Protezione contro attacchi di Keepass specializzati

Naviga le tue risposte
4

Se guardi le sicurezza KeePass informazioni, dice:

However in all the questions above we're assuming that there's a spyware program running on the system that's specialized on attacking KeePass.

In this situation, the best security features will fail. This is law #1 of the 10 Immutable Laws of Security [4] [5]: "If a bad guy can persuade you to run his program on your computer, it's not your computer anymore".

Dato l'ampio uso di KeePass, supponiamo che siano disponibili attacchi KeePass specializzati. Inoltre, il numero di exploit zero day ecc. Mi fa pensare che non posso davvero garantire che il mio PC non sia stato violato.

In una situazione del genere, esiste un modo per utilizzare ancora KeePass, ma proteggere da attacchi specializzati?

    
posta Thomas Weller 09.06.2016 - 23:56
fonte

1 risposta

2

In such a situation, is there a way to still use KeePass, but protect against specialized attacks?

Assolutamente; la più semplice e basilare è chiamata protezione "air gap".

  • Prendi un computer senza connessione di rete, senza altoparlante e senza microfono, come ad esempio un Raspberry Pi 2.
  • Utilizza tastiere, mouse, monitor, ecc. cablati senza fili!
  • Configura con il software minimo richiesto: se insisti o per una prova di base del concetto, puoi iniziare con NOOBS Raspbian.
    • Ricollegalo, idealmente offline (vedi sotto per i trasferimenti di sola andata), ma potresti farlo online prima di iniziare a utilizzare KeePass
  • Riempi il jack ethernet con resina epossidica; non è MAI usato.
  • Installa KeepassX
  • NON È MAI PIÙ NUOVO spostare i dati da questa macchina in qualsiasi modo elettronico. Gli aggiornamenti possono entrare, ma nulla esce elettronicamente. Leggi lo schermo e il tipo di mano.
    • masterizza i CD-ROM con qualsiasi aggiornamento necessario per passare alla sola macchina KeePass e poi usa un CD-ROM USB per leggerli, quindi distruggi il CD (nel caso in cui vi sia stato scritto qualcosa).
    • o utilizza qualcosa come unità flash Apricorn ; puliscilo, imposta una password, inserisci i dati, inserisci la password e usala sulla macchina KeePass, quindi puliscila immediatamente PRIMA che entri in un'altra macchina.
  • Per i veri paranoici, usa un monitor, un mouse e una tastiera dedicati che non vengono mai utilizzati per nient'altro; più vecchio e meno avanzato, meglio è.
  • Non utilizzarlo dove eventuali videocamere elettroniche, come il tuo laptop / webcam / monitor per videoconferenza, possono vedere le emissioni dello schermo.

In questo modo, anche supponendo che alcuni software specializzati entrino nella macchina, qualcuno deve essere in ragionevole prossimità fisica per poter estrarre i dati; ascolta i suoni che i chip e / o l'alimentatore fanno, guarda i modelli termici, vedi le emissioni dalla macchina, monitor, tastiera, ecc., ma la macchina stessa non ha alcuna rete o radio - nessun bluetooth, nessun wifi, nessuna cella modem, nessun cavo ethernet, ecc.

CRITICO: esegui regolarmente il backup del file KeePass su qualcosa come Apricorn menzionato prima o su carta (stampante dedicata, nessuna rete, no funzionalità wireless), ecc.

CRITICO se usi un Pi - esegui Raspberry Pi su un UPS di qualche tipo - Raspbian reagisce molto male a improvvise perdite di energia mentre è acceso alcune volte.

    
risposta data 18.01.2018 - 05:21
fonte

Leggi altre domande sui tag

È possibile mischiare un testo cifrato AES senza possedere la chiave per esso? Come eliminare i segreti dei client OAuth2 senza tempi di inattività