Vlákno názorů k článku USBGate: Češi vyvinuli zařízení na zabezpečení počítačů. Zákazníkem je i stát od easy - Sorry ... ve firme, ktera potrebuje blokovat porty...

Sorry ... ve firme, ktera potrebuje blokovat porty a resi tedy bezpecnost na vyssi urovni je povinost zamykat pocitac vetsinou soucasi korporatni politky. Pokud jsou tam data, ktera je takto vysoce potreba chranit tak je potreba i reagovat na poruseni politiky u uzivatelu. Na vytikacim dopisu potom neni nic prehnaneho.

Vy byste ten dopis dával za jedno opomenutí? Vás bych za šéfa nechtěl. Normální je ho dát až když to někdo dělá opakovaně nebo to dokonce obhajuje stylem "já tam nemám nic důležitého, takže zamykat prostě nebudu".

Podobným způsobem byly zabezpečeny notebooky jedné firmy, kde jsem pracoval. Karta se používala pro přihlášení do notebooku + bylo potřeba uživatelské heslo.
Karta fungovala i pro odhlášení (vytáhnete a celý notebook se zamkne)
Karta byla použitá také jako klíč k dešifrování dat na disku, takže bez karty ani IT nevědělo co tam je za data.
Nebylo možné používat USB konektory. Pokud je člověk chtěl použít musel dojít s notebookem za IT s povolením managera, aby mu to odemkli. A povolení bylo jen ve speciálních případech.
Ale bylo to řešeno mnohem lépe. Karta formátu standardní platební karty se zastrčila do notebooku téměř celá, do místa kde je PCMCIA slot. Koukaly asi 2 cm aby bylo ji za co vytáhnout.
A pokud IT našlo, že někdo má v notebooku kartu a není poblíž. Tak mu ji prostě vzali a musel si pro ní potupně dojít za managerem IT, nicméně žádné dopisy se tam nehrotily.

Vytýkací dopis za opomenutí mi přijde silná káva. V takové společnosti bych nechtěl pracovat ...

Podobné zařízení používaly (a možná dodnes používají) banky. Používalo se to i ve firmě, kterou jsme před 10 lety stěhovali do ČR. U nás už jsme to ale neimplementovali.

Jak to fungovalo:

Byla to karta namontovaná uvnitř počítače a připojená na interní USB (nebo PCI?).
Ke kartě byla přes nějaký RJ konektor připojena krabička se čtečkou.
Ta krabička měla přes to USB dvě rozhraní - tvářila se jako HID a zároveň seriové rozhraní.
Krabička v pravidelných intervalech (cca 1 sekunda) generovala stisk kláves "levé windows + L"
Když krabička dostala pípnutí z kartičky, tak se po seriovém rozhraní zeptala ovladače. Posílala nějaký klíč z té karty a ovladač komunikoval se serverem (něco na bázi Exchange). Tam se ověřovalo, zda daná kartička platí pro daný počítač. Pokud platila, tak se deaktivovalo to zamykání plochy.
Lidé měli kartičky na šňůrkách (a všude se jim to pletlo).
Odemykání počítače už byla klasika, to ta kartička nedělala.

Klíčové věci:

Ta kartička překážela. Lidé bez šňůrky ji zapomínali na čtečce a lidé se šňůrkou ji často utrhli ve dveřích atd.
Byla tam dost netriviální centrální správa těch karet. To aby jedna karta nefungovala všude.
Nebylo snadné to obejít - ta hlavní část byla v těle počítače a zamykala plochu MS Windows.
Kartička sama o sobě nestačila k přístupu - člověk stále musel znát heslo. Ukrást kartu tak nestačilo.
A hlavně to zamykalo plochu, takže si nešlo číst, co má ten člověk na obrazovce.

Zda na to má původní výrobce nějaký patent nevím. My jsme to implementovat nechtěli, protože ty kartičky byly peklo. Uvažovali jsme, že bychom to dělali spíše přes nějaký Bluetooth token, co by člověk mohl mít na přívesku. Jenže jsme neměli dořešený dosah a pak z toho celého nějak sešlo. Lidé měli nastavené automatické zamykání plochy a navíc se začalo kontrolovat, zda si lidé plochu zamykají. Po pár letech to šlo i bez krabiček. Proto dnes zastávám názor, že než dávat zaměstnanci takovou krabičku, tak mu raději dám vytýkací dopis. Když není ochoten stisknout "levý Win + L", tak už tuplem nebude ochoten si brát nějakou kartičku a nosit ji ssebou.