1
wjx0912 2023-01-18 09:34:09 +08:00 2
如果担心笔记本被公安机关拿到取证,说明工作价值较大,考虑花点钱上云?
|
2
sadfQED2 2023-01-18 09:43:39 +08:00 via Android
你是担心公司数量泄漏?我司所有账号密钥都有专门的部门负责。电脑丢了以后报备,几分钟内所有密钥、账号全部失效。电脑给的 mac ,没开机密码一般也解不了数据
|
3
ReZer0 2023-01-18 09:46:37 +08:00
我想到一个,不过楼上说的花钱上云,如果是国内云貌似也是形同虚设,国外貌似可以。
我的思路是,本地搭建一个服务器,然后买一条线路快延迟低的服务器做 frp 穿透这种。本地服务器搭类似 webdev 的业务,笔记本通过网络驱动器映射访问服务器,资料操作都在那台服务器里。如果笔记本被收,手机或其它设备远程把那台服务器销毁删除或者服务器内设置个定时操作,一段时间没达到条件就自己 rm 了整个系统。 |
4
churchmice 2023-01-18 09:47:30 +08:00
卧槽,lz 是在种菠菜吗
|
5
rocksolid 2023-01-18 09:48:00 +08:00 24
这些东西能放个人电脑里,我觉得你公司根本不在乎安全
|
6
xwayway 2023-01-18 09:49:29 +08:00
@churchmice 听描述是的,哈哈
|
7
echo1937 2023-01-18 09:51:19 +08:00
如果你公司的信息如此敏感,显然不应该让你装进笔记本带走。
|
8
huangmingyou 2023-01-18 09:55:53 +08:00
linux 系统,安装时候选择磁盘加密,人离开电脑锁屏幕,不安装来历不明的软件。就这些。
|
9
opengps 2023-01-18 09:56:52 +08:00
关键点在于:为什么 op 的电脑会被公安机关拿到?怕丢可以自己搞一台机器,远程上去操作,怕取证可没啥好办法
|
10
eason1874 2023-01-18 09:59:40 +08:00
整个服务器,端到端加密,服务器只存加密文件,PC 端解密,但只解密在内存盘
|
11
yvescheung 2023-01-18 10:01:46 +08:00
你说公司数据重要吧,公司又允许把它们存在笔记本里随便带走,你说公司数据不重要吧,op 又怕被公安取证
|
12
wyxls 2023-01-18 10:04:28 +08:00
在国内怕公安取证,有点厉害呀,为什么这么“敏感”的信息会放在 OP 个人电脑里
|
13
littiefish 2023-01-18 10:08:36 +08:00 via iPhone
现在还在用 7 ,从来不打补丁,就装了个火绒,其它靠组策略
|
14
libook 2023-01-18 10:09:22 +08:00
审讯是一个很发达的专业领域了,只要犯的事情够大,极难以守口如瓶,除非你受到过情报机构的专业训练。
|
15
god7d 2023-01-18 10:09:23 +08:00 via iPhone
在电脑屏幕和触摸板之间加一把锁,搭扣的那种
|
16
Leonard 2023-01-18 10:11:15 +08:00 via iPhone
你是担心个人信息安全还是公司信息安全?公司的管那么多干嘛
|
17
vbe 2023-01-18 10:12:24 +08:00 1
真可怜
|
18
Amaake 2023-01-18 10:14:57 +08:00 10
网安行业相关,简单说几个办法
1 、开机密码容易被启动盘清除:可以选中(“仅允许对此设备上的 microsoft 账户使用”),在设置里搜索,我试过用了这个办法没有任何工具可以清除启动密码,并且只允许 pin 登录。 2 、启动盘读取磁盘文件:国内有类似的解决方案,我在大国企见到过(名字应该叫“DLP 数据防泄漏”),可以找找有没有类似的开源产品 3 、账号密码建议使用“统一认证平台”,缩写应该是 SSO ,ssh 密码用堡垒机、跳板机 4 、个人电脑防隐私泄露、其他程序读取终极解决办法:下载火绒,然后去火绒社区下载高级规则导入(可以设特定文件监控,哪个程序读取会有通知,而且可以监控网络连接) 真就毕生所学了。 |
19
L4Linux 2023-01-18 10:16:46 +08:00 via Android 1
用 TPM 加密的,公安是可以解的。
|
20
duke807 2023-01-18 10:18:47 +08:00 via Android
用自己写的开源加密工具,只有要用的时候才输入密码解密,平时默认是加密状态:
Image file <--> Directory, on-the-fly encryption tool https://github.com/dukelec/cde/blob/master/tools/aes-mount.sh |
21
hccsoul 2023-01-18 10:18:59 +08:00 15
内置一个炸弹,同步你的心跳数据 ,停了就炸,电脑被拿走了 你就自杀 与你的数据 拿你电脑的人同归于尽
|
22
janus77 2023-01-18 10:22:58 +08:00 1
你这……是让网友教你怎么对抗法律吗
|
23
mrzx 2023-01-18 10:24:07 +08:00 1
@ReZer0 你以为我们运维部门是吃干饭的?。。。。我们公司就抓到一个。。结果去上门拍照的时候,被他同事发觉告密给他了。。。本想第 2 天上公司公告的,没想到他吓得当天晚上凌晨跑回公司,把 frp 删除。。
你真以为程序员想的小心思,我们都不知道?有太多技术可以监控你们的电脑及分析网络流量 其实本来是想拿他当出头鸟,警告公司所有人的。。。后来看他态度良好,此事就算了。。不然他肯定立刻毕业了。。 |
24
clf 2023-01-18 10:24:33 +08:00
bios 密码+磁盘加密。
其实这种私钥什么的应该用堡垒机等方案来处理,禁止存储在个人电脑上。 所有数据都在公司云平台上,终端设备硬盘只有启动连接程序,系统在云端。 |
25
jarl 2023-01-18 10:35:34 +08:00
没有个人电脑
|
26
konakona 2023-01-18 10:38:14 +08:00
硬盘加密也算一种自我安全的体现啊。
|
27
zidian 2023-01-18 10:39:45 +08:00
大部分做 IT 的人背个装着那么多敏感信息的电脑上下班???
|
28
0x2CA 2023-01-18 10:40:14 +08:00
硬件秘钥,硬盘加密,还有密码错误销毁等等
|
29
Chaconne 2023-01-18 10:41:57 +08:00 via iPhone
咋不说我们公司部分 it 的电脑,相隔两地我都能进去…..统计的代码量啥的文档我都看到了
|
30
plasmetoz 2023-01-18 10:47:56 +08:00
linux + luks 全盘加密+bios 密码+hdd 密码(不知道现在还有吗),有条件的话可以考虑安全启动+自签名内核,激进的话可以考虑增加安全密码输入后直接抹掉数据,或者输错 n 次之间抹掉数据,雷电接口那种可能有安全问题的 bios 禁用或物理屏蔽,机箱看看能不能做防入侵。
应用层的化也许可以通过 selinux 限制文件访问?或者把所有应用使用容器隔离? 网络层不可控因素太多,没什么好方法。 |
31
ryd994 2023-01-18 10:48:29 +08:00 via Android 3
“里面不仅有公司项目代码、公司内部各种 CMS 登陆账户密码、以及各种服务器密码和数据库密码,更有大量服务器的 ssh 私钥”
你司 IT 水平不行。或者说不需要那个级别的安全性。很明显也没有相应的审计。 首先,服务器私钥是不可能存在电脑上的。生产服只有管理系统有直接访问的权限。要在线 debug 只能申请临时账号。所有操作都有审计。 数据库密码同样,生产服直接从管理系统拉取密钥,技术人员无权访问。需要数据只能从管理系统获取暂时的权限。 其次,为什么还在用密码?为什么不用基于智能卡和 MFA 的鉴权? 我知道肯定有人说何不食肉糜。我只是想说,你说的问题都有解决办法,也都有公司在用。你司没有用上,那显然是没这个需要。 |
32
MaxFang 2023-01-18 10:52:38 +08:00
不要考虑这么多,当真有公安机关找上你的时候,你还要为老板考虑信息安全,积极配合调查吧。
希望只是技术讨论,不是真的工作中可能遇到的情况。 |
34
shakoon 2023-01-18 11:01:54 +08:00 4
看了楼主的帖子和楼上的回复,我觉得大概率楼主公司是搞灰色产业的,怕出事就赶紧离职吧。不要低估公安的解密能力,不去解、解不开那只能说明案件太微不足道。
|
35
Rizio 2023-01-18 11:04:30 +08:00 1
笔记本上装一堆传感器,包括 /不限于:离人 10 米自动爆炸;心跳过慢 /过快爆炸;震动过大爆炸;进水爆炸;海平面过高 /过低爆炸; gps/北斗定位偏离爆炸;电池电量过高 /过低爆炸;开机次数过多 /过少爆炸;人脸识别失败爆炸;摄像头内人脸过多 /过少爆炸。总是就是爆炸,爆炸就是艺术。
|
36
ReZer0 2023-01-18 11:06:28 +08:00
@mrzx 你想啥呢,明显是针对 OP 这种情况的。数据都放本地电脑了,就别谈安全性了,我给的方法也不谈安全性。都谈到被公安机关拿到交给取证公司了,你应该想想他的这个事不是能拿到台面说的。
|
37
kokutou 2023-01-18 11:06:46 +08:00 via Android
堡垒机?
|
40
rshun 2023-01-18 11:18:55 +08:00
mybase 这个软件,加个复杂一点密码,把涉密的内容全部放进去,外面检索不到
|
41
cst4you 2023-01-18 11:23:12 +08:00
所有敏感东西都在公司电脑, 在哪都是远程回去
|
42
xuyang2 2023-01-18 11:26:57 +08:00
|
45
des 2023-01-18 11:36:05 +08:00 via iPhone
@kwh 之前看到的一个案例,能解 tpm 是因为网卡有漏洞加上雷电 3 的问题,用 dma 的方式获取到的密钥解密
|
46
rojer12 2023-01-18 11:38:51 +08:00
日常远程 esxi 虚拟机办公,笔记本都是空的随便查,虚拟机在家里的 nas 上,单独弄了个没做 raid 的 ssd ,有问题就删了就是
|
47
seansong 2023-01-18 12:50:14 +08:00
虽说是饿死胆小的撑死胆大的,但还是要劝楼主正道的光啊
|
48
debuggerx 2023-01-18 13:05:47 +08:00
“笔记本被拿去的那一刻,在限制的时间内没有输入正确的口令,系统自动删除数据,且不可恢复”——能做到。
结果:故意阻挠公安机关调查取证,恶意破坏证据,罪加一等。 |
49
ltkun 2023-01-18 13:13:14 +08:00 via Android
笔记本上是公家的 win10 自己系统是移动硬盘上的 arch 随身带个移动硬盘 已经不背笔记本了
|
51
superrichman 2023-01-18 13:21:56 +08:00 via Android
@hccsoul 罗辑本罗
|
52
Tounea OP @xwayway
@churchmice @shakoon 一看你们就是只写代码,其他方面不需要你们担责的,出事也到不了你们身上。 上次就是我们公司没在公安机关做域名备案,我就被派出所传唤过去,让我带手机和工作用的笔记本到派出所配合调查,反正我去了就说用公司台式机没有笔记本,结果把我手机插在取证设备上扫了一遍,真是一万个草泥马路过,一个公司官网展示域名没在公安机关备案就说违法,没在公安备案的公司域名多如牛毛,凭什么把派出所把人叫过去把人当通缉犯一样走流程,换成是你们,把你们当成通缉犯一样对待,就只因你公司域名没在在公安系统备案,你乐意? 特别强调一点,公安备案非工信部的 ICP |
53
thetbw 2023-01-18 13:37:35 +08:00
就火绒监控了一下 chrome 的数据文件夹,防止其他软件读浏览器数据,然后没了。所有密码啥都在浏览器上
|
54
kaneg 2023-01-18 13:54:02 +08:00
安全中最弱一环是人,把密钥放在个人电脑里,本身就是埋雷。之所以现在雷还没爆,要么是对这些数据的安全公司不在乎,要么是这些数据的价值黑客不在乎。
|
55
Tounea OP @ryd994
IT 水平确实不行,而且还是个大公司!刚来公司不到两月,总公司就安排国内某安全厂家进行域名安全渗透,不到两小时我们公司所有网络安全全被击穿,最大的问题就是堡垒机管理员权限给的太多,而堡垒机管理员权限有公司所有网络设备和服务器管理员权限,而堡垒机也没开双因素认证,最恼火的就是有个人把自己密码设个 abc123456 的弱密码,还有其他后端服务没走安全设备,直接映射在公网上,结果别人一个 webshell 就轻松渗透到服务器内网,搭个代理在内网横向攻击是畅通无阻,公司有堡垒机和硬件防火墙,但其他开发都有账户和密码,直接改策略,办公网都是直连生产服务器,都不走堡垒机,安全审计这块基本是零,改策略改密码开发领导又要一份,开发领导把要的密码又分享给其他开发,这等于没改,你说不接手运维这块,让开发领导自己去管,开发领导又说自己忙的很,没空管这些,自己管吧开发领导又要把自己的账户权限开的最高,基本全是管理员权限,不给又跑到老板那里去告状,说我影响生产业务,要不是看受疫情影响行情不好,早撂挑子了,结果这帮人写的垃圾代码一堆 Bug ,又很自信的直接挂在公网上,结果被别人黑进服务器在网站上有不良信息,导致我被派出所传唤两次了! |
57
murmur 2023-01-18 14:17:19 +08:00
如果你被录下来自动销毁证据,那法院应该会无限相信公诉人
|
60
ttyhtg 2023-01-18 14:43:36 +08:00 1
看了楼主的发帖,我的建议是既然都到这个份上了,就直接去自首吧。
看了楼主的回帖,我才发现楼主这可能是有心理阴影了,可以理解,我也有类似的经历。 我的个人博客有备案,也有公安备案,因为几篇好几年前写的文章,被打了电话,让我要么整改要么关站,那段时间也是提心吊胆,听到电话响就担心是不是老家官老爷打来的。 所以我的最终建议是,正儿八经的业务,不管是公司官网还是其他,就正儿八经的来,人家让干啥就干啥,有啥规定就严格按照规定来,不要心存侥幸。 公司那些什么密钥、登录密码什么的,如果是正儿八经的公司业务,相信我,人家公安对你们那些不感兴趣。 但是梯子相关的,严格按照当下法律解释来说,确实违规,处罚罚款甚至锒铛入狱者不在少数,要么走正规渠道申请,要么相关数据与公司其他正常业务数据隔离存放,不那么容易被扫出来,即便翻车,也可以坦荡的面对公安叔叔乞求理解,工作学习所需,别无它途。我相信绝大部分公安叔叔还是有人性的,会高抬贵手。当然了,单纯查资料被处罚的也不是没有。具体结局看个人命吧。 至于方法楼上诸位大佬已经给出了很多建议,我这门外老汉就不再赘言了。 |
62
learningman 2023-01-18 15:27:33 +08:00
望楼主早日自首
|
63
20015jjw 2023-01-18 15:49:57 +08:00 via iPhone
mac 开全盘加密不是就差不多了嘛…
|
64
sadfQED2 2023-01-18 16:23:42 +08:00
不知道 OP 在公司是啥级别。如果有权利推到改革的话,直接把运维换了呗。楼上也说了各种权鉴管理方案,另外公司自己也搞一个安全部门,天天没事就扫服务器漏洞,扫到了就提整改单。像我待过的几家公司,敢设置 abcdefg 这样的密码的话,几分钟内安全部通报就过来了
|
65
SAGAN 2023-01-18 16:28:43 +08:00 1
设备自身安全:
手机:无法保证安全。特别是国产手机。 电脑:所有电脑启用全盘 BitLocker 加密。不使用 TPM ,每次开机时自己输入密码。 网络安全: 涉及敏感操作的网络活动(从注册账户到发帖)全程使用 tor browser + 自建 vps 前置代理。使用 ProtonMail 之类的匿名邮箱。任何账户不关联手机号,不使用付费服务(支付环节保持匿名是最困难的,即使使用虚拟货币+混币器)。 高度敏感的网络安全: 在上面的基础上,使用 Tails 。 |
66
Canight 2023-01-18 17:16:53 +08:00
国内公网域名好像都要备案,上次我也是接了个网警的电话,就询问了一些东西就没事了
|
67
dxgfalcongbit 2023-01-18 17:17:37 +08:00 via Android
程度就是不设密码
|
68
min 2023-01-18 17:26:18 +08:00
一点点技术手段可以对抗国家暴力机关么?
|
69
jones2000 2023-01-18 17:30:18 +08:00 1
不存任何有价值的东西不就可以了。 都记脑子里。
|
70
2moldream 2023-01-18 17:32:57 +08:00
Mac 和 win 自带磁盘加密解君愁
|
71
her999 2023-01-18 17:58:18 +08:00
|
72
her999 2023-01-18 18:25:35 +08:00
|
73
Zy143L 2023-01-18 18:57:39 +08:00 via Android
TPM+安全启动+Bitlock+开机密码
可以解决 99%问题 |
74
yxssfxwzy 2023-01-18 19:05:09 +08:00
涉 mi 不上网
|
75
ClericPy 2023-01-18 19:39:29 +08:00 1
上个月取消了开机密码...
|
76
HarveyLiu 2023-01-18 21:19:18 +08:00 via Android 1
整个系统,运行在内存中,装了 6 台 ups 串联,整屋语音控制覆盖智能,谁要冲进来,直接喊:关闭电源,FBI 来了也没办法
|
77
xuanbg 2023-01-18 21:52:15 +08:00
真到公安要查你电脑,你就老实交代吧,积极主动举报违法犯罪是可以减刑的。如果不是,你大可放心在自己电脑上存任何资料,国家对你的那些数据没有半点兴趣。
|
78
efaun 2023-01-18 22:47:09 +08:00
|
79
levelworm 2023-01-19 02:37:26 +08:00 via Android
总觉得楼主在违法的边缘试探
|
81
qeqv 2023-01-19 03:35:57 +08:00
为什么公司“违法”要传唤你?有点没搞懂,你们公司法务呢,法人和老板呢
|
83
onice 2023-01-19 09:22:09 +08:00
全盘加密,比如 bitlocker 或 veracrypt 。建议后者,开启 filekey 。filekey 存在远程服务器上。
使用 Python 编写文件销毁程序,,尤其注意使用 DOD5220.22M 标准。C/S 架构,服务端用于 vps(地理位置位于境外),客户端用于自己电脑。每隔几分钟,就发一个心跳包到 vps ,如果超过特定时间,vps 没收到心跳包,vps 上的程序则自动销毁 filekey 。 如果技术能力还可以,还可以写移动端。 利益相关,多的不便透露。总之一句话:只要你有编程能力,一切都很好办,需要啥就定制啥。 |
84
onice 2023-01-19 09:37:34 +08:00 1
|
85
SAGAN 2023-01-19 09:46:11 +08:00
@silymore
如果 giftcard 是你自己信用卡 /paypal 买的,那么肯定可以啊。 @billlee 我认为 TPM+pin 并不会增加安全性。如果别人能够物理接触你的设备,完全可以把它替换为同一型号的另一台特制启动界面的电脑,然后诱使你在这台电脑上输入 pin 。获得 pin 后就可以解锁你原来的电脑了。 对于邪恶女佣攻击(Evil maid attack),唯一的防范方式是一旦设备物理离开过自己的控制(并且可能被专业攻击者接触过),就认为这台设备不再可信。 而且 TPM + pin 最大的问题是,我找到的所有资料都显示 pin 并没有成为加密硬盘的主密钥的一部分(*),而只是 TPM 提供的一种交互验证机制。TPM 里仍然单独保存着完整硬盘密钥。如果 TPM 有后门或者攻击者能够用某种方式(比如,DMA 攻击,cold boot attack 等)攻破 TPM ,就能直接解密硬盘。 * 例如微软的文档: https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-organization-for-bitlocker-planning-and-policies#bitlocker-authentication-methods TPM validates early boot components. The user must enter the correct PIN before the start-up process can continue, and before the drive can be unlocked. The TPM enters lockout if the incorrect PIN is entered repeatedly, to protect the PIN from brute force attacks. The number of repeated attempts that will trigger a lockout is variable. |
86
AyaseEri 2023-01-19 20:03:15 +08:00
朋友,跑路吧,别整技术了
|
87
Yzh361 2023-01-20 07:36:04 +08:00 via Android
ChromeOS 系统。 避开一些国产的网站、软件、服务等
|
88
lchynn 2023-01-21 15:59:00 +08:00
所有的安全措施和密钥, 在一顿包着枕头的毒打,或者 24 小时不给休息喝水撒尿后, 就交代了。
|
89
busier 2023-01-21 16:48:44 +08:00
去 google 搜索一下 computer anti forensics
|
90
xinghen57 2023-02-08 16:48:49 +08:00 via iPhone
除了楼上说的技术,建议 op 找个律师咨询咨询。
就像楼上说的,技术确实没法对抗暴力机关,但法律一定程度上可以保护自己。如果法律也不行,就只能积极配合。不过现在没证据定罪应该挺少的,具体需要找律师咨询。 人在矮檐下,保命最优先。技术只是手段,目的是受益最大,风险最小。 PS:楼上有说公安或国安可破解加密的,这观点没发证伪。就算能破解,也不是随随便便一个派出所能搞定的。 |
91
xinghen57 2023-02-08 17:04:11 +08:00 via iPhone
@mrzx 走移动流量,你司还能把基站控制了?还是你司搭建了伪基站给员工用?
你司的所谓流量分析,只不过是对公司网络。 移动流量能分析? 自己手动编译的 docker 和虚拟机能监控? SSL 没证书能解密? AES 、RSA 能解密? 真要有心,不用公司基建,软件不用公司下发的而是自己手动编译,再配合加密,调教下能监控么? 你司要是都能,你司这是要监控全球的节奏。只能说一个字,牛!!! 你司要是不能,就不要在这里 yao yan huo zhong 。 |
92
mrzx 2023-02-08 18:39:30 +08:00
@xinghen57 我只说几点,公司是微软全家桶,365 一套,所有员工电脑都是 aad 账户登录,公司所有资源必须用公司电脑登录,在 aad 管控下,员工电脑形同裸奔。。。
当然,技术也有很多做不到的地方,就用规章制度来完善。 当然了,国内公司没几个用微软 365 ,及 SCCM 管理软件推送和升级,LAPS 的方案。。你认知以外的东西,当然不能理解,我不怪你。。。 |
93
xinghen57 2023-02-08 19:57:59 +08:00
@mrzx #92
我重申一下,我的假设是全程不用公司的软硬件,只提交最后的结果,你监控个锤子。 换个角度,真要搞事情,我跑个虚拟机,欢迎你司技术开发和硬件支持监控。当然不是你运维部门。 技术和制度都有极限,也有漏洞。请问你司的技术和管理是强过公检法,还是牛过国安局?杀人在逃、窃密间谍不照样存在?用着商业软件就觉得自己无敌了?商业软件没漏洞? 最后,你要觉得技术漏洞可以靠制度弥补,远的找清朝的制度读读,近的找党纪、公务员法和纪委发的违规违纪案例学学,看看制度弥补了多少技术的漏洞?最现实的,监狱的技术、制度、管理你觉得和你司比如何?你觉得监狱里天下太平人人老实服刑没人越狱么? 还认知以外的东西。你以为商业软件公司是科研机构,是探索未知世界,没事发篇论文获个奖?你说的这些,你自己去查查他们发展了多久,要解决什么问题。 真要说认知以为的,可能你需要补补课。你自己有想过怎么规避你司监管么?你自己有主动留意系统可能的漏洞么? 你不会。不是因为能力,而是你没这动力和意识。 你要是黑客,说上面那些还有点可信度。你一个运维部门的,夸自己公司的监管多么厉害,和王婆卖瓜有区别? 还认知意外的东西,简直贻笑大方。 |