるときは、フルディスク暗号化からログアウトし、戻ってきたらパスワードを再入力します
  3. 通常使用するユーザーアカウントに管理者権限がないことを確認してください
  4. 自動更新をオンにし、ブラウザが完全に更新されていることを確認します
  5. 定期的にマシンをバックアップする
  6. firefoxを使用している場合は、HTTPS Everywhere拡張機能をインストールします(残念ながら、他のブラウザーでは使用できません)。

これらは完璧ではありません。同僚があなたをいじめたいと思っていたとしても、おそらくそれは可能です。しかし、それがあなたをより快適に感じるようにするなら、それのために行きます。

22
D.W.

とにかく、私の同僚が私のコンピューター情報と個人ファイルにアクセスできるのですか?

たくさんの方法。ハードウェアキーロガーのインストールに注意を払っていないときに、単に所有者を見渡すだけでなく、ネットワークトラフィックを傍受することにもなります。おそらく誰かがあなたのマシンへの管理アクセス権を持っています。管理アクセス権を持つユーザーは、悪意のあることをすることなく、実際にあなたが行うすべてのことを見ることができます。

または、私の個人的なパスワードを見つけるために彼らが使用できるいくつかの方法はありますか?

簡単なものから洗練されたものまで、さまざまな方法があります。ハードウェアキーロガー、ソフトウェアキーロガー、ソフトウェア監視プログラムをマシンにインストールし、ネットワークトラフィックをスニッフィングし、頻繁に使用するWebサイトを偽装するようにWebサーバーを設定します。

「システムをアップグレードできますが、パスワードが必要です。」

私にはそれを発見する方法がなく、確かにそれを疑問視する権利があります。

まあ、誰かが悪意のある行為をしているかどうかを発見する方法はたくさんあります。常に注意を払う必要がありますが、同僚の1人が悪意を持っているという明確な証拠がない限り、私は賢明ですが、過度ではありません。

防御策は、物理的な改ざんシールとビデオ監視から、ロギングと監査、ネットワーク監視に及びます。あなたが取ることができる最も簡単な手段は次のようなものです:

  • 誰かが見える範囲にいるときは、パスワードやユーザー名を入力しないでください。
  • ディスプレイにバックミラー を置きます。
  • 可能な場合は暗号化された通信を使用します(httpではなくhttps)。
  • 個人用の暗号化されたUSBサムドライブにデータを保存します。
  • ログインとセキュリティの重要な機能を検出するように既存のロギングおよびモニタリングシステムを構成し、ログを確認します。
  • 同僚に優しくしてください。

リソース:

注:私はThinkGeekとは関係がありません。

10
this.josh

質問に直接回答するには:コマンドプロンプトでlastと入力すると、成功したログイン試行のユーザー名とタイムスタンプが表示されます(ファイルを閲覧するためにハードドライブを引き出した場合、これはあまり役に立ちません)。 。

仕事用のコンピューターで個人的なことを行うべきではありませんが(法的な理由..コンピューターに保存または作成されたドキュメントを所有している会社について何か?)

編集:少し拡大するだけです。D.W。として前述のように、コンピュータに物理的にアクセスできる人からマシンを保護することは非常に困難です。キーロガーをインストールしたり、USBまたはLive CDから起動してハードドライブをマウントしたりできます。 BIOSまたはUSBブートを無効にするためにBIOSをパスワードで保護する場合でも、MoBoの小さなバッテリーを取り外すと元に戻すことができます。

あなたができるいくつかのこともっと難しくする彼らがあなたのものを盗むために:ホームフォルダを暗号化し、良いパスワードを使用してください。データを暗号化すると、パスワードハッシュを盗んでクラックし、ファイルを表示できるようにパスワードでログインするように強制されます。前に述べたように、BIOSをパスワードで保護し、外部デバイスからの起動を無効にすることができます。しかし結局のところ、これはデータの盗難をより困難にする(防止しない)だけです。

私は、最も簡単な解決策は、仕事で個人的なことをしないことだと思います。

7
Safado

おそらく、物理アクセスに対する最良の保護は、フルディスク暗号化と、キーチェーンに留まるスマートカードです。

つまり、これはあなたが同僚であり、プロのハッカーの集まりではないことを前提としています。 NSAがあなたのコンピュータに興味を持っているとは思いません。

また、個人的なファイルをコンピュータに置かないでください。しないでください。仕事用コンピュータのすべてが公開されていると仮定します。

3
Andrew Hoffman

つまり、それはできません。 (独自のネットワークを使用する場合を除き、truecryptを使用し、USBポートを塞ぎ、マウス、キーボード、マザーボードのUSBヘッダーが改ざんされていないことを確認し、ライブLinux CD /ペンドライブから起動します)

許可されている場合は、自分のラップトップを持参するか、PDA自分のGPRSドングルを使用するには、どこでもhttpsを使用するか、ssh経由でリモートサーバーを使用し、視界から出ないようにしてください。

ただし、それには、雇用主からの並外れた信頼が必要です。これは、取締役会に参加しない限り認められる可能性が低く、その場合でも、自分が何をしているのか誰にもわからないので、動機は疑わしいかもしれません。

個人的なことを行う必要がある場合は、独自のキットを使用して、機密情報を明かさずにオープンにしてください。

1
Andy Lee Robinson

あなたの一番の質問に答えるために:いいえ、あなたはそれをあなたと一緒に持っていかない限り、できません。他の誰もが指摘したように、物理的アクセス=完全な制御。

他の人が言ったことに追加するには、Blue Pill(ハイパーバイザーベースのマルウェア)を見てください:

https://secure.wikimedia.org/wikipedia/en/wiki/Blue_Pill_%28malware%29

そして、特に、「悪魔のメイド」攻撃:

http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-Microsoft-bitlocker.html

同僚はこれほど洗練されていない可能性があるため、スクリーンセーバーのパスワードを残し、フルディスク暗号化を使用するだけで十分な場合がありますが、NSAで作業している場合は、箱が見えなくなった瞬間にうんざりしています。

1
Steve Dispensa

答えは「はい」です。すべてが共有ネットワーク上にいる場合、彼らはあなたのコンピュータと通信する方法を持っています。あなたが彼らの意図が純粋であると仮定しても、おそらくあなたは彼らの個人的なマシンの衛生を保証することはできません。これが「Wannacry」の広がり方です。脆弱なポート(445-Windows)を使用する同じネットワーク上の悪用されたマシンです。

0
Ricky