Mejores prácticas para asegurar físicamente una notebook

10

Si el usuario sabe que otras personas tendrán acceso físico repetidamente a su computadora portátil (ejecutando Linux) mientras está ausente, y que no hay forma de evitarlo, ¿cuáles son las mejores prácticas de protección?

Lo obvio es bloquear la pantalla de inicio de sesión - ok. Aún no estoy seguro de cómo proteger de los CD en vivo, los USB en vivo y, sobre todo, las modificaciones de hardware, como la inserción de registradores de teclas físicos en la máquina.

En cuanto a este último caso, se puede verificar después de que haya ocurrido, pero ¿alguna idea creativa sobre cómo prevenirlo en primer lugar? Tal vez algún casillero especial, cinta o lo que no?

    
pregunta Strapakowsky 16.09.2011 - 08:15
fuente

5 respuestas

12

Esto debería ser suficiente al menos para los paranoicos moderadamente a bastante:

  • Cambie la configuración del BIOS para que se inicie solo desde el disco duro, de modo que no pueda iniciar desde otros dispositivos. Asegúrese de deshabilitar el arranque de red, que generalmente está en el mismo menú.
  • Establezca una contraseña para cambiar la configuración del BIOS y para el inicio, para que nadie pueda pasar de la pantalla de carga del BIOS sin reiniciar el BIOS.
  • Configure el apagado automático al cerrar la tapa (debería poder hacer esto en las opciones de ahorro de energía). De esa manera, los intrusos tendrán que pasar por la solicitud de contraseña del BIOS para llegar a cualquier lugar.
  • Cifre todo el disco . De esa manera, tendrás que llegar a la PC mientras está desbloqueado o agregar el rastreo de teclado para acceder a cualquier cosa.

Algunas sugerencias más extravagantes:

  • Instale un disparador tipo James Bond que se romperá si alguien abre el estuche. Idealmente, esto debería ser detectable solo por el propietario y debería ser fácil de ver.
  • Pegue los puertos que no se utilizan.
  • Rellene el interior de la computadora con resina o pegamento, para que nadie pueda instalar dispositivos de hardware allí sin ensuciarse. Por supuesto, puede correr un gran riesgo de falla de hardware si la máquina contiene partes móviles.
respondido por el l0b0 16.09.2011 - 10:52
fuente
6

Sin seguridad física, no puedes tener una protección fuerte. Por lo tanto, no conozco ninguna medida de seguridad sólida y sólida para su situación.

Pero puedes mitigar algunos de los riesgos. Un posible enfoque es tener dos instalaciones de sistema operativo. Uno de ellos debería ser Truecrypt cifrado con una contraseña segura. El otro, no encriptado en absoluto. Antes de entregar la computadora portátil a otra persona, reinicie la instancia del sistema operativo sin cifrar. Esto no protege contra los keyloggers físicos o algunas otras amenazas, pero al menos evita formas sencillas que un usuario malintencionado podría usar para obtener sus datos.

    
respondido por el D.W. 16.09.2011 - 08:40
fuente
2

Las partes externas (puertos usb, puertos firewire, unidad de CD) son de alguna manera visibles. El usuario debería mirarlos . No pude encontrar ningún dispositivo que pudiera insertarse dentro de un puerto USB y bloquearse con una llave: los puertos USB no fueron diseñados para permitir tal atornillado, por lo que probablemente poner algo de bloqueo dentro (bloqueo físico) podría causar daños.

Para evitar que se abra la carcasa del portátil: coloque un poco de sello en todos los lugares que pueda abrir con los tornillos. Si los sellos son de alguna manera personalizados, mejor, por lo que es difícil reemplazar uno después de ser dañado. Hay algunos sellos que no se pueden quitar sin destruirse a sí mismos.

Y asegúrese de que esto solo evitará el espionaje suave. Si tiene información que desea ocultar de la NSA, bueno ... buena suerte intentando. :)

    
respondido por el woliveirajr 16.09.2011 - 22:09
fuente
1

Coloque pegamento en las cabezas de los tornillos que protegen las piezas sensibles, como el disco duro. Siempre puede eliminarlo cuando lo necesite, pero proporciona detección de manipulación indebida, ya que el atacante también tendría que eliminarlo, y probablemente tendrá problemas para replicar el aspecto específico del punto de pegamento que dejó en su lugar.     

respondido por el gowenfawr 19.09.2011 - 16:28
fuente
1

BIOS

El usuario debe configurar su BIOS para deshabilitar el arranque desde medios extraíbles, y proteger con contraseña su BIOS / bootloader . Esto evitaría que un atacante pueda arrancar desde una unidad USB o un LiveCD, a menos que quizás desarmen la computadora portátil para quitar la batería CMOS ya sea para restablecer la BIOS o para reemplazar físicamente el chip de la BIOS. También debe considerar protección contra escritura del chip de BIOS .

HDD / SSD

El cifrado completo del disco protegería contra el robo de datos siempre que el atacante no pudiera acceder o determinar la clave de cifrado. También evitaría que un atacante cambie la contraseña de root iniciando modo de usuario único o arranque desde una unidad extraíble.

Sistema operativo

Qubes OS tiene algunas características, como Anti Evil Maid y protección de DMA a través de VT-d / IOMMU que debería reducir aún más la superficie de ataque. Un atacante no podría realizar un ataque DMA a través de las interfaces Firewire, Expresscard o Thunderbolt, por ejemplo. (Desafortunadamente, los Qubes se envían con numerosos blobs binarios y es posible que no sean compatibles con el deseo de un usuario de GNU / Linux de ejecutar un software totalmente gratuito).

Medidas tradicionales

Una computadora portátil podría configurarse para realizar algunas funciones de alarma o seguridad más tradicionales, por ejemplo, hacer sonar una alarma al detectar movimiento; o transmitir video desde una cámara web de 360 grados a un servidor, para que las imágenes puedan revisarse más adelante e identificar a cualquier atacante, proporcionando efectivamente la computadora portátil con CCTV.

Un buen candado ( no uno de estos ) asegurado a la ranura de bloqueo del portátil, ya un objeto inamovible , dificultaría el robo de la computadora portátil, al igual que colocarla en una bolsa antirrobo (por ejemplo, de PacSafe o uno de sus competidores) o en un estuche rígido y bloquearlo a un objeto inamovible.

Los sellos a prueba de manipulación pueden ayudar a revelar cualquier intento de abrir el estuche de la computadora portátil, aunque los sellos a prueba de manipulación que derrotarán a un atacante experto son aparentemente difícil de encontrar .

¿Computadora diferente?

Algunas computadoras, por ejemplo Los ORWL , están diseñados teniendo en cuenta la seguridad física, y cuentan con evidencia de manipulación incorporada y protección contra ataques térmicos como arranque en frío . (Desgraciadamente, el ORWL se envía con muchos blobs binarios y es posible que no sea compatible con el deseo de un usuario de GNU / Linux de ejecutar un software totalmente gratuito).

Educación

Finalmente, el usuario probablemente también debería informarse sobre el rango de ataques y las posibles defensas. Por ejemplo, podría querer leer sobre ingeniería de seguridad o ver la charla de Daniel Selifonov en DEF CON 21: Una contraseña no es suficiente: por qué el cifrado de disco está roto y cómo podemos solucionarlo .

    
respondido por el sampablokuper 01.09.2016 - 21:43
fuente

Lea otras preguntas en las etiquetas