web-dev-qa-db-fra.com

Sécuriser un ordinateur portable contre des attaques (article)

Je suis tombé sur ceci article lorsque vous cherchez des moyens de durcir mon ordinateur portable, et ce guide semblait extrêmement approfondi. C'est peut-être trop paranoïaque, mais il sera bon d'avoir un guide que je peux faire confiance dû devrais-je venir dans une position, probablement liée au travail, qui nécessite ce niveau de protection.

Mes questions sont les suivantes: Y a-t-il des trous dans le guide ci-dessus que l'auteur n'a pas mentionné cela permettrait d'accéder à un attaquant? Et à quelles de la longueur un attaquant serait-elle à aller avoir accès, sans recourir à vous battre avec une clé?

encryptionprivacyattack-preventionhardening
16
youjustreadthis

Polynôme a déjà écrit une très bonne analyse , mais quelques points supplémentaires méritent d'être mentionnés.

Analyse partielle

Défense des voleurs communs

Cas 1: Le voleur est après le matériel. Il va la clôturer et réinstaller la première chose du système d'exploitation. Les chances qu'il va démarrer dans Windows et essayer de l'utiliser est faible (pas zéro: il y a une chose comme un voleur stupide). Une personne démarrant dans Windows peut également être une personne qui essaie de savoir qui vous êtes parce que vous avez perdu l'ordinateur portable et que vous avez été trouvé.

Cas 2: Le voleur est après les données. Pas pour lui-même bien sûr, mais pour la revente: il existe un marché pour les ordinateurs portables volés ou gouvernementaux volés. Ce type de voleur (ou la personne qui l'utilise) sait de ne pas démarrer l'appareil, mais de transplanter le disque et de regarder les données de l'extérieur.

Je considère l'installation de Windows comme présentée ici un gaspillage pur de l'espace disque.

Attaques de femme de ménage maléfique

La défense contre ces attaques a une portée limitée. La femme de chambre maléfique pourrait planter un keylogger matériel, ou pourrait installer un rootkit de firmware.

Le problème avec un "bâton USB qui ne laisserait jamais mon côté" est que c'est en fait assez facile à perdre un. La plupart des gens sont vulnérables aux pickpockets compétents. Il est un peu plus facile de perdre un bâton USB dans une foule sans remarquer qu'un ordinateur portable volumineux.

Attaque de démarrage à froid

La défense proposée introduit une vulnérabilité: les mises à niveau du noyau prennent beaucoup plus de temps lorsque vous devez télécharger la nouvelle source, réappliquer le correctif et recompiler. Ce n'est souvent pas quelque chose que vous pouvez faire de manière commodément en allant, ce qui est lorsque la démarrage à froid attaque compte.

À propos, appliquer rapidement des mises à jour de sécurité est un conseil élémentaire manquant de l'article.

Modules de plate-forme de confiance

Pour une meilleure sécurité contre les fuites d'informations, placez la clé de cryptage dans une carte TPM ou une carte à puce. Cela introduit un risque grave de perdre l'appareil contenant une clé. Si votre carte mère est frite (TPM) ou que vous perdez la carte (carte à puce), vous ne pourrez plus accéder à vos données. Faites donc vraiment sûr que vous avez sauvegardé la clé. Pensez à ce que vous ferez si vous perdez votre clé pendant votre voyage.

Sécuriser le navigateur Web

Il y a un grand whooper ici. Exécution du navigateur en tant qu'utilisateur distinct ne protège que sur quelques vulnérabilités, telles que des vulnérabilités d'accès au fichier local. Pour plus d'avantages, définissez une politique d'APPARMOR plus restrictive pour Firefox. Cependant, si l'attaquant peut exécuter du code arbitraire comme mike.firefox, il pwns le compte mike aussi. X Les serveurs ne fournissent pas grand chose dans la voie de l'isolement. mike.firefox Peut fourrer l'entrée dans d'autres applications et exécuter un keylogger. mike.firefox Peut également exécuter des attaques locales, y compris l'exploitation des vulnérabilités locales non corrigées (combien êtes-vous prêt à parier que vous n'en avez pas?) et des attaques de canaux latéraux sur toute crypto. Au minimum, Firefox doit être exécuté dans une machine virtuelle pour fournir une isolation réelle.

Cartes à puce PGP

(Voir "Modules de plate-forme de confiance" (SIC) ci-dessus)

Ce qui manque

Il n'y a pas de risque et d'évaluation des coûts. Combien de temps a été dépensé de configuration supplémentaire? (Mike répond ci-dessous: "Un mois de recherche", "une semaine ou deux essais d'essais". Donc oui, c'était une expérience d'apprentissage, mais je ne pouvais pas me permettre de perdre un mois et demi quand je reçois un nouvel ordinateur .) Combien d'obstacles la sécurité serrée sera-t-elle accomplie?

Un autre manque n'est toute considération pour autre chose que des fuites de données. En particulier, disponibilité prend toujours un peu de succès chaque fois que quelqu'un essaie de "sécuriser" quelque chose. Les disques cryptés et l'authentification renforcée signifient des heures de récupération plus longues si le matériel échoue.

Cela ne s'applique pas à tout le monde, mais il y a des cas où vous ne pouvez pas éviter d'abandonner quelque chose. Si un protège-frontière dit: "Donnez-moi votre ordinateur portable et vos clés de déchiffrement ou nous ne vous laisserons pas dans le pays", que faites-vous? Il peut être possible de ne pas révéler directement les mots de passe et ne les saisis que de vous-même (mais considérez que les aéroports ont des caméras partout). Et si vous avez besoin d'entrer dans une entreprise de technologie qui veut que vous quittiez tous vos appareils électroniques à l'entrée, y compris une clé USB? (Oui, ils existent. Vous ne pouvez pas être la personne la plus paranoïaque autour!) Si vous ne pouvez vraiment pas vous permettre de fuir les données, ne le transportez pas avec vous! Vos trucs sensibles à la maison (sur un bureau, dans une zone de sécurité physique) et apportent une quantité minimale de choses à faible valeur avec vous.

9
Gilles 'SO- stop being evil'

Néanmoins, j'ai trouvé cet article intéressant, mais j'ai des préoccupations concernant la partie:

Défense des voleurs communs Quand un voleur vola probablement votre appareil, il ne fait probablement pas cela pour jouer à des jeux dessus, ou parce qu'il avait désespérément nécessaire pour vérifier son compte FB. Ils ne volent pas non plus votre ordinateur portable pour lire votre courrier ou d'autres informations. Donc, je doute fort qu'il commence à démarrer Windows. Très probablement (au moins dans mon pays, c'est comme ça) Le voleur fait cela parce qu'il a besoin d'argent et sa première étape essaie de le vendre. Ce peuple a des connaissances qui seront en mesure de l'acheter rapidement pour 4 à 8 fois moins cher que cela coûte. Et dans les cas d'ordinateurs portables et de téléphones mobiles de la deuxième personne, la deuxième personne supprimera tout droit lorsqu'il obtient l'appareil.

3
Salvador Dali

s'ils vont avoir la peine d'altérer le matériel, ils pourraient aussi facilement installer un keylogger matériel sous votre clavier. Verrouillez l'ordinateur portable dans un cas où il est hors de votre vue. Je fais toujours cela dans les hôtels, car cela aide à prévenir le vol aussi. Je suggère également d'investir dans un verrou de Kensington décent, qui peut être attaché autour des tuyaux et divers autres luminaires puissants.

Un verrou de Kensington ne protège pas contre un keylogger installé physiquement (c'est bien des conseils). Il y a aussi des moments où vous ne pouvez pas verrouiller l'ordinateur portable à l'intérieur d'une affaire (ou que vous oubliez de, ou c'est gênant, etc.), et je ne mets pas beaucoup de confiance dans les "verrous" dans la plupart des cas/bagages.

Essaye ça:

  1. Obtenez un vernis à ongles scintillant et peignez-le sur les vis situées au bas de votre ordinateur portable.
  2. Utilisez une caméra haute résolution et photographiez chacune des vis peintes paillettes.
  3. Mettez les photos sur un autre appareil que vous aurez toujours avec vous (c'est-à-dire votre téléphone intelligent).

Maintenant, vous pouvez facilement vérifier les vis peintes paillettes contre vos photos.

Cette défense à faible technologie augmente considérablement la barre des attaques nécessitant un accès aux composants internes de l'ordinateur portable. Maintenant, n'importe quel attaquant doit vérifier votre ordinateur portable, faire correspondre le vernis à ongles, nettoyer votre vernis à ongles, installer la touche-enregistreur (insérer une autre activité néfaste "maléfique" ici), ré-peinture des vis, photographier les nouveaux modèles de paillettes , pirater votre téléphone et remplacer vos photos (tout avant de revenir à votre ordinateur portable). À ce niveau, nous parlons d'une opération d'équipe ou d'une personne très dédiée et patiente.

Plan de bonus paranoïaque supplémentaire : Utilisez une partie de ce vernis à ongles durcisseurs UV/Clear-manteau qu'ils ont dans des salons de ongles. Cela ne va pas porter avec une activité quotidienne. Maintenant, tout attaquant doit également porter de l'acétone (qui prend 5 à 10 minutes pour dissoudre votre vernis à ongles), des lumières UV (pour durcir le nouveau vernis à ongles), et doit littéralement rester autour de la peinture ...

1
RajanPB

Mes deux cents: l'enregistrement se concentre trop sur la sécurité physique et pas assez sur le piratage. Je m'inquiéterais davantage des exploits dans le navigateur et l'application de courrier électronique, en atténuant ceux en utilisant un navigateur (toux) plus sécurisé, des boîtes à sable et des machines virtuelles.

0
Jeff-Inventor ChromeOS