És ha az ügyfél ad valamit pendrive-on?
Németeknél el lehet játszani a blame it on the corporate rules kártyát, de ázsiaiaknál egy szint fölött nem annyira nyerő a puhafaszúság meg a bizalmatlanság. Mert ők ennek fogják venni, ha nem vagy hajlandó bedugni a gépedbe a szarukat.
Bár nem dolgoztam soha pentester munkakörben, az előző munkahelyemen elég erős kiképzést kaptam informatikai rendszerek biztonságából (már csak azért is, hogy az auditorokat hatékonyan tudjuk átbaszni), valmint tanultam social engineering-et is. Nem állítom, hogy engem aztán senki nem basz át, ez benne van a pakliban. De a kockázatokat úgy gondolom tudom értékelni.
Idegen pendrive most is virtualbox-ba routolt USB-re megy, ahol egy erre a célra fenntartott XP alól olvasom. Vannak benne lightweight programok (pl. SumatraPDF) dokumentumok olvasására. És csak visszalököm utána a snapshot-ra.
Tudom ez se véd meg mindentől, de nem dolgozhatsz kotonban. Van az a mértékű kockázat, amit néha be kell vállalni az üzlet érdekében.
Én is csak azt várom el, hogy legalább a saját munkáltatóm megbízzon bennem, amíg nem adok okot az ellenkezőjére.
Valamint hiszek abban, hogy ha felelősséget adsz az emberek kezébe, a többség fel fog nőni a feladathoz. Mert tudja, érzi, hogy múlik rajta.
Ennél jobb védelem szerintem nincs.