Работа с небезопасными ресурсами сети

Возможно, это вопрос не в тот раздел - не судите строго, если что, просто перенесите темку в другой раздел или пост этот в какой-нибудь флейм перенесите. :)
Хотелось бы знать мнение профессионалов по вот какому вопросу. На форуме сообщества PokerStrategy имеется дискуссия по поводу способов защиты своих персональных данных, суть которой в следующем (основные положения этой ситуационной задачки :) ):
1) На компе идет работа с данными высокой секретности -
А. аккаунты в хороших покер-румах с немалыми суммами на счетах, которые не хотелось бы терять ;) . Для начинающих 1-2 сотни баксов - это, конечно, не так страшно, но для онлайн-профи и полу-профи, для которых важны не только эти деньги на счету (у них там гораздо поболее, кстати ;) ), но и сам акк, приносящий немало реальных денег.
В. аккаунты в платежных процессорах (вэбмани, Moneybookers, ePassport и т.д.)
С. счета в банках с возможностью доступа через "интернет-банк" или вроде того.
D. адреса электронной почты (и пароли от них), привязанные к вышеперечисленным аккаунтам.
2) Также зачастую человеку хочется юзать инет в полной мере - и в пиринговых сетях полазить, и порносайты поглядеть, и варезные ресурсы посещать в поисках варезного софта и пр., да и просто вэб-страницы смотреть со всеми вкусностями типа флеш-анимации, скриптами и ActiveX и почими примочками :>
3) Очевидно, что для профи, которые качают через инет тысячи и десятки тысяч баксов, безопасность данных из п.1 имеет критическое значение, а инет вообще явно не является абсолютно безопасным, отсюда родилась идея наличия нескольких ОС и их полной независимости. На одной системе мы работаем только с критическими данными (играем в покер, переводим деньги в/из покер-румов и прочее), никогда не суемся в остальной интернет, предположим, что эта система у нас "чистая". На другой системе, наоборот, мы юзаем инет во всей красе, но никогда не заходим из-под нее на те ресурсы, которые представляют для нас критическое значение; допустим по умолчанию, что на этой системе мы, несмотря на защиту, обязательно периодически ловим на комп все виды вредоносных программ.

Внимание, вопрос: как добиться того, чтобы вредоносные программы системы №2 и их действия никак не затрагивали чистую систему №1 ?:O

Есть, безусловно, 2 почти абсолютно надежных решения, которые вряд ли стоит обсуждать:
1) 2 отдельных компа под разные системы (если еще их к разным провайдерам подключить - вообще супер :P ) - однако, это решение слишком дорогое.
2) Установить системы на разные винты, и при загрузке компа выбирать устройство загрузки через BIOS, при этом винт с другой системой отключать в BIOS. Дешевле, чем 1) , но все же требует еще одного винта и небольшого гимора с переключениями в БИОСе.

А вот 2 спорных решения, ваше мнение по которым хочется узнать:
3) Одна из систем будет запускаться с виртуальной машины. Может ли зараза с виртуального компа поражать систему, на которой эта виртуалка запущена, и наоборот? Мнения разделяются.
4) Мультизагрузочная конфигурация через сторонний бут-менеджер, при которой разные системы установлены в разные разделы диска, и при загрузке одной из них раздел с другой приобретает атрибут "скрытый". Возможно ли, что при этом вредоносный программный код сможет примонтировать скрытый раздел с чистой системой, и найти там файлы, которые можно поразить?

Вариант 4 - идеально.
[quote]Возможно ли, что при этом вредоносный программный код сможет примонтировать скрытый раздел с чистой системой[/quote]
Нет.

И еще одно дополнение: как насчет использования органиченных учетных записей? Большинство вредоносных программ в таком случае не смогут инсталлироваться в систему и выполнить свою задачу.

[quote=Bratez;193369]Вариант 4 - идеально.
[/quote]
Даже без включения шифрования томов? Этот вопрос тоже поднимался, но я на своем примерно 5-летнем опыте использования мультизагрузки не помню ни одного раза, чтобы вирусы у меня кочевали из одной системы в другую.

[quote=Bratez;193369]
И еще одно дополнение: как насчет использования органиченных учетных записей? Большинство вредоносных программ в таком случае не смогут инсталлироваться в систему и выполнить свою задачу. [/quote]
Учитывая важность данных, слово "большинство" многих, как я думаю, не устроит. Особенно, с учетом того, насколько в последнее время участились атаки на аккаунты вэб-мани и аккаунты игроков в покер-румах. Хотя и это лучше, чем ничего. Только в качестве чего использовать ограниченный аккаунт? Для работы с инетом или с критическими данными (или для всех видов работы)?

[quote]слово "большинство" многих, как я думаю, не устроит.[/quote]
Во-первых, как известно, панацеи не существует. Во-вторых, как я уже сказал, эта мера - [b]дополнение[/b] к другим средствам защиты.

[quote]Для работы с инетом или с критическими данными [/quote]
Желательно для всех работ, не требующих в действительности прав администратора. Кстати, задачи, которые их требуют, можно запускать "от имени" Администратора (разумеется у него должен быть пароль). На практике это может быть не очень удобно, но если важность конфиденциальных данных действительно велика, то ради безопасности можно удобством поступиться.

[quote=Bratez;193602] как я уже сказал, эта мера - [B]дополнение[/B] к другим средствам защиты[/quote]

А, теперь понял :>

Ну... попробовать можно, но не факт, что все это на ограниченном акке будет пахать даже в виде, запущенном под правами админа. Там трекерный софт используется (помимо самого покерного клиента), который обращается к локальному серверу баз PostgreSQL, и еще кое-что; как это вообще способно в такой связке все работать даже в обычном виде - это вообще уже вызывает приятное удивление, но попробовать под ограниченными правами можно :)

Я могу добавить еще вот такое: не хранить пароли и куки на жестком диске. по возможности чистить временные файлы Инета после каждого сеанса работы в Инете.
Это уменьшит вероятность обнаружения паролей и прочих данных.

А где же хранить куки? о_О
Есть, правда, у некоторых фирменных флешек свой софт, который якобы может взаимодействовать с браузером и все введенные логины и пароли запоминает на флешке, но вот насчет куков не уверен. Например, у Transcend JetRam есть такой софт.

Храни куки на время игры, а потом удаляй. Это возможно если программы не хранят в куках настройки игры для клиента.
Второй вариант: portable firefox с запуском с флешки и настройкой на хранение всех своих следов на ней же.
Для обычной жизни тот обозреватель, что на жестком диске.

[quote=PavelA;193675]
portable firefox с запуском с флешки и настройкой на хранение всех своих следов на ней же.
Для обычной жизни тот обозреватель, что на жестком диске.[/quote]
portable firefox - Клевая Тема! Не знал о такой штучке (по недалекости своей :D )
По поводу игровых клиентов - нормальные пользователи не юзают для игры браузерные плагины, а юзают специальный программный клиент, поэтому где он что сохраняет это хз, думаю, у каждого покер-рума свои особенности софта. У PartyPoker, вроде, сильно завязан на движке IE, у других не знаю. Сохраняет ли клиент где-то куки - этого тоже, к сожалению, подсказать не могу. Вероятно, каждому пользователю с этим вопросом надо обращаться в службу поддержки тех румов, где они играют. Если не ставить галочку "сохранить пароль" (для автологина) - то, по идее, не должен нигде сохранять. Я никогда не ставлю, но некоторые говорят, что лучше ставить, якобы там он хотя бы в зашифрованном виде хранится. Только вот не уверен я, что все эти алгоритмы шифрования еще неизвестны. Есть же трояны, легко все пароли вытаскивающие из Bat или еще откуда-нибудь. Наверняка с таким же успехом создаются и трояны, читающие сохраненные пароли из клиентов Парти или ПокерСтарз или еще что-то в этом роде ;) .Если только клиент не меняет алгоритм с каждым обновлением софта. (обычно это 1-3 раза в месяц у разных клиентов).

[QUOTE=TRANCLUGATOR;193136]Есть, безусловно, 2 почти абсолютно надежных решения, которые вряд ли стоит обсуждать:[/QUOTE]
Почему "вряд ли" ?

[QUOTE=TRANCLUGATOR;193136]1) 2 отдельных компа под разные системы (если еще их к разным провайдерам подключить - вообще супер :P ) - однако, это решение слишком дорогое.[/QUOTE]
С некоторыми ограничениями, это решение может стать и бесплатным, если вместо 2х реальных компьтеров использовать [url=http://www.microsoft.com/windows/products/winfamily/virtualpc/default.mspx]виртуальные[/url].

[QUOTE=TRANCLUGATOR;193683]Я никогда не ставлю, но некоторые говорят, что лучше ставить, якобы там он хотя бы в зашифрованном виде хранится. Только вот не уверен я, что все эти алгоритмы шифрования еще неизвестны. Есть же трояны, легко все пароли вытаскивающие из Bat или еще откуда-нибудь.[/QUOTE]
Действительно, программы, показывающие информацию из защищенного хранилища Windows есть. Одну я даже запускал. М-да. После этого пароли я предпочитаю не сохранять.
Авторы этой программы, по-моему, те же, что и авторы программы для чтения паролей Бата.

А к свете использования ВМ представляет интерес сегодняшнее сообщение
[url]http://virusinfo.info/showpost.php?p=193741&postcount=1[/url]

Виртуальные машины - 3) вариант =)
Только что-то не верится в их безопасность в плане возможности заразить основную систему, да и ресурсы компа отжирать наверняка нехило будет.

[quote=TRANCLUGATOR;193136]
4) Мультизагрузочная конфигурация через сторонний бут-менеджер, при которой разные системы установлены в разные разделы диска, и при загрузке одной из них раздел с другой приобретает атрибут "скрытый". Возможно ли, что при этом вредоносный программный код сможет примонтировать скрытый раздел с чистой системой, и найти там файлы, которые можно поразить?[/quote]

Каким образом это можно реализовать на практике? Какие программы порекомендуете использовать?

Атрибут "скрытый" для раздела диска устанавливается в программе? Будут ли доступны несистемные файлы из скрытого раздела?

[QUOTE=TRANCLUGATOR;193824]Виртуальные машины - 3) вариант =)
Только что-то не верится в их безопасность в плане возможности заразить основную систему, да и ресурсы компа отжирать наверняка нехило будет.[/QUOTE]И первое и второе от настроек зависит.

Будет ли достаточным для безопасной работы в сети выполнение рекомендаций, изложенных в электронной книге
[URL]http://security-advisory.virusinfo.info/[/URL]

а именно отлючение потенциально опасных служб + использование антивирус + сетевой экран, и в добавлении к этому работа через proxy-сервер?

В чем минусы использования proxy-сервера?
Как можно защитить передаваемые через него пароли или лучше важные пароли передавать напрямую?

Какие бесплатные proxy-сервера Вы можете порекомендовать?

[QUOTE=Herman;196043]Будет ли достаточным для безопасной работы в сети выполнение рекомендаций, изложенных в электронной книге
[URL]http://security-advisory.virusinfo.info/[/URL]

а именно отлючение потенциально опасных служб + использование антивирус + сетевой экран, и в добавлении к этому работа через proxy-сервер?

В чем минусы использования proxy-сервера?
Как можно защитить передаваемые через него пароли или лучше важные пароли передавать напрямую?

Какие бесплатные proxy-сервера Вы можете порекомендовать?[/QUOTE]Это от пользователя зависит. У меня например за год работы ни одного заражения не было. proxy анонимный что ли?

[quote=Maxim;196102]Это от пользователя зависит. У меня например за год работы ни одного заражения не было. proxy анонимный что ли?[/quote]

Да. Логично предположить, что тем самым повышает уровень безопасноти, т.к. адрес не известен.

А зачем его прятать? Потом "неизвестность" относительна, в логах прокси адрес остается, как и весь трафик пропущенный через него, включая пароли. Вам оно надо?

На практике- limited user на XP - отлично зарекомендовал себя. Более 90 процентов современных зловредов просто не могут установиться/работать и причинить вред.

[QUOTE=Herman;196118]Да. Логично предположить, что тем самым повышает уровень безопасноти, т.к. адрес не известен.[/QUOTE]

На деле бывает что прокси не такие уж и анонимные... список их очень большой но анонимных прокси с высокой степенью анонимности с SSL вы думаю очень долго будете искать и маловероятно что найдете! Да и не каждый сайт позволит Вам воити с анонимного прокси!;)

а как насчет впн сервиса?