Τ.Ε.Ε. - Μαζικοί, αιφνιδιαστικοί έφοδοι σε γραφεία μηχανικών για χρήση παράνομου λογισμικού

[sdim]

@alej

Αυτή την στρατηγική την είχα ακολουθήσει πριν από χρόνια με αποτέλεσμα να χάσω χρόνια δουλειάς.

Είχα ενεργοποιήσει την κρυπτογράφηση των σημαντικών καταλόγων με EFS. Είχα κρατήσει και backup το certificate.

Όταν κάποια στιγμή τα έφτυσαν τα Windows προσπάθησα να περάσω αυτούς τους καταλόγους στην νέα εγκατάσταση. Ναι μεν έβλεπα τους καταλόγους αλλά δεν μπόρεσα ποτέ να ανακτήσω τα αρχεία.

Επίσης είχα φτιάξει ένα Raid 5 array με 6 δίσκους (5+1) encrypted. Μου χτυπάει ο ένας δίσκος, λέω κανένα πρόβλημα. Παραγγέλνω έναν καινούργιο για να τον αντικαταστήσω, το RAID 5 λειτουργεί και με έναν δίσκο λιγότερο χωρίς πρόβλημα. Πριν προλάβει να έρθει ο νέος δίσκος χτύπησαν άλλοι δύο δίσκοι με αποτέλεσμα να χάσω τα αρχεία ετών.

Από τότε αποφεύγω οποιοδήποτε είδος κρυπτογράφησης.

Έχω επιλέξει την φυσική προστασία του υπολογιστή. Κλειδαριά ασφαλείας στο γραφείο και ρολά με τηλεχειριστήριο. Αν είναι κάτω τα ρολά δεν υπάρχει καν πρόσβαση στην κλειδαριά.

Στον υπολογιστή συνδέομαι με δακτυλικά αποτυπώματα, έτσι δεν υπάρχει περίπτωση να μπει τρίτος.

Τώρα που το ξανασκέφτομαι, ίσως κρυπτογραφήσω τον δίσκο και κρύψω κάπου backup σε κρυπτογραφημένο ZIP. Δεν θέλω να χάσω και άλλη δουλειά. 

Έχω γνήσιο μέχρι και το WinRar (αν δουν ότι πέρασες την δοκιμαστική περίοδο βάζουν πρόστιμο επειδή θεωρούν ότι έπρεπε να το αγοράσεις), κανονικά θα έπρεπε να τους αρκούσαν τα τιμολόγια.

 

Ένας ακόμα λόγος για τον οποίο θεωρώ ανούσιο τον έλεγχο είναι το γεγονός ότι αν αποφασίσει κάποιος να χρησιμοποιήσει πειρατικό λογισμικό μπορεί να το εγκαταστήσει σε δεύτερο υπολογιστή ή σε εξωτερικό δίσκο, και να τρέξουν ότι λογισμικό θέλουν στον υπολογιστή του δεν θα βρουν τίποτα. Απλά χασομεράνε τους συναδέλφους.

 

 

update

Η κρυπτογράφηση δεν έχει νόημα. Υπάρχει τρόπος να σπάσει η κρυπτογράφηση ακόμα και του bitlocker που έχουν οι τελευταίες εκδόσεις των windows.

Edited Μάρτιος 14 by sdim

[alej]

Καταρχάς να σε ενημερώσω ότι δουλεύω σε Mac επομένως τα πράγματα είναι πολύ διαφορετικά από ότι τα ξέρεις.

iCloud & Time Machine είναι αιώνες μπροστά ενώ έχω και άλλο ένα επίπεδο ανάκτησης μέσω One Drive. Η κρυπτογράφηση του Time Machine είναι άλλου επιπέδου.

Με λίγα λόγια όπως είπα και πριν ότι και να γίνει τα δεδομένα δεν χάνονται και δεν παραβιάζονται.

PS. Δεν υπάρχει φυσική προστασία, ρολά και κλειδαριές παραβιάζονται σε λίγα δευτερόλεπτα. Πρόσβαση φυσική να θεωρησεις ότι θα αποκτήσουν, το θέμα είναι να είναι άχρηστο πλέον όπως  πχ ένα iPhone κλεμμένο και κλειδωμένο  και να ανακτήσεις εσύ μετά  τα αρχεία σου και τα δεδομένα σου μέσω cloud.

[mikegad]

13 ώρες πριν, sdim said:

Έχω γνήσιο μέχρι και το WinRar (αν δουν ότι πέρασες την δοκιμαστική περίοδο βάζουν πρόστιμο επειδή θεωρούν ότι έπρεπε να το αγοράσεις), κανονικά θα έπρεπε να τους αρκούσαν τα τιμολόγια.

αυτό δεν το κατάλαβα.

Δηλαδή αν εγκαταστήσουμε ένα πρόγραμμα σε δοκιμαστική έκδοση 30 ημερών.
Ας πούμε ότι πέρασε η δοκιμαστική περίοδος αλλά δεν έγινε απεγκατάσταση (ωστόσο το πρόγραμμα έχει σταματήσει προφανώς να λειτουργεί)
Κινδυνεύουμε με πρόστιμο; Παράλογο μου φαίνεται

[sdim]

@mikegad

Από την άδεια χρήσης του winrar:

"The software is distributed as try before you buy. This means that anyone may use the software during a test period of a maximum of 40 days at no charge. Following this test period, the user must purchase a license to continue using the software."

 

Αν δουν εγκατεστημένο το Autocad ή το Office κατά τον έλεγχο, θα δεχτούν ότι είχες εγκατεστημένη την δοκιμαστική έκδοση (trial) και απλά δεν τα απεγκατέστησες μετά;

https://www.autodesk.com/products/autocad/free-trial

https://www.microsoft.com/en-us/microsoft-365/try
 

[mikegad]

41 λεπτά πριν, sdim said:

Αν δουν εγκατεστημένο το Autocad ή το Office κατά τον έλεγχο, θα δεχτούν ότι είχες εγκατεστημένη την δοκιμαστική έκδοση (trial) και απλά δεν τα απεγκατέστησες μετά;

Γιατί όχι , από την στιγμή που δεν λειτουργούν;
Δεν μπορώ να καταλάβω που είναι το παράνομο της υπόθεσης. Αναγράφεται κάπου στους όρους πως είναι υποχρεωτική η απεγκατάσταση μετά την λήξη της δοκιμαστικής χρήσης;

Να το θέσω διαφορετικά. Όταν αγόρασα ένα laptop είχε προεγκατεστημένα αρκετά προγράμματα (antivirus, office, κλπ). Με την αγορά λοιπόν έδιναν συγκεκριμένο χρόνο χρήσης για κάθε πρόγραμμα το οποίο το ενεργοποιούσες όποτε ήθελες εσύ. Εγώ δεν τα ενεργοποίησα ποτέ (και ούτε θυμάμαι πλέον τι κωδικούς έπρεπε να βάλω) αλλά εξακολουθούν να είναι εγκατεστημένα στον υπολογιστή. Φυσικά αν πάει να τα τρέξει κάποιος δεν λειτουργούν.

Είμαι παράνομος επειδή αποφάσισε η lenovo να εγκαταστήσει κάποια προγράμματα στον υπολογιστή μου;

 

14 ώρες πριν, sdim said:

αν αποφασίσει κάποιος να χρησιμοποιήσει πειρατικό λογισμικό μπορεί να το εγκαταστήσει σε δεύτερο υπολογιστή ή σε εξωτερικό δίσκο, και να τρέξουν ότι λογισμικό θέλουν στον υπολογιστή του δεν θα βρουν τίποτα.

σχετικά με αυτό, νομίζω πως ακόμα και εξωτερικό να το βάλεις ο installer φαίνεται στον βασικό δίσκο του υπολογιστή και στην προσθαφαίρεση προγραμμάτων των windows

Φροντίζουμε να τηρούμε τους κανόνες της κοινότητας:

5. Δεν κάνουμε διαδοχικές δημοσιεύσεις στο ίδιο θέμα. - jbosdas

[sdim]

Τα προεγκατεστημένα προγράμματα αφού λήξουν είτε δεν τρέχουν είτε σταματάνε τις αναβαθμίσεις (π.χ. τα antivirus).

Το WinRar ενώ σε ειδοποιεί ότι έληξε συνεχίζει να φορτώνει οπότε τεχνικά παραβαίνεις την άδεια χρήσης αν το χρησιμοποιήσεις μετά την δοκιμαστική περίοδο.

 

Σχετικά με τον δεύτερο δίσκο, σε αυτόν έχουν εξ ολοκλήρου δεύτερη εγκατάσταση, windows, κλπ. Πρώτη φορά το είχα ακούσει πριν περίπου 25 χρόνια, τότε που υπήρχαν θήκες για αποσπώμενους δίσκους με κλειδί. Έβαζαν τον "επίσημο" δίσκο τις ώρες κοινού και τον "ανεπίσημο" δίσκο όταν ήταν κλειστά.  Άλλοι μπορεί να έχουν στον σταθερό τα "επίσημα" και σε έναν φορητό τα "ανεπίσημα". Μηχανικοί είμαστε, μπορούμε να σκεφτούμε αμέτρητα "παράθυρα".

Τα θέματά μου είναι πρώτον κατά πόσο έχουν δικαίωμα πρόσβασης στον επαγγελματικό μας υπολογιστή και κατά δεύτερον πως αποζημιώνονται όσοι δεν έχουν παράνομο λογισμικό για τον χαμένο χρόνο και την ζημιά που προκύπτει από αυτό.

Υπάρχουν και ακραία ενδεχόμενα, π.χ. να ρίχνει μπετά ο μηχανικός και να τον πάρει ο υπάλληλος να πάει στο γραφείο επειδή γίνεται έλεγχος. Τι θα κάνει;

[ted78]

@mikegad Το winrar λειτουργεί κανονικά είτε το αγοράσεις, είτε όχι. Με την αγορά, το μόνο που πετυχαίνεις είναι να σταματάει το μήνυμα για να το αγοράσεις. Αυτό τουλάχιστον γινόταν παλιά. Εδώ και πολλά χρόνια χρησιμοποιώ το 7-zip, που είναι freeware και δεν ασχολήθηκα ξανά με άλλο πρόγραμμα συμπίεσης αρχείων.

Edited Μάρτιος 15 by ted78

[sdim]

Το 7-zip το χρησιμοποιούσα για χρόνια. Καλό από όλες τις απόψεις αλλά δυστυχώς δεν είναι υπογεγραμμένο ψηφιακά.

Η έγκυρη ψηφιακή υπογραφή εξασφαλίζει:

1. Η εφαρμογή δεν έχει αλλοιωθεί από την στιγμή που υπογράφηκε.

2. Γνωρίζουμε ποιος είναι ο δημιουργός της εφαρμογής οπότε είναι απίθανο να "φυτέψει" κακόβουλο λογισμικό στον υπολογιστή μας, δεν μπορεί να κρύψει τα ίχνη του.

Υπάρχουν πλέον τόσοι τρόποι που μπορεί κάποιος να μας εξαπατήσουν που δεν θέλω να χάνω χρόνο με το να ελέγχω τα πάντα. Αν κατεβάσω και τρέξω μια εφαρμογή που δεν έχει ψηφιακή υπογραφή υπάρχουν οι εξής κίνδυνοι:

1. Ο δημιουργός να έχει εγκαταστήσει παράλληλα "ανεπιθύμητη" λειτουργικότητα. Αφού δεν υπάρχει ψηφιακή υπογραφή μπορεί να ισχυριστεί ότι είναι πειρατική εφαρμογή τρίτου που κατεβάσαμε από αλλού, δεν μπορεί να αποδειχτεί ότι το έφτιαξε ο ίδιος.

2. Δεν μπορούμε να ελέγξουμε αν τυχόν κάποιος τρίτος αντικατέστησε στον server το γνήσιο λογισμικό με κακόβουλο λογισμικό.

3. Δεν μπορούμε να ελέγξουμε αν κάποιος τρίτος παρεμβλήθηκε στην σύνδεσή μας με τον server ώστε να κατεβάσουμε από άλλον server κάποιο δικό του κακόβουλο αρχείο και όχι αυτό που θέλουμε. Δεν θα μπω σε τεχνική ανάλυση επειδή δεν γνωρίζω τις λεπτομέρειες αλλά υπάρχουν πολλά σχετικά άρθρα.

Πλέον αποφεύγω να εγκαθιστώ εφαρμογές που δεν είναι ψηφιακά υπογεγραμμένες. Υπάρχουν τόσοι κίνδυνοι που ειλικρινά για μερικά ευρώ δεν το ρισκάρω.

Η μοναδική εφαρμογή που χρησιμοποιώ χωρίς ψηφιακή υπογραφή είναι το ΤΕΕ ΚΕΝΑΚ, αναγκαστικά δηλαδή επειδή είναι υποχρεωτική η χρήση του για ΠΕΑ και μελέτες ΚΕΝΑΚ.

Edited Μάρτιος 16 by sdim

[Παπλωματούχος Μηχανικός]

On 14/3/2024 at 10:32 ΠΜ, alej said:

Η πρώτη ασφάλεια έναντι μη εξουσιοδοτημένης πρόσβασης είναι ο κωδικός που βάζεις στον υπολογιστή για να ανοίξει. Η δεύτερη ένας pass protect φάκελος.
Παράλληλα ο υπολογιστής αυτός αν μπει σε κατάσταση ύπνου, μετά ζητάει βιομετρική ταυτοποίηση. Επίσης, τα αυτόματα back up που λαμβάνει τα κλειδώνει σε σκληρό δίσκο κωδικοποιημένα και στο cloud επίσης με βιομετρικά κλειδιά.

Τρίτο στάδιο είναι πχ σε ένα excel που έχει μαζεμένα προσωπικά δεδομένα κι είναι κι αυτό κλειδωμένο. 
Ταυτόχρονα όλες οι εφαρμογές είναι νόμιμα αγορασμένες και με ρύθμιση αυτόματης αναβάθμισης ενώ υπάρχουν  και λογισμικά προστασίας από κακόβουλο λογισμικό.

Με λίγα λόγια ακόμα κι αν μπει κλέφτης ότι πάρει του είναι άχρηστο, ακόμα κι αν πάρει φωτιά / σεισμός / πλημμύρα τα αρχεία θα επανέλθουν με ασφάλεια. 

Για πες μου λοιπόν, έχω σχέδιο ασφάλειας και προστασίας δεδομένων; 

Από αυτά που αναφέρεις, υποθέτω ότι εφαρμόζεις αρκετά καλό επίπεδο ασφάλειας σε ό,τι αφορά τα προσωπικά δεδομένα. 

Δεν βλέπω, όμως, να μου έγραψες κάπου ότι έχεις καταρτίσει Σχέδιο Ασφάλειας προσωπικών δεδομένων.

Επομένως, στο ερώτημα αν έχεις Σχέδιο, η απάντησή μου είναι μάλλον όχι (επειδή δεν το ανέφερες κάπου).

 

Για να γίνει κατανοητό, θα σου το μεταφέρω σε επίπεδο Ασφάλειας Εργασίας.

Μπορεί να έχεις λάβει άπειρα μέτρα, σε πρακτικό επίπεδο, για την ασφάλεια των εργαζόμενων, αλλά έχεις και την υποχρέωση ταυτόχρονα να τηρείς Βιβλίο Υποδείξεων Τεχνικού Ασφάλειας στο χώρο. Στο βιβλίο αυτό γίνεται "διάγνωση" των εγκαταστάσεων και διαβάθμιση των πιθανών κινδύνων, με προτεινόμενες λύσεις.

 

Επιστρέφω στο θέμα του GDPR. 
Το Σχέδιο Ασφάλειας προσωπικών δεδομένων είναι μία περίπλοκη έκθεση που αφορά τους τρόπους καταγραφής και αρχειοθέτησης, την τεχνολογία (ασφάλειας) που διαθέτεις, πώς χρησιμοποιείται για την ανταλλαγή δεδομένων,  ποιος και πότε τη χειρίζεται, πώς διαβαθμίζεται η πρόσβαση στην επεξεργασία  κλπ.

Ένα πρότυπο Σχέδιο Ασφάλειας μπορείς να βρεις πχ. εδώ:

shedio_asfaleias_pliroforion.pdf (upatras.gr)

Όπως, βλέπεις, 20 σελίδες είναι μόνο ο σκελετός του Σχεδίου.

@sdim

Παράθεση

Τα θέματά μου είναι πρώτον κατά πόσο έχουν δικαίωμα πρόσβασης στον επαγγελματικό μας υπολογιστή και κατά δεύτερον πως αποζημιώνονται όσοι δεν έχουν παράνομο λογισμικό για τον χαμένο χρόνο και την ζημιά που προκύπτει από αυτό.

Από τη στιγμή που υπάρχει εισαγγελική παραγγελία ή παρέμβαση του ΣΔΟΕ, τα πράγματα γίνονται δύσκολα.

Κι από ό,τι γνωρίζω, οι εταιρίες αυτές έχουν κάνει μία ειδική συμφωνία με την ελληνική πολιτεία για να υπάρχει αντίστοιχο κλιμάκιο κατά την έρευνα.
Επομένως, είναι σα να λες στο ΣΔΟΕ ή τον εισαγγελέα "δεν σας αφήνω να με ελέγξετε" ή "θέλω αποζημίωση για την ώρα που έχασα εξαιτίας του ελέγχου σας". 
Δεν νομίζω ότι πραγματικά βοηθά κάπου, αλλά καλό είναι να συμβουλευτείτε έναν έμπειρο δικηγόρο.

Edited Μάρτιος 26 by Παπλωματούχος Μηχανικός

[Παπλωματούχος Μηχανικός]

Προς διαγραφή.

Edited Μάρτιος 26 by Παπλωματούχος Μηχανικός