Le migliori pratiche per la protezione fisica di un notebook

10

Se l'utente sa che altre persone avranno ripetutamente accesso fisico al suo notebook - con Linux in esecuzione - mentre è assente, e che non c'è modo di aggirarlo, quali sono le migliori pratiche per la protezione?

L'ovvio è bloccare la schermata di accesso - ok. Ancora non si sa come proteggere da CD live, live USB e soprattutto modifiche hardware, come l'inserimento di keylogger fisici nella macchina.

Per quanto riguarda quest'ultimo caso, è possibile verificare dopo che è accaduto potenzialmente, ma qualsiasi idea creativa su come prevenirla al primo posto? Forse qualche armadietto speciale, nastro o cosa?

    
posta Strapakowsky 16.09.2011 - 08:15
fonte

5 risposte

12

Questo dovrebbe essere sufficiente almeno per il moderatamente piuttosto paranoico:

  • Modifica le impostazioni del BIOS per l'avvio solo dal disco rigido, quindi non puoi eseguire l'avvio da altri dispositivi. Assicurati di disabilitare l'avvio dalla rete, che di solito si trova nello stesso menu.
  • Configura una password per modificare le impostazioni del BIOS e per l'avvio, in modo che nessuno possa superare la schermata di caricamento del BIOS senza ripristinare il BIOS.
  • Imposta il spegnimento automatico quando chiudi il coperchio (dovresti riuscire a farlo nelle opzioni di risparmio energetico). In questo modo, gli intrusi dovranno passare attraverso la richiesta della password del BIOS per arrivare ovunque.
  • Cripta l'intero disco . In questo modo, dovrai accedere al PC mentre sei sbloccato o aggiungere lo sniffing della tastiera per accedere a qualsiasi cosa.

Altri suggerimenti stravaganti:

  • Installa un innesco di tipo James Bond che si rompe se qualcuno apre il caso. Idealmente, questo dovrebbe essere rilevabile solo dal proprietario e dovrebbe essere facile da vedere.
  • Incolla le porte che non sono utilizzate.
  • Riempi gli interni del computer con resina o colla, in modo che nessuno possa installare lì i dispositivi hardware senza incasinarli seriamente. Naturalmente, potresti correre un grosso rischio di guasto dell'hardware se la macchina contiene parti mobili.
risposta data 16.09.2011 - 10:52
fonte
6

Senza la sicurezza fisica, non puoi avere una protezione strong. Quindi non conosco alcuna misura di sicurezza molto strong e robusta per la tua situazione.

Ma puoi mitigare alcuni dei rischi. Un possibile approccio consiste nell'avere due installazioni del sistema operativo. Uno di loro dovrebbe essere TrueCrypt crittografato con una passphrase strong. L'altro, non criptato affatto. Prima di consegnare il laptop a qualcun altro, riavvia l'istanza del sistema operativo non crittografata. Ciò non protegge da keylogger fisici o altre minacce, ma almeno impedisce i modi semplici che un utente malintenzionato potrebbe utilizzare per ottenere i tuoi dati.

    
risposta data 16.09.2011 - 08:40
fonte
2

Le parti esterne (porte USB, porte firewire, unità cd) sono in qualche modo visibili. L'utente dovrebbe guardarli . Non sono riuscito a trovare alcun dispositivo che potesse essere inserito all'interno di una porta USB e bloccato con una chiave: le porte USB non sono state progettate per consentire tale avvitamento, quindi probabilmente inserire qualche blocco al suo interno (blocco fisico) potrebbe causare danni.

Per evitare di aprire la custodia del notebook: mettere un po 'di sigillo in ogni posto che si potrebbe aprire usando le viti. Se i sigilli sono in qualche modo personalizzati, meglio, quindi è difficile sostituirne uno dopo essere stato danneggiato. Ci sono alcuni sigilli che non possono essere rimossi senza distruggere se stessi.

E assicurati che ciò impedirà solo spionaggio. Se hai delle informazioni che vuoi nascondere alla NSA, beh ... buona fortuna a provarci. :)

    
risposta data 16.09.2011 - 22:09
fonte
1

Metti la colla nelle teste delle viti proteggendo pezzi sensibili come il disco rigido. Puoi sempre eliminarlo quando è necessario, ma fornisce il rilevamento delle manomissioni, dal momento che l'hacker dovrebbe anche svuotarlo e presumibilmente avrebbe difficoltà a replicare l'aspetto specifico del punto di colla che hai lasciato sul posto.

    
risposta data 19.09.2011 - 16:28
fonte
1

BIOS

L'utente deve impostare il BIOS per disabilitare l'avvio da supporti rimovibili e proteggere con password il suo BIOS / bootloader . Ciò impedirebbe a un utente malintenzionato di essere in grado di eseguire l'avvio da un'unità USB o da un LiveCD, a meno che non riescano a smontare il portatile per rimuovere la batteria CMOS o per ripristinare il BIOS o per sostituire fisicamente il chip del BIOS. Dovrebbe anche prendere in considerazione proteggere la scrittura del chip del BIOS .

HDD / SSD

La crittografia completa del disco protegge dal furto di dati a condizione che l'autore dell'attacco non possa accedere o determinare la chiave di crittografia. Inoltre impedirebbe a un utente malintenzionato di cambiare la password di root eseguendo l'avvio in modalità utente singolo o avvio da un'unità rimovibile.

Sistema operativo

Il sistema operativo di Qubes ha alcune funzionalità, come Anti Evil Maid e protezione DMA via VT-d / IOMMU che dovrebbe ridurre ulteriormente la superficie di attacco. Un utente malintenzionato non sarebbe in grado di eseguire un attacco DMA tramite interfacce Firewire, Expresscard o Thunderbolt, ad esempio. (Qubes, purtroppo, viene fornito con numerosi blob binari e potrebbe non essere compatibile con il desiderio di un utente GNU / Linux di eseguire software completamente gratuito.)

Misure tradizionali

Un laptop può essere configurato per eseguire alcune funzioni di allarme o di sicurezza più tradizionali, ad es. suonare un allarme al rilevamento del movimento; o lo streaming di video da una webcam a 360 gradi a un server, in modo che il filmato possa essere rivisto in un secondo momento e identificherebbe eventuali aggressori, fornendo in modo efficace il laptop con CCTV.

Un blocco valido ( non uno di questi ) protetto dallo slot di blocco del portatile e da un oggetto immobile , renderebbe il portatile più difficile da rubare, come se lo inserisse in un sacchetto antifurto bloccato (ad esempio da PacSafe o uno dei suoi concorrenti) o in una custodia rigida e lo blocchi a un oggetto immobile.

I sigilli anti-manomissione potrebbero aiutare a rivelare qualsiasi tentativo di aprire la custodia del portatile, sebbene i sigilli a prova di manomissione che sconfiggeranno un abile aggressore sono apparentemente difficile da trovare .

Computer diverso?

Alcuni computer, ad es. ORWL , sono progettati pensando alla sicurezza fisica e sono dotati di prove di manomissione integrate e protezione contro gli attacchi termici come avvio a freddo . (L'ORWL, purtroppo, viene fornito con molti blob binari e potrebbe non essere compatibile con il desiderio di un utente GNU / Linux di eseguire software completamente gratuito.)

Istruzione

Infine, l'utente dovrebbe probabilmente anche informarsi sulla gamma di attacchi e possibili difese. Ad esempio, potrebbe desiderare di leggere sull'ingegneria della sicurezza o di guardare il discorso di Daniel Selifonov dal DEF CON 21: Una password non è sufficiente: perché la crittografia del disco è interrotta e come potremmo risolverlo .

    
risposta data 01.09.2016 - 21:43
fonte

Leggi altre domande sui tag