Mantenerse seguro, pero aún conectado, en conferencias de seguridad

7

Si uno va a pasar algún tiempo lejos de su hogar y trabajar en un entorno hotelero en el que los usuarios vecinos pueden al menos ser maliciosos (si no realmente maliciosos), ¿cuáles son algunas medidas que pueden tomarse para mantenerse a salvo? ¿Los usuarios siguen estando conectados?

Recursos disponibles:

  • Computadora portátil de repuesto
  • Licencia de Windows de repuesto
  • VPN proporcionada por el trabajo
  • Celular personal "tonto" (no tonto como una roca, pero no irá al MIT en el futuro)
  • teléfono inteligente de trabajo
  • Varias formas de medios extraíbles (USB HDD, DVD-R, Flash Drive, MicroSD, etc.)

Actividades planificadas:

  • navegación web
  • correo electrónico
  • Redes sociales
  • Juegos en línea
  • Personal & llamadas de trabajo y amp; SMS.
  • Acceso remoto (RDP w / NLA) a personal & computadoras de trabajo.

Planeo dejar mi computadora portátil personal de "controlador diario" en casa, y podría considerar ir sin el teléfono inteligente si puedo salirme con la suya. Me gustaría poder realizar las actividades anteriores con un nivel de comodidad razonable, al mismo tiempo que me aseguro de que cualquier información que maneje (incluidas mis credenciales de inicio de sesión) se mantenga confidencial. Además, por supuesto, me gustaría asegurarme de que ningún malware se abra camino en mis sistemas, al menos, no por culpa de nadie, sino mía.

Probablemente debería notarse que actualmente soy un usuario nativo de Windows, con poca o ninguna experiencia en otros sistemas operativos.

    
pregunta Iszi 18.10.2011 - 05:23
fuente

4 respuestas

3

Desafortunadamente, no hay seguridad, solo existe la cantidad de riesgo que está dispuesto a asumir y la cantidad que está dispuesto a pagar (dinero, recursos y conveniencia) para proteger sus activos.

La protección tiene costo. Los activos tienen valor. Y las amenazas son variables. La ecuación básica de seguridad es: Riesgo = amenaza x vulnerabilidad x exposición.

El riesgo es para sus activos, así que haré mi mejor conjetura acerca de cuáles son.

Activos:

Cuenta de correo electrónico personal, cuenta de correo electrónico del trabajo, cuentas de sitios web, identidad social en línea, cuentas de juegos en línea, cuenta de teléfono móvil personal, cuenta de teléfono móvil del trabajo, cuenta de correo de voz personal, cuenta de correo de voz del trabajo, cuentas de TI del trabajo, integridad de la computadora portátil personal, integridad de la máquina de escritorio del hogar, cuentas financieras personales (cheques, ahorros, inversión, jubilación).

Amenazas:

Para su pregunta, las amenazas son asistentes a la conferencia. Las amenazas están motivadas por diferentes objetivos, tienen diferentes niveles de habilidad y diferentes activos para usar en tu contra. Te enfrentas a diferentes tipos de ataques de amenazas maliciosas y maliciosas.

Vulnerabilidad:

Con solo parchear y mantener actualizado su sistema, reduce enormemente la cantidad de vulnerabilidades en los equipos. Una amenaza (persona) debe conocer o descubrir una vulnerabilidad para usarla en un ataque. Es mucho más fácil para las amenazas usar vulnerabilidades conocidas y encontrar sistemas que no se hayan actualizado o parcheado que descubrir vulnerabilidades nuevas o generalmente desconocidas. Solo sepa que nunca puede eliminar todas las vulnerabilidades, pero puede eliminar aquellas para las que existen parches y actualizaciones.

Exposición:

Esta es el área donde tienes más control, pero también te cuesta más en términos de conveniencia y otros recursos. Por ejemplo, al no usar su correo electrónico, reduce la exposición directa de su cuenta de correo electrónico a cero, pero se reduce el costo de conveniencia y los recursos para la comunicación. En su lugar, considere cómo y cuándo usar su correo electrónico. Por ejemplo, es posible que desee proteger la confidencialidad del correo electrónico de su trabajo accediendo solo a él cuando nadie pueda ver su teclado o pantalla (su habitación de hotel), y cuando tenga una conexión de red a una conexión de red confiable (autenticado encriptado). ISP nacional / regional, a diferencia de WiFi no cifrado público no autenticado).

Navegación web

Considere instalar múltiples navegadores para diferentes propósitos. Personalmente uso Pale Moon Portable con capacidades muy restringidas para una navegación más confidencial. También sugeriría agregar una (s) cuenta (s) por separado con poca o ninguna información personal para usar cuando necesite evitar la fuga de información.

Correo electrónico

Al igual que en la navegación web, considere instalar varios clientes de correo electrónico con diferentes configuraciones y crear cuentas separadas para aislar la información disponible cuando inicie sesión en una cuenta en particular. The Bat! es un popular cliente de correo electrónico maduro. Considere la posibilidad de actualizar sus frases de contraseña / palabras después de regresar de la conferencia.

Redes sociales

Este realmente depende de cómo valore estas cuentas y qué información desea que sea confidencial. Considere la posibilidad de actualizar sus frases de contraseña / palabras después de regresar de la conferencia.

Juegos en línea

A menos que alguna de sus cuentas de juego esté vinculada a activos financieros, con el juego en línea, creo que solo es probable que vea ataques de amenazas maliciosas: es decir, engaño, distracción y molestia. Considere la posibilidad de actualizar sus frases de contraseña / palabras después de regresar de la conferencia.

Personal & llamadas de trabajo y amp; SMS.

Considera llevar ambos teléfonos: personal y laboral. Antes de ir a la conferencia, asegúrese de tener una contraseña segura en sus cuentas y de que se requiere un PIN o contraseña para acceder a la información del correo de voz o de la cuenta, incluso si llama desde su teléfono móvil. La mayoría de los teléfonos móviles le permiten reenviar llamadas a otro número que podría ser su habitación de hotel o su otro teléfono móvil. Si le preocupa la vulnerabilidad de su teléfono inteligente, entonces puede apagarlo (hasta el final, quitar la batería si tiene dudas) cuando esté más expuesto: es decir, una presentación sobre piratería de teléfonos móviles. Cuando regrese de la conferencia, considere cambiar su PIN o contraseña del correo de voz.

Acceso remoto (RDP w / NLA) a personal & computadoras de trabajo.

Es probable que desee tener una exposición mínima al acceder a computadoras personales y de trabajo remotas, porque con esta actividad está poniendo en riesgo activos que normalmente no son vulnerables a los asistentes a la conferencia. Prefiero que nadie pueda ver mi pantalla o teclado y estoy conectado a una red autenticada cifrada de confianza.

Nota: ¡No tengo ninguna afiliación con Pale Moon o The Bat!

    
respondido por el this.josh 19.10.2011 - 10:20
fuente
4

No hay razón para usar Linux en lugar de Windows bajo la premisa de que uno es 'más seguro' que el otro (no es una pregunta fácil de responder).

Software

Si la computadora portátil que tiene está ejecutando Windows, entonces está bien seguir con ella, simplemente haga lo siguiente:

  • Asegúrese de que esté completamente actualizado con los últimos parches
  • Habilitar y configurar el Firewall de Windows
  • Deshabilite cualquier servicio adicional que no necesite (si ejecuta un servidor FTP, etc.)

Esto no te hará 'imposible de procesar', pero nada lo hará. Elegir Linux sobre Windows es una elección bastante arbitraria, ninguno de los dos sistemas operativos lo protegerá de las vulnerabilidades del día.

Network

¿Dices que tienes una empresa VPN? Suponiendo que esté cifrado, esto es ideal para esta situación. Configure su sistema para que solo envíe tráfico de red a través de su VPN.

Suponiendo que esto esté cifrado, sus credenciales deberían ser relativamente seguras.

    
respondido por el Andy Smith 18.10.2011 - 16:55
fuente
2

¿Qué pasa con un LiveCD de su elección de la distribución de Linux para las redes sociales, la navegación y demás, y una memoria USB para cualquier documento que componga / descargue, etc. Eso cubriría la mayor parte de la computación; No puedo decir de los juegos en línea ... pero ¿podrías prescindir de eso por el momento? El correo electrónico y la navegación web son los mismos en Linux y amp; Windows si consideras firfox / chrome.

    
respondido por el gregnotcraig 18.10.2011 - 08:52
fuente
2

Puede obtener un nivel de seguridad muy decente encapsulando cosas en una máquina virtual: el sistema operativo host es una instalación barebone que actúa como un firewall para el sistema operativo invitado, que se ejecuta en la máquina virtual. VirtualBox es fácil de configurar y eficiente (pero requiere algo de RAM adicional; si desea el rendimiento de una máquina de 2 GB en el VM, será mejor que tengas 4 GB de RAM física).

El sistema operativo host debe ser un sistema operativo en el que usted sea competente, de modo que pueda actualizarlo y desarmarlo cerrando todos los servicios de red innecesarios, y la configuración de firewall en ese sistema operativo no sea un problema para usted. Si es Windows, entonces ve a Windows.

    
respondido por el Tom Leek 18.10.2011 - 17:31
fuente

Lea otras preguntas en las etiquetas