Frage:
Hardening Linux desktop machine against people from my household
Boris
2016-06-15 15:20:18 UTC
view on stackexchange narkive permalink

Ich möchte ein Debian-System auf meinem Heim-Desktop neu installieren. Zur Verdeutlichung wechsle ich von Windows und möchte es als mein tägliches Heimbetriebssystem verwenden. Ich werde keine Server oder ähnliches ausführen.

Ich habe auch Grund dazu Ich glaube, dass einige Mitglieder meines Haushalts (die physischen Zugriff auf meinen Computer haben) versuchen würden, Zugriff darauf zu erhalten und meine Daten zu durchsuchen oder möglicherweise sogar einen Keylogger zu installieren.

Für den Zweck dieser Frage: Bitte ignorieren Sie die sozialen Aspekte, außer dass ich nicht offen konfrontativ handeln kann, z Das Sperren meines Zimmers, um zu verhindern, dass jemand auf meinen PC zugreift, ist keine Option.

Die Personen, vor denen ich mich schützen möchte, sind technisch versiert. Sie kennen sich mit Linux aus, auch wenn sie möglicherweise nicht viel Erfahrung damit haben. Wenn etwas mit etwas googeln gefunden werden kann und vielleicht ein oder zwei Stunden dauert, wird es höchstwahrscheinlich versucht. Trotzdem bin ich mir ziemlich sicher, dass der Erwerb von Spezialausrüstung nichts ist, mit dem sie sich beschäftigen würden, was bedeutet, dass ich mir keine Sorgen um die meisten Hardware-Angriffe machen muss, z. Ein Tastatur-Keylogger oder ein Fehler auf meinem Mobo / RAM-Sniffer / was auch immer.

Eine andere Sache ist, dass ich ein Windows 7-System habe, auf das sie Administratorzugriff haben (daher kann es als gefährdet angesehen werden). Dies ist einer der Gründe, warum ich zu Linux wechsle. Ich möchte jedoch ein Dual-Boot-System beibehalten, anstatt Windows vollständig zu entfernen. Mir ist bewusst, dass dies einem Angreifer ermöglichen würde, meine Linux-Partition direkt zu zerstören, und das ist ein Risiko, das ich eingehen möchte.

Ich bin nicht mit der Sicherung meines Windows-Systems befasst. Ich bin mir bewusst, dass es kompromittiert ist, und es ist mir egal, was damit passiert. Wie bereits erwähnt, haben andere Benutzer Konten auf meinem Windows-System und verwenden es gelegentlich (aus legitimen Gründen!). Ich möchte auf jeden Fall meine Linux-Installation sichern, aber das Verhindern des Zugriffs auf Windows hat keinen Sinn, es sei denn, trägt zur Sicherheit des Linux-Teils meines Computers bei. Tatsächlich würde ich es lieber vermeiden, den Zugriff auf Windows zu beschränken, wenn dies möglich ist, da ich nicht paranoid erscheinen oder Konflikte im Haushalt verursachen möchte.

Die vollständige Festplattenverschlüsselung verhindert, dass jemand tatsächlich auf meine Daten zugreift außerhalb meiner Linux-Installation selbst, die sich dann sowohl um das Windows-System als auch um das Booten von einem USB-Laufwerk kümmern sollte (ich bin mir ziemlich sicher, dass die fraglichen Personen nicht über die Ressourcen oder die Motivation verfügen, ein gut verschlüsseltes zu entschlüsseln Fahrt). Natürlich muss ich auch den Einzelbenutzermodus mit einem Kennwort schützen.

Welche anderen Dinge müsste ich tun, um mein System zu sichern? Ich bin mit dem Befehl vertraut Linie und bereit, meine Hände schmutzig zu machen, aber ich habe begrenzte Linux-Erfahrung und fragmentarische Kenntnisse der Computersicherheit. Die Wahl von Debian ist weitgehend willkürlich und ich hätte kein Problem damit, eine andere Distribution auszuprobieren, wenn es in meinem Fall besser wäre. Wenn ich etwas verpasst habe oder wenn Sie Tipps zu den von mir erwähnten Dingen haben (z. B. Best Practices für die Festplattenverschlüsselung?), Würde ich mich freuen, sie zu hören.

Ich glaube nicht Diese Frage ist ein Duplikat, da sich alle anderen Fragen, die ich zur Sicherung von Linux auf dieser Site gefunden habe, mit Remoteangreifern und dem Schutz vor Viren und Exploits befassen. Sie haben sicherlich gute Antworten, aber das ist nicht die Art von Information, nach der ich hier suche.
Eine andere Frage wurde mir zur Kenntnis gebracht, als mein Beitrag als Duplikat markiert wurde. Dieser fragt jedoch im Allgemeinen, ob sein Computer sicher ist, wenn andere physischen Zugriff darauf haben. Die Antworten darauf beschränken sich im Allgemeinen auf "Physischer Zugriff = Spielende" und enthalten einige Tipps zur Abschwächung verschiedener Angriffe (einschließlich Rückspiegeln auf Ihrem Monitor). Viele dieser Tipps sind hier nicht anwendbar, da mir bewusst ist, dass uneingeschränkter physischer Zugriff bedeutet, dass der Computer theoretisch nicht mehr mir gehört, und daher den Angreifern in meinem Bedrohungsmodell einige Einschränkungen auferlegen, die zu meinem persönlichen Szenario passen.

Warum nicht einfach die Festplatte trennen, von einem USB-Stick in die Linux-Live-Umgebung booten und dann alles verschlüsselt auf einer externen Festplatte speichern?Verwenden Sie TrueCrypt, damit Sie möglicherweise zwei Kennwörter verwenden können (Dummy und Real).
Beginnen Sie mit dem [Securing Debian-Handbuch] (https://www.debian.org/doc/manuals/securing-debian-howto/).
"Wer hat physischen Zugriff auf meinen Computer?" Es gibt ein altes Sprichwort in der IT: Physischer Zugriff ist gleich Spielende.Viel Glück, aber Sie verschwenden wahrscheinlich Ihre Zeit.
Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/41248/discussion-on-question-by-boris-hardening-linux-desktop-machine-against-people-f).
Wenn Sie Ihren Mitbewohnern so sehr misstrauen, ist es vielleicht die beste Sicherheitsmaßnahme, nicht mehr mit ihnen zusammen zu sein.Kurz gesagt, Umzug.
Sie müssen nicht auf Ihren Computer zugreifen, um zu sehen, was Sie im Internet tun :) Solange sie Zugriff auf den Router haben.Ich gehe davon aus, dass sie dies tun, da sie bereits Administratorzugriff auf Ihr Windows-System haben.
Mögliches Duplikat von [Wie kann ich meinen Computer vor potenziell böswilligen Kollegen schützen?] (Http://security.stackexchange.com/questions/6150/how-can-i-protect-my-computer-from-my-potential-böswillige Kollegen)
Dies wird bereits durch eine Reihe anderer Fragen hier ziemlich gut abgedeckt: http://security.stackexchange.com/q/6150/971, http://security.stackexchange.com/q/2613/971, http: //security.stackexchange.com/q/2463/971, http://security.stackexchange.com/q/10354/971, http://security.stackexchange.com/q/85373/971, http: // security.stackexchange.com/q/112976/971.
Stellen Sie sicher, dass Sie vor Hardware-Angriffen geschützt sind.Debian kann mit FDE und so gesichert werden, aber was, wenn sie einfach einen kleinen Hardware-Schlüssellogger zwischen Ihrem Computer und Ihrer Tastatur stecken?
Stellen Sie sicher, dass nicht einfach eine Minikamera an Ihren Computer angeschlossen wird.Der beste Weg, um sicherzustellen, dass ein System sicher ist, ist der Versuch, es zu hacken.Warum will Ihre Familie Ihre Informationen so sehr?
Ich muss zugeben, mein erster Gedanke war "müde davon, dass deine Eltern in den Keller kommen und deinen Browserverlauf überprüfen, oder?"
Die beste Sicherheit ist physisch - Kaufen Sie eine SSD mit einem schicken externen USB-Gehäuse.Installieren Sie dort Ihre Linux- und Datenpartitionen.Stellen Sie das BIOS Ihres Computers so ein, dass es als oberste Priorität von USB startet.Verstecken Sie die SSD, wenn Sie sie nicht verwenden.Verwenden Sie niemals die interne Festplatte, die im Vergleich zur SSD ohnehin sehr langsam ist (Linux startet in weniger als 5 Sekunden).Um besonders verdeckt zu sein, installieren Sie dieselbe Linux-Version wie einen roten Hering auf der Festplatte und laden Sie den Browserverlauf mit Bildern von Nixon und Kätzchen hoch.
@DominicCerisano USB ist ein viel einschränkenderer Faktor als die Art der Festplatte im Gehäuse.
Keine Antwort, aber: Wenn Sie nicht konfrontativ sein können, weil Sie keinen Beweis haben, sollten Sie ihn sammeln.Zum Beispiel mit Ihrem eigenen Keylogger.
@Criggie hängt von der Geschwindigkeit von USB und Laufwerk ab.Die meisten externen Laufwerke sind langsamer als der Durchsatz von USB 3.0, aber viele SSDs sind schneller als USB 2.0.
@Criggie eine gute SSD ist ungefähr 400 MBit / s und USB 3.0 ist 640 MBit / s.Eine gute Festplatte hat nur etwa 200 MBit / s.Interne Laufwerke sind sehr altmodisch und unsicher - der Speicherplatz und die Kosten können für bessere Grafiken verwendet werden.Externer Speicher wird immer schneller, billiger, kleiner und physisch sicherer.
Wenn der Angreifer 20 Sekunden Zugriff auf Ihren laufenden und entsperrten Computer hat, kann er Folgendes tun: Laden Sie ein Skript aus dem Internet herunter, das Skript erkennt und beendet den Bildschirmschoner, startet einen modifizierten Bildschirmschoner, der ein zusätzliches Kennwort akzeptiert, und startet aHintergrundserver, der Shell-Befehle über TCP akzeptiert und Startskripte (möglicherweise das X11-Profilskript) ändert, um den Hintergrundserver und den geänderten Bildschirmschoner beim Start zu starten.- Sie möchten also nicht, dass Ihr laufender Computer unbeaufsichtigt bleibt.
"Da mir bewusst ist, dass unbegrenzter physischer Zugriff bedeutet, dass die Maschine theoretisch nicht mehr meine ist" - das ist nicht mehr "theoretisch".Es ist das, was in der Praxis wirklich passiert.Es spielt keine Rolle, welche Einschränkungen Ihr Angreifer hat - wenn er physischen Zugriff hat, haben Sie bereits verloren.
23 antworten:
Chris Tsiakoulas
2016-06-15 16:38:34 UTC
view on stackexchange narkive permalink

    Verwenden Sie ein sicheres und schwieriges Kennwort für den Root-Benutzer. Zweitens müssen Sie sich immer von einem anderen Benutzer ohne Administratorrechte (und auch mit einem sicheren Kennwort) anmelden und arbeiten.

  1. Aktivieren Sie die BIOS-Kennwortoption. Jedes Mal, wenn Sie Ihren Computer einschalten, werden Sie vom BIOS selbst vor dem Booten nach einem Kennwort gefragt. Außerdem wird verhindert, dass alle Benutzer Änderungen am BIOS-Setup vornehmen.

  2. Verschlüsseln Sie jede Partition Ihrer Festplatte (überprüfen Sie Cryptsetup auf Debian - wenn Ihre Windows-Partition nicht verschlüsselt werden kann). Verwenden Sie auch TrueCrypt (von Windows für Windows).

  3. Achten Sie auf externe Hardwaregeräte, die an Ihren PC angeschlossen sind (z. B. USB-Sticks oder Hubs), die Sie zuvor noch nicht verwendet haben . Möglicherweise hat jemand einen Keylogger oder ähnliches angeschlossen.

  4. Sperren oder schalten Sie das Gerät immer aus, wenn Sie nicht da sind.

  5. Software-Hardening:

    Installieren Sie gufw (GUI für die vorinstallierte iptables-Firewall) und blockieren Sie den eingehenden Datenverkehr. Installieren Sie auch rkhunter und überprüfen Sie Ihr System von Zeit zu Zeit auf bekannte Rootkits und andere Bedrohungen.

  6. ol>

    Das ist alles, woran ich jetzt denken kann. Wenn Sie Fragen haben, können Sie diese gerne unten kommentieren.

Vielen Dank für Ihre Antwort!Ich habe ein paar Fragen: 1) Ist das Deaktivieren der Root-Anmeldung eine gute Idee oder ändert es überhaupt etwas?2) Lohnt es sich, die Windows-Partition zu verschlüsseln, um die Linux-Installation zu sichern?Denn zu diesem Zeitpunkt weiß ich, dass Windows kompromittiert ist und kein wirkliches Interesse daran hat, es zu sichern.Ich mache mir nur Sorgen um den Linux-Teil.
Vergessen Sie nicht das Grub-Passwort.Und das Root-Konto insgesamt sperren.
"Aktivieren Sie die BIOS-Passwortoption" - dies bietet nicht viel Sicherheit.Ältere BIOS hatten normalerweise ein Dienstkennwort (z. B. AWARD_SW bei einigen Award-BIOS), einige UEFIs haben sie auch. Wenn Sie in das BIOS / UEFI-Setup einsteigen, können Sie jedes Betriebssystem von nahezu jedem Gerät aus starten. Aus diesem Grund müssen Sie die Festplattenverschlüsselung verwenden, da der Angreifer sonst eine Live-Linux-Distribution booten, die Festplatten mounten und Ihre Privatsphäre schützen kann.
@Blue: Siehe meine neue Bearbeitung im OP;Es ist mir egal, was mit Windows passiert.Ist es immer noch eine gute Idee, BIOS- und Grub-Passwörter einzurichten?
@Boris Es sollte verhindern, dass andere Personen auf Live-Festplatten (wie Kali) booten, die versuchen, die Festplattenverschlüsselung zu unterbrechen.Außerdem müssen Sie für grub nicht für alle Einträge Kennwörter festlegen (https://help.ubuntu.com/community/Grub2/Passwords).
@Blue Das ist gut zu wissen, ich werde das auf jeden Fall untersuchen.Danke für den Hinweis.
Die Verwendung von TrueCrypt unter Windows löst nichts.Wenn überhaupt, verursacht es ein Problem, wenn er Windows-Spiele ausführt (es verlangsamt den Computer).
Wenn Sie die Root-Anmeldung deaktivieren, können Sie nur bei Bedarf (zusammen mit anderen) root sein.Wenn nicht jeder eoot wird, können weniger Menschen ernsthafte Aufgaben auf der gesamten Maschine ausführen.Wenn Sie sich nicht für Ihre Fenster interessieren, lassen Sie es.Windows erkennt ext-Dateisysteme sowieso nicht.Und selbst wenn jemand ein Dienstprogramm herunterlädt, fällt es ihm schwer, Ihr Volume zu entschlüsseln.
Wenn der Angreifer physischen Zugriff auf die BIOS-Passwörter hat, kann er höchstwahrscheinlich einfach den PC ausstecken, die CMOS-Batterie entfernen, den Netzschalter betätigen, einige Sekunden warten, wieder einstecken und einsteigen.
@arul True - allerdings nicht ohne dass OP es bemerkt.
Das BIOS-Passwort ist beim physischen Zugriff unbrauchbar, da Sie nur zwei Pins kurzschließen können (im Grunde das gleiche wie beim Entfernen des Akkus) und das Passwort gelöscht wird.
Sie können auf ext-Dateisysteme in Windows zugreifen !!!!!Kümmere dich darum.Es ist ein Angriffsvektor.
Das BIOS-Passwort ist nützlich, jedoch nicht zur Verhinderung von Eindringlingen, sondern zur Erkennung von Eindringlingen.Für einen Angreifer Das Zurücksetzen des BIOS ist trivial. Wenn Sie sich jedoch das nächste Mal anmelden, werden Sie feststellen, dass die Eingabeaufforderung für das Kennwort nicht mehr vorhanden ist oder Ihr altes Kennwort nicht mehr funktioniert.All dies unter der Annahme, dass Ihr spezielles BIOS keine Hintertüren hat, wie @Ushuru sagte.
@coteyr Dafür ist # 3 (verschlüsselte Partitionen) gedacht
Je mehr Sicherheitsbeschränkungen angewendet werden, desto besser.Selbst wenn einige leicht umgangen werden können oder nicht, benötigen sie dennoch Efford und Wissen von der Seite eines Eindringlings.Das Entmutigen eines Angreifers ist keine eigenständige Option, aber dennoch eine Option.
Debian unterstützt tatsächlich die LUKS-Dateisystemverschlüsselung, und Sie können sie bei der ursprünglichen Installation einrichten. Sie müssen Ihre Partitionstabelle nur manuell erstellen.Hier gibt es eine schöne Anleitung: http://www.tecmint.com/install-debian-8-with-luks-encrypted-home-var-lvm-partitions/
Da die Frage besagt, dass "andere Personen Konten auf meinem Windows-System haben und diese gelegentlich verwenden (aus legitimen Gründen!)", Ist ein BIOS-Kennwort vermutlich keine Option, da dies die legitime Verwendung der Windows-Partition durch andere Benutzer verhindern würde.
Ich dachte tatsächlich darüber nach, aber ich dachte, es wäre besser, ihm viele Optionen zu geben und ihn einige ausschließen zu lassen.
@Ajedi32 In den meisten BIOS können Sie zwischen einem BIOS-Kennwort zum Booten oder zum Schutz des BIOS-Setup-Zugriffs wählen.In diesem Fall müssen Sie daran denken, alle Startmedien außer der Festplatte, von der Sie im BIOS-Setup booten, zu deaktivieren.
Ich kenne keine Festplattenverschlüsselung, die sogar versucht, sich gegen dieses Bedrohungsmodell abzusichern.Normalerweise versuchen Festplattenverschlüsselungsprodukte nicht, die Integrität der Daten auf der Festplatte zu schützen.Wenn die verschlüsselten Daten entstellt wurden, entschlüsseln sie alles, was sich auf der Festplatte befindet, und geben es an die nächste Schicht im Stapel weiter, ohne Fehler zu melden.Außerdem wird häufig davon ausgegangen, dass der Angreifer nur zu einem bestimmten Zeitpunkt ein Image der Festplatte erstellen kann.Wenn der Angreifer Ihre Festplatte mehr als einmal spiegeln kann, haben Sie verloren.
Kaufen Sie eine SSD und ein externes USB-Gehäuse.Installieren Sie dort Ihre Linux- und Datenpartitionen.Priorisieren Sie USB beim BIOS-Start.Trennen und verstecken Sie die SSD, wenn Sie sie nicht verwenden.Installieren Sie dasselbe Linux auf der Festplatte, um nicht konfrontativ zu sein.Laden Sie den Browserverlauf dieses Kontos mit Kätzchen.Verkleide deine SSD in einem Stofftier.
Verdammt @Dominic Cerisano!Bist du CIA oder so?Der war gut!
Unter https://github.com/dkopecek/usbguard können Sie USB-Geräte auf die Blacklist / Whitelist setzen
user1717828
2016-06-15 23:55:44 UTC
view on stackexchange narkive permalink

Ich hasse es, dieser Typ zu sein, aber

Gesetz 3:

Wenn ein Bösewicht uneingeschränkten physischen Zugriff auf Ihren Computer hat, Es ist nicht mehr Ihr Computer.

Sie fragen, wie Sie eine Sperrholztür am besten abschließen können. Die Leute geben Ihnen sehr gute Vorschläge für Sperren, aber keine davon spielt eine Rolle, da Ihr System physisch anfällig ist und Ihre Angreifer kompetent sind. Sie verwenden nur eine Axt (oder in Ihrem Fall einen Schraubenzieher).

Wie ich im OP erwähnt habe, müssen diese Arten von Angriffen nicht berücksichtigt werden.Es ist äußerst unwahrscheinlich, dass sie passieren, und um mich gegen sie zu verteidigen, hätte ich auf jeden Fall nicht nur einen Alufolienhut, sondern auch einen Alufolien-Body getragen, und an diesem Punkt stimme ich zu, dass es möglicherweise einfacher ist, einfach in meine eigene Wohnung zu ziehen undHolen Sie sich einen völlig neuen PC.Was ich zu diesem Zeitpunkt noch nicht tun möchte.
+1 Dies ist die einzige echte Antwort.@Boris "Diese Arten von Angriffen müssen nicht berücksichtigt werden." Ich glaube, Sie glauben fälschlicherweise, dass jede Form von Angriff, die erfolgreich sein könnte, äußerst schwierig oder offensichtlich wäre, dass der Angriff ausgeführt wurde.Das stimmt einfach nicht.Sie können etwas nicht wirklich gegen einen Gegner sichern, der unbegrenzte Zeit hat, um dort zu sitzen und herauszufinden, wie man es bricht.
@Boris * Wie ich im OP erwähnt habe, müssen diese Arten von Angriffen nicht berücksichtigt werden. * - Sie sagten, sie sind technisch versiert, mit Linux vertraut und würden ein paar Stunden damit verbringen, Sie anzugreifen, und sie haben Ihre gefährdetvorhandenes Betriebssystem.Aber sie werden zehn Minuten lang kein Telefon auf Ihre Tastatur richten, um aufzuzeichnen, dass Sie Ihr Passwort eingegeben haben?
Diese Antwort impliziert fälschlicherweise, dass jede Sicherheit, die unter der Gesamtsicherheit liegt, nutzlos ist.Tatsächlich kann das Verriegeln einer Sperrholztür manchmal sehr nützlich sein.
Insbesondere das Verriegeln einer Sperrholztür verhindert Angriffe nicht, macht sie jedoch spürbar.Der physische Zugriff ermöglicht es Angreifern, Ihre Festplatte unter Umgehung der Vollplattenverschlüsselung zu formatieren. Dies ist jedoch auch sehr offensichtlich.Angesichts der Bemerkung, die Linux-Partition von Windows aus zu zerstören, besteht die Bedrohung hier nicht aus Angriffen, sondern aus _undected_ Angriffen.
@Boris Lösung, um das Gehäuse zu öffnen und Hardware einzubauen (auch wenn Sie nicht besorgt sind, sollte dies ziemlich einfach sein): Kleben Sie die Schrauben ein. Auch dies ist nicht unmöglich anzugreifen, wird aber * bemerkt *, wenn dies der Fall ist.
@ArtOfCode Das ist in Ordnung, aber wie soll * ich * dann meinen Fall öffnen?Z.B.Dinge zu ändern oder zu aktualisieren oder wenn etwas kaputt geht.
Als ich meinen Vater fragte, warum wir unsere Fahrräder im Urlaub verriegeln, könnte ein Dieb nur Drahtschneider mitbringen.Er sagte mir, dass sie "ehrliche Leute ehrlich halten".Eine verschlossene Tür kann die leicht Neugierigen auf die gleiche Weise fernhalten, wie die Schutzmaßnahmen vor den anderen Fragen die Faulen und weniger Interessierten von Ihrem Computer fernhalten können.
@Boris Verwenden Sie keinen Kleber.Verwenden Sie [Glitzernagellack auf den Schrauben und machen Sie ein Foto davon] (https://www.wired.com/2013/12/better-data-security-nail-polish/).
@MichaelB: Weil Schadensbegrenzung hilfreich ist.Lösungen sind unvollständig, Sicherheit ist ein Kompromiss, Angreifer haben nur begrenzte Zeit und Ressourcen.Eine Antwort mit der Aufschrift "Gib auf, das kannst du nicht tun" wiederholt nur kitschige Ratschläge für billige Upvotes, ohne die wirklichen Probleme, um die es hier geht, mit irgendeiner Tiefe oder Nuance zu untersuchen.
@DietrichEpp Ich denke, die hier akzeptierte Antwort ist eine gute Antwort und sollte akzeptiert werden, da sie Lösungen für die gestellte Frage bietet.Ich persönlich bin jedoch der Meinung, dass die akzeptierte Antwort erheblich schwächer wäre, wenn dies nicht die zweite Antwort wäre.Die beiden zusammen ergeben eine Antwort, die besagt: "Dies sind die praktischen Schritte, die Sie ausführen können, aber unter diesen praktischen Schritten sollten Sie sich an dieses Kernproblem erinnern." Es heißt nicht aufgeben, sondern beschreibt das tatsächlich vorhandene Problem.
Dies ist eine übermäßige Verallgemeinerung und eine sehr vereinfachte und defätistische Sichtweise.Eine gewisse Sicherheit ist besser als keine Sicherheit.Absolute Sicherheit gibt es nicht.Die Tatsache, dass bestimmte Angriffsmethoden möglicherweise lebensfähig sind, beeinträchtigt nicht die Nützlichkeit anderer Sicherheitsmaßnahmen.Mithilfe einer Bedrohungsanalyse können Sie herausfinden, wie viel Aufwand erforderlich ist, um den Host zu sichern.
Jeff Meden
2016-06-15 20:00:22 UTC
view on stackexchange narkive permalink

Abhängig von der Leistung, die Sie benötigen, und dem Geld, das Sie ausgeben möchten, ist ein austauschbares "Live USB" - oder vollständig bootfähiges normales System auf einer USB "-Festplatte" (eine kleine SSD würde hervorragend funktionieren) möglicherweise eine ideale Lösung, wenn Sie Ihre Anforderungen erfüllen "einzigartige" Einschränkungen, die eine hohe Sicherheit gegen lokale Angreifer erfordern. Sie können das gefährdete Windows-System einfach an Ort und Stelle lassen und ein Linux-System auf einem Wechseldatenträger erstellen, das Sie bei sich behalten können. Für niedrigste Kosten können Sie einen sehr billigen Thumbdrive verwenden. Wenn Sie etwas mehr für einen schnellen USB-Stick oder eine robustere USB-SSD ausgeben, können Sie für die meisten Anwendungen eine angemessene Leistung erzielen. Das Verschlüsseln ist eine gute Idee, falls Sie davon getrennt sind. Da es jedoch immer bei Ihnen ist und das gesamte Betriebssystem darstellt, ist es vor lokalen Angriffen geschützt.

Dies scheint mir der beste Ansatz zu sein;Sie können nicht manipulieren, was nicht vorhanden ist, und der Computer selbst ist im Vergleich zu seiner aktuellen Situation völlig unverändert. Es gibt also keinen Hinweis darauf, dass Sie etwas gesichert haben.Der gesamte aktuelle PC (einschließlich Ihrer kompromittierten Windows-Installation) fungiert als netter Köder.Bei einer Debian-Installation ist es ein langer Weg, sicherzustellen, dass überhaupt keine Netzwerkdienste ausgeführt werden.Entfernen Sie die Pakete `rpcbind` und` nfs-common`.Wenn Sie SSH installieren, sichern Sie es ordnungsgemäß (dh, erlauben Sie nur die Authentifizierung mit öffentlichem Schlüssel).
Wäre das nicht immer noch anfällig für einen Hardware-Keylogger?
@fhlamarche Das OP gab an, dass die Schadensbegrenzung keine Hardware-Keylogger berücksichtigen muss.Es wäre jedoch einfach, beim Anschließen des externen Speichers eine grundlegende Überprüfung der USB-Anschlüsse durchzuführen, um dies auszuschließen (vorausgesetzt, Sie befassen sich nicht mit sehr gut versteckten, d. H. Vollständig modifizierten Tastaturen).
Eine USB 3.1 PCI-e-Karte (falls Ihr System noch nicht über 3.1 verfügt) und eine externe USB 3.1-SSD würden das Leistungsproblem beseitigen.
Mit UNetBootin können Sie dauerhaften Speicherplatz hinzufügen, damit Dateien am Standardspeicherort gespeichert werden.sehr hilfreich.
Heutzutage können Sie einen ganzen Computer auf einen HDMI-Stick bringen und ihn überall hin mitnehmen: http://www.digitaltrends.com/computing/best-stick-pcs/
@MatthewLock ja, wenn etwas Geld ausgegeben werden kann, gibt es viele Möglichkeiten für ihn, sie haben sogar diese kleinen tragbaren PCs, die komplett sind, mit einem Bildschirm und allem, Sie öffnen es einfach und es ist einsatzbereit, sogar auf Ihrem Schoß!;-);
@JeffMeden Ein Hardware-Keylogger befindet sich möglicherweise im Computergehäuse.
Gibt es keine Möglichkeiten, das BIOS des Host-Computers zu infizieren?Dies könnte dann die tragbare Festplatte infizieren, nicht wahr?
Ich habe diese Distribution benutzt.https://tails.boum.org/
@Immibis Es wäre tatsächlich ziemlich schwierig, es im Gehäuse zu verbergen und auch vor dem Betriebssystem zu verbergen, da es nicht wie die meisten Standardlogger zwischen Tastatur und Host sitzen kann.Sie benötigen ein Gerät, das das Betriebssystem anweist, alle Tastenanschläge zu senden, ohne rote Fahnen auszulösen.Ich nehme an, Sie könnten einen neuen USB-Anschluss an einer Steckplatzabdeckung installieren, die mit einem Logger verbunden war, aber das wäre nach außen offensichtlich.
@JeffMeden Wenn die Tastatur an einen vorderen USB-Anschluss angeschlossen ist, kann das interne USB-Kabel abgeschnitten und an den Keylogger angeschlossen werden.
@immibis true, ein guter Schutz besteht darin, immer direkt angeschlossene Onboard-Ports zu verwenden.Es wäre ziemlich einfach, die Kabel von vorne statt von hinten zu bemerken (wenn jemand sie für diesen Angriff bewegt hätte).
Ich frage mich, ob es möglich ist, das Betriebssystem auf dem System zu installieren, es dann schreibgeschützt zu machen und nur geänderte Dateien auf dem USB-Stick abzulegen.Selbst wenn sie einen Keylogger installieren, speichert der Keylogger _ auf dem USB_, sodass der Angreifer nicht auf die Ergebnisse zugreifen kann.
Qwerty01
2016-06-16 03:13:21 UTC
view on stackexchange narkive permalink

Es gibt einige Dinge zu beachten, die sich von allen zuvor gegebenen Antworten unterscheiden: Was Sie suchen, ist Datenschutz, nicht Sicherheit .

Obwohl sie sehr ähnlich zu sein scheinen, sind die Die Ziele eines jeden sind unterschiedlich, und die Möglichkeiten, sie umzusetzen, sind unterschiedlich. Wenn Sie Sicherheit implementieren möchten, entfernen Sie den Administratorzugriff anderer Benutzer, sperren das Konto jedes Benutzers und richten Schutzmaßnahmen ein, um Missbrauch zu verhindern. Dies geht natürlich zu Lasten der Benutzerfreundlichkeit.

Nun zur Datenschutzlösung . Da Sie nur versuchen, Ihre Informationen zu schützen, während alle anderen intakt bleiben, gibt es solche 3 Hauptangriffsvektoren, die behandelt werden müssen (vorausgesetzt, Sie wechseln wie geplant zu Linux):

  1. Daten in Ruhe (auf der Festplatte)
  2. Daten in Bewegung (im Netzwerk) )
  3. Schutz bei eingeschaltetem Gerät (Firewall)
  4. ol>

    Für ruhende Daten : Sie möchten eine Art Verschlüsselung verwenden. Dadurch wird verhindert, dass Personen, die nicht über den Schlüssel / das Kennwort verfügen, die von Ihnen gespeicherten Daten anzeigen. Es gibt viele andere Antworten zu diesem Thema. Weitere Informationen zur Implementierung finden Sie in diesen.

    Für bewegte Daten : Ich würde empfehlen, einen VPN-Dienst zu kaufen (oder einen einzurichten) extern nach oben, wenn Sie die Ressourcen haben). Dadurch wird der gesamte Datenverkehr zur und von der Box verschlüsselt und geschützt. Es schützt nicht nur den Datenverkehr, sondern auch die Verkehrsinferenz basierend auf Verbindungsinformationen. Beispielsweise verschlüsselt SSL den gesamten Datenverkehr zwischen Ihnen und der Site, die Sie besuchen. Wenn jedoch jemand Ihren Datenverkehr wahrnimmt und facebook.com in der ersten Anfrage sieht, obwohl er nicht weiß, was Sie an Facebook senden, weiß er, dass Sie etwas auf Facebook tun. Ein VPN würde den gesamten Datenverkehr über seinen Server tunneln, bevor er an das Internet gesendet wird, wodurch dieses Leck effektiv beseitigt wird.

    Zum Schutz bei eingeschaltetem Gerät : Unter der Annahme, dass alle Hardwareangriffe (z. B. Keylogger oder Kameras) nicht im Bild sind, ist das Ethernet der einzige Bereich, dem das Gerät ausgesetzt ist. Wenn ein Dienst mit einer Sicherheitsanfälligkeit aktiviert ist, kann dieser Dienst über das Netzwerk angegriffen und die Kontrolle über Ihren Computer erlangt werden (innerhalb der von Ihnen angenommenen wenigen Stunden nach dem Googeln). Um sich davor zu schützen, sollten Sie eine Firewall einrichten. Unter Debian sollten iptables einwandfrei funktionieren. Bei eingehendem Datenverkehr möchten Sie alles blockieren, was nicht RELATED oder ESTABLISHED ist. Um noch weitere Einschränkungen zu vermeiden, können Sie den gesamten Datenverkehr blockieren, der nicht zu oder von Ihrem VPN kommt. Auf diese Weise werden fast alle Angriffsflächen entfernt, und ein Angreifer muss viel engagierter als Ihre Mitbewohner sein, um zu brechen.

    Hier ist ein Beispiel der Optionen, die mit iptables zum Einrichten der Einschränkungen verwendet werden können:

      # iptables -P EINGANGSTROPFEN # iptables -P FORWARD DROP # iptables -P AUSGANGSTROPFEN # iptables -A INPUT -s [VPN IP] -m conntrack --ctstate ESTABLISHED, RELATED -j ACCEPT # iptables -A OUTPUT -d [VPN IP] -j ACCEPT  

    Und was jeder tut:

    1. Alle auf dem Computer eingehenden Pakete verwerfen
    2. Alle vom Computer gerouteten Pakete löschen
    3. Alle vom Computer gesendeten Pakete löschen
    4. Pakete von der VPN-IP zulassen, die aus bereits vorhandenen Verbindungen erstellt wurden ( diejenigen, die Sie an das VPN gesendet haben), um verarbeitet zu werden
    5. Zulassen, dass Pakete von Ihrem Computer an das VPN gesendet werden
    6. ol>

      Sie können auch nur die spezifischen Ports zulassen, die das VPN verwendet Es ist wichtig zu beachten, dass Sie nicht in der Lage sein werden, t o Zugriff auf das Internet, außer über Ihr VPN. Stellen Sie daher sicher, dass es eingerichtet ist und funktioniert, bevor Sie diese Änderungen anwenden.

      Sobald all dies angewendet wurde, sollte es fast unmöglich sein, in die Box einzubrechen, während Sie sie verwenden oder während Sie unterwegs sind, von den Personen, die versuchen, Ihre Daten zu betrachten.

      Haftungsausschluss : Dies setzt Angriffe auf Ihre Infrastruktur voraus. Social Engineering und ähnliche Angriffe sind viel schwieriger zu verhindern.

munkeyoto
2016-06-15 18:04:48 UTC
view on stackexchange narkive permalink

Hier ist eine All-Inclusive-Lösung, da Sie angegeben haben, dass Sie sich keine Sorgen über Hardware- / USB- / physische Angriffe machen. Installieren Sie Virtualbox / VMWare / Other auf Ihrem Desktop. Erstellen Sie Ihren Gast und stecken Sie ihn in einen austauschbaren USB-Stick. Wenn Sie mit Ihrer Arbeit fertig sind, schalten Sie die virtuelle Maschine aus, entfernen Sie den Schlüssel und es ist ein Wrap.

Es gibt viele andere Methoden, die Sie ebenfalls ausführen können, einschließlich der Erstellung eines versteckten TrueCrypt-Containers und installieren Sie dann Ihren Gast in diesem Container. Das wirft eine rote Fahne, wenn jemand schnüffelt: "Oh, also versteckt er jetzt etwas ... muss finden!" Anstatt Ihr Betriebssystem mitzunehmen. Sie können dies auf einem USB-Stick oder einem Wechseldatenträger tun oder ein Wegwerfsystem (Kali, bootfähiges Linux) starten, Daten in der Cloud speichern (Dropbox usw.) und sich wenig Gedanken über das Betriebssystem machen, da es gestartet wird von einer DVD entfernen und jedes Mal neu installieren.

Wie für Dienste. Das Ausführen von 1000 Diensten bedeutet nichts, wenn alle Dienste frei von Sicherheitslücken sind. Was ist zugänglich und wie? Starke Passwörter sind immer der Schlüssel, aber stellen Sie sich hier das Worst-Case-Szenario vor. Keystroke Logger unter Windows ... Es wird Ihre Gastsicherheit beeinträchtigen, da Sie über den Host tippen. Die beste Option wäre, in eine bootfähige Distribution zu booten und die Cloud zum Speichern / Speichern von Daten oder Wechseldatenträgern zu nutzen.

Dies ist die beste Antwort für die höchste Sicherheit - kann jedoch unpraktisch sein.Die nächste Antwort wäre bequemer, aber weniger sicher (wenn auch immer noch sehr sicher).Es hängt davon ab, wie paranoid Sie sind ... (oder sein müssen).
Dies schützt nicht vor der Möglichkeit eines gut versteckten Fernzugriffstrojaners, der alle Aktivitäten aufzeichnet / weiterleitet und dadurch seine vertraulichen Informationen aufgibt, obwohl er sie die ganze Zeit über in seinem Besitz hat.Wenn sie noch teuflischer wären, könnten sie sein USB-Laufwerk keyloggen und auch stillschweigend duplizieren, während er dort sitzt, und ihnen später uneingeschränkten Zugriff auf eine Momentaufnahme seines Systems und seiner Daten gewähren.Jede Situation mit einem kompromittierten Hypervisor ist ein völliger Nichtstarter.
Wie besiegt Virtual Box einen Key Logger oder Traffic Sniffing von Windows 7?
Das größte Problem, das ich bei dieser Antwort sehe, ist, dass Sie vorschlagen, dass ich meinen Gast von meinem (kompromittierten) Windows-Computer aus erstelle.(Wenn Sie etwas anderes gemeint haben, ist dies aus Ihrem aktuellen Wortlaut nicht ersichtlich.) In einem extremen Szenario könnte ich dann das gesamte von mir erstellte System als kompromittiert betrachten.realistischer würde es zumindest jeden alarmieren, der zuschaut, dass ich versuche, etwas zu verbergen.Jetzt ist eine vollständige Linux-Partition natürlich viel offensichtlicher, aber auch viel weniger verdächtig - hey, ich mag das Betriebssystem!Es ist viel weniger wahrscheinlich, dass Untersuchungen veranlasst werden als bei der Erstellung eines live bootfähigen USB.
@PatrickTrentin Ich kann mir nichts vorstellen, wenn ein Gast einen hostbasierten Keystroke-Logger besiegt, daher sage ich: "bootfähige Linux / BSD" -Distribution.
@PatrickTrentin Ich erwähnte zwei Lösungen für den Fall, dass er sich auf einer Workstation ohne CD / DVD befindet, die es ihm ermöglichen würde, ein bootfähiges Gerät zu verwenden.Da ich eine Alternative angeboten habe, war es nur angebracht, das mit diesem Weg verbundene Risiko zu erwähnen (unter Verwendung von virtualbox / vmware / etc).
Das Teil mit der virtuellen Maschine ist nur dann sinnvoll, wenn Sie Fenster in die Box einfügen, um den Zugriff auf Linux-Dateien / Partitionen zu beschränken.Oder habe ich etwas verpasst?
Out of Band
2016-06-16 04:26:35 UTC
view on stackexchange narkive permalink

Ich mag die Antworten, die darauf hindeuten, dass Sie Linux von einem Wechselmedium ausführen. Es verbirgt die Tatsache, dass Sie Vorsichtsmaßnahmen vor Ihren nicht so netten Mitbewohnern treffen. Aus praktischer Sicht gibt es jedoch einige Probleme. Sie opfern Laufwerksgeschwindigkeit und Speicherplatz, aber was wichtiger ist, ist, dass es umständlich ist, Ihr gesamtes Betriebssystem mit sich herumzutragen. Sie werden die Fahrt in der Schule / Arbeit vergessen, wenn Sie sie zu Hause brauchen. Sie neigen dazu, alle Ihre Daten zu verlieren, wenn Sie Ihren Wechseldatenträger verlegen oder ihn einmal zu oft löschen.

Wenn es Ihnen nichts ausmacht, Ihren Mitbewohnern das Vorhandensein einer verschlüsselten Partition auf Ihrem Computer mitzuteilen, gibt es einen einfacheren Weg, der Ihnen ohne Probleme das gleiche Maß an Sicherheit bietet.

Wenn Sie Linux auf Ihrer internen Festplatte installieren, müssen Sie natürlich alle Ihre Linux-Partitionen verschlüsseln. Sie können die Boot-Partition, die den Kernel enthält, jedoch nicht verschlüsseln. Ich empfehle daher, die Boot-Partition auf ein austauschbares (und im Idealfall schreibgeschütztes) USB-Laufwerk zu kopieren und Ihr System immer vom USB-Laufwerk zu starten. Selbst wenn jemand mit dem (unverschlüsselten) Kernel, dem anfänglichen RAM-Laufwerk oder sogar dem Bootloader herumspielt, um einen Software-Schlüssel-Logger in Ihr System zu bekommen, spielt dies keine Rolle, da Sie den durcheinandergebrachten Boot-Prozess umgehen, indem Sie von Ihrem Boot booten (hoffentlich) USB-Laufwerk reinigen.

Möglicherweise möchten Sie einen Hash der beiden Startpartitionen (die auf der Festplatte und die auf Ihrem USB-Stick) erstellen und ab und zu überprüfen, ob sich die Partitionen geändert haben. Nur um zu wissen, ob jemand tatsächlich versucht, sich mit Ihnen anzulegen. Sie können dies sogar automatisieren, indem ein Init-Skript auf Ihrer verschlüsselten Root-Partition beide Boot-Partitionen überprüft und Sie warnt, wenn sich eine davon ändert. Auf diese Weise können Sie ziemlich sicher sein, dass Ihre Boot-Partitionen in Ordnung sind, auch wenn Sie Ihr Boot-USB-Laufwerk nicht immer genau überwachen.

Nur der Bootloader, der Kernel und die anfängliche RAM-Disk auf dem USB-Laufwerk zu belassen, macht diese Lösung etwas praktischer. Es ist auch nicht sofort offensichtlich, dass Ihr USB-Stick einen bootfähigen Kernel enthält, wenn Sie das Laufwerk mit harmlosen Ordnern füllen, obwohl er natürlich nur die rudimentärste Prüfung besteht.

Dies alles setzt voraus, dass Ihre Gegner das BIOS Ihres Computers nicht mit einem Key Logger infizieren können. In diesem Fall sind alle Wetten deaktiviert. Wenn sie jedoch wissen, wie das geht, und Sie so weit gegangen sind, sind Sie es Sind Sie trotzdem verloren?

Sind Sie sicher, dass es nicht einfacher, effektiver und vor allem besser für Ihr Wohlbefinden wäre, die sozialen Probleme anzugehen, die in Ihrem Haushalt eindeutig bestehen?

Einige Hinweise zur Implementierung (als Antwort auf Boris 'Kommentar):

Ich habe ein solches Setup nicht selbst durchgeführt, daher kann ich Ihnen keinen Schritt weiter geben Schrittanweisungen. Hier jedoch einige Hinweise:

  1. Installieren Sie zunächst eine normale Linux-Distribution mit einer verschlüsselten Root-Partition auf Ihrer Festplatte. Wenn Sie mehrere Partitionen benötigen, verwenden Sie ein zugrunde liegendes verschlüsseltes LVM, sodass Sie Ihr Kennwort nur einmal und nicht einmal für jede Partition eingeben müssen. Sie müssen eine kleine (z. B. 200 MB) unverschlüsselte Bootpartition bereitstellen, die den Bootloader, den Kernel und das ursprüngliche RAM-Laufwerk enthält. Mit den Standardinstallationsprogrammen von Ubuntu und Debian können Sie dies ganz einfach tun.
  2. Stellen Sie sicher, dass das System gestartet wird, und verschlüsseln Sie dann Ihre Swap-Partition, wenn das Installationsprogramm dies nicht bereits zulässt (habe noch keine neuen Versionen ausprobiert) Installateure). Im Internet stehen verschiedene Schritt-für-Schritt-Anleitungen zur Verfügung. Suchen Sie einfach bei Google nach einem verschlüsselten Austausch.
  3. Nun können Sie Ihre Boot-Partition auf einen USB-Stick übertragen. Der schwierige Teil besteht darin, den Kernel vom USB-Flash-Laufwerk zu booten (was meiner Meinung nach nicht wie ein normales externes USB-Laufwerk bootet). Am einfachsten wäre es wahrscheinlich, das Standard-Installationsprogramm erneut zu verwenden eine weitere vollständige Installation der gleichen Distribution auf dem USB-Stick. Ich habe vorher etwas in der Nähe gemacht und es hat gut funktioniert (obwohl ich mich anscheinend daran erinnere, dass ich durch einige Reifen springen musste - ich habe eine Ubuntu-Distribution verwendet und bin mir nicht sicher, ob ich das Standard-Ubuntu-Installationsprogramm oder ein angepasstes Ubuntu-Live-System verwendet habe). und natürlich ist es eine schlechte Idee, das Flash-Laufwerk tatsächlich zu verwenden, da es ständig auf Ihr USB-Laufwerk schreibt (meistens / var / log / -Nachrichten) und den Stick in nur a ruiniert einige Wochen - ist zwei von mir passiert). Stellen Sie sicher, dass Sie das zweite reine Flash-Laufwerk vom USB-Flash-Laufwerk booten können.

  4. Jetzt haben Sie einen funktionierenden, bootfähigen Kernel auf dem Flash-Laufwerk Sie müssen lediglich die Root-Partition des Flash-Laufwerks ändern. Es zeigt auf die Root-Partition auf dem Flash-Laufwerk, aber Sie möchten, dass der Flash-Laufwerk-Kernel die Root-Partition auf Ihrer internen Festplatte verwendet. Um dies zu ändern, müssen Sie das anfängliche RAM-Laufwerk auf dem USB-Flash-Laufwerk entpacken, das sich auf der Boot-Partition auf dem Flash-Laufwerk befinden und als initrd.img-xxxxx bezeichnet werden soll / etc / fstab von der Root-Partition Ihrer internen Festplatte auf die extrahierte initrd und packen Sie die
    initrd neu. Das Ändern der anfänglichen RAM-Laufwerksabbilder wird wiederum in verschiedenen Tutorials im Internet behandelt. Beachten Sie, dass möglicherweise einfacher darin besteht, die Datei initrd.img auf Ihrem USB-Flash-Laufwerk durch die Datei auf der Boot-Partition Ihrer Festplatte zu ersetzen. Aber ich habe das noch nie versucht, daher weiß ich nicht, ob es funktionieren würde.

  5. Sobald Sie dies getan haben, sollten Sie ein Flash-Laufwerk haben, das startet vom Flash-Laufwerk, verwendet jedoch die Root-Partition Ihrer internen Festplatte. Sie können dann Ihr Flash-Laufwerk bereinigen. Das einzige, was Sie brauchen, um darauf zu bleiben, ist der Bootloader, der Kernel und das anfängliche RAM-Laufwerk (im Grunde alles unter / boot).

  6. Alternativ können Sie eine "Live-Distribution" auf dem USB-Stick installieren und daran basteln, bis Sie die Root-Partition Ihrer internen Festplatte verwenden können. Dies ist jedoch wahrscheinlich viel schwieriger, da Live-Distributionen so eingerichtet sind, dass sie Overlay-Dateisysteme verwenden, die anstelle des Flash-Laufwerks in den RAM schreiben, um die Lebensdauer des Flash-Laufwerks zu verlängern. Also müsstest du das auch rausreißen. Außerdem müssen Sie sicherstellen, dass Sie eine Live-Distribution mit einer Kernel-Kernel-Version verwenden, die mit dem System auf der Root-Partition Ihrer internen Festplatte kompatibel ist.
  7. Zum Erstellen von Hash-Prüfsummen für Ihre Boot-Partitionen Angenommen, Sie kennen den Gerätenamen Ihrer Boot-Partition und es ist / dev / sda1 für die interne Boot-Partition und / dev / sdb1 für die Flash-Laufwerk-Partition so einfach wie

      $ sha256sum -b / dev / sda1 > hd-boot-fingerprint.sha256 $ sha256sum -b / dev / sdb1 > usb-boot-fingerprint.sha256  

    Dies erstellt einen Fingerabdruck der gesamten Partition und sollte daher Änderungen an Ihrem Bootloader übernehmen. Ich bin mir nicht sicher, welches Protokoll zum Booten von USB-Sticks verwendet wird. Auf internen Festplatten sollten Sie auch einen Fingerabdruck des ersten Megabytes der Festplatte erstellen, da dort häufig der Master-Boot-Datensatz und die erste Stufe des Grub-Bootloaders gespeichert werden:

      $ dd if = / dev / sda von = first-meg.dd bs = 1M count = 1 $ sha256sum -b first-meg.dd > first-meg-fingerprint.sha256  

    Sobald Sie haben Mit diesen Fingerabdrücken können Sie sie regelmäßig neu berechnen und die berechneten neuen Fingerabdrücke mit den Originalen vergleichen.

  8. ol>
Diese Antwort gefällt mir wirklich sehr gut.Haben Sie einige Tipps oder Ressourcen, die erklären, wie es gemacht wird?
Ich habe meine Antwort erweitert, siehe oben.Ich bin jedoch sehr neugierig auf die soziale Situation geworden, in der Sie sich befinden. Ich weiß, dass Sie gesagt haben, Sie sollen das alles ignorieren, aber würde es Ihnen etwas ausmachen, preiszugeben, ob Sie ein Teenager sind, der versucht, Ihre Eltern davon abzuhalten, Sie auszuspionieren?Einige der Poster hier scheinen dies anzunehmen, und obwohl ich fest an das Recht aller auf Privatsphäre unabhängig vom Alter glaube, bin ich besorgt, dass die Behebung Ihres Problems mit einer technischen Lösung Sie davon abhält, die sozialen Probleme anzugehen, die Ihre Situation verschlimmern könntenauf lange Sicht, wenn Sie tatsächlich mit Eltern zu tun haben, nicht mit Gleichaltrigen.
Okay, warum nicht.Ja, ich bin tatsächlich ein Teenager, der versucht, sich vor meinen Eltern zu verstecken, wie Sie sagen.Die Realität ist, dass ich, als ich meinen ersten PC gegen 10 Uhr bekam, wirklich unverantwortlich war. Meine Eltern begannen, strenge Kindersicherungen durchzusetzen, einschließlich eines Keyloggers (einer, der tatsächlich bei der Familienüberwachung vermarktet wird).Jahre später, und es überlebt bis heute und sieht immer noch einige Verwendung von Zeit zu Zeit.Jetzt habe ich einen Arbeits-Laptop, auf den sie offensichtlich keinen Zugriff haben, und ein Smartphone mit 4G, mit dem ich im Grunde alles umgehen kann, was meine Eltern tun könnten, um mich zu blockieren oder auszuspionieren, aber auf meinem Haupt-PC habe ich immer noch ...
... habe diesen Keylogger.Da ich sowieso daran dachte, auf Linux umzusteigen, war ich gespannt, ob dies dazu dienen könnte, meinen Computer mehr oder weniger umfassend vor meinen Eltern zu schützen.(Ich habe auch vor, erst nach Abschluss der Universität auszuziehen und einen festen Arbeitsplatz zu finden. Ab diesem Zeitpunkt werde ich über 22 Jahre alt.) Ich werde mich mit ziemlicher Sicherheit nicht darum kümmern, mein gesamtes System auf ein externes Laufwerk zu stellen;;Wenn meine Eltern beschließen, alle NSA auf mich zu übertragen, müsste ich wahrscheinlich wirklich mit ihnen sprechen.Ihre Lösung scheint wirklich interessant zu sein, daher könnte ich sie größtenteils aus Interesse implementieren.
Und während die meisten Antworten für mich, wie oben erwähnt, eigentlich nicht viel nützen, hielten anscheinend 129 (zum Zeitpunkt des Schreibens) dies für eine gute Frage, also lasse ich sie im Grunde so, wie sie ist.Übrigens denke ich ernsthaft darüber nach, Ihre Antwort zu akzeptieren, da sie für mich am hilfreichsten war, aber im Gegensatz zu der derzeit akzeptierten beschreibt sie nur eine Methode (wenn auch eine großartige) und ist daher möglicherweise weniger allgemein auf zukünftige Besucher anwendbar.Da dies meine erste Frage ist, wie lautet hier die Etikette bezüglich der Änderung der akzeptierten Antwort und der Annahme einer Antwort mit relativ wenigen Stimmen?
Es ist mir egal, ob meine Antwort akzeptiert wird.Ich habe es gepostet, nachdem Sie ein anderes akzeptiert haben, und ich bin wegen des guten Rufs nicht dabei, daher muss ich das nicht ändern. Ich bin froh, wenn meine Lösung für Sie funktioniert.Hinweis: Ich habe einen weiteren Artikel über den Kauf eines sehr billigen zweiten Computers veröffentlicht, der auch ein unterhaltsames Projekt sein könnte.Sie könnten auch an www.torproject.org interessiert sein (schützt Sie wahrscheinlich vor der NSA :-)).Vielen Dank, dass Sie meine Neugier befriedigt haben und (ich möchte nicht alle Eltern auf Sie haben, aber trotzdem ...) als Eltern selbst. Ich hoffe, dass Sie und Ihre Eltern in Zukunft wieder Vertrauen aufbauen können.
Beginnen Sie vielleicht damit, sie freundlich zu bitten, den Keylogger zu entfernen, da Sie jetzt älter und weiser sind.und dann sehen was passiert ;-).
coteyr
2016-06-15 23:16:40 UTC
view on stackexchange narkive permalink

Sie können das System unter den in Ihrer Frage genannten Bedingungen nicht sichern.

Egal was passiert, beim physischen Zugriff auf Ihren Computer gibt es keine Sicherheit. Mit Ausnahme des BIOS-Passworts könnte jede Gegenmaßnahme auf dieser Seite umgangen werden, indem in den Rettungsmodus (in der einen oder anderen Form) gebootet wird.

Das BIOS-Passwort kann einfach zurückgesetzt werden. Es ist normalerweise ein Jumper oder eine Batterieentfernung.

Die wahrscheinlichsten Antworten betreffen Wechselmedien. Wenn Sie Linux von einer USB-Festplatte ausführen und es immer bei sich behalten, gibt es nicht viel, in das sie einbrechen können. Aber auch beim physischen Zugriff könnten sie Ihre Startreihenfolge und Ihren Rücken auf den ersten Platz einstellen.

Ihre einzige wirkliche Möglichkeit besteht darin, das unterstrichene Problem des Vertrauens und der Zugriffskontrolle anzugehen.

p.s. Die Festplattenverschlüsselung wird helfen, aber es wird keine 100% ige Lösung sein, da sie Zugriff haben.

Viele (die meisten?) Systeme setzen heutzutage BIOS-Passwörter nicht durch Entfernen der CMOS-Batterie zurück.Mein altes Lenovo W510 ThinkPad kann beispielsweise nicht auf diese Weise zurückgesetzt werden und ist veraltet.
Einige BIOS zeigen jedoch nach mehreren fehlgeschlagenen Versuchen einen Code an, mit dem Sie den Anbieter anrufen, um ihn über einen Rücksetzschlüssel senden zu lassen.Siehe auch [bios-pw.org] (https://github.com/bacher09/pwgen-for-bios), in dem der Schlüssel für einige Anbieter berechnet werden kann.
T. Sar
2016-06-16 23:19:34 UTC
view on stackexchange narkive permalink

Kaufen Sie einfach ein Notizbuch und tragen Sie es mit sich herum.

Wenn Sie nicht möchten, dass andere Personen Ihre Daten überprüfen, lassen Sie Ihre Daten nicht in ihrer Nähe.

Wenn ein Teil Ihres Computers ist kompromittiert, alles auf Ihrem Computer ist kompromittiert. Das Hacken von Hardware ist nicht unbedingt teuer und Sie wissen nicht genau, wie weit diese Person gehen würde, um Zugriff auf Ihre Daten zu erhalten. Der beste Weg, um Undichtigkeiten an diesem Computer zu vermeiden, besteht darin, die Verwendung insgesamt einzustellen.

Wie viele Leute Ihnen sagten - physischer Zugriff ist gleichbedeutend mit Spiel in der Sicherheitswelt. Speichern Sie keine vertraulichen oder privaten Daten auf einem Computer, den Sie mit Personen teilen, die nicht auf Ihre Daten zugreifen möchten.

Da physischer Zugriff nicht zu verhindern ist, ist Ihre Idee, physischen Zugriff zu entfernen, hervorragend und Sie denken über den Tellerrand hinaus.
"Wenn * irgendein * Teil Ihres Computers kompromittiert ist, ist alles auf Ihrem Computer kompromittiert" - Wenn der Intel Inside-Aufkleber durch Beschriften mit einem dauerhaften Marker kompromittiert wird, ist nicht alles kompromittiert.
@immibis Damaged ist nicht dasselbe wie kompromittiert.Wenn Sie es irgendwie schaffen, den Aufkleber zu hacken, um als Keylogger zu fungieren, dann ist Ihre Maschine kompromittiert!
John
2016-06-16 13:56:15 UTC
view on stackexchange narkive permalink

Ich bin mir nicht sicher, warum dies noch niemand erwähnt hat (vielleicht verstehe ich die Site nicht so gut).

Stellen Sie eine Kamera in Ihr Zimmer (eine OHNE WLAN-Funktion). Richten Sie Ihr Linux-System ein und erwähnen Sie es Ihren Mitbewohnern im Vorbeigehen beiläufig. Nehmen Sie auf, dass sie in Ihren PC eindringen und Ihre Informationen lesen. Lassen Sie sie verhaften und mit einer Geldstrafe belegen. Verwenden Sie das Ausgleichsgeld (falls vorhanden), um beim Auszug zu helfen. Oder lassen Sie den Mitbewohner wegen A), eines schwerwiegenden Verstoßes gegen das Gesetz, und B) rausschmeißen, ohne Ihre Privatsphäre zu respektieren. Das Eindringen in den PC einer Person ist gleichbedeutend mit Diebstahl.

Dies ist für mich die einfachste Lösung. Eine Falle stellen. Die beste Verteidigung ist eine gute Beleidigung.

Das Szenario klingt so, als würde ein Kind einen Computer gegen seine Eltern sichern. In diesem Fall ist es kein praktikabler Plan, sie verhaften zu lassen.
Was lässt Sie denken, dass das OP ein Kind ist?
Während das OP es nicht erwähnt, passen die sozialen Faktoren sicherlich zu diesem Szenario, zum Beispiel nicht in der Lage zu sein, die Tür zum Raum zu verschließen.Offene Konfrontationen werden vom OP ausdrücklich als nicht möglich erwähnt. Ich bin mir ziemlich sicher, dass sie den Versuch abdecken, sie verhaften zu lassen.
Erstens verstehe ich nicht, warum Sie Keylogger ausschließen.Es wäre trivial, eine in der Tastatur / Maus / PC / einem anderen Gerät zu verstecken.Zweitens, wenn sie Eltern sind oder so etwas, werden sie dann nicht sehen, dass Sie dieses gesperrte andere System verwenden und Zugriff darauf verlangen, unabhängig davon, welche Maßnahmen ergriffen werden?
phyrfox
2016-06-15 22:23:39 UTC
view on stackexchange narkive permalink

Ich würde zwei USB-Sticks bekommen. Der erste kann auf Hardwareebene mit Kennwortschutz als schreibgeschützt festgelegt werden, und der zweite ist entweder ein normaler Stick oder ein PIN-fähiger Stick (diese können sich jedoch selbst zerstören, wenn die falsche PIN eingegeben wird Ein paar Mal, also Vorsicht ...).

Installieren Sie Ihr Betriebssystem auf dem ersten Stick und konfigurieren Sie den zweiten Stick für die Verwendung der vollständigen Festplattenverschlüsselung. Richten Sie Ihre Partitionen so ein, dass alles, was Schreibzugriff erfordert, auf dem zweiten Stick gespeichert werden kann, z. B. / home. Sobald der USB-Stick vollständig konfiguriert und mit sicheren Kennwörtern gesperrt ist, stellen Sie ihn als schreibgeschützt ein.

Dies schützt Sie vor allem außer physischen Keyloggern oder lässt Ihr System eingeschaltet / entsperrt, während Sie weggehen. Das schreibgeschützte Betriebssystem bedeutet, dass der Einzelbenutzermodus als Angriffsform nutzlos ist, da Sie nichts auf den OS-Stick schreiben können, während dieser gesperrt ist, und der zweite Stick ohne das Entschlüsselungskennwort nicht gelesen werden kann alle sensiblen Daten.

nulldev
2016-06-15 21:25:31 UTC
view on stackexchange narkive permalink

Dies wäre mein Aktionsplan:

  1. Sperren Sie das BIOS, indem Sie dem Setup ein BIOS-Passwort hinzufügen. Ich würde kein Startkennwort hinzufügen, damit Benutzer den Computer ohne meine Aufsicht verwenden können. Deaktivieren Sie das automatische Booten von USB, CD und Netzwerk.
  2. Erzwingen Sie den Start von USB / CD und installieren Sie Linux mit einem verschlüsselten Home-Ordner und einem verschlüsselten Swap auf der Festplatte. Wenn möglich, würde ich versuchen, die Systempartition auf einem sehr schnellen USB-Laufwerk zu halten, aber wenn Sie immer noch Leistung benötigen, ist dies nicht möglich. Wenn Sie diese Option wählen, sollten Sie Linux so konfigurieren, dass das gesamte System beim Booten in den Arbeitsspeicher geladen wird.
  3. Fertig!
  4. ol>

    Jedes Mal, wenn ich meinen Computer verwenden wollte, würde ich dies tun Fahren Sie es herunter und suchen Sie nach Hardware-Keyloggern. Dann würde ich mein USB-Laufwerk anschließen (vorausgesetzt, das System wurde auf einem USB-Laufwerk installiert) und den Start von USB erzwingen, um das System zu starten. Dies reduziert den Angriffsvektor erheblich:

  • Niemand kann meine persönlichen Dateien anzeigen (sie sind verschlüsselt).
  • Niemand kann das Linux-Betriebssystem so ändern, dass es einen Keylogger enthält (das Betriebssystem ist) auf meinem USB-Laufwerk oder das BIOS ist gesperrt, um den Zugriff auf die Linux-Partition zu erschweren.

Denken Sie daran, den Computer immer herunterzufahren, wenn Sie nicht in der Nähe sind, um Kaltstartangriffe zu verhindern.

Es ist auch sehr schwer zu bemerken, dass Sie mit diesem Setup etwas verstecken. Die Home-Partition ist unter Windows schwer zu erkennen und zugänglich. Für den Fall, dass sie Zugriff auf die Home-Partition erhalten, sehen sie eine Reihe zufällig aussehender Dateien mit zufälligen Dateinamen, die zufällige Informationen enthalten. Angenommen, Linux ist auf dem USB-Laufwerk installiert, wird nicht einmal ein anderes Betriebssystem angezeigt!

Die Installation von Linux mit einer separaten Home- und Systempartition ist sehr einfach, wird jedoch vorerst nicht behandelt. Fügen Sie einen Kommentar hinzu, wenn Sie diese Informationen benötigen.

Wie verhindert das Herunterfahren Ihres PCs einen Kaltstartangriff?
Ein Kaltstartangriff ist ein Angriff, mit dem Ihr Verschlüsselungsschlüssel direkt aus dem Speicher wiederhergestellt wird.Durch das Herunterfahren Ihres PCs wird verhindert, dass andere Personen Ihren PC herunterfahren und ihn sofort in ihrem Speicherauszugsprogramm neu starten.Ich glaube nicht, dass jemand unmittelbar nach dem Herunterfahren Ihres Computers vor Ihnen hergeht und versucht, Ihre Schlüssel wiederherzustellen, da Sie misstrauisch werden.
ted123
2016-06-16 02:48:12 UTC
view on stackexchange narkive permalink

Außerdem habe ich vergessen zu erwähnen. Wenn Sie ein BIOS-Passwort festlegen möchten und je nachdem, wie viel Aufwand Sie durchmachen möchten, können Sie in einen Fall investieren, der ein Schloss für die Seite hat. Dies würde das Eindringen zwar nicht vollständig verhindern, aber verhindern, dass Personen daran manipulieren, wenn sie nicht erkannt werden möchten. Auf diese Weise können sie nicht einfach das CMOS entfernen oder auf das Motherboard / den Jumper zugreifen, um das BIOS-Passwort zurückzusetzen.

Sie können das Ding auch von Kensington an den Schreibtisch sperren, wenn Sie nicht möchten, dass es aus Ihrem Zimmer verschwindet, wenn Sie nicht in der Nähe sind. Ich bin mir nicht sicher, wie lange diese Leute brauchen werden, um auf Ihre Daten zuzugreifen.

Joshua
2016-06-17 21:14:42 UTC
view on stackexchange narkive permalink

Ich bin vor langer Zeit auf jemanden gestoßen, der übermäßig paranoid war:

Vollständige Festplattenverschlüsselung, bei der sich / boot auf einem Wechselmedium befand und das Hauptkennwort über eine Rasteranzeige eingegeben werden musste, damit die Tastenanschläge dies ausführten entsprach den Buchstaben des Hauptkennworts, das bei jedem Start des Computers geändert wurde.

Meine persönliche Empfehlung sieht vor, dass das Startmedium eine CD-R ist, die von Hand mit einem Filzstift markiert ist, damit Sie feststellen können, ob jemand versucht es zu tauschen. (Auf diese Weise können Sie es in seiner Hülle direkt neben dem Computer aufbewahren.)

Die ursprüngliche Empfehlung lautete / boot ist eine Diskette, die Sie mitgenommen haben (es ist so alt).

Trotz alledem ist nur jemand erforderlich, um den Computer mit einer benutzerdefinierten Boot-Software oder -Hardware zu modifizieren, die den Inhalt des Removable / Boot für die spätere Verwendung stiehlt, um dem Benutzer einen gefälschten Passworteingabebildschirm zum Stehlen seines Passworts zu präsentieren.Wenn die Hardware nicht sicher ist, ist sie hoffnungslos.Das Hijacking-Boot-Programm würde so etwas wie "Booten von USB" sagen, aber es wäre nicht das BIOS, das diese Nachricht druckt.
@AlexCannon: Das Ersetzen des Inhalts des System-BIOS, um dies zu tun, liegt außerhalb der Reichweite fast aller.Die meisten großen Computerhersteller verwendeten jetzt signiertes BIOS.Muhahaha.
Sie müssen lediglich das CMOS-Kennwort entsperren und es dann so konfigurieren, dass es von einem versteckten USB-Laufwerk oder Ähnlichem startet.Dann stiehlt es eine kleine Kopie des echten Boot-Laufwerks und lädt es dann in einer Kette.Es verursacht nur eine kleine Verzögerung, die der Benutzer möglicherweise nicht bemerkt.
@AlexCannon: Sie meinen, Sie verwenden nicht jedes Mal F12-> Bootmedien auswählen?
MarLinn
2016-06-15 22:31:03 UTC
view on stackexchange narkive permalink

Ich habe in der Vergangenheit einige Verwaltungsarbeiten in einer Firma durchgeführt, in der frühere Administratoren nicht viele Notizen hinterlassen haben. Aber es gab Hardware, die wichtig war, mit den Netzwerken verbunden und nicht vertrauenswürdig. Aus dieser Erfahrung kann ich Ihnen sagen, dass das alte Sprichwort richtig ist: Wenn Sie physischen Zugang haben und entschlossen sind, ist das Spielende nur eine Frage des Zeitaufwands. Sie können es schwieriger machen, Ihre Daten zu kompromittieren, ohne dass Sie es bemerken, aber das ist nur mehr Zeit für den Angreifer.

Ein Angriffsvektor, an den Sie vielleicht noch nicht gedacht haben: Anstelle eines Hardware-Keyloggers ein entschlossener Der Angreifer könnte eine winzige Videokamera installieren, um Ihre Passwörter zu erhalten. Abhängig von der Tastatur reicht möglicherweise ein billiges Mikrofon aus, das Ihre Tastendrücke aufzeichnet. Ein unschuldiger Anruf auf Ihrem Mobiltelefon, während Sie das supergeheime Passwort eingeben ...

Die einzige wirkliche Lösung besteht darin, den physischen Zugriff zu beschränken, und ich sehe nur sehr wenige Möglichkeiten, dies in Ihrem zu erreichen Szenario:

  1. Wie in anderen Antworten erwähnt, nehmen Sie das System mit, z. auf einem USB-Stick. Verschlüsseln Sie es und tragen Sie es am Hals oder sperren Sie es im Schlaf.
  2. Verschlüsseln Sie Ihre Linux-Partitionen, verwenden Sie jedoch jedes Mal ein Skript, um das Kennwort zu ändern. Verwenden Sie ein separates Gerät (Ihr Telefon?), Um dieses Kennwort neu zu generieren. Es könnte entweder synchronisiert sein oder ein Bild erfassen, das Ihr PC generiert, und das zum Synchronisieren und erneuten Generieren des Kennworts verwenden. So schützen einige Banken ihr Online-Banking. Schützen Sie dieses zweite Gerät mit der gleichen Genauigkeit wie ein USB-basiertes System.
  3. Speichern Sie Ihre Daten auf Remote-Servern, auf denen Sie sehen können, wann auf Dateien zugegriffen wurde und von welchem ​​Speicherort aus. Überwachen Sie die Zugriffe genau (von einem unabhängigen, sicheren Ort aus). Dies gibt Ihnen keinen Schutz, aber es gibt Ihnen Beweise. Greifen Sie nur von einer Live-DVD auf die Daten zu. Nochmals: Schützen Sie diese Live-DVD so, als ob sie beschreibbar wäre.
  4. Verwenden Sie einen anderen PC an einem anderen Ort.
  5. Arbeiten Sie nur auf Papier und verbrennen Sie das Papier, nachdem Sie es verwendet haben. Stellen Sie sicher, dass es vollständig brennt und keine Einkerbungen auf den folgenden Blättern wie in den Filmen hinterlässt.
  6. Werden Sie ein Genie und führen Sie Linux in Ihrem Kopf aus. Aber nehmen Sie keine Drogen, lassen Sie sich nicht entführen und stellen Sie sicher, dass niemand etwas in Ihre Getränke steckt.
  7. Verwenden Sie einfach den PC, aber ziehen Sie damit in einen neuen Haushalt um.
  8. ol>

    Vergessen Sie auch nicht, Ihre Backups, Ihre USB-Sticks und alles andere, was Sie an Ihren PC anschließen, zu schützen. Besonders bei Auswahl von Option 6.

Mein Gedanke auch, dass er seine tatsächlichen * Computer und Daten * in die Cloud verschieben sollte.Greifen Sie über die LiveDVD zu und implementieren Sie auch einen Yubi-Schlüssel oder einen gleichwertigen Schlüssel.
ted123
2016-06-16 02:42:46 UTC
view on stackexchange narkive permalink

Andere Leute hatten einige großartige Ideen. Ich habe nicht nachgelesen, um festzustellen, ob dies bereits erwähnt wurde oder nicht, also entschuldige ich mich, wenn es so war. Ich weiß, dass Sie erwähnt haben, dass Sie die Tür zu Ihrem Zimmer nicht physisch abschließen können, aber wie wäre es, wenn Sie nur von einer externen Festplatte aus arbeiten, diese verschlüsseln und an anderer Stelle, in einem Schließfach oder Safe oder so etwas abschließen? Verstecken Sie dann den Schlüssel oder stellen Sie sicher, dass er immer bei Ihnen ist.

Sie können sogar ein kleines Schließfach mit der externen verschlüsselten Festplatte in das Handschuhfach Ihres Autos stellen. Dann schließen Sie Ihr Auto ab. Dann sind das bis zu 4 Hindernisse (Daten entschlüsseln, Schlüssel für Schließfach, Schlüssel für Handschuhfach, Schlüssel für Auto), die diese Hacker durchlaufen müssten, um auf Ihre Daten zuzugreifen (je nachdem, ob Sie denselben Schlüssel für das Fach wie für die Tür haben zu deinem Auto).

Wie bereits erwähnt, ist es eine großartige Idee, vollständig von einer Live-CD zu arbeiten.

Ich denke, eine SSD würde die Vibration eines Autos besser überstehen als eine physisch drehende HD.Die Hitze, die entsteht, wenn man den ganzen Tag in der Sonne geparkt wird, ist wahrscheinlich schlecht für beide.
@Xen2050 Nicht funktionierende Festplatten werden normalerweise bei niedrigen Frequenzen mit einigen hundert G bewertet, daher ist dies kein wirkliches Problem.(Überprüfen Sie das Datenblatt für Ihr spezielles, wenn Sie neugierig sind.) Der Schock während des Betriebs ist normalerweise weitaus geringer.Was die Temperaturen betrifft, stimme ich zu.
user36303
2016-06-16 04:42:54 UTC
view on stackexchange narkive permalink

Ich sehe viele Leute, die erwähnen, dass der physische Zugriff vorbei ist. Während dies bei einem gut ausgestatteten Angreifer zutrifft, gibt es eine Verteidigung gegen weniger gut ausgestattete: Qubes OS und Antievilmaid.

https://www.qubes-os.org/

Qubes ist im Wesentlichen Xen, auf dem Fedora-VMs ausgeführt werden (Sie können auch andere VMs verwenden, einschließlich Debian und Windows).

antievilmaid ist ein Programm, das das TPM (Hardware Security Module) verwendet, um ein Geheimnis zu verschlüsseln, es dann beim Booten zu entschlüsseln und Ihnen zu präsentieren. Der Schlüssel für diese Verschlüsselung wird aus Hashes von ROM, Bootloader usw. abgeleitet. Wenn etwas in dieser Liste geändert wird, ändert sich der Hash und Ihr Geheimnis kann nicht entschlüsselt werden. Ihr Computer identifiziert sich beim Booten mit Ihnen und teilt Ihnen mit, dass "Ich wurde nicht geändert, seit Sie Ihr Geheimnis verschlüsselt haben".

Qubes kann alle USB-Controller einer separaten VM zuordnen, sodass jemand einsteckt Ein USB-Keylogger würde am Ende eine inaktive VM keyloggen, während Sie sich gerne an dom0 binden, das an die aktive VM weitergeleitet wird. Die USB-VM wird niemals aktiv sein, da es nur darum geht, dort zu sitzen und die USB-Controller zu steuern. Wenn Sie einen USB-Anschluss benötigen, können Sie ihn vorübergehend an eine andere VM weiterleiten.

Da die Qubes-Partition verschlüsselt wird, müssen Sie sich keine Sorgen machen, dass Windows-Benutzer die Partition sichern. Versuche, den Bootloader so zu ändern, dass die Passphrase der Festplatte protokolliert wird, führen dazu, dass antievilmaid Ihnen Ihr Geheimnis nicht präsentiert, da der Bootloader einen anderen Schlüssel hasht.

Ich habe gerade einen Keylogger gekauft und ihn an einem Tag zwischen Tastatur und Computer gelegt, an dem Sie ihn nicht überprüft haben (vorausgesetzt, Sie waren an erster Stelle).Für weniger als 50 US-Dollar habe ich trotz der Sicherheitsmaßnahmen von Qubes alle Ihre Konto- und Entschlüsselungskennwörter erhalten.
Ich will damit nicht sagen, dass dies eine schlechte Antwort ist, aber der physische Zugang ist mit Sicherheit vorbei.
Hmm, Punkt, ja.Ich denke, es ist auch für Desktop-Computer viel einfacher.Die Frage besagt jedoch, dass physischer Zugang eine schwierige Voraussetzung ist, also ...
@Qwerty01: Möchten Sie versuchen, das an meine Laptoptastatur anzuschließen?
tonychow0929
2016-06-16 09:56:14 UTC
view on stackexchange narkive permalink

Abgesehen von den Aussagen anderer (Live-CD, vollständige Festplattenverschlüsselung usw.) gelten folgende Vorsichtsmaßnahmen.

(1) Laden Sie Ihre Linux-Distribution auf einen vertrauenswürdigen Computer herunter. Tun Sie dies nicht auf Ihrem Windows-System, da das ISO-Image möglicherweise heimlich ersetzt / infiziert / geändert wird. Vertrauen Sie nicht nur Prüfsummen (Prüfsummen-Dienstprogramme können auch gefälscht sein).

(2) Melden Sie sich auf Ihrer Live-CD / DVD / USB-Stick an. Ich meine, setzen Sie eine physische Signatur darauf, damit Sie überprüfen können, ob Sie Ihr Datenspeichergerät haben. Es ist nicht schwer, eine Live-CD / DVD mit einem gefälschten Betriebssystem vorzubereiten. Die Verwendung einer CD / DVD mit einmaligem Lesen und Lesen ist die beste Option.

(3) Geben Sie nicht auf physischen Tastaturen ein. Wenn Sie sich mit Programmierung auskennen, können Sie Ihre eigene Bildschirmtastatur schreiben. Verwenden Sie kein QWERTY-Layout. Erstellen Sie stattdessen ein benutzerdefiniertes Layout, das nur Sie kennen. Malen Sie die Zeichen nicht auf die Tasten. Solange auf der Tastatur keine Zeichen angezeigt werden, ist es für Ihre Haushaltsmitglieder nutzlos, mit einer versteckten Videokamera aufzuzeichnen, was Sie eingeben. Denken Sie daran, diese benutzerdefinierte Tastatur nur zu verwenden, wenn Sie Kennwortfelder eingeben (in denen Zeichen durch andere Symbole wie Punkte ersetzt werden), um Ihr Layout nicht anzuzeigen.

(4) Verwenden Sie einen Tastenverdeck. Ein Schlüsselverschleierer sendet zufällige Schlüsselereignisse im Hintergrund aus. Wenn Keylogger vorhanden sind, erhalten sie alle zufälligen Tastenanschläge, was bedeutet, dass es viel schwieriger ist, Ihre Anmeldeinformationen wiederherzustellen.

Out of Band
2016-06-23 03:20:44 UTC
view on stackexchange narkive permalink

Eine andere Idee:

Sie könnten einen billigen Einplatinencomputer kaufen (denken Sie an Raspberry Pi). Der Pi 3 ist schnell genug, um einen Desktop-PC zu ersetzen, wenn Sie nur im Internet surfen und Filme usw. ansehen. Er kostet etwa 40 US-Dollar.

Es wird über ein USB-Ladekabel (oder den USB-Anschluss eines anderen Computers) mit Strom versorgt und unterstützt die HDMI-Ausgabe. Es ist klein genug, dass du es in einer Socke verstecken kannst :-) oder es in deiner Jackentasche herumtragen kannst. Es ist wahrscheinlich sogar vor Hardware-Keyloggern sicher, da Sie jede Manipulation sofort sehen können, da es sich nur um eine einzelne Karte handelt. Es bootet von einer Micro-SD-Karte, die so klein ist, dass Sie sie praktisch überall verstecken können (oder in ein altes Smartphone oder eine alte Kamera stecken). Sie können die anfängliche RAM-Disk auf der SD-Karte einfach so ändern, dass das System eine andere Root-Partition verwendet - z. eine auf einem externen USB-Laufwerk (dies sollten Sie ernsthaft in Betracht ziehen, da SD-Karten nicht für die Ausführung schreibintensiver Betriebssysteme geeignet sind). Wenn Sie den Pi nicht verstecken möchten oder können, können Sie seine Anwesenheit - und die Tatsache, dass Sie plötzlich Linux verwenden - leicht erklären, indem Sie sagen, dass Sie am Pi basteln möchten, und einen zusätzlichen billigen Anschluss kaufen Kabel, ein Steckbrett und Leds für ein Dutzend Dollar oder so und schauen Sie sich einige coole, einfache Projekte an, die Sie mit dem Pi machen können, die Leds zum Blinken bringen. Sie können dann zwei SD-Karten zum Booten verwenden. Das geheime, das Sie verwenden, wenn Sie Privatsphäre wünschen, und das öffentliche, das Sie als Lockvogel verwenden, der nur ein Standard-Raspbian-Bild und einige Projekte mit blinkenden LEDs enthält.

Diese Lösung berührt nicht einmal Ihr Desktop-System, bietet Ihnen eine viel bessere Kontrolle über die Hardware (die einzige verbleibende Hardware-Gefahr ist Ihre Tastatur) und ist nahezu immun gegen leicht verfügbare Software-Malware (da es sich um eine ungewöhnliche Hardware-Plattform handelt ). Außerdem ist es leicht zu erklären, da viele Leute gerne an einem Pi basteln. Wenn Sie also auch nur aus der Ferne der Typ sind, der sich für so etwas interessiert, finden Sie hier Ihre perfekte Erklärung, warum Sie plötzlich daran interessiert sind, eine Sekunde zu besitzen Computer, auf dem nur Linux ausgeführt wird.

"Die einzige verbleibende Hardware-Gefahr ist Ihre Tastatur", könnten Sie sich eine zusammenrollbare oder zumindest sehr schlanke tragbare Tastatur zulegen und diese und Ihren Raspberry Pi in einer Einkaufstasche tragen.
user83389
2016-06-16 21:10:13 UTC
view on stackexchange narkive permalink

Während es theoretisch unmöglich ist, einen Angriff bei physischem Zugriff zu verhindern, können Sie viel tun, um den physischen Zugriff auf das Wesentliche zu beschränken und damit die Angriffsvektoren einzuschränken.

Ich denke, Ihre beste Option wäre eine benutzerdefinierte Linux-Boot-CD sowie ein verschlüsselter USB-Stick zur Speicherung. Viele Distributionen machen das Erstellen einer benutzerdefinierten CD ziemlich einfach, einschließlich Arch und Gentoo. Eine sicherheitsorientierte Distribution könnte ebenfalls eine Option sein, wie Kali oder Ubuntu Privacy Remix. Selbst eine normale Boot-CD wie Knppoix ist in vielen Fällen wahrscheinlich ausreichend, wenn Sie nicht mit Angreifern mit unbegrenzten Ressourcen zu tun haben.

Der Hauptvorteil einer sicherheitsorientierten oder benutzerdefinierten CD ist Die Möglichkeit, die Funktionsweise der Treiber zu optimieren, um zu verhindern, dass Treiber auf potenziell gefährdete Hardware geladen werden. Obwohl immer noch Risiken bestehen, ist die Schwierigkeit, die beispielsweise beim Hacken des BIOS auftritt, wesentlich größer als bei der überwiegenden Mehrheit der gelegentlichen Angreifer.

Natürlich sollten Sie sich immer der Hardware bewusst sein. Verwenden Sie eine kabelgebundene Tastatur, niemals kabellos. Verwenden Sie noch besser eine, auf die Sie den Zugriff verhindern können, indem Sie den Netzstecker ziehen, z. B. eine tragbare Tablet-Tastatur. Stellen Sie sicher, dass keine fremden Peripheriegeräte installiert sind und dass die Interna des Systems vor dem Booten nicht manipuliert wurden. Jedes USB- oder FireWire-Gerät, jede PCI-Karte und jede Hardware, bei der Sie sich nicht sicher sind, ist ein potenzieller Angriffsvektor.

Achten Sie auf Netzwerk und Internet. Sie sollten davon ausgehen, dass Sie einer ARP-Vergiftung ausgesetzt sind und Maßnahmen ergreifen, z. B. den gesamten unverschlüsselten Datenverkehr blockieren.

Bis zu einem gewissen Grad ist dies eine Frage des Engagements und der Kompetenz der Mitarbeiter Sie versuchen, draußen zu bleiben. Wenn Sie versuchen, eine nebby Frau, die "Keylogger" gegoogelt hat, fernzuhalten, sind die Maßnahmen, die Sie ergreifen müssen, wesentlich anders als wenn Ihr Mitbewohner für chinesische Computerintelligenz arbeitet.

Ein Vorteil des Ansatzes von Boot-CD + Tablet-Tastatur + USB-Stick besteht natürlich darin, dass der Angreifer je nach Kontext möglicherweise nicht bemerkt, dass dies überhaupt getan wird. Sie können problemlos Dummy-Installationen verwenden, die Sie gelegentlich "verwenden", um das Erscheinungsbild aufrechtzuerhalten.

h22
2016-06-21 19:06:56 UTC
view on stackexchange narkive permalink

Verwenden Sie einen Hot-Swap-Käfig für Ihre Festplatte und entfernen Sie die Festplatte, wenn Sie sie nicht verwenden. Nehmen Sie es mit oder bewahren Sie es an einem sicheren Ort auf.

Ein solches Laufwerk kann an die übliche SATA-Verbindung angeschlossen werden. Anders als bei USB verlieren Sie nicht Ihre Geschwindigkeit und es kann jede Kapazität sein. Das Betriebssystem kann problemlos von diesem Laufwerk booten - und sie können wirklich nichts von Ihrem Computer abrufen, wenn Sie das Laufwerk wegnehmen.

Michael B
2016-06-19 19:14:04 UTC
view on stackexchange narkive permalink

Mein primärer PC besteht aus einem passwortlosen Desktop-PC, den jeder im Haus verwenden kann. Von diesem Computer aus stelle ich eine Verbindung zu einem Windows 10-Computer her, auf dem Azure ausgeführt wird. Ich habe kein Problem mit jemandem, der Keylogger usw. installiert (glaube ich nicht!), Aber es gibt eine Reihe von 2-Faktor-Authentifizierungsoptionen, die für Heimanwender frei verfügbar sind und die das Kennwort für diesen Computer ohne das von Ihnen verwendete Gerät unbrauchbar machen würden Anmeldung.

Mit einem Bereinigungsskript zum Löschen gespeicherter MSTSC-Einstellungen und einem VPN ist es unmöglich zu wissen, dass Sie eine Verbindung zu einer VM hergestellt haben.

Die anderen Vorschläge hier befassen sich mit den Keylogging-Problemen, und das Booten von einer Live-CD usw. würde das zugrunde liegende Betriebssystem sauber halten.

Natürlich gibt es hier ein Kostenproblem, aber Sie können AWS-Spot-Instanzen verwenden und nur dann eine starten, wenn Sie etwas tun möchten, das Sie privat halten möchten. Dies macht es zu einem vernünftigen Nennpreis.

Es handelt sich um einen alternativen Ansatz, der Ihre Anforderungen möglicherweise nicht vollständig erfüllt, aber eine gute Lösung für den Datenschutz bietet (es sei denn, Sie möchten die Dinge vor Regierungen und großen Unternehmen natürlich privat halten).

Hey
2016-12-13 22:19:34 UTC
view on stackexchange narkive permalink

Etwas, das in den anderen Antworten anscheinend nicht erwähnt wurde, ist das Festplattenkennwort .

Wenn Sie ein Festplattenkennwort aktiviert haben Ihr Laufwerk wird es ablehnen, mit dem Computer zu sprechen, bis Sie ihm das Passwort gegeben haben. Das BIOS fordert beim Booten zur Übergabe auf. Sie müssen das Kennwort auch im BIOS-Setup festlegen.

Der Vorteil besteht darin, dass das Lesen oder Ändern der Daten auf dem Laufwerk beim Ausschalten Ihres Computers sehr schwierig ist, da der Controller des Laufwerks gewonnen hat. ' funktioniert nicht.

Es ersetzt nicht die Verschlüsselung (da einige Unternehmen die Platten immer noch direkt lesen können), macht es jedoch unmöglich, sich mit Ihrem System herumzuschlagen oder Ihre Daten zu lesen, ohne sehr zu sein. em> motiviert (und bereit zu zahlen).

Beachten Sie nur, dass Ihr Laufwerk bei Verlust des Festplattenkennworts definitiv nicht mehr funktioniert (einige Hersteller haben "Hauptschlüssel", andere finden Sie auf der Internet, aber es hängt vom Modell ab und ich würde mich nicht darauf verlassen.

Schließlich sollten Sie wissen, dass einige Laufwerke (wie die SSD 850 Evo von Samsung) die Daten auf ihnen mit dem Festplattenkennwort verschlüsseln und echte Sicherheit).

Funktioniert nur, wenn Sie Ihren Computer herunterfahren.Wenn das OP eine Festplattenverschlüsselung verwendet (wie er sagt), bin ich mir nicht sicher, ob dies zusätzliche Sicherheit bringt.
Es kann zumindest böse Dienstmädchenangriffe erheblich erschweren: Die Verschlüsselung bietet Vertraulichkeit und die Festplattenkennwörter sorgen für Integrität.Ich dachte, es könnte helfen.
Das Problem ist, dass immer mehr Tools zum Entsperren von ATA-gesperrten Festplatten bestimmter Marken verfügbar sind.
Alex Cannon
2018-04-19 08:08:21 UTC
view on stackexchange narkive permalink

Die meisten Antworten erschweren dies in Bezug auf den Softwareaspekt.

Wenn Sie das CMOS-Kennwort festlegen, um BIOS-Änderungen zu verhindern und das Startlaufwerk zu sperren, den Bootloader sperren, ein Anmeldekennwort festlegen, ein wenig nach häufig vergessenen Bypass-Hacks auf dem Anmeldebildschirm suchen und dies nicht tun Vergessen Sie, Ihre Sitzung zu sperren, wenn Sie weggehen. Dann kann praktisch niemand über Software zugreifen, sei es GNU / Linux oder Windows.

Ich weiß, dass Sie gesagt haben, dass Sie nicht daran interessiert sind, sich vor Angriffen zu schützen, die benutzerdefinierte Hardware oder hochentwickelte Angriffe erfordern. In diesem Fall möchten Sie jedoch alle Firewire-Ports deaktivieren, da diese DMA-Zugriff gewähren, und möglicherweise Deaktivieren Sie USB Plug & Play, um sicherzugehen, dass USB-Treiberfehler nicht ausgenutzt werden.

Wenn sie also Zugriff auf Ihren Computer erhalten möchten, greifen sie einfach auf die Hardware zu. Richten Sie es also für die vollständige Festplattenverschlüsselung ein. Dann möchten Sie möglicherweise ein abschließbares Gehäuse haben und den Chassis-Eindringlingsschalter so konfigurieren, dass der Verschlüsselungsschlüssel aus dem Speicher gelöscht und der Rest des Arbeitsspeichers gelöscht wird.

Wenn Sie der Meinung sind, dass sie möglicherweise die Gehäusesperre aufheben oder Ihre Tastatur ändern, Machen Sie dann die Manipulation Ihrer Tastatur und Ihres Gehäuses deutlich, indem Sie einige gute Aufkleber mit Ihrer Unterschrift oder dergleichen darauf anbringen, die beim Öffnen Ihrer Tastatur oder Ihres Computergehäuses zerreißen. Stellen Sie sicher, dass sie gut sind, damit sie nicht durch Erhitzen mit einem Fön besiegt werden. Sie können auch etwas wie Siegellack und einen benutzerdefinierten Stempel verwenden. Das Anbringen von Wachs an den Aufklebern würde zeigen, ob sie erhitzt wurden. Sie müssen sich angewöhnen, bei jedem Einschalten Ihres Computers die Integrität der manipulationssicheren Funktionen zu überprüfen. Andernfalls könnten sie eine Art billige DMA-Hardware oder einen externen PCIe-Anhang einbauen, mit dem jemand Ihr Kennwort für die Festplattenverschlüsselung aus dem Speicher abrufen kann. Oder sie können das CMOS-Kennwort löschen und Ihr BIOS neu konfigurieren, um ein Tool zum Stehlen des Kennworts für die vollständige Festplattenverschlüsselung zu starten und darauf zu warten, dass Sie es eingeben.

Stellen Sie sicher, dass sich Ihr Bildschirmschoner-Entsperrkennwort von Ihrem vollständigen Kennwort für die Festplattenverschlüsselung unterscheidet. Andernfalls könnten sie, wenn sie ein Image Ihrer verschlüsselten Festplatte erstellen, Ihr Passwort von Ihnen erhalten, indem sie Ihnen einen gefälschten Entsperrbildschirm anzeigen. Wenn Sie Ihr Passwort eingeben und feststellen, dass der Entsperrbildschirm eine Fälschung war, hat er möglicherweise bereits Ihr Passwort über das Netzwerk an sie gesendet.

Stellen Sie sicher, dass sie Ihre Tastatur nicht überwachen, indem Sie ein verstecktes Passwort haben Kamera zeigt darauf.

Überprüfen Sie alles, was Sie herunterladen, falls sie etwas mit dem lokalen Netzwerk tun, das heruntergeladenen Dateien Malware hinzufügt.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...