Recientemente leí el artículo Bruce Schneier en configurando una computadora con espacio de aire y estoy buscando mejorar mi configuración (en comparación con mi modelo actual de" usar una PC con Windows para todo "). La principal amenaza contra la que quiero protegerme es ser atacado con malware a través de un archivo adjunto de descarga por correo electrónico ... y luego hacer que ese malware envíe datos confidenciales de mi computadora a los piratas informáticos. Tengo un plan en mi cabeza y espero recibir algunos comentarios al respecto.
Nota: solo busco seguridad contra atacantes remotos, no contra personas que irrumpen en mi casa, atacan mi red WiFi con una camioneta llena de antenas, etc. Además, el anonimato no es un objetivo para mí.
Mi plan es: comprar 2 computadoras portátiles nuevas. Una se convertirá en la máquina con espacio de aire y la otra en la red (utilizada para navegar por la web, iniciar sesión en servidores de correo electrónico, banca en línea, software de chat, etc.). Compre los baratos que solo tienen WiFi, y no hay tarjetas celulares o bluetooth.
Configuración de la computadora portátil con espacio de aire:
- Antes de encenderlo, abra la caja y saque la tarjeta WiFi. Grabar sobre la cámara web.
- Instale una distribución de Linux a través de un DVD que ya he grabado (sí, planeo pasar por el proceso de verificación de la firma en la ISO y todo eso).
- Conéctese a través de Ethernet a mi enrutador para poder acceder a Internet el tiempo suficiente para a) ejecutar el programa de actualización de software yb) instalar gnupg2 y keepassx a través de apt-get.
- Desconéctelo de Ethernet y nunca vuelva a conectarse a una red.
- Genera un par de claves PGP.
- Genere y almacene nuevas contraseñas seguras para mis diversos sitios web / cuentas de correo electrónico usando keepassx.
Configuración de la computadora portátil en red:
- Cinta de la cámara web.
- Instale la misma distribución de Linux a través del DVD.
- Ejecuta el actualizador de software.
- Instalar VirtualBox.
- Configura una VM de Linux y ejecuta el actualizador de software en eso.
- Intente fortalecer la versión de Firefox en la máquina virtual modificando la configuración, instalando NoScript, HTTPS en todas partes, etc.
- Tome una instantánea de la máquina virtual.
Navegación web:
- Solo navegue por la web usando la VM (no el sistema operativo host).
- Después de cada cambio en contexto (desde la banca en línea a la investigación de seguridad hasta el correo electrónico personal, etc.), restaure la máquina virtual a su última instantánea.
- Ejecute el actualizador de software en la instantánea periódicamente y guárdelo como la nueva instantánea buena.
E-mailing:
- Use la máquina en red para recuperar las claves públicas de las personas. Quemarlos en un CD. Transfiera el CD a la máquina con espacio de aire Redactar y cifrar correos electrónicos en una máquina con espacio de aire. Grabar en CD y transferir a la máquina en red para enviar.
- Al leer correos electrónicos, use la máquina en red para recuperar los correos electrónicos de los servidores y guardarlos en archivos de texto. Grabe los archivos de texto en un CD y transfiéralos a la máquina con espacio de aire para el descifrado. Luego repita desde el paso 1.
Nota importante: las únicas tareas que deben realizarse en el sistema operativo host en la máquina en red serían:
- Ejecutando el actualizador de software
- Ejecutando VirtualBox
- Transferencia de archivos a / desde la máquina virtual a través de la función VirtualBox de la carpeta compartida
- Grabar CD para ser utilizados por la máquina con espacio de aire y leer CD grabados por la máquina con espacio de aire.
Mis preguntas:
- ¿Existe alguna distribución de Linux en particular que sea más resistente al malware proveniente de descargas o archivos adjuntos?
- ¿Se conocen casos de malware que manipula el proceso de grabación de CD en una máquina de linux en red para que pueda pasar la infección a una máquina de linux con aire? Me doy cuenta de que una máquina con huecos de aire infectada puede grabar datos adicionales en un CD (para ser leído más tarde por el malware en la máquina en red). Pero mi preocupación es específicamente cómo el malware puede infectar una máquina de Linux con espacio de aire a través de un CD. Windows tiene sus vulnerabilidades de ejecución automática cuando se inserta un DVD o una memoria USB, pero ¿Linux tiene algo similar?
- En general, ¿faltan piezas en mi plan o cosas que podrían mejorarse?
Gracias de antemano!