BIOS
El usuario debe configurar su BIOS para deshabilitar el arranque desde medios extraíbles, y proteger con contraseña su BIOS / bootloader . Esto evitaría que un atacante pueda arrancar desde una unidad USB o un LiveCD, a menos que quizás desarmen la computadora portátil para quitar la batería CMOS ya sea para restablecer la BIOS o para reemplazar físicamente el chip de la BIOS. También debe considerar protección contra escritura del chip de BIOS .
HDD / SSD
El cifrado completo del disco protegería contra el robo de datos siempre que el atacante no pudiera acceder o determinar la clave de cifrado. También evitaría que un atacante cambie la contraseña de root iniciando modo de usuario único o arranque desde una unidad extraíble.
Sistema operativo
Qubes OS tiene algunas características, como Anti Evil Maid y protección de DMA a través de VT-d / IOMMU que debería reducir aún más la superficie de ataque. Un atacante no podría realizar un ataque DMA a través de las interfaces Firewire, Expresscard o Thunderbolt, por ejemplo. (Desafortunadamente, los Qubes se envían con numerosos blobs binarios y es posible que no sean compatibles con el deseo de un usuario de GNU / Linux de ejecutar un software totalmente gratuito).
Medidas tradicionales
Una computadora portátil podría configurarse para realizar algunas funciones de alarma o seguridad más tradicionales, por ejemplo, hacer sonar una alarma al detectar movimiento; o transmitir video desde una cámara web de 360 grados a un servidor, para que las imágenes puedan revisarse más adelante e identificar a cualquier atacante, proporcionando efectivamente la computadora portátil con CCTV.
Un buen candado ( no uno de estos ) asegurado a la ranura de bloqueo del portátil, ya un objeto inamovible , dificultaría el robo de la computadora portátil, al igual que colocarla en una bolsa antirrobo (por ejemplo, de PacSafe o uno de sus competidores) o en un estuche rígido y bloquearlo a un objeto inamovible.
Los sellos a prueba de manipulación pueden ayudar a revelar cualquier intento de abrir el estuche de la computadora portátil, aunque los sellos a prueba de manipulación que derrotarán a un atacante experto son aparentemente difícil de encontrar .
¿Computadora diferente?
Algunas computadoras, por ejemplo Los ORWL , están diseñados teniendo en cuenta la seguridad física, y cuentan con evidencia de manipulación incorporada y protección contra ataques térmicos como arranque en frío . (Desgraciadamente, el ORWL se envía con muchos blobs binarios y es posible que no sea compatible con el deseo de un usuario de GNU / Linux de ejecutar un software totalmente gratuito).
Educación
Finalmente, el usuario probablemente también debería informarse sobre el rango de ataques y las posibles defensas. Por ejemplo, podría querer leer sobre ingeniería de seguridad o ver la charla de Daniel Selifonov en DEF CON 21: Una contraseña no es suficiente: por qué el cifrado de disco está roto y cómo podemos solucionarlo .