Recentemente ho letto su l'articolo di Bruce Schneier su configurazione di un computer con air-gap e sto cercando di migliorare il mio setup (rispetto al mio attuale modello" usa un PC Windows per tutto "). La minaccia principale contro cui voglio proteggermi viene colpita dal malware tramite un allegato drive-by-download o e-mail ... e quindi il malware invia i dati sensibili dal mio computer agli hacker. Ho un piano nella mia testa e spero di ottenere un feedback su di esso.
Nota: cerco solo sicurezza contro gli attaccanti remoti, non contro le persone che entrano in casa mia, attaccando la mia rete WiFi con un furgone pieno di antenne, ecc. Inoltre, l'anonimato non è un obiettivo per me. / em>
Il mio piano è: Compra 2 nuovi laptop. Uno diventerà la macchina con aria compressa e uno diventerà la macchina in rete (utilizzata per la navigazione web, l'accesso a server e-mail, servizi bancari online, software di chat, ecc.). Acquista quelli economici che hanno solo WiFi e nessuna scheda cellulare o bluetooth.
Impostazione laptop air-gapped:
- Prima di accenderlo, apri la custodia e estrai la scheda WiFi. Nastro sulla webcam.
- Installa una distro linux tramite un DVD che ho già masterizzato (sì, ho intenzione di passare attraverso il processo di verifica della firma su ISO e tutto il resto).
- Collegati via ethernet al mio router in modo da poter accedere a Internet abbastanza a lungo da a) eseguire il programma di aggiornamento del software eb) installare gnupg2 e keepassx tramite apt-get.
- Disconnettilo da ethernet e non connetterti mai più a una rete.
- Genera una coppia di chiavi PGP.
- Genera e memorizza nuove password efficaci per i miei vari siti Web / account di posta elettronica usando keepassx.
Impostazione del laptop in rete:
- Tape up the web cam.
- Installa la stessa distribuzione linux tramite il DVD.
- Esegui il programma di aggiornamento del software.
- Installa VirtualBox.
- Configura una macchina virtuale Linux ed esegui l'aggiornamento software su quella.
- Cerca di rafforzare la versione di Firefox sulla VM modificando le impostazioni, installando NoScript, HTTPS ovunque, ecc.
- Scatta un'istantanea della VM.
Navigazione web:
- Naviga sul Web solo utilizzando la VM (non il sistema operativo host).
- Dopo ogni passaggio nel contesto (dal banking online alla ricerca sulla sicurezza, alla posta elettronica personale, ecc.), ripristina la VM alla sua ultima buona istantanea.
- Eseguire periodicamente l'aggiornamento software sullo snapshot e memorizzarlo come nuova buona istantanea.
E-mail:
- Utilizza la macchina in rete per recuperare le chiavi pubbliche delle persone. Masterizzali su CD Trasferisci il CD nella macchina con aria compressa. Componi e cripta le e-mail sulla macchina con aria compressa. Masterizza su CD e trasferisci in rete per inviare.
- Durante la lettura di e-mail, utilizzare la macchina in rete per recuperare le e-mail dai server e salvarli in file di testo. Masterizza i file di testo su CD e trasferiscili sulla macchina air-gapped per la decrittografia. Quindi ripetere dal passaggio 1.
Nota importante: le sole attività che dovrebbero essere eseguite sul sistema operativo host sulla macchina in rete sarebbero:
- Esecuzione del programma di aggiornamento del software
- Esecuzione di VirtualBox
- Trasferimento di file da / verso la macchina virtuale tramite la funzione VirtualBox della cartella condivisa
- Masterizzazione di CD da utilizzare con la macchina con aria compressa e lettura di CD masterizzati dalla macchina con aria compressa.
Le mie domande:
- C'è qualche particolare distrubuzione di Linux che sarebbe più resistente al malware proveniente da download o allegati drive-by?
- Esistono casi noti di manomissione del malware con il processo di masterizzazione di CD su una macchina Linux in rete in modo tale da poter trasmettere l'infezione a una macchina Linux con airgapped? Mi rendo conto che una macchina con aria compressa infetta può masterizzare dati extra su un CD (da leggere in seguito sul malware sulla macchina in rete). Ma la mia preoccupazione riguarda in particolare il modo in cui il malware potrebbe infettare una macchina Linux con air-gap tramite un CD. Windows ha le sue vulnerabilità AutoRun quando viene inserito un DVD o una chiavetta USB, ma Linux ha qualcosa di simile?
- In generale, mancano pezzi nel mio piano o cose che potrebbero essere migliorate?
Grazie in anticipo!