Názory k článku USBGate: Češi vyvinuli zařízení na zabezpečení počítačů. Zákazníkem je i stát

Jdu trochu pozde, ale..Uz nejaky cas se shanim po podobne periferii. Windows 10 zavadi v update pro Halo podporu NFC, takze technicky by to problem byt nemel, moje predstava je nejaka podlozka ala bezdratova nabijecka (pokud tak bude take fungovat, bude to ideal), na ktere kdyz lezi mobil, je uzivatel prihlaseny do Win a zvednutim mobilu se zamknou. At hledam jakkoli, nikdo to ale zatim nevyrabi, nevidel jste nekdo podobne zarizeni?

Usb hub to neni, pro system se to chova jako HID zarizeni.
Usb hub ja az za CPU

Z pohledu technologie:
- Na fyzické úrovni tahle možnost není -> zablokuje zařízení na úrovni SW.
- Blokace na úrovni SW znamená, že se zařízení musí identifikovat -> proběhne jeho init (adresace, čtení EP0, dohodnutí rychlosti,..), nelze blokovat low level.
- Další možnost blokace je nenačtení ovladače, ale to by pak nefungovalo ani za tímhle bazmekem, který je z pohledu USB normální hub.
- Alernativou je spustit ovladače v tom bazmeku a předávat data tunelem. Ovladač je dílo, má licenční podmínky užití a přehození na jinou platformu (pokud v krabičce není x86 se stejným OS) může být právní problém.
- Další alternativou je vlastní ovladač a tunelování dat, v bulk módu problém s časováním ACK.

Z pohledu jejich návodu k užití (bod o instalaci bez technika):
- U Linuxu jsou ovladače v jádře -> vyžaduje instalaci patchovanýho jádra -> vlastní distro.
- Alternativní zavedení ovladačů na Linuxu přes MODPROBE vyžaduje, aby byl ten, kdo to dělá SUDOER nebo měl heslo k rootu. Není potřeba technik -> bude to dělat z konzoly znalý uživatel s právy roota (= může v systému dělat absolutně cokoliv).
- Na Windows by nastalo hledání ovladače -> pokud to není standardní hub, tak nutnost znát URL + práva, nebo použití CD/DVD/USB na stroji, kde je asi CD/DVD zakázáno kvůli bezpečnosti -> technik
- Nutnost zakázat ostatní porty -> zásah technika.
- Mám zkušenost z dřívějška (už naštěstí Widle neřeším), že přehození klávesnice do switche při zamčeným stroji se ovladač klávesnice instaloval až po odemčení stroje. A nepomohlo ani přepíchnutí zpět, ani restart. Až strá PS/2 klávesnice a povolení PS/2 v BIOSu. Pokud to soudruzi z Redmondu nefixli, tak to BFU bez technika nedá...

A takhle by se dalo pokračovat. Prostě je to hub, co se dokáže odpojit. A jakákoliv bezpečnost nenní o téhle krabičce, ale o tom, jak si IT nakonfiguruje PC (přístup k HW). Takže to, že produkt zajistí bezpečnost, je hodně odvážný tvrzení.

https://www.usbgate.cz/
5. KROK
IT administrátor klienta nastaví na všech počítačích v rámci bezpečnostní politiky jediné povolené USB zařízení USBGate

Dokážu si představit způsob, jak by šlo zablokovat všechny ostatní periferie a povolit jen krabičku. Jestli to tak je, může to být užitečné zařízení.

A protoze ta zazracna krabice nepotrebuje vubec nic instalovat a ani nic instalovat nemuze, protoze bez pritomnosti administratora se nikam nic nikde nanainstaluje, tak se z toho pocitace stane nepouzitelna cihla.

> žádného admina, co by v počítači něco dělal, nepotřebujete.

A co je jako tohle?

"IT administrátor klienta nastaví na všech počítačích v rámci bezpečnostní politiky jediné povolené USB zařízení USBGate"

Takže je poměrně jasné, kdo tu ty stránky ani nepřečetl a jen plácá v diskusi :D

A vy jste jeden z tech, ktery nebyli schopni se na ty stranky podivati, ze? Nebot tam o tom jak to funguje nebo nefunguje neni napsano zhola nic.

40 x 30 (= pracuji za ceskou minimalni mzdu) * 12 = 14M4 coz je cca $650k jen a pouze za lidi a jejich platy. Kde mate najmy, energie, HW, SW ...

Tudiz to spis vypada, ze neumite pocitat nebo nemate naprosto zadnou predstavu o tom, co kolik stoji.

Pokud pak budu kalkulovati daleko realnejsi scenar - tedy tak 40 x 80 (coz je pro vasi informaci +- 60k hrubeho a nejakych +- 43 cisteho), jsme (opet pouze na mzdach) na $1M7.

Pokud jste ty stránky četl a máte trochu přehled, tak je vám jasné, že si tam protiřečí. Kupříkladu právě ten port. Přijdete, zapojíte krabičku, přiložíte admin kartičku, pak uživatel kartičku a máte hotovo. Pokud to opravdu probíhá takto, pak skutečně stačí tu krabičku vytáhnout a místo ní připojit hub nebo klávesnici a jedete z vesela dál. Ono se samozřejmě dá nastavit OS tak, aby ostatní USB zablokoval a dovolil jen to jediné USB a jen s tím jediným Vendor ID. Ale to opravdu ta krabička, připojená na USB, udělat nemůže. Na to už by byl potřeba admin, který v tom PC něco udělá a nastaví. Jak ale píší na webu - žádného admina, co by v počítači něco dělal, nepotřebujete.

Jak je to tedy ve skutečnosti se dozví jen ten, kdo to od nich koupí. My ostatní jsme odkázni na osobní názor, doměnky typu "přeci nejsou tak blbí aby je nenapadlo..." apod.

Nuklearstop taky někdo "vyvíjel"...

Právě že vývojem se roky živím. Vím, jak to chodí a jaký koniny někdy obchodníci vymyslí, když najdou domnělou díru na trhu... Tohle je ještě poměrně slabota (a možná právě proto se povedlo udělat Potěmkina).

2 miliony dolarů a 40 zaměstnanců jde do sebe uplně v pohodě, vemte kalkulačku a zbyde vám tam dost peněz na ostatní náklady firmy, materiál i rozumnou míru zisku.

Pokud k tomu portu, kde byla krabička, není připojena krabička, port jiné zařízení nepřipojí/nenajde, tzn. tato možnost je (samozřejmě) ošetřena.

It nejsem ale něčemu rozumim. Zrovna v korporátní sféře se používají i notebooky a ne v malé míře. Tahle krabicka vlastně neřeší vůbec nic. Víceméně stačí odpojit krabičku, do toho stejného usb vložit klávesnici a je to. Ostatní usb prej zablokuje admin, tak se využije ten po té krabičce, logicky

Mě fascinuje, jak někdo nejprve označí naprosto nedokumentované zařízení (že není dokumentované není chyba kritiků) za "docela dobrému, zajímavě vyřešenému" a hned poté označí lidi, o nichž naprosto nic neví, za "lidí, co nedokázali nejspíš sami nic".

Sorry ... ve firme, ktera potrebuje blokovat porty a resi tedy bezpecnost na vyssi urovni je povinost zamykat pocitac vetsinou soucasi korporatni politky. Pokud jsou tam data, ktera je takto vysoce potreba chranit tak je potreba i reagovat na poruseni politiky u uzivatelu. Na vytikacim dopisu potom neni nic prehnaneho.

Mě fascinuje, jak k docela dobrému, zajímavě vyřešenému a podle čísel v článku i úspěšnému nápadu je tady tolik rádobykritických komentářů. Od lidí, co nedokázali nejspíš sami nic. Trochu smutné.

U nas i na vydej obedu a pro overeni na tiskarne. Takze nechat kartu na stole je dost nepravdepodobne.

Ne nechápete, chce to lépe číst než něco napíšete.

Nevim zda-li ste nekdy pracovali ve velkem korporatu, ale vsude v techto firmach se tyto karticky pouzivaji na pruchod dverma. Takze pokud necha karticku na krabicce, nedostane se ani na zachod, bude se muset vratit, aby si tou kartickou otevrel dvere.

Brani tomu hned vice veci
1) nastaveni biosu a vypnuti PS/2 portu
2) zaheslovani biosu
3) vypnuti jinych USB zarizeni nez "usbgate" na urovni OS

Dobrý den všem, skutečně nejde o žádnou novou myšlenku. Nehledě na to, že vývoj za peníze odcizené daňovým poplatníkům je opravdu tragický.
Práci se všemi druhy takových karet a integraci s AD, eDirectory, OpenLDAP, SunOne, ApacheDS atd nabízíme již léta. Provázání umožňuje zabezpečit i karty, které jinak bezpečné nejsou. Řešení prodáváme prostřednictvím sítě partnerů do celého světa, jen v Asii se nám zatím nedaří (ale pracujeme na tom a to bez dotací).
Máme speciální řešení pro nemocnice a zdravotnictví vůbec, školy, univerzity atd.
Pro admina - neberu tuto reakci jako reklamu a nepíšu, co mám na mysli. Ani trochu.
Hezký den

VS

Stačí mít stejnou kartičku na otevírání dveří :) Vůbec tyhle projekty mají většinou v pozadí spíš touhu ztrpčit zaměstnancům pracovní dobu, tak proč se trochu nerozmáchnout - bez kartičky na záchod nepůjdeš, s kartičkou ti spočítáme, kolikrát jsi byl na záchdě (a že jsem poznal idioty, kteří byli schopní počítat lidem, kolikrát byli na záchodě).

Může to začít pískat, když je na krabce karta a 5 minut se s ničím nehýbe. To ale pořád nevysvětluje zvolené řešení.

Tak pravdou je, že i tiskárna 3D by to vytiskla lépe... Určitě na tom ještě zapracují, tohle budí rozpaky.

Mimochodem co to bude dělat se zařízeními, které se s huby nekamarádí?

To pak ale můžete vyřešit rovnou softwareově a nepotřebujete na to nějakou krabku s neznámou spolehlivostí a bezpečností.

To je první věc, co mě napadla: Je nějak řešeno zabránění prohození krabky za hub USB?
A nešlo by to všechno řešit levně softwareově s čtečkou karet?

Předpokládám, že hlídání nesleduje kartičku, ale aktivitu na USB (klávesnice, myš).

Vidite tam taky znak QubesOS? Rutkovska asi nevi ...

jak pisi v clanku, maji tam mraky studentu. Takze za malo penez a malo kdo je na full time. Tipl bych, ze skutecnym zamestnancem bude maximalne 10 % lidi ;-)

Špatně zabezpečených firemních PC je jako much :) ..... nejlepší jsou ty co mají jenom heslo v biosu nebo ty co nemají nastavené heslo žádné :)

To není prosím reklama ale tvrdá realita :)

Garážová firma, pro kterou pracují studenti.
Tržby sedí. :)

Poslední svou větou jste přesně poznal, jaký je skutečný účel uvedeného projektu.

Ano. Ale na tyhle konkrétní otázky jsem nenašel odpověď:

1) Blokuje USB porty, ale KTERÝ? Ty na téhle krabičce, nebo komplet celý PC?
2) Ochrání data v případě, že úředník zapomene na monitoru rozdělenou práci, kde je například jméno, adresa a RČ? Dovolí jeho kolegovi, aby to zamknul za něj, když přijde nějakýý občan zvenčí a mohl by ty data vidět/vyfotit mobilem?
3) Co za ovladače se instaluje? Na widlích asi něco standardního (jinak by neplatilo, že není potřeba technik), takže USB hub a HID? Na Linuxu to samý, "sudo modprobe" asi bez technika BFU nedá a v jádře to nejspíš integrovaný nebude...
4) Nemele se trochu krok 5 s tím, že není potřeba technik, když musí zakázat ručně všechny zařízení mimo tohohle nesmyslu?
5) MB obvykle obsahuje USB řadič a v něm první úroveň hubů. Pokud řadiči řeknu, že smí používat jenom tohle, efektivně sestřelím všechny porty, i ten, na kterým tahle blbina visí. Takže se to fakt chová jenom jako další hub?
6) Na USB2.0 jsou dost kritický latence při potvrzování. Pokud to není jenom obyč hub, jak dokážu garantovat latence (na kterých stojí například i max. délka kabelů)?
7) Hlásají, že to může pracovat s libovolným zařízením. Jak, když zakážu připojení toho zařízení na úrovni SW tím, že OS nedovolím natáhnout ovladač? To jako poběží jejich přiohnutý ovladač v tom bazmeku? A co EULA od ovladačů, která explicitně zakazuje jejich revers engineering a autor USB zařízení jim řekne, že dokumentaci prostě nedá?

Moc otázek, málo odpovědí. HW je jasný, limity SW jsou jasný, právní otázku ohledně přiohnutí ovladačů a NDA na použitý karty přenechám právníkům, ti jsou v tom fundovanější...

Myslite na tom webu, kde neni o fungovani zarizeni napsano zhola nic? Zeby dodavatel?

Zhrnme si to. Jedine co na tech cca 10ti stranka niceho je uvedeno kolem "fungovani" je nasledujici veta:

"Klient si zapojí USBGate k počítačům a připojí do něj všechny USB periferie (ovladače se na OS Windows a Linux nainstalují automaticky)"

Opravdu bych chtel videt (alespon prumerne spatne zabezpeceny) system, ktery bude sam neco z nejakeho USB zarizeni instalovat. A opravdu bych chtel videt kuprikladu windows, ktera instaluji ovladace, bez prihlaseni administratora, coz je veta hned o kousek dale:

"Při instalaci není potřeba přítomnost technika"

Anebo autolock po pěti minutách bez uživatelské interakce, to snad dokáže nastavit i ajťák na úřadě. A funguje to na všech OS.

Vy byste ten dopis dával za jedno opomenutí? Vás bych za šéfa nechtěl. Normální je ho dát až když to někdo dělá opakovaně nebo to dokonce obhajuje stylem "já tam nemám nic důležitého, takže zamykat prostě nebudu".

K čemu potom takové zařízení je? Když už je tam SW závislý na typu/verzi OS, tak to už potom jde tohle řešit komplet SW s běžně dostupnou RFID čtečkou... Podobné HW může být oproti SW zásadně výhodné tehdy, kdy nevyžaduje SW instalaci, ale pak je nutné fyzicky zamezit přísupu k portům, což zde zjevně neplatí - upstream kabel je přes konektor. Tudíž nějak nechápu smysl tohoto zařízení - kromě toho, že se tím dá podojit státní rozpočet.

S těmito tržbami zaměstnávají 40 lidí?
S tou firmou není něco v pořádku.

"Vzdy pobavi, kdyz nekdo instaluje pancerova vrata do papirove zdi."

Nevím, co je na tom zábavného. Tohle je dnes naprostý standard. Lidi si dnes staví rodinné baráky, vchodové dveře mají super třídu zabezpečení, a stěna je u "dřevostavby" z papundeklu, kterou prokopnu v pohorkách. (Radši si vezmu krumpáč, kdo by si ničil boty.) V lepším případě u zděného baráku je vedle okno, které prohodím cihlou.

Ale ta krabička bude, obávám se, právě ty pancéřové dveře v papírové zdi.

Potom je ale otázka, jestli má firma tohle pořešené, k čemu je potom ta krabička? Pokud to opravdu umí jen blokovat USB.

Ten BL mi dává smysl pro ochranu běžných dat. Není to dokonalé, ale relativně spolehlivé a univerzální. Ale ta krabička naprosto ne, když pokrývá pouze jednu z mnoha možností. A ještě to zabírá fyzicky místo.

CD/DVD? To ještě existuje? (Ale vážně, v PC starých několik málo posledních let jsem to už neviděl.)

Pokud nekdo mysli zabezpeceni vazne, tak uzivatel pracuje na terminalu, lokalne se k datum dostane maximalne v podobe obrazku na monitoru a na internet se nedostane vubec.

Vzdy pobavi, kdyz nekdo instaluje pancerova vrata do papirove zdi.

Drobný detail, na ty úřednické programy v DOSu myš moc není potřeba...

Že to zní jednoduše, ještě neznamená, že by to nefungovalo. Nevzpomínáte si, jak nějaká firma s velkou slávou uvedla systém na ochranu proti kopírování DVD, na jehož vývoj dala několik set miliónů dolarů, a už při slavnostní převaděčce jim bylo předvedeno, že na obejítí stačí zakázat autorun?

"Základní princip fungování je jednoduchý – zařízení se stará o to, aby bylo možné používat USB porty a do nich připojená zařízení jenom v případě, že se přihlásí oprávněný uživatel."

Takže to má asi chránit firemní data. No nevím, školy nemám, ale úplně první co mě nepadne je, nahrát data na C:, vypnout počítač, vyndat disk (dnes na to často není potřeba ani šroubovák) a data si zkopírovat na jiném počítači.

A i jinak, tohle je minimálně 25 let starý "vynález". Známe z oblasti "protipirátského" zabezpečení softwaru. Starší verze HW klíč na LPT, modernizovaná verze na USB.

ja bych mel jeste napad jak to vylepsit. nfc ctecku dat do mysi. zakaznik svim zamestnancum necha naoperovat chip do prostoru mezi palcem a ukazovackem.
hlavni vyhoda meho reseni je ze nehrozi zapomenuta karta na ctece a zaroven cas straveny u pocitace bude zmeren presneji a bez prestavek s mobilem v ruce!

Podobným způsobem byly zabezpečeny notebooky jedné firmy, kde jsem pracoval. Karta se používala pro přihlášení do notebooku + bylo potřeba uživatelské heslo.
Karta fungovala i pro odhlášení (vytáhnete a celý notebook se zamkne)
Karta byla použitá také jako klíč k dešifrování dat na disku, takže bez karty ani IT nevědělo co tam je za data.
Nebylo možné používat USB konektory. Pokud je člověk chtěl použít musel dojít s notebookem za IT s povolením managera, aby mu to odemkli. A povolení bylo jen ve speciálních případech.
Ale bylo to řešeno mnohem lépe. Karta formátu standardní platební karty se zastrčila do notebooku téměř celá, do místa kde je PCMCIA slot. Koukaly asi 2 cm aby bylo ji za co vytáhnout.
A pokud IT našlo, že někdo má v notebooku kartu a není poblíž. Tak mu ji prostě vzali a musel si pro ní potupně dojít za managerem IT, nicméně žádné dopisy se tam nehrotily.

Vytýkací dopis za opomenutí mi přijde silná káva. V takové společnosti bych nechtěl pracovat ...

Podobné zařízení používaly (a možná dodnes používají) banky. Používalo se to i ve firmě, kterou jsme před 10 lety stěhovali do ČR. U nás už jsme to ale neimplementovali.

Jak to fungovalo:

Byla to karta namontovaná uvnitř počítače a připojená na interní USB (nebo PCI?).
Ke kartě byla přes nějaký RJ konektor připojena krabička se čtečkou.
Ta krabička měla přes to USB dvě rozhraní - tvářila se jako HID a zároveň seriové rozhraní.
Krabička v pravidelných intervalech (cca 1 sekunda) generovala stisk kláves "levé windows + L"
Když krabička dostala pípnutí z kartičky, tak se po seriovém rozhraní zeptala ovladače. Posílala nějaký klíč z té karty a ovladač komunikoval se serverem (něco na bázi Exchange). Tam se ověřovalo, zda daná kartička platí pro daný počítač. Pokud platila, tak se deaktivovalo to zamykání plochy.
Lidé měli kartičky na šňůrkách (a všude se jim to pletlo).
Odemykání počítače už byla klasika, to ta kartička nedělala.

Klíčové věci:

Ta kartička překážela. Lidé bez šňůrky ji zapomínali na čtečce a lidé se šňůrkou ji často utrhli ve dveřích atd.
Byla tam dost netriviální centrální správa těch karet. To aby jedna karta nefungovala všude.
Nebylo snadné to obejít - ta hlavní část byla v těle počítače a zamykala plochu MS Windows.
Kartička sama o sobě nestačila k přístupu - člověk stále musel znát heslo. Ukrást kartu tak nestačilo.
A hlavně to zamykalo plochu, takže si nešlo číst, co má ten člověk na obrazovce.

Zda na to má původní výrobce nějaký patent nevím. My jsme to implementovat nechtěli, protože ty kartičky byly peklo. Uvažovali jsme, že bychom to dělali spíše přes nějaký Bluetooth token, co by člověk mohl mít na přívesku. Jenže jsme neměli dořešený dosah a pak z toho celého nějak sešlo. Lidé měli nastavené automatické zamykání plochy a navíc se začalo kontrolovat, zda si lidé plochu zamykají. Po pár letech to šlo i bez krabiček. Proto dnes zastávám názor, že než dávat zaměstnanci takovou krabičku, tak mu raději dám vytýkací dopis. Když není ochoten stisknout "levý Win + L", tak už tuplem nebude ochoten si brát nějakou kartičku a nosit ji ssebou.

I kdyby omezili USB, tak co brání použít starou PS/2?

Podpora Win + snadná instalace do několika minut: nesahá se do systému -> porty fungují -> stačí přepíchnout kabel jinam a jede se bez karty.
Podpora Linuxu + snadná instalace do několika minut: není v repozitářích -> přijde o auto upgrade nebo nesahá do systému

Btw, USB2.0 huby jsou s 2, 4 nebo 7 porty. Počítej se mnou:
4 porty jdou ven.
V případě ovladače je potřeba další USB downlink pro interní procesor.
Takže - buďto nekomunikuje, ale to znamená že jede bez ovladače, nebo je tam 7p hub a dva porty zazdili, nebo je tam prasárna 4p+2p...

Když se uživatel zapomene odhlásit, klidně je schopen zapomenout na té krabici i tu kartu. Nešlo by ještě vyřešit hlídání té zapomenutí té karty? Třeba by mohla krabička dělat nějaké elektrošoky do klávesnice kdyby odešel bez ní.....Další ptákovina nanic. Vůbec se nedivím, že je to schopen koupit nějaký státní úředník. Z cizího holt krev neteče.

jaký je problém krabičku nahradit usb hubem a myš a klávesnici a usb port nevypínat tímto kartou rizenym hubem ?

Tak nějak musíte zajistit budoucí prodeje ve formě upgrade na nové verze USB :-)
Verze 2.0 bude IMHO obsahovat jen čtečku SD karet a verze 3.0 už bude pro USB 3.0 :-)

http://www.lupa.cz/clanky/software-ceske-firmy-exceluje-ve-zbrojnim-programu/

Nezní takový způsob obcházení moc jednoduše? Z těchto důvodu se instaluje do OS driver, který zakazuje USB zařízení, zapojena mimo tento HUB :D

Tento clanek je dalsi z neoznacenych reklam na Lupe? Nebot krome reci o tom jak je to uzasne v nem neni vubec nic. Ani naznak toho jak ze by to mohlo fungovati, tudiz nelze jinak nez souhlasit s predrecniky, ze bezpecnost neceho takoveho bude pise jen virtualni, a pak se da jiz jen konstatovati, ze je to jen dalsi z rady firem co se snazi vydelat na hlupacich a podojit stat - tedy nas.

Chápu dobře, že je to normální blokovaný USB hub? Takže když si někdo píchne dongle od bezdrátové klávsnice/myši do USB vzadu za komplem a vidí na monitor (nebo si odvede druhý video výstup), tak může cokoliv? Hodně slabý.

A stavět na tom kšefty? Zdá se, že je tam normální USB hub, jednočip a RFID čtečka. Tipnul bych to na TUSB4041 + nějaký AVR/PIC/Cortex + TWN4 core modul. A jednočip prostě vypne napájení USB portům. Primitivní, easy pro obejítí, ale asi jim zdání zabezpečení stačí...

"mezi možnými scénáři využití uvádí monitoring času pracovníků na počítači"

I bez toho by hrozilo, že ty kartičky budou ležet na krabičce a pracovník bude někde odskočený, takto je to téměř jisté.

Počet výstupů je docela bída, a v dnešní době jen USB 2.0, to je k externím úložištím opravdu hodně velká slabota.