Protegiéndose contra ataques especializados de Keepass

Navega tus respuestas
4

Si observa la información de KeePass , dice:

  

Sin embargo, en todas las preguntas anteriores, asumimos que hay un programa de spyware ejecutándose en el sistema que está especializado en atacar KeePass.

     

En esta situación, las mejores características de seguridad fallarán. Esta es la ley # 1 de las 10 Leyes de Seguridad Inmutables [4] [5]: "Si un malvado puede persuadirlo para que ejecute su programa en su computadora, ya no es su computadora".

Dado el amplio uso de KeePass, supongamos que hay disponibles ataques especializados de KeePass. Además, la cantidad de exploits de día cero, etc. me hace sentir que realmente no puedo garantizar que mi PC no haya sido pirateada.

En tal situación, ¿hay alguna forma de seguir utilizando KeePass, pero protegerse contra ataques especializados?

    
pregunta Thomas Weller 09.06.2016 - 23:56
fuente

1 respuesta

2
  

En tal situación, ¿hay alguna forma de seguir utilizando KeePass, pero protegerse contra ataques especializados?

Absolutamente; el más simple y el más básico se llama protección de "espacio de aire".

  • Tome una computadora sin conexión de red, sin altavoz y sin micrófono, como una Raspberry Pi 2.
  • Use teclados cableados, ratones, monitores, etc. ¡No hay nada inalámbrico!
  • Configúrelo con el software mínimo requerido: si insiste o para una prueba de concepto básica, puede comenzar con NOOBS Raspbian.
    • Colóquelo, idealmente fuera de línea (consulte a continuación para las transferencias en una sola dirección), pero puede hacerlo en línea antes de comenzar a usar KeePass en absoluto.
  • Rellena el conector Ethernet con epoxi; NUNCA debe usarse.
  • Instala KeepassX
  • NUNCA VUELVES a mover cualquier dato de esta máquina de manera electrónica. Las actualizaciones pueden entrar, pero nada sale electrónicamente. Lea la pantalla y el tipo de mano.
    • grabe los CD-ROM con cualquier actualización que necesite para pasar a la única máquina KeePass y luego use un CD-ROM USB para leerlos, luego destruya el CD (en caso de que algo se haya escrito).
    • o use algo como un unidad flash Apricorn ; elimínelo, establezca una contraseña, coloque los datos en él, ingréselo y utilícelo en la máquina KeePass, luego bórrelo de nuevo ANTES de ingresar en cualquier otra máquina.
  • Para los verdaderamente paranoicos, use un monitor dedicado, un mouse y un teclado que nunca se utilicen para nada más; cuanto más viejo y menos avanzado, mejor.
  • No lo use donde cualquier cámara electrónica, como su computadora portátil / cámara web / monitor de videoconferencia elegante, pueda ver las emisiones de la pantalla.

De esta manera, incluso suponiendo que algún software especializado ingresa a la máquina, alguien tiene que estar razonablemente cerca para poder extraer datos; escuche los sonidos que hacen los chips y / o la fuente de alimentación, observe los patrones térmicos, vea las emisiones de la máquina, el monitor, el teclado, etc., pero la máquina en sí no tiene redes ni radios en absoluto, ni bluetooth, ni wifi, ni celular módem, sin cable ethernet, etc.

CRÍTICO: haga una copia de seguridad de ese archivo KeePass con regularidad a algo como Apricorn mencionado anteriormente, o en papel (impresora dedicada, sin conexión de red, no capacidad inalámbrica), etc.

CRÍTICO si usa un Pi: ejecute Raspberry Pi en algún tipo de UPS - Raspbian reacciona muy mal a la pérdida repentina de energía cuando se enciende parte del tiempo.

    
respondido por el Anti-weakpasswords 18.01.2018 - 05:21
fuente

Lea otras preguntas en las etiquetas

Aplicación móvil de seguridad API REST con PIN ¿Es mejor tener un canal seguro o una entrada de PIN segura para tarjetas inteligentes?