È possibile utilizzare una macchina virtuale al posto dell'host?

2

Stavo pensando di usare un guest Debian come "host" principale invece del mio host attuale (Ubuntu).

Pensi che questo avrà dei vantaggi in termini di difficoltà a recuperare i file nel sistema operativo guest da parte del forens digital?

L'unica crittografia utilizzata nel sistema operativo guest è encfs. Anche la rete è superata. Non ho intenzione di fare nulla di hardware, solo la navigazione in Internet e la lettura di alcuni PDF.

Se ritieni che questa sia una cattiva idea o non ne valga la pena, potresti raccomandare cosa dovrei fare per impedire a qualcuno in computer forensics di trovare file o file cancellati? Anche l'host viene crittografato tramite encfs e il software di virtualizzazione che utilizzo è Virutalbox.

    
posta Joey Quinn 15.12.2014 - 16:00
fonte

2 risposte

2

Sì, è possibile ma non necessario nel tuo caso.

Le persone usano spesso le macchine virtuali per isolare applicazioni potenzialmente dannose dal loro host principale e per avere una sorta di pulsante di rewind per ripristinare la VM in uno stato precedente nel caso in cui qualcosa non funzioni, ma sembra che non sia quello che vuoi fare .

Per sconfiggere la scientifica, tutto ciò di cui hai bisogno è crittografia del disco completo con una chiave strong (passphrase lunga o file chiave), che sarà impossibile sconfiggerlo se fatto correttamente; nota che ho detto solo forense e medicina legale, se hai a che fare con qualcuno che può alterare la tua macchina mentre la lasci incustodita ( malvagio attacco di cameriera ) dovrai cercare di sigillare la tua chiave in un TPM che verrà aperto solo se la macchina non è stata alterata (su Linux c'è TrustedGRUB che sembra in grado di sfruttare di un TPM ma non l'ho provato)

La tua soluzione è un disastro sia in termini di prestazioni (esegui la crittografia due volte, sia sull'host e nell'ospite, 2x overhead con un guadagno di sicurezza marginale) e l'usabilità (come ho detto prima, puoi ottenere il stessa sicurezza ottenendo prestazioni native utilizzando la crittografia completa del disco).

Per quanto riguarda l'eliminazione di file sensibili su una partizione non crittografata, puoi utilizzare shred che sovrascrive il file multiplo volte, si noti che usarlo su un SSD è molto probabilmente controproducente dal momento che il controller dell'SSD scriverà i nuovi dati su un diverso blocco di memoria e non sovrascriverà lo stesso, quindi alla fine si consumerà solo il tuo SSD più velocemente ; si noti inoltre che mentre il file stesso potrebbe essere distrutto, il sistema operativo potrebbe conservare frammenti del file o anche l'intero file da qualche altra parte per altri scopi, ad esempio le miniature di foto; ma nessuno se è necessario se si utilizza la crittografia completa del disco supponendo che la chiave rimanga segreta.

    
risposta data 16.12.2014 - 04:27
fonte
1

could you recommend what I should do to keep someone in computer forensics from finding any deleted files or files for that matter?

Elimina in modo sicuro i file e cancella lo spazio vuoto sul disco rigido con un algoritmo a tre passaggi. C'è un'ottima guida per questo qui, su AskUbuntu . Tecnicamente è possibile recuperare cose che sono state superate con meno di 51 passaggi, ma con attrezzature altamente specializzate e tanta motivazione. A meno che tu non sia il più grande esportatore al mondo di droghe, sicari, film piratati e pornografia infantile allo stesso tempo, questo tipo di attacco molto probabilmente non verrebbe sfruttato contro di te. Se lo sei, taglia l'uomo! : P

Ora per la carne della tua domanda. Ho trovato che è più facile fare forense su macchine virtuali perché sono portatili e le istantanee rimuovono gran parte della logistica. Tuttavia, se si crittografa strongmente il file vdmk con una passphrase diversa dall'host, non salvare le istantanee e impedire a Virtualbox di spargere oggetti su tutto il filesystem, che in teoria sarebbe più sicuro di un semplice SO host.

Le macchine virtuali ti danno anche il netto vantaggio di poter distruggere (cancellare in modo sicuro) il tuo computer. Distruggere la directory della macchina virtuale sarebbe più veloce rispetto all'uso di Darik's Boot e Nuke, e non sembrerebbe molto sospetto a prima vista.

Come per tutte le domande come questa, devi tenere a mente la probabilità che una situazione come questa accada. Non vivere in un castello con fossato per tenere fuori gli unicorni.

    
risposta data 15.12.2014 - 16:54
fonte

Leggi altre domande sui tag