Evaluación de riesgos Seguridad física de los dispositivos

Navega tus respuestas
0

Tengo varios dispositivos y unidades flash que necesitan ser asegurados. No he podido encontrar ninguna buena medida de seguridad física para proteger esos dispositivos. ¿Cuáles son mis opciones? ¿Qué usas si alguien está en una situación similar?

Respuestas a ssd.eff.org/en/module/assessing-your-risks de Mike Ounsworth

  1. Quiero proteger los archivos para que no se puedan copiar y los dispositivos no se vean comprometidos.

  2. Hay más de un adversario y sus recursos son moderados a altos. Se pueden romper fácilmente en cajas fuertes y cerraduras si no son lo suficientemente seguros.

  3. El adversario robaría los datos y los usaría de manera negativa.
  4. El riesgo es seguro.
  5. Haría todo lo posible para tratar de prevenir, no hay restricciones sociales, no hay restricciones técnicas y las restricciones financieras por debajo de $ 1,000 USD serían ideales.
pregunta Perry 14.10.2018 - 18:04
fuente

4 respuestas

1

La respuesta se encuentra en Karate Kid II:

  

Recuerda, mejor bloque, no estar allí.

No puede romper un dispositivo que no tiene, y no puede robar algo de lo que no conoce la ubicación. No puede descifrar un cifrado no-sucks sin conocer la clave. No puede obligar a alguien a decirle la clave si la persona no la conoce. No puede restaurar un secreto dividido si no tiene todas las partes (o un número determinado, al menos).

Entonces, la primera defensa obvia es hacer que la ubicación de los dispositivos / discos sea desconocida y que los discos sean físicamente inaccesibles. Asegúrese de que no es factible obtener todas las partes.

Alquile un par de cajas fuertes bancarias, no le diga a nadie dónde. Pon un disco con una parte de secreto compartido en cada uno. Dependiendo de su nivel de paranoia, incluso puede tener dos o tres personas de confianza que alquilan cajas fuertes de forma independiente (y posiblemente más de lo que necesita), y le dan a una o varias de ellas una parte del secreto (sin saber dónde han alquilado las cajas fuertes usted mismo) , o en cual colocaran el disco).

Use una clave de cifrado aleatoria el tiempo suficiente para que no la recuerde, y pídale a otra persona de confianza que la guarde. O bien, haga que dos personas guarden la mitad de la llave cada una. Podría darle la mitad a su abogado en un sobre cerrado como en una película de espías de los años 70. O bien, póngalo en una caja fuerte diferente, escóndalo en un cementerio, lo que sea. El almacenamiento protegido en un teléfono inteligente sería una opción. Tanto Apple como Samsung ofrecen almacenamiento protegido y borrarán la memoria después de tantas fallas si le dices al teléfono que haga eso. Dale a tu abogado ese teléfono.

Los adversarios pueden romper la caja fuerte en su hogar o en su oficina. Pero pocos, muy pocos , los adversarios pueden entrar en la caja fuerte de un banco, y mucho menos romper en varios de ellos al mismo tiempo o sin ser notados. Tan pronto como una caja fuerte bancaria sea ingresada, se le informará. Por lo tanto, deben ser realmente, realmente, realmente, poderosos para lograr eso.
Si la posibilidad de que su adversario se rompa en 3 o 4 bancos al mismo tiempo y para averiguar la clave de cifrado es una preocupación realista, deje de leer ahora, compre algo de cuerda y cuélguelo. O simplemente dales tu secreto.

Un adversario que no tiene todos los dispositivos de secreto dividido no puede usar los datos incluso si tiene algunos de ellos (bueno, depende del esquema que use, podría necesitar N-1 o N-2, o N / 2). Un adversario que no conoce la clave de cifrado no tiene más que basura en sus manos, incluso si tiene todas las partes. Entonces ... asegúrate de que eso no pueda suceder.

El esquema de secreto dividido más fácil y más obvio que puede usar sin herramientas especiales es RAID-0 (o RAID-5 si desea intercambiar el pequeño riesgo de que el adversario encuentre discos N-1 contra el riesgo de perder uno) por accidente) en combinación con cualquier tipo de cifrado basado en archivos que no se chupe del todo. Cualquier cosa que haga cualquier tipo de encadenamiento de bloques y use un algoritmo de no broma. Lo que es más o menos lo que hace cualquier herramienta de archivo estándar como 7z o algo similar. Si tiene razones para creer que su adversario puede romper el cifrado que utiliza 7z, entonces vea más arriba, compre la cuerda y cuélguelo. Nadie puede ayudarte.

Como alternativa, si RAID le parece demasiado aterrador (¿nunca lo ha escuchado?), podría agregar algunos datos aleatorios a un archivo (encriptado) (no importa qué, solo para garantizar un tamaño de archivo mínimo para comenzar) , luego agregue todos sus datos secretos y finalmente seleccione la opción "dividir archivo a ..." para generar varios subarchivos pequeños. Todas menos la primera parte (que contiene solo ruido aleatorio) no tienen valor sin todas las partes anteriores. Poner uno en cada disco, listo. Incluso puede agregar alguna redundancia a mano si lo desea, en caso de que se pierda un disco. Solo necesita crear más segmentos y asegurarse de que cada uno esté en al menos dos discos.
O bien, cree un archivo cifrado, divídalo en dos, agregue las partes en orden inverso a otro archivo cifrado que luego divide en N partes (no necesita ruido aleatorio, no puede decodificar ninguna parte, incluida la primera, sin las otras partes). ).

Si un adversario no tiene todos los discos, lo que sea que tenga ... no tiene ningún valor. No hay forma de que descifre el archivo, o parte de él, incluso si conoce la clave de descifrado.

Si el nivel de paranoia está en su nivel más alto, puede complementar todo agregando aún más el cifrado a nivel de sistema de archivos. Pero eso es realmente un poco tonto.

    
respondido por el Damon 24.12.2018 - 13:39
fuente
0

Si este es su perfil de riesgo, es posible que solo desee copiar las estrategias que se utilizan para proteger la información gubernamental / militar / financiera.

No utilice unidades flash normales, use unidades compatibles con FIPS 140-2, como las creadas por llave de hierro . IronKey también fabrica discos duros además de unidades USB.

Estos dispositivos son seguros incluso contra amenazas avanzadas. Puede que te roben la unidad, pero casi no hay posibilidad de que los datos se vean comprometidos si utilizaste una buena contraseña.

    
respondido por el Daisetsu 14.10.2018 - 18:57
fuente
0

La mejor seguridad física para una unidad flash USB pequeña es tenerla contigo todo el tiempo, para que esté bajo tu control físico inmediato. Para que un adversario obtenga el dispositivo, necesitarían atacarte y eliminar el objeto por la fuerza. Mantener una pequeña unidad flash USB en un bolsillo con cremallera o usar una cadena alrededor de su cuello son opciones que lo ayudan a mantener el control físico sobre el dispositivo. Evite mantener los dispositivos sensibles en mochilas, carteras, maletines u otros contenedores, ya que estos se eliminan más fácilmente de su control.

Para el almacenamiento fuera de su control personal, necesitaría un piso seguro incrustado en concreto. La compra e instalación de tal caja fuerte costará más gracias a su límite establecido. La única otra opción de almacenamiento es utilizar un tercero de confianza para el almacenamiento, como se sugiere en los comentarios, las cajas de depósito bancario se consideran seguras.

Además, puede formatear unidades flash USB con un sistema de archivos cifrado: BitLocker en Windows, FileVault para Mac OS X y cryptsetup en Linux.

Intente limitar la cantidad de dispositivos y unidades comprando dispositivos y volúmenes de almacenamiento con grandes capacidades y eliminando de forma segura los dispositivos anteriores. Cuantos más dispositivos y volúmenes de almacenamiento tenga, más difícil será mantenerlos protegidos y seguros.

    
respondido por el this.josh 25.10.2018 - 07:57
fuente
0

El uso de una unidad flash estándar donde los datos están cifrados en la computadora y solo los datos cifrados están en el dispositivo es seguro. Esto se basa en un método de encriptación seguro y correctamente utilizado, como AES, un IV aleatorio y un modo como CBC o GCM. El cifrado de archivos Zip probablemente no sea seguro.

El punto débil es la clave de cifrado, qué tan segura es y cómo está protegida. Si una contraseña / frase de contraseña debe ser buena, asegúrese de que no esté en una lista de contraseñas frecuentes como SecLists .

La clave de cifrado debe derivarse de la frase de contraseña con un método de derivación de clave segura con un salt aleatorio y una utilización de la CPU de 100 ms de duración o superior. Utilice una función como PBKDF2 , Rfc2898DeriveBytes , Argon2i , password_hash , Bcrypt o funciones similares. El punto es hacer que el atacante dedique un tiempo considerable a encontrar contraseñas por fuerza bruta.

Tenga en cuenta que cada vez que se accede a los datos, hay una versión no cifrada en la computadora y que probablemente no se borrará cuando finalice el acceso. Esta es una pequeña ventana de oportunidad pero existe. No acceda a los datos sin cifrar en una computadora que está conectada a una red y, como mínimo, reiniciar después de acceder, incluso entonces puede haber una copia de los datos en un archivo de caché del sistema operativo.

Pero tenga cuidado con cryptanalysis de la manguera de goma , consulte XKCD .

Una opción física es una caja fuerte de piso de clase C asegurada en concreto que debería costar alrededor de $ 1000 instalados, pero aún así la seguridad es limitada, pero el acceso destructivo generalmente será evidente, sin embargo, un cracker extremadamente hábil podría tener acceso a la caja fuerte. / p>     

respondido por el zaph 25.10.2018 - 11:12
fuente

Lea otras preguntas en las etiquetas

¿Caracteres impares, incluida una barra diagonal inversa, en el campo de nombre de la pista magstripe 1? ¿Qué debo considerar como una opción de seguridad?