Domanda:
Rafforzare la macchina desktop Linux contro le persone della mia famiglia
Boris
2016-06-15 15:20:18 UTC
view on stackexchange narkive permalink

Sto cercando di eseguire un'installazione pulita di un sistema Debian sul desktop di casa. Per chiarire, sto passando da Windows e desidero utilizzarlo come sistema operativo domestico quotidiano: non eseguirò alcun server o qualcosa del genere.

Ho anche motivo di farlo credo che alcuni membri della mia famiglia (che hanno accesso fisico alla mia macchina) tenterebbero di accedervi e di esaminare i miei dati o forse anche di installare un keylogger.

Ai fini di questa domanda, si prega di ignorare gli aspetti sociali, tranne per il fatto che non posso agire apertamente conflittuale, quindi ad es bloccare la mia stanza per impedire a chiunque di accedere al mio PC non è un'opzione.

Le persone da cui voglio proteggermi sono tecnologicamente istruite; sanno come muoversi su Linux anche se potrebbero non avere molta esperienza con esso, e se qualcosa può essere trovato con un po 'di googling e richiede forse un'ora o due di scherzi, allora è molto probabile che venga tentato. Detto questo, sono abbastanza certo che l'acquisizione di attrezzature specialistiche non sia qualcosa di cui si preoccuperebbero, il che significa che non devo preoccuparmi della maggior parte degli attacchi hardware, ad es. un keylogger da tastiera o un bug sul mio mobo / sniffer RAM / qualunque cosa.

Un'altra cosa è che ho un sistema Windows 7 a cui hanno accesso come amministratore (quindi può essere considerato compromesso). Questo è uno dei motivi per cui passo a Linux; tuttavia, mi piacerebbe mantenere un sistema dual-boot piuttosto che rimuovere completamente Windows. Sono consapevole che ciò consentirebbe a un utente malintenzionato di bombardare completamente la mia partizione Linux e questo è un rischio che sono disposto a correre.

Non mi interessa proteggere il mio sistema Windows. Sono consapevole che sia compromesso e non mi interessa davvero cosa gli succede. Come ho già detto, altre persone hanno account sul mio sistema Windows e lo usano occasionalmente (per motivi legittimi!). Sto certamente cercando di proteggere la mia installazione Linux, ma impedire l'accesso a Windows non ha alcun senso a meno che non contribuisca alla sicurezza della parte Linux della mia macchina. In effetti, preferirei evitare di limitare l'accesso a Windows, se possibile, perché non voglio apparire paranoico o creare conflitti in casa.

La crittografia dell'intero disco impedirà a chiunque di accedere effettivamente ai miei dati da al di fuori della mia installazione Linux stessa, che dovrebbe quindi occuparsi sia del sistema Windows che persino rendere perlopiù inutile l'avvio da un'unità USB (sono abbastanza certo che le persone in questione non abbiano le risorse o la motivazione per decriptare guidare). Ovviamente dovrò anche proteggere con password la modalità utente singolo.

Quali altre cose dovrei fare per proteggere il mio sistema? Sono a portata di mano con il comando e sono disposto a sporcarmi le mani, ma ho una limitata esperienza su Linux e una conoscenza frammentaria della sicurezza informatica. La scelta di Debian è ampiamente arbitraria e non avrei problemi a provare una distro diversa se fosse migliore nel mio caso. Se c'è qualcosa che mi sono perso o se hai suggerimenti su cose che ho menzionato (ad es. Best practice per la crittografia del disco?), Allora sarei lieto di ascoltarli.

Non ci credo questa domanda è un duplicato perché tutte le altre domande che ho trovato sulla protezione di Linux su questo sito riguardano gli attacchi remoti e la protezione da virus ed exploit. Hanno sicuramente buone risposte, ma non è questo il tipo di informazioni che cerco qui.
Un'altra domanda è stata portata alla mia attenzione quando il mio post è stato contrassegnato come duplicato. Tuttavia, in generale si chiede se la propria macchina è sicura quando altri hanno accesso fisico ad essa; le risposte ad esso generalmente si riducono a "Accesso fisico = game over" e forniscono alcuni suggerimenti per mitigare vari attacchi (comprese cose come specchietti retrovisori sul monitor). Molti di questi suggerimenti non sono applicabili qui, poiché sono consapevole che l'accesso fisico illimitato significa che la macchina non è più mia in teoria, e quindi fornisco alcune limitazioni agli aggressori nel mio modello di minaccia che si adattano al mio scenario personale.

Perché non scollegare semplicemente il disco rigido, avviare l'ambiente live Linux da una USB, quindi archiviare qualsiasi cosa su un disco rigido esterno crittografato completo?Usa TrueCrypt in modo da poter potenzialmente utilizzare 2 password (fittizie e reali).
Inizia con il [Manuale sulla sicurezza di Debian] (https://www.debian.org/doc/manuals/securing-debian-howto/).
"che hanno accesso fisico alla mia macchina" C'è un vecchio detto nell'IT, l'accesso fisico è uguale a game over.Buona fortuna, ma probabilmente stai perdendo tempo.
I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/41248/discussion-on-question-by-boris-hardening-linux-desktop-machine-against-people-f).
Quando diffidi così tanto i tuoi coinquilini, forse la migliore misura di sicurezza sarebbe quella di smettere di co-localizzare con loro.Insomma, cambiare casa.
Non hanno bisogno di accedere al tuo computer per vedere cosa stai facendo su Internet :) Finché hanno accesso al router.Cosa che presumo lo facciano poiché hanno già accesso amministrativo al tuo sistema Windows.
Possibile duplicato di [Come posso proteggere il mio computer dai miei colleghi potenzialmente dannosi?] (Http://security.stackexchange.com/questions/6150/how-can-i-protect-my-computer-from-my-potentially-colleghi maligni)
Questo è già abbastanza ben coperto da un sacco di altre domande qui: http://security.stackexchange.com/q/6150/971, http://security.stackexchange.com/q/2613/971, http: //security.stackexchange.com/q/2463/971, http://security.stackexchange.com/q/10354/971, http://security.stackexchange.com/q/85373/971, http: // security.stackexchange.com/q/112976/971.
Assicurati di proteggerti dagli attacchi hardware.Debian può essere protetta con FDE e simili, ma cosa succederebbe se collegassero semplicemente un piccolo keylogger hardware tra il computer e la tastiera?
Assicurati che non colleghino semplicemente una mini-videocamera al tuo computer.Il modo migliore per assicurarsi che un sistema sia sicuro è tentare di hackerarlo.Inoltre, perché la tua famiglia desidera così tanto le tue informazioni?
Devo ammetterlo, il mio primo pensiero è stato "stanco dei tuoi genitori che scendono in cantina e controllano la cronologia del tuo browser, eh?"
La migliore sicurezza è fisica: acquista un SSD con un'elegante custodia USB esterna.Installa lì le tue partizioni Linux e dati.Imposta il BIOS della tua macchina per l'avvio da USB come massima priorità.Nascondi l'SSD quando non in uso.Non utilizzare mai l'HDD interno, che è comunque molto lento rispetto all'SSD (Linux si avvia in meno di 5 secondi).Per essere più nascosto, installa la stessa versione di Linux sull'HDD come falsa pista e carica la cronologia del browser con le immagini di Nixon e dei gattini.
@DominicCerisano USB sarà un fattore molto più limitante rispetto al tipo di disco rigido all'interno della custodia.
Non una risposta, ma: se non puoi essere conflittuale perché non hai alcuna prova, considera di raccoglierla.Ad esempio con il tuo keylogger.
@Criggie dipende dalla velocità di USB e unità.La maggior parte delle unità esterne è più lenta del throughput di USB 3.0, ma molti SSD sono più veloci di USB2.0.
@Criggie un buon SSD è di circa 400 Mbps e USB3.0 è di 640 Mbps.Un buon HDD è solo intorno ai 200 Mbps.Le unità interne sono molto vecchie e insicure: lo spazio e il costo possono essere riutilizzati per una grafica migliore.L'archiviazione esterna sta diventando sempre più veloce, più economica, più piccola ed è fisicamente più sicura.
Se l'aggressore ha 20 secondi di accesso al tuo computer in esecuzione e sbloccato, può fare quanto segue: scaricare uno script dal web, lo script rileverà e ucciderà lo screen saver, avvierà uno screen saver modificato che accetta una password aggiuntiva, avviare unserver in background che accetta i comandi della shell su TCP e modifica gli script di avvio (possibilmente lo script del profilo X11) per avviare il server in background e lo screen saver modificato all'avvio.- Quindi non vuoi che il tuo running computer sia incustodito.
"poiché sono consapevole che un accesso fisico illimitato significa che la macchina non è più mia in teoria" - Non è in "teoria".È ciò che accade realmente nella pratica.Non importa che tipo di limitazioni _pensi_ abbia il tuo aggressore: se ha accesso fisico, hai già perso.
23 risposte:
#1
+101
Chris Tsiakoulas
2016-06-15 16:38:34 UTC
view on stackexchange narkive permalink
  1. Utilizza una password complessa e difficile per l'utente root. In secondo luogo, accedi sempre e lavora da un altro utente senza diritti amministrativi (e anche una password complessa).

  2. Abilita l'opzione password del BIOS. Ogni volta che accendi il computer, il BIOS stesso ti chiederà una password prima ancora di avviarlo. Impedirà inoltre a tutti di applicare modifiche alla configurazione del BIOS.

  3. Cripta ogni partizione del tuo disco rigido (controlla cryptsetup per Debian - se non può crittografare la tua partizione Windows, usa anche TrueCrypt (da Windows per il tuo Windows)

  4. Fai attenzione ai dispositivi hardware esterni collegati al tuo PC (come chiavette USB o hub) che non hai usato prima . Qualcuno potrebbe aver collegato un keylogger o qualcosa del genere.

  5. Blocca o spegni sempre la macchina quando sei lontano.

  6. Rafforzamento del software:

    Installa gufw (GUI per il firewall iptables preinstallato) e blocca il traffico in entrata. Installa anche rkhunter e controlla di tanto in tanto sul tuo sistema la presenza di rootkit noti e altre minacce.

Questo è tutto ciò a cui riesco a pensare in questo momento. Se hai domande, non esitare a commentare di seguito.

La ringrazio per la risposta!Ho un paio di domande: 1) Disabilitare il login di root è una buona idea o cambia qualcosa?2) Vale la pena crittografare la partizione di Windows, solo per proteggere l'installazione di Linux?Perché a questo punto so che Windows è compromesso e non ho alcun interesse a provare a proteggerlo;Sono preoccupato solo per la parte Linux.
Non dimenticare la password di grub.E bloccare del tutto l'account di root.
"Abilita l'opzione password del BIOS": non fornisce molta sicurezza.I BIOS legacy di solito avevano una password di servizio (ad esempio AWARD_SW in caso di alcuni BIOS Award), anche alcuni UEFI li hanno. Entrare in BIOS / UEFI Setup ti consente di avviare qualsiasi sistema operativo praticamente da qualsiasi dispositivo. Devi usare la crittografia HDD per questo motivo, perché altrimenti l'attaccante può avviare qualche distribuzione Linux live, montare i dischi e la tua privacy è lì.
@Blue: Vedi la mia nuova modifica all'OP;Non mi interessa cosa succede a Windows.È ancora una buona idea impostare le password BIOS e Grub?
@Boris Dovrebbe impedire ad altre persone di avviarsi su dischi live (come Kali) che tenteranno di interrompere la crittografia del disco.Inoltre, per grub, non è necessario impostare password su tutte le voci (https://help.ubuntu.com/community/Grub2/Passwords)
@Blue Buono a sapersi, lo esaminerò sicuramente.Grazie per il consiglio.
L'uso di TrueCrypt su Windows non risolve nulla.Semmai crea un problema come fa i giochi su Windows (rallenta il computer).
Disabilitare il login di root ti consentirà di essere root solo quando necessario (insieme a chiunque altro).Non lasciare che tutti diventino eoot significa che meno persone possono svolgere compiti seri su tutta la macchina.Bene, se non ti interessano le tue finestre, lascialo.Windows non riconosce comunque i file system ext.E anche se qualcuno scarica qualche utility per questo, avrà difficoltà a decifrare il tuo volume.
Per quanto riguarda le password del BIOS, se l'aggressore ha accesso fisico molto probabilmente può semplicemente scollegare il PC, rimuovere la batteria CMOS, spegnere e riaccendere, attendere alcuni secondi, ricollegarlo ed entrare.
@arul Vero, non senza che OP se ne accorga, però.
La password del BIOS è inutile con l'accesso fisico, poiché è possibile accorciare solo due pin (praticamente lo stesso della rimozione della batteria) e la password viene cancellata.
È possibile accedere ai file system ext all'interno di Windows !!!!!Ci tieni.È un vettore di attacco.
La password del BIOS è utile, ma non per la prevenzione delle intrusioni ma per il rilevamento delle intrusioni.Per un utente malintenzionato È banale ripristinare il BIOS, ma la prossima volta che proverai ad accedere noterai che la richiesta della password è scomparsa o la tua vecchia password non funziona più.Tutto ciò supponendo che il tuo particolare BIOS non abbia backdoor, come ha detto @Ushuru.
@coteyr Ecco a cosa serve # 3 (partizioni crittografate)
Più vincoli di sicurezza vengono applicati, meglio è.Anche se alcuni sono facilmente aggirati o meno, avranno comunque bisogno di impegno e conoscenza da parte di un intruso.Scoraggiare un attaccante non è un'opzione autonoma, ma comunque un'opzione.
Debian attualmente supporta la crittografia del filesystem LUKS e puoi configurarli durante l'installazione originale, devi solo costruire manualmente la tabella delle partizioni.C'è una bella procedura dettagliata qui: http://www.tecmint.com/install-debian-8-with-luks-encrypted-home-var-lvm-partitions/
Poiché la domanda afferma "altre persone hanno account sul mio sistema Windows e lo usano occasionalmente (per motivi legittimi!)" Immagino che una password del BIOS non sia un'opzione, poiché impedirebbe l'uso legittimo della partizione di Windows da parte di altri utenti.
Ci ho davvero pensato, ma ho pensato che sarebbe stato meglio dargli molte opzioni e lasciargliene escludere alcune.
@Ajedi32 Nella maggior parte dei BIOS è possibile scegliere tra una password del BIOS per l'avvio o per proteggere l'accesso al setup del BIOS.In questo caso è necessario ricordarsi di disabilitare tutti i supporti di avvio tranne il disco da cui si sta eseguendo l'avvio nella configurazione del BIOS.
Non conosco alcuna crittografia del disco che tenti di proteggersi da questo modello di minaccia.Di solito i prodotti di crittografia del disco non tentano di proteggere l'integrità dei dati sul disco in alcun modo.Se i dati crittografati sono stati alterati, decodificheranno felicemente tutto ciò che si trova sul disco e lo passeranno al livello successivo nello stack senza segnalare alcun errore.Inoltre, spesso presumono che l'aggressore possa ottenere un'immagine del disco solo in un determinato momento.Se l'aggressore può eseguire il mirroring del disco più di una volta, hai perso.
Acquista un SSD e una custodia USB esterna.Installa lì le tue partizioni Linux e dati.Assegna la priorità a USB all'avvio del BIOS.Scollegare e nascondere l'SSD quando non è in uso.Per essere più non conflittuale, installa lo stesso Linux sull'HDD.Carica la cronologia del browser di quell'account con i gattini.Travestisci il tuo SSD in un peluche.
Dannazione @Dominic Cerisano!Sei della CIA o qualcosa del genere?Quella era buona!
Dai un'occhiata a https://github.com/dkopecek/usbguard per inserire nella blacklist / autorizzare i dispositivi USB
#2
+98
user1717828
2016-06-15 23:55:44 UTC
view on stackexchange narkive permalink

Odio essere questo ragazzo, ma

Legge 3:

Se un cattivo ha accesso fisico illimitato al tuo computer, non è più il tuo computer.

Stai chiedendo come bloccare al meglio una porta di compensato. Le persone ti danno ottimi suggerimenti per le serrature, ma nessuno di loro ha importanza poiché il tuo sistema è fisicamente vulnerabile e i tuoi aggressori sono competenti. Useranno solo un'ascia (o, nel tuo caso, un cacciavite).

Come ho menzionato nell'OP, questi tipi di attacchi non devono essere considerati.È estremamente improbabile che accadano, e in ogni caso per difendermi da loro avrei indossato non solo un cappello di stagnola, ma un body di stagnola ea quel punto sono d'accordo che potrebbe essere più facile trasferirsi nel mio appartamento eottieni un PC completamente nuovo.Cosa che non sono disposto a fare in questo momento.
+1 questa è l'unica vera [email protected] "questi tipi di attacchi non devono essere considerati" Penso che tu stia erroneamente credendo che qualsiasi forma di attacco che potrebbe avere successo sarebbe estremamente difficile o ovvio che l'attacco è stato fatto.Semplicemente non è vero.Non puoi davvero mettere al sicuro qualcosa contro un avversario che ha tempo illimitato per sedersi lì e capire come romperlo.
@Boris * Come ho detto nell'OP, questi tipi di attacchi non devono essere considerati. * - Hai detto che sono tecnicamente istruiti, hanno familiarità con Linux e passerebbero un paio d'ore ad attaccarti, e hanno compromesso il tuosistema operativo esistente.Ma non punteranno un telefono alla tastiera per dieci minuti per registrarti mentre digiti la password?
Questa risposta implica erroneamente che qualsiasi sicurezza inferiore alla sicurezza totale è inutile.In realtà, a volte può essere molto utile bloccare una porta in compensato.
In particolare, bloccare una porta in compensato non impedirà gli attacchi, ma li renderà evidenti.E mentre l'accesso fisico consente agli aggressori di formattare il disco rigido bypassando la crittografia dell'intero disco, anche questo sarà molto ovvio.Data l'osservazione sul bombardamento della partizione Linux da Windows, la minaccia qui non sono gli attacchi, ma gli attacchi _undetected_.
@Boris Soluzione per aprire il case e inserire un po 'di hardware (anche se non sei preoccupato, dovrebbe essere abbastanza facile): incolla le viti. Anche in questo caso, non è impossibile attaccare, ma sarà * notato * se lo è.
@ArtOfCode Va bene, ma allora come * io * aprirò il mio caso?Per esempio.per cambiare o aggiornare le cose, o se qualcosa si rompe.
Una volta che ho chiesto a mio padre perché mettiamo un lucchetto alle nostre biciclette quando andiamo in vacanza, un ladro potrebbe semplicemente portare dei tagliabordi.Mi ha detto che "mantengono le persone oneste oneste".Una porta chiusa a chiave può tenere fuori i moderatamente curiosi allo stesso modo in cui le protezioni dalle altre domande possono tenere i pigri e meno interessati fuori dal tuo computer.
@Boris Non usare la colla.Usa [smalto per unghie glitterato sulle viti e scatta una foto] (https://www.wired.com/2013/12/better-data-security-nail-polish/).
@MichaelB: Perché la mitigazione è utile.Le soluzioni sono imperfette, la sicurezza è un compromesso, gli aggressori hanno tempo e risorse limitati.Una risposta che dice "arrenditi, non puoi farlo" si limita a ripetere consigli kitsch per voti favorevoli a buon mercato senza esaminare veramente le reali questioni in gioco qui con profondità o sfumature.
@DietrichEpp Penso che la risposta accettata qui sia una buona risposta e dovrebbe essere accettata, perché fornisce soluzioni alla domanda posta.Tuttavia, personalmente, ritengo che la risposta accettata sarebbe notevolmente più debole se questa non fosse la seconda risposta.I due insieme creano una risposta che dice "questi sono i passaggi pratici di ciò che potresti fare, ma sotto quei passaggi pratici, ricorda questo problema fondamentale" Non sta dicendo arrendersi, sta descrivendo il problema reale che esiste.
Questo è un punto di vista eccessivamente generalizzato e molto semplicistico e disfattista.Una certa sicurezza è meglio di nessuna sicurezza.La sicurezza assoluta non esiste.Il fatto che alcuni vettori di attacco siano potenzialmente praticabili non pregiudica l'utilità di altre misure di sicurezza.Una valutazione delle minacce aiuterà a capire quanto impegno è necessario per proteggere l'host.
#3
+70
Jeff Meden
2016-06-15 20:00:22 UTC
view on stackexchange narkive permalink

A seconda delle prestazioni richieste e del denaro che sei disposto a spendere, un "Live USB" rimovibile o un normale sistema completamente avviabile su un "disco rigido" USB (un piccolo SSD funzionerebbe alla grande) potrebbe essere una soluzione ideale considerando il tuo vincoli "unici" per la necessità di un'elevata sicurezza contro gli aggressori locali. Ti consentirebbe di lasciare il sistema Windows compromesso in posizione e creare un sistema Linux su un dispositivo rimovibile che puoi tenere con la tua persona. Per un costo più basso è possibile utilizzare un thumbdrive molto economico. Spendi un po 'di più per una pen drive veloce o un SSD USB più robusto e puoi ottenere prestazioni ragionevoli per la maggior parte delle applicazioni. Crittografarlo è una buona idea nel caso in cui ne sei separato, ma dato che è sempre con te e costituisce l'intero sistema operativo è al sicuro da attacchi locali.

Questo mi sembra l'approccio migliore;non possono manomettere ciò che non c'è e il computer stesso non è completamente modificato rispetto alla sua situazione attuale, quindi non c'è alcuna indicazione che tu abbia protetto qualcosa.L'intero PC corrente (inclusa l'installazione di Windows compromessa) funge da simpatica esca.Per quanto riguarda un'installazione Debian, assicurarsi che nessun servizio di rete sia in esecuzione servirà molto.Rimuovi i pacchetti `rpcbind` e` nfs-common`.Nel caso in cui installi SSH, proteggilo correttamente (ovvero: consenti solo l'autenticazione con chiave pubblica).
Non sarebbe ancora vulnerabile a un keylogger hardware?
@fhlamarche l'OP ha dichiarato che la mitigazione non ha bisogno di tenere conto dei keylogger hardware.Tuttavia, sarebbe facile condurre un controllo di base delle porte USB quando si collega la memoria esterna, al fine di escluderlo (supponendo che non si sia interessati a quelle nascoste molto bene, ovvero tastiere completamente modificate)
Una scheda PCI-e USB 3.1 (se il tuo sistema non ha già 3.1) e un SSD esterno USB 3.1 eliminerebbero il problema di prestazioni.
Usando UNetBootin, puoi aggiungere spazio persistente ad esso, per consentire i file salvati nella posizione standard.molto utile.
Oggigiorno puoi avere un intero computer su una chiavetta HDMI e portarlo con te ovunque tu vada: http://www.digitaltrends.com/computing/best-stick-pcs/
@MatthewLock sì, se si può spendere un po 'di soldi ci sono molte opzioni per lui, hanno anche questi piccoli PC portatili che sono completi, con uno schermo e tutto, basta aprirlo ed è pronto per l'uso, anche sulle ginocchia!;-)
@JeffMeden Un keylogger hardware potrebbe essere all'interno del case del computer.
Non ci sono modi per infettare il BIOS della macchina host?Questo potrebbe quindi infettare il disco rigido portatile, no?
Usavo questa distro.https://tails.boum.org/
@Immibis sarebbe in realtà piuttosto difficile nasconderlo all'interno del case e anche nasconderlo dal sistema operativo, dal momento che non può stare tra la tastiera e l'host come fanno la maggior parte dei logger standard.Avresti bisogno di un dispositivo in grado di dire al sistema operativo di inviare tutte le sequenze di tasti senza attivare alcuna bandiera rossa.Suppongo che potresti installare una nuova porta USB su un coperchio dello slot collegato a un registratore, ma sarebbe ovvio all'esterno.
@JeffMeden Se la tastiera è collegata a una porta USB anteriore, il cavo USB interno può essere tagliato e collegato al keylogger.
@immibis è vero, una buona protezione è usare sempre le porte integrate direttamente collegate.Notare i cavi provenienti dalla parte anteriore invece che da dietro (se qualcuno li avesse spostati per questo attacco) sarebbe abbastanza facile.
Mi chiedo se sia possibile installare il sistema operativo sul sistema, quindi renderlo di sola lettura e inserire solo i file modificati sull'USB.Anche se installano un keylogger, il keylogger salva _ sull'USB_, quindi l'aggressore non sarebbe in grado di accedere ai risultati.
#4
+25
Qwerty01
2016-06-16 03:13:21 UTC
view on stackexchange narkive permalink

Ci sono alcune cose da considerare che differiscono da tutte le risposte fornite in precedenza: quello che stai cercando è privacy, non sicurezza .

Anche se sembrano molto simili, il gli obiettivi di ciascuno sono diversi e i modi per implementarli sono diversi. Se stavi cercando di implementare la sicurezza , dovresti rimuovere l'accesso di amministratore di altri utenti, bloccare l'account di ogni utente e mettere in atto protezioni per prevenire gli abusi. Questo, ovviamente, va a scapito dell'usabilità.

Ora per la soluzione di privacy . Dal momento che stai solo cercando di proteggere le tue informazioni lasciando intatti tutti gli altri, ci sono 3 principali vettori di attacco da affrontare (supponendo che tu passi a Linux come pianificato):

  1. Dati a riposo (sul disco rigido)
  2. Dati in movimento (sulla rete )
  3. Protezione mentre il dispositivo è acceso (firewall)

Per i dati inattivi : ti consigliamo di utilizzare una sorta di crittografia. Ciò impedirà a chiunque non abbia la chiave / password di guardare i dati che stai salvando. Ci sono molte altre risposte che trattano questo argomento, quindi fai riferimento ad esse per dettagli di implementazione specifici.

Per i dati in movimento : consiglierei di acquistare un servizio VPN (o di impostarne uno esternamente se hai le risorse). Questo crittograferà e proteggerà tutto il traffico in entrata e in uscita dalla scatola. Non solo protegge il traffico, ma protegge anche l'inferenza del traffico basata sulle informazioni di connessione. Ad esempio, SSL crittografa tutto il traffico tra te e il sito che stai visitando; tuttavia, se qualcuno fiuta il tuo traffico e vede facebook.com nella richiesta iniziale, mentre non sa cosa stai inviando a Facebook, sa che stai facendo qualcosa su Facebook. Una VPN incanalerebbe tutto il traffico attraverso il suo server prima di inviarlo a Internet, rimuovendo efficacemente questa perdita.

Per protezione mentre il dispositivo è acceso : supponendo che tutti gli attacchi hardware siano fuori dal quadro (come keylogger o telecamere), l'unica area in cui è esposta la macchina è Ethernet. Se è attivo un servizio che presenta una vulnerabilità, sarebbe possibile attaccare quel servizio dalla rete e ottenere il controllo della tua macchina (entro quelle poche ore di googling che hai supposto). Per proteggerti da ciò, ti consigliamo di impostare un firewall . Su Debian, iptables dovrebbe andare bene. Su qualsiasi traffico in entrata, ti consigliamo di bloccare tutto ciò che non è CORRELATO o STABILITO . Per ulteriori limitazioni, potresti bloccare tutto il traffico che non proviene da o verso la tua VPN. In questo modo, rimuove quasi completamente qualsiasi superficie di attacco e ci vorrà un attaccante molto più dedicato dei tuoi coinquilini per rompere.

Ecco un esempio delle opzioni da utilizzare con iptables per impostare i limiti:

  # iptables -P INPUT DROP # iptables -P FORWARD DROP # iptables -P OUTPUT DROP # iptables -A INPUT -s [VPN IP] -m conntrack --ctstate ESTABLISHED, RELATED -j ACCEPT # iptables -A OUTPUT -d [IP VPN] -j ACCEPT  

E cosa sta facendo ciascuno:

  1. Elimina tutti i pacchetti in arrivo nella macchina
  2. Elimina tutti i pacchetti instradati attraverso la macchina
  3. Elimina tutti i pacchetti inviati dalla macchina
  4. Consenti pacchetti dall'IP VPN che sono stati creati da connessioni già esistenti ( quelli che hai creato per la VPN) da elaborare
  5. Consenti a qualsiasi pacchetto inviato alla VPN dalla tua macchina

Puoi anche consentire solo le porte specifiche utilizzate dalla VPN per limitare ulteriormente il vettore di attacco. È importante notare che non sarai in grado di t o accedi a Internet tranne che tramite la tua VPN, quindi assicurati che sia configurato e funzionante prima di applicare queste modifiche.

Una volta applicati tutti questi elementi, dovrebbe essere quasi impossibile entrare nella scatola mentre la stai utilizzando o mentre sei lontano dalle persone che cercano di esaminare i tuoi dati.

Dichiarazione di non responsabilità : presuppone attacchi alla tua infrastruttura. Gli attacchi di ingegneria sociale e simili sono molto più difficili da prevenire.

#5
+19
munkeyoto
2016-06-15 18:04:48 UTC
view on stackexchange narkive permalink

Ecco una soluzione all inclusive poiché hai dichiarato di non essere preoccupato per attacchi hardware / USB / fisici. Installa Virtualbox / VMWare / Altro sul desktop. Crea il tuo ospite e metti quell'ospite su una chiave USB rimovibile. Quando hai finito il tuo lavoro, spegni la macchina virtuale, rimuovi la chiave ed è tutto.

Ci sono molti altri metodi che potresti utilizzare anche su questo, inclusa la creazione di un contenitore nascosto TrueCrypt , quindi installa il tuo guest all'interno di quel container. Ciò solleva una bandiera rossa se qualcuno sta ficcando il naso: "Oh, quindi sta nascondendo qualcosa ora ... Deve trovare!" Rispetto a portare con te il tuo sistema operativo. Puoi farlo su una chiave USB, un'unità rimovibile, oppure potresti avviare un sistema usa e getta (Kali, Linux avviabile), salvare i dati sul cloud (Dropbox, ecc.) E preoccuparti poco del sistema operativo poiché verrà avviato da un DVD ed essere una nuova installazione ogni volta.

Per quanto riguarda i servizi. L'esecuzione di 1000 servizi non significa nulla se tutti i servizi sono privi di vulnerabilità. Cosa c'è per accedere e come? Le password complesse sono sempre fondamentali, ma immagina lo scenario peggiore qui. Registratore di sequenze di tasti su Windows ... Disattiverà la sicurezza del tuo ospite poiché stai digitando attraverso l'host. L'opzione migliore sarebbe quella di avviare una distribuzione avviabile, sfruttando il cloud per salvare / archiviare i dati o un disco rimovibile.

Questa è la risposta migliore per la massima sicurezza, ma potrebbe essere scomoda.la prossima risposta sarebbe più comoda, ma meno sicura (anche se comunque molto sicura).Dipende da quanto sei paranoico ... (o devi esserlo).
Ciò non protegge dalla possibilità di un Trojan di accesso remoto ben nascosto che registrerà / trasmetterà tutte le attività, rinunciando così alle sue informazioni riservate anche se le ha in suo possesso per tutto il tempo.Inoltre, se fossero ancora più diabolici, potrebbero registrare i tasti e duplicare silenziosamente la sua unità USB mentre è seduto lì, dando loro in seguito accesso illimitato a un'istantanea del suo sistema e dei suoi dati.Qualsiasi situazione che coinvolge un hypervisor compromesso è un completo fallimento.
In che modo Virtual Box sconfigge un key logger o lo sniffing del traffico da Windows 7?
Il problema più grande che vedo con questa risposta è che mi stai suggerendo di creare il mio ospite dalla mia macchina Windows (compromessa).(Se intendevi qualcos'altro, allora non è chiaro dalla tua attuale formulazione.) In uno scenario estremo, potrei quindi considerare l'intero sistema che ho creato per essere compromesso;più realisticamente, almeno avviserebbe chiunque guardi che sto cercando di nascondere qualcosa.Ora, una partizione Linux completa è ovviamente molto più ovvia, ma è anche molto meno sospetta: ehi, mi piace il sistema operativo!Molto meno probabile che richieda indagini rispetto alla creazione di un USB avviabile dal vivo.
@PatrickTrentin Non riesco a pensare a nulla su un ospite che sconfigge un registratore di tasti basato su host, quindi dichiaro: "bootable linux / bsd" distro.
@PatrickTrentin Ho menzionato due soluzioni nel caso in cui si trovi su una workstation senza CD / DVD che gli consentirebbero di utilizzare un avviabile.Essendo stata offerta un'alternativa, era giusto menzionare il rischio associato a quella strada (usando virtualbox / vmware / ecc)
La parte con la macchina virtuale ha senso solo se metti finestre all'interno della scatola per limitare il suo accesso a file / partizioni Linux.O mi sono perso qualcosa?
#6
+13
Out of Band
2016-06-16 04:26:35 UTC
view on stackexchange narkive permalink

Mi piacciono le risposte che suggeriscono di eseguire Linux da un supporto rimovibile. Nasconde il fatto che stai prendendo precauzioni dai tuoi compagni di casa non così gentili. Ci sono alcuni problemi, tuttavia, da un punto di vista pratico. Stai sacrificando la velocità e lo spazio dell'unità, ma la cosa più importante è che portare con te l'intero sistema operativo è complicato. Dimenticherai la guida a scuola / al lavoro quando ne avrai bisogno a casa. Si è inclini a perdere tutti i dati se si smarrisce il disco del sistema operativo rimovibile o se lo si rilascia una volta di troppo.

Se non ti dispiace dare la mancia ai tuoi compagni di casa con la presenza di una partizione crittografata sul tuo computer, c'è un modo più semplice che ti offre la stessa quantità di sicurezza, senza problemi.

Se installi Linux sul tuo disco rigido interno, ovviamente devi crittografare tutte le tue partizioni Linux. Tuttavia, non è possibile crittografare la partizione di avvio che contiene il kernel, quindi suggerirei di copiare la partizione di avvio su un'unità USB rimovibile (e, idealmente, protetta da scrittura) e avviare sempre il sistema dall'unità USB. Quindi, anche se qualcuno scherza con il kernel (non crittografato), l'unità ram iniziale o anche il boot loader per ottenere un key logger software nel tuo sistema, non importa perché stai aggirando il processo di avvio incasinato avviando dal tuo (si spera) pulire l'unità USB.

Potresti voler prendere un hash delle due partizioni di avvio (quella sull'HDD e quella sulla tua chiavetta USB) e controllare di tanto in tanto se le partizioni sono cambiate, solo per sapere se qualcuno sta effettivamente cercando di prenderti in giro. In effetti, potresti automatizzarlo, facendo in modo che uno script di inizializzazione sulla partizione di root crittografata controlli entrambe le partizioni di avvio e ti avvisi se una di esse è cambiata. In questo modo, puoi essere ragionevolmente sicuro che le tue partizioni di avvio vadano bene anche se non tieni sempre sotto stretta sorveglianza l'unità USB di avvio.

Solo dover mantenere il bootloader, il kernel e il ram disk iniziale sull'unità USB rende questa soluzione un po 'più pratica. Inoltre, non è immediatamente ovvio che la tua chiavetta USB contenga un kernel avviabile se riempi l'unità con alcune cartelle innocue, anche se ovviamente non passerà altro che l'ispezione più rudimentale.

Tutto questo presume che i tuoi avversari non saranno in grado di infettare il BIOS del tuo computer con un key logger, nel qual caso tutte le scommesse sono sbagliate, ma se sapessero come farlo e arrivassero a tanto, tu hai perso comunque.

Detto questo, sei sicuro che non sarebbe più semplice, più efficace e soprattutto migliore per il tuo benessere affrontare le questioni sociali che chiaramente esistono nella tua famiglia?

Alcuni suggerimenti su come implementarlo (in risposta al commento di Boris):

Non ho fatto da solo una configurazione del genere, quindi non posso darti passo dopo passo istruzioni passo. Tuttavia, ecco alcuni suggerimenti:

  1. Inizia installando una normale distribuzione Linux sul tuo disco rigido con una partizione di root crittografata. Se hai bisogno di più partizioni, usa un LVM crittografato sottostante in modo da dover inserire la tua password solo una volta, non una per ogni partizione. Dovrai fornire una piccola partizione di avvio non crittografata (ad esempio 200 MB) che conterrà il caricatore di avvio, il kernel e l'unità ram iniziale. Gli installatori standard di Ubuntu e Debian ti consentono di fare tutto questo abbastanza facilmente.
  2. Assicurati che il sistema si avvii e poi crittografa la tua partizione di swap se l'installatore non ti permette di farlo già (non hai provato nessuna installatori). Ci sono varie istruzioni dettagliate disponibili su Internet, semplicemente google per lo scambio crittografato.
  3. Ora per ottenere la partizione di avvio su una chiavetta USB. La parte difficile è fare in modo che il kernel si avvii dall'unità flash USB (che penso non si avvii come una normale unità USB esterna). Probabilmente il modo più semplice sarebbe usare di nuovo l'installatore standard per mettere un'altra intera installazione della stessa distribuzione sulla chiavetta USB. Ho fatto qualcosa di simile a quello prima e ha funzionato bene (anche se mi sembra di ricordare che ho dovuto saltare alcuni cerchi: ho usato una distribuzione Ubuntu e non sono sicuro di aver utilizzato l'installatore Ubuntu standard o un sistema live Ubuntu personalizzato) , e ovviamente usare effettivamente il sistema di unità flash è una cattiva idea, poiché
    scriverà costantemente sul tuo disco USB (per lo più messaggi / var / log / ) e rovinerà la chiavetta in un solo poche settimane - è successo a due dei miei). Assicurati di poter avviare il secondo sistema puramente su unità flash dall'unità flash USB.

  4. Ora che hai un kernel avviabile funzionante sull'unità flash , tutto ciò che devi fare è cambiare la partizione di root del sistema flash drive. Punta alla partizione di root sull'unità flash, ma si desidera che il kernel dell'unità flash utilizzi la partizione di root sul disco rigido interno. Per cambiarlo, devi decomprimere l'unità RAM iniziale sull'unità flash USB, che dovrebbe trovarsi sulla partizione di avvio dell'unità flash ed essere chiamata qualcosa come initrd.img-xxxxx , copia sopra / etc / fstab dalla partizione di root del disco rigido interno a initrd estratto e reimballare
    initrd . Anche in questo caso, la modifica delle immagini iniziali dell'unità RAM è trattata da vari tutorial in rete. Nota che un modo più semplice potrebbe essere semplicemente sostituire il file initrd.img sulla tua chiavetta USB con quello che si trova nella partizione di avvio del tuo HDD. Ma non l'ho mai provato, quindi non so se funzionerebbe.

  5. Dopo averlo fatto, dovresti ritrovarti con un'unità flash che si avvia dall'unità flash ma utilizza la partizione radice del disco rigido interno. È quindi possibile pulire l'unità flash; l'unica cosa di cui hai bisogno per mantenerla è il boot loader, il kernel e il ram drive iniziale (praticamente, tutto sotto / boot).

  6. In alternativa, puoi installare una "distribuzione live", sull'unità flash USB e armeggiare con essa finché non riesci a utilizzare la partizione di root del tuo disco rigido interno. Tuttavia, questo è probabilmente molto più difficile, perché le distribuzioni live sono impostate in modo da utilizzare file system overlay che scrivono sulla RAM invece che sull'unità flash, per prolungare la durata dell'unità flash. Quindi dovresti strappare anche questo. Inoltre dovresti assicurarti di utilizzare una distribuzione live con una versione del kernel del kernel compatibile con il sistema sulla partizione root del tuo disco rigido interno.
  7. Per quanto riguarda la creazione di checksum hash per le partizioni di avvio , supponendo che tu conosca il nome del dispositivo della partizione di avvio e che sia / dev / sda1 per la partizione di avvio interna e / dev / sdb1 per la partizione dell'unità flash, la creazione di un hash può essere semplice come

      $ sha256sum -b / dev / sda1 > hd-boot-fingerprint.sha256 $ sha256sum -b / dev / sdb1 > usb-boot-fingerprint.sha256  

    Questo creerà un'impronta digitale dell'intera partizione e dovrebbe quindi raccogliere le modifiche al tuo boot loader. Non sono sicuro del protocollo utilizzato per avviare le unità flash USB; sui dischi rigidi interni, dovresti anche creare un'impronta digitale del primo megabyte del disco perché è lì che vengono spesso conservati il ​​record di avvio principale e il primo stadio del boot loader di grub:

      $ dd if = / dev / sda of = first-meg.dd bs = 1M count = 1 $ sha256sum -b first-meg.dd > first-meg-fingerprint.sha256  

    Una volta che hai queste impronte digitali, è possibile ricalcolarle periodicamente e confrontare le nuove impronte digitali calcolate con quelle originali.

In realtà mi piace molto questa risposta.Hai alcuni suggerimenti o risorse che spiegano come sarebbe stato fatto?
Ho ampliato la mia risposta, vedi sopra.Tuttavia, sono diventato davvero curioso della situazione sociale in cui ti trovi. So che hai detto di ignorare tutto ciò, ma ti dispiacerebbe divulgare se sei un adolescente che cerca di impedire ai tuoi genitori di spiarti?Alcuni dei poster qui sembrano presumere che sia così, e sebbene io credo fermamente nel diritto di tutti alla privacy indipendentemente dall'età, sono preoccupato che risolvere il tuo problema con una soluzione tecnica ti impedirà di affrontare le questioni sociali, il che potrebbe peggiorare la tua situazionea lungo termine se hai a che fare con i genitori, non con i coetanei.
Va bene, perché no.Sì, in effetti sono un adolescente che cerca di nascondermi dai miei genitori, come dici tu.La realtà è che quando ho ottenuto il mio primo PC a circa 10 anni, ero davvero irresponsabile, quindi i miei genitori hanno iniziato a applicare severi controlli parentali incluso un keylogger (uno commercializzato per il monitoraggio familiare, in realtà).Anni dopo, e sopravvive fino ad oggi, e ancora vede un po 'di uso di volta in volta.Ora, ho un laptop da lavoro a cui ovviamente non hanno accesso e uno smartphone con 4G che praticamente mi consente di bypassare qualsiasi cosa i miei genitori possano fare per bloccarmi o spiarmi, ma sul mio PC principale continuo ...
... avere quel keylogger.Dato che comunque stavo pensando di passare a Linux, ero curioso di sapere se potesse essere usato per proteggere la mia macchina dai miei genitori in modo più o meno completo.(Ho anche intenzione di trasferirmi solo dopo aver finito l'università e aver ottenuto un lavoro stabile, a quel punto avrò ~ 22 + anni.) Quasi certamente non mi prenderò la briga di mettere il mio intero sistema su un disco esterno;se i miei genitori decidessero di usare tutta la NSA su di me, probabilmente avrei davvero, davvero bisogno di parlare con loro.La tua soluzione sembra davvero interessante, quindi potrei implementarla principalmente per interesse.
E mentre la maggior parte delle risposte in realtà non mi sono molto utili come menzionato sopra, apparentemente 129 (al momento in cui scrivo) le persone pensavano che questa fosse una buona domanda, quindi fondamentalmente la lascio così com'è.A proposito, sto seriamente considerando di accettare la tua risposta poiché è stata la più utile per me, ma a differenza di quella attualmente accettata descrive solo un metodo (anche se ottimo) e quindi potrebbe essere meno generalmente applicabile ai futuri visitatori.Poiché questa è la mia prima domanda, qual è l'etichetta qui relativa al cambiamento della risposta accettata e all'accettazione di una risposta con relativamente pochi voti?
Non mi interessa che la mia risposta venga accettata.L'ho postato dopo che ne hai accettato un altro, e non ci sono per la reputazione, quindi non c'è bisogno di cambiarlo .. Sono contento se la mia soluzione funziona per te.Nota ne ho postato un altro su come ottenere un secondo computer molto economico che potrebbe anche essere un progetto divertente.Potresti anche essere interessato a www.torproject.org (probabilmente ti protegge dalla NSA :-)).Grazie per aver soddisfatto la mia curiosità e (non volendo diventare un genitore con te, ma comunque ...) come genitore io stesso, spero che tu ei tuoi genitori riuscirete a costruire di nuovo un po 'di fiducia in futuro.
Magari inizia chiedendo loro gentilmente di rimuovere il keylogger, dato che ora sei più vecchio e più saggio;e poi guarda cosa succede ;-).
#7
+12
coteyr
2016-06-15 23:16:40 UTC
view on stackexchange narkive permalink

Non puoi proteggere il sistema nelle condizioni della tua domanda.

Non importa cosa, con l'accesso fisico alla tua macchina non c'è sicurezza. Ad eccezione della password del BIOS, ogni contromisura in questa pagina potrebbe essere aggirata avviando in modalità ripristino (in una forma o nell'altra).

La password del BIOS è facile da ripristinare. Di solito è un ponticello o la rimozione della batteria.

Le risposte più probabili riguardano i supporti rimovibili. Se esegui Linux da un disco rigido USB e lo tieni sempre con te, non c'è molto da fare per loro. Ma ancora una volta con l'accesso fisico, potrebbero regolare l'ordine di avvio e le spalle al punto di partenza.

La tua unica vera risorsa è affrontare il problema di fondo della fiducia e del controllo degli accessi.

p.s. La crittografia del disco aiuterà, ma non sarà una soluzione al 100%, perché hanno accesso.

Molti (la maggior parte?) Dei sistemi oggigiorno non ripristinano le password del BIOS rimuovendo la batteria CMOS.Il mio vecchio Lenovo W510 ThinkPad, ad esempio, non può essere ripristinato in questo modo e sta diventando obsoleto.
Tuttavia, alcuni BIOS mostrano un codice dopo diversi tentativi falliti e lo si utilizza per chiamare il fornitore per farli inviare tramite una chiave di ripristino.Vedi anche [bios-pw.org] (https://github.com/bacher09/pwgen-for-bios), che può calcolare la chiave per alcuni fornitori.
#8
+11
T. Sar
2016-06-16 23:19:34 UTC
view on stackexchange narkive permalink

Acquista un taccuino e portalo con te.

Se non vuoi che altre persone controllino i tuoi dati, non lasciare i tuoi dati vicino a loro.

Se qualsiasi parte della tua macchina è compromesso, tutto sulla tua macchina è compromesso. L'hardware di hacking non è necessariamente costoso e non sai davvero fino a che punto questa persona si spingerebbe per avere accesso ai tuoi dati. Il modo migliore per evitare perdite su questo computer è smettere di usarlo del tutto .

Come molte persone ti hanno detto, l'accesso fisico equivale a game over nel mondo della sicurezza. Non archiviare dati sensibili o privati ​​su una macchina che condividi con persone a cui non vuoi accedere ai tuoi dati.

Poiché l'accesso fisico non è prevenibile, la tua idea di rimuovere l'accesso fisico è eccellente e pensare fuori dagli schemi della domanda.
"se * qualsiasi * parte della tua macchina è compromessa, tutto sulla tua macchina è compromesso" - se l'adesivo Intel Inside viene compromesso da uno scarabocchio con un pennarello indelebile, allora non tutto è compromesso.
@immibis Damaged non è la stessa cosa compromessa.Se riesci in qualche modo ad hackerare l'adesivo per agire come un keylogger, allora sì, la tua macchina è compromessa!
#9
+8
John
2016-06-16 13:56:15 UTC
view on stackexchange narkive permalink

Non sono sicuro del motivo per cui nessuno lo abbia ancora menzionato (forse non capisco bene il sito).

Metti una videocamera nella tua stanza (una SENZA funzionalità wifi). Prepara il tuo sistema Linux, menzionalo casualmente ai tuoi coinquilini durante una conversazione di passaggio, registrali mentre si intrufolano nel tuo personal computer e leggono le tue informazioni. Oppure fai espellere il coinquilino per A), una grave violazione della legge, e B), non rispettando la tua privacy. Entrare nel personal computer di qualcuno equivale a rubare.

Questa è la soluzione più semplice per me. Piazza una trappola. La miglior difesa è un buon attacco.

Lo scenario suona come un bambino che protegge un computer dai suoi genitori, nel qual caso farli arrestare non è un piano fattibile.
Cosa ti fa pensare che l'OP sia un bambino?
Anche se l'OP non lo menziona, i fattori sociali si adattano sicuramente a questo scenario, ad esempio non essere in grado di chiudere a chiave la porta della stanza.Il confronto aperto è specificamente menzionato come non possibile dall'OP, che sono abbastanza sicuro copre il tentativo di farli arrestare.
In primo luogo non vedo perché stai escludendo i keylogger.Sarebbe banale nasconderne uno all'interno della tastiera / mouse / pc / qualsiasi altro dispositivo.In secondo luogo, se sono genitori o qualcosa del genere, non ti vedranno usare questo altro sistema bloccato e chiederanno l'accesso ad esso indipendentemente dalle misure prese?
#10
+5
phyrfox
2016-06-15 22:23:39 UTC
view on stackexchange narkive permalink

Otterrei due chiavette USB. Il primo avrebbe la capacità di essere impostato come di sola lettura a livello hardware con protezione tramite password, e il secondo sarebbe un normale stick o uno stick abilitato per PIN (ma questi tendono ad autodistruggersi se viene inserito il PIN sbagliato alcune volte, quindi fai attenzione ...).

Installa il tuo sistema operativo sulla prima chiavetta e configura la seconda chiavetta per usare la crittografia completa del disco. Imposta le tue partizioni in modo che tutto ciò che richiede l'accesso in scrittura possa essere memorizzato sulla seconda chiavetta, come / home. Una volta completamente configurato e bloccato con password sicure, imposta la chiavetta USB come di sola lettura.

Questo ti proteggerà da tutto tranne che dai keylogger fisici o lasciando il tuo sistema acceso / sbloccato mentre te ne vai. Il sistema operativo di sola lettura significa che la modalità utente singolo sarebbe inutile come forma di attacco, poiché non è possibile scrivere nulla sulla chiavetta del sistema operativo mentre è bloccata e la seconda chiavetta non può essere letta senza la password di decrittazione, proteggendo tutti i dati sensibili.

#11
+4
ted123
2016-06-16 02:48:12 UTC
view on stackexchange narkive permalink

Inoltre, ho dimenticato di menzionare. Se si desidera impostare una password del BIOS e, a seconda di quanti problemi si desidera affrontare, è possibile investire in una custodia con un lucchetto laterale. Anche se ciò non impedirebbe del tutto l'intrusione, impedirebbe alle persone di manometterlo se non volevano essere rilevati. In questo modo non possono semplicemente rimuovere il CMOS o accedere alla scheda madre / jumper per reimpostare la password del BIOS.

Potresti anche bloccare quella cosa con Kensington sulla scrivania se non vuoi che scompaia dalla tua stanza quando non ci sei. Non sono sicuro di quanto a lungo andranno queste persone per accedere ai tuoi dati.

#12
+4
nulldev
2016-06-15 21:25:31 UTC
view on stackexchange narkive permalink

Questo sarebbe il mio piano d'azione:

  1. Blocca il BIOS aggiungendo una password del BIOS al setup. Non aggiungerei una password di avvio per consentire agli utenti di utilizzare il computer senza la mia supervisione. Disabilita l'avvio automatico da USB, CD e rete.
  2. Forza l'avvio da USB / CD e installa Linux con una cartella home crittografata e uno scambio crittografato sul disco rigido. Se possibile, tenterei di mantenere la partizione di sistema su un disco USB molto veloce, ma se hai ancora bisogno di prestazioni, questo non è possibile. Se scegli questa opzione, considera la possibilità di configurare Linux per caricare l'intero sistema nella RAM all'avvio.
  3. Fatto!

Ogni volta che volevo usare il mio computer, lo avrei fatto spegnilo e controlla la presenza di keylogger hardware. Quindi collegherei il mio disco USB (supponendo che il sistema sia stato installato su un disco USB) e forzerei l'avvio da USB per avviare il sistema. Questo riduce notevolmente il vettore di attacco:

  • Nessuno può visualizzare i miei file personali (sono crittografati).
  • Nessuno può modificare il sistema operativo Linux per includere un keylogger (il sistema operativo è sul mio disco USB o il BIOS è bloccato per rendere più difficile l'accesso alla partizione Linux)

Ricorda di spegnere sempre il computer quando sei lontano da esso per prevenire attacchi di avvio a freddo.

È anche molto difficile notare che stai nascondendo qualcosa con questa configurazione. La partizione home è difficile da vedere e accedere da Windows. Nel caso in cui abbiano accesso alla partizione home, vedono un mucchio di file dall'aspetto casuale con nomi di file casuali che contengono informazioni casuali. Supponendo che Linux sia installato sul disco USB, non vedono nemmeno un altro sistema operativo!

L'installazione di Linux con una partizione home e systemm separata è molto semplice ma non lo tratterò per ora. Aggiungi un commento se hai bisogno di queste informazioni.

in che modo lo spegnimento del PC impedisce un attacco di avvio a freddo?
Un attacco di avvio a freddo è un attacco utilizzato per ripristinare la chiave di crittografia direttamente dalla memoria.L'arresto del PC impedisce a qualcun altro di spegnere il PC e riavviarlo immediatamente nel programma di dumping della memoria.Non credo che qualcuno camminerà davanti a te subito dopo aver spento il computer e tenterà di recuperare le tue chiavi perché potresti insospettirti.
#13
+4
Joshua
2016-06-17 21:14:42 UTC
view on stackexchange narkive permalink

Ho incontrato i seguenti anni fa da qualcuno che era eccessivamente paranoico:

Crittografia del disco completo in cui / boot era su un supporto rimovibile e la password principale doveva essere inserita da una visualizzazione a griglia in modo che le sequenze di tasti che corrispondeva alle lettere della password principale modificata ogni volta che il computer si avviava.

La mia raccomandazione personale qui coinvolta richiede che il supporto di avvio sia un CD-R contrassegnato a mano con un pennarello in modo che tu possa dire se qualcuno cerca di scambiarlo. (Puoi conservarlo bene nella sua custodia proprio accanto al computer in questo modo.)

La raccomandazione originale prevedeva che / boot fosse un floppy che hai portato con te (è così vecchio).

Nonostante tutto ciò, tutto ciò che serve è qualcuno per modificare il computer con un software di avvio personalizzato o hardware che rubi il contenuto del rimovibile / avvio per un uso successivo per presentare all'utente una schermata di immissione della password falsa per rubare la password.Se l'hardware non è sicuro è senza speranza.Il programma di avvio dirottato direbbe qualcosa come "Avvio da USB" ma in realtà non sarebbe il BIOS a stampare quel messaggio.
@AlexCannon: Sostituire il contenuto del BIOS di sistema per poterlo fare va oltre la portata di quasi tutti.La maggior parte dei principali produttori di computer utilizzava il BIOS firmato ora.Muhahaha.
Tutto quello che devi fare è sbloccare la password CMOS e quindi configurarla per l'avvio da un'unità USB nascosta o simile.Quindi ruba una piccola copia del disco di avvio reale e poi lo carica a catena.Causa solo un piccolo ritardo che l'utente potrebbe non notare.
@AlexCannon: Vuoi dire che non usi F12-> scegli il supporto di avvio ogni volta?
#14
+3
user36303
2016-06-16 04:42:54 UTC
view on stackexchange narkive permalink

Vedo molte persone che affermano che l'accesso fisico è finito. Anche se questo è vero dato un attaccante con risorse sufficienti, esiste una difesa contro quelli con risorse meno sufficienti: Qubes OS e antievilmaid.

https://www.qubes-os.org/

Qubes è essenzialmente Xen che esegue VM Fedora (puoi avere altre VM, incluse Debian e Windows).

antievilmaid è un programma che utilizza il TPM (modulo di sicurezza hardware) per crittografare un segreto, quindi, all'avvio, decrittografarlo e presentartelo. La chiave per questa crittografia è derivata da hash di ROM, boot loader, ecc. Se qualcosa in questo elenco viene modificato, l'hash cambia e il tuo segreto non può essere decrittografato. Quindi il tuo computer ti identifica durante l'avvio, dicendoti "Non sono stato modificato da quando hai crittografato il tuo segreto".

Qubes ha la capacità di mappare tutti i controller USB su una VM separata, quindi qualcuno si collega un keylogger USB finirebbe per registrare una VM inattiva mentre stai felicemente legando su dom0, che inoltra alla VM attiva. La VM USB non sarà mai attiva, poiché il suo ruolo è semplicemente sedersi lì e controllare i controller USB. Se hai bisogno di una porta USB, puoi inoltrarla temporaneamente a un'altra VM.

Dato che la partizione Qubes sarà crittografata, non devi preoccuparti che gli utenti Windows daccino la partizione. I tentativi di modificare il boot loader per registrare la passphrase del disco impediranno ad antievilmaid di presentarti il ​​tuo segreto, poiché il bootloader eseguirà l'hash su una chiave diversa.

Ho appena acquistato un keylogger e l'ho messo tra la tastiera e il computer in un giorno in cui non hai controllato (supponendo che tu fossi in primo luogo).Per meno di $ 50, ho ricevuto tutti i tuoi account e le password di decrittazione nonostante le misure di sicurezza di Qubes.
Non voglio dire che questa sia una cattiva risposta, ma l'accesso fisico è sicuramente finito.
Hmm, punto, sì.Immagino sia molto più semplice anche per i computer desktop.Ma la domanda dice che l'accesso fisico è un prerequisito difficile, quindi ...
@Qwerty01: Vuoi provare a collegarlo alla tastiera del mio laptop?
#15
+3
MarLinn
2016-06-15 22:31:03 UTC
view on stackexchange narkive permalink

In passato ho svolto un lavoro di amministrazione in un'azienda in cui gli amministratori precedenti non lasciavano molte note. Ma c'era un hardware vitale, connesso alle reti e non affidabile. Da quell'esperienza posso dirti che il vecchio detto è giusto: se hai accesso fisico e sei determinato, il game over è solo una questione di investimento di tempo. Puoi rendere più difficile compromettere i tuoi dati senza che te ne accorga, ma è solo più tempo da dedicare all'aggressore.

Un vettore di attacco a cui potresti non aver ancora pensato: invece di un keylogger hardware, un determinato l'autore dell'attacco potrebbe installare una piccola videocamera per ottenere le tue password. Oppure, a seconda della tastiera, un microfono economico che registra le tue pressioni potrebbe essere sufficiente. Una chiamata innocente sul tuo cellulare mentre digiti la password super segreta ...

Quindi l'unica vera soluzione è limitare l'accesso fisico e posso vedere solo pochissimi modi per ottenerlo nel tuo scenario:

  1. Come accennato in altre risposte, porta con te il sistema, ad es. su una chiavetta USB. Criptalo e indossalo al collo o bloccalo quando dormi.
  2. Cripta le tue partizioni Linux ma usa uno script per cambiare la password ogni volta. Usa un dispositivo separato (il tuo telefono?) Per rigenerare la password. Potrebbe essere sincronizzato o potrebbe catturare un'immagine generata dal tuo PC e utilizzarla per sincronizzare e rigenerare la password. È così che alcune banche proteggono il loro banking online. Proteggi questo secondo dispositivo con lo stesso rigore di un sistema basato su USB.
  3. Archivia i tuoi dati su server remoti dove puoi vedere quando è stato effettuato l'accesso ai file e da quali posizioni. Monitorare attentamente gli accessi (da una posizione indipendente e sicura). Questo non ti darà protezione, ma ti darà una prova. Accedi ai dati solo da un Live DVD. Di nuovo: proteggi quel Live DVD come se fosse scrivibile.
  4. Usa un PC diverso in una posizione completamente diversa.
  5. Lavora solo su carta e brucia quella carta dopo averla usata. Assicurati che bruci completamente e non lasci rientranze sui fogli sottostanti come nei film.
  6. Diventa un genio ed esegui Linux nella tua testa. Ma non drogarti, non lasciarti rapire e assicurati che nessuno ti infili qualcosa nei tuoi drink.
  7. Usa il PC, ma trasferiscilo in una nuova famiglia.

Inoltre, non dimenticare di proteggere i tuoi backup, le tue chiavette USB e qualsiasi altra cosa che colleghi al tuo PC. Soprattutto quando si sceglie l'opzione 6.

Il mio pensiero inoltre, che dovrebbe spostare il suo effettivo * calcolo e dati * nel cloud.Accedi tramite LiveDVD e implementa anche una chiave Yubi o equivalente.
#16
+3
ted123
2016-06-16 02:42:46 UTC
view on stackexchange narkive permalink

Altre persone hanno avuto delle ottime idee. Non ho letto per determinare se questo fosse già menzionato, quindi mi scuso se lo è stato. So che hai detto che non puoi chiudere fisicamente la porta della tua stanza, ma che ne dici di lavorare esclusivamente da un disco rigido esterno, crittografarlo e bloccarlo altrove, in una cassetta di sicurezza o in una cassaforte o qualcosa del genere? Quindi nascondi la chiave o assicurati che sia sempre sulla tua persona.

Potresti persino arrivare a mettere una piccola cassetta di sicurezza contenente il disco rigido esterno crittografato nel vano portaoggetti della tua auto. Quindi chiudi la macchina. Quindi ci sono fino a 4 ostacoli (decrittografia dei dati, chiave per cassetta di sicurezza, chiave per vano portaoggetti, chiave per auto) questi hacker dovrebbero passare per accedere ai tuoi dati (a seconda che tu abbia la stessa chiave per il vano e per alla tua macchina).

Come altri hanno detto, lavorare interamente su un CD live è un'ottima idea.

Penso che un SSD sopravviverebbe alla vibrazione di essere in un'auto meglio di un HD rotante fisico.Per quanto riguarda il caldo dovuto all'essere parcheggiati al sole tutto il giorno, probabilmente un male per entrambi.
@Xen2050 Gli HDD non operativi sono comunemente classificati a poche centinaia di G a basse frequenze, quindi non è un grosso problema.(Se sei curioso, controlla la scheda tecnica per il tuo particolare.) Lo shock durante il funzionamento è generalmente molto inferiore.Per quanto riguarda le temperature, sono d'accordo.
#17
+2
tonychow0929
2016-06-16 09:56:14 UTC
view on stackexchange narkive permalink

A parte quello che hanno detto gli altri (Live CD, crittografia dell'intero disco, ecc.), le seguenti sono alcune precauzioni.

(1) Scarica la tua distribuzione Linux su un computer affidabile. Non farlo sul tuo sistema Windows perché l'immagine ISO potrebbe essere sostituita / infettata / modificata segretamente. Non fidarti solo dei checksum (anche le utilità di checksum possono essere false).

(2) Firma sul tuo Live CD / DVD / chiavetta USB. Voglio dire, mettici una firma fisica in modo da poter controllare se hai il tuo dispositivo di archiviazione dati. Non è difficile preparare un Live CD / DVD con un sistema operativo falso. Usare un CD / DVD write-once-read-many è l'opzione migliore.

(3) Non digitare su tastiere fisiche. Se conosci un po 'di programmazione puoi scrivere la tua tastiera su schermo. Non utilizzare il layout qwerty. Invece, crea un layout personalizzato che solo tu conosci. Non dipingere i personaggi sui tasti. Finché non ci sono caratteri visualizzati sulla tastiera, è inutile che i membri della tua famiglia registrino ciò che digiti da una videocamera nascosta. Ricorda di usare quella tastiera personalizzata solo quando stai digitando nei campi della password (in cui i caratteri sono sostituiti da altri simboli come i punti) in modo da non rivelare il tuo layout.

(4) Usa un offuscatore di tasti. Un offuscatore chiave invia eventi chiave casuali in background. Se sono presenti keylogger, riceveranno tutte le sequenze di tasti casuali, il che significa che è molto più difficile recuperare le tue credenziali.

#18
+2
Out of Band
2016-06-23 03:20:44 UTC
view on stackexchange narkive permalink

Un'altra idea:

Potresti comprare un computer a scheda singola economico (pensa a Raspberry Pi). Il Pi 3 è abbastanza veloce da sostituire un PC desktop se navighi in Internet e guardi film ecc. E costa circa $ 40.

È alimentato da un cavo di ricarica del telefono USB (o dalla porta USB di un altro computer) e supporta l'uscita HDMI. È abbastanza piccolo da poterlo nascondere in un calzino :-) o portarlo in giro nella tasca della giacca. Probabilmente è anche al sicuro dai keylogger hardware, perché puoi immediatamente vedere qualsiasi manipolazione, poiché è solo una singola scheda. Si avvia da una scheda micro sd, che è così piccola che puoi nasconderla praticamente ovunque (o metterla in un vecchio smartphone o fotocamera). È possibile modificare facilmente il ram disk iniziale sulla scheda SD in modo che il sistema utilizzi un'altra partizione di root, ad es. uno su un'unità USB esterna (questo è qualcosa che dovresti considerare seriamente perché le schede SD non sono fatte per eseguire sistemi operativi ad alta intensità di scrittura su di esse). Inoltre, se non vuoi o non puoi nascondere il Pi, puoi facilmente spiegare la sua presenza - e il fatto che stai improvvisamente usando Linux - dicendo che vuoi armeggiare con il Pi - acquista qualche connettore economico aggiuntivo cavi, una breadboard e LED per una dozzina di dollari o giù di lì e guarda alcuni progetti facili e interessanti che puoi fare con il Pi che fanno lampeggiare i LED. È quindi possibile utilizzare due sdcard per l'avvio; quello segreto che usi quando vuoi la privacy e quello pubblico che usi come esca che contiene solo un'immagine raspbian standard e alcuni progetti con LED lampeggianti.

Questa soluzione non tocca nemmeno il tuo sistema desktop, ti offre un controllo molto migliore sull'hardware (l'unico pericolo hardware rimanente è la tua tastiera) ed è praticamente immune a qualsiasi malware software immediatamente disponibile (perché è una piattaforma hardware non comune ). Inoltre è facilmente spiegabile perché molte persone amano armeggiare con un Pi, quindi se sei anche lontanamente il tipo che sarebbe interessato a qualcosa del genere, ecco la tua spiegazione perfetta del perché sei improvvisamente interessato a possederne un secondo computer che esegue solo Linux.

"l'unico pericolo hardware rimanente è la tua tastiera", potresti prendere una tastiera portatile roll up o almeno molto sottile e portarla con il tuo Raspberry Pi in una borsa di stoffa.
#19
+1
user83389
2016-06-16 21:10:13 UTC
view on stackexchange narkive permalink

Anche se in teoria potrebbe essere impossibile prevenire un attacco dato l'accesso fisico, puoi fare molto per limitare l'accesso fisico a ciò che conta, limitando così i vettori di attacco.

Penso che la tua migliore opzione sarebbe un CD di avvio Linux personalizzato più una chiavetta USB crittografata per l'archiviazione. Molte distribuzioni rendono la creazione di un CD personalizzato abbastanza semplice, inclusi Arch e Gentoo. Una distribuzione incentrata sulla sicurezza potrebbe anche essere un'opzione, come Kali o Ubuntu Privacy Remix. Anche un normale CD di avvio come Knppoix è probabilmente sufficiente in molti casi se non hai a che fare con aggressori con risorse illimitate.

Il vantaggio principale di un CD personalizzato o incentrato sulla sicurezza è la capacità di modificare il funzionamento dei driver, consentendo di impedire il caricamento dei driver su hardware potenzialmente compromesso. Sebbene ci siano ancora dei rischi, la difficoltà coinvolta, ad esempio, nell'hacking del BIOS è sostanzialmente maggiore di quella di cui è capace la stragrande maggioranza degli aggressori occasionali.

Ovviamente, dovresti sempre essere a conoscenza dell'hardware. Usa una tastiera cablata, mai wireless; ancora meglio, usane uno a cui puoi impedire l'accesso scollegandolo, come una tastiera portatile per tablet. Assicurarsi che non siano installate periferiche esterne e che le parti interne del sistema non siano state manomesse prima dell'avvio. Qualsiasi dispositivo USB o FireWire, scheda PCI e in effetti qualsiasi hardware di cui non sei certo è un potenziale vettore di attacco.

Fai attenzione alla rete e a Internet. Dovresti presumere di essere soggetto a avvelenamento da ARP e adottare misure come il blocco di tutto il traffico non crittografato.

In una certa misura, questa è una questione di quanto le persone siano impegnate e qualificate stai cercando di tenere fuori sono. Se stai cercando di tenere fuori una moglie malvagia che ha cercato su Google "keylogger", le misure che devi prendere sono sostanzialmente diverse rispetto a se il tuo compagno di stanza lavora per l'intelligence informatica cinese.

E, naturalmente, un vantaggio dell'approccio CD di avvio + tastiera tablet + chiavetta USB è che, a seconda del contesto, l'aggressore potrebbe non accorgersi che ciò è stato fatto. Puoi facilmente mantenere installazioni fittizie che "usi" occasionalmente per mantenere le apparenze.

#20
+1
h22
2016-06-21 19:06:56 UTC
view on stackexchange narkive permalink

Usa una gabbia hot-swap per il tuo disco rigido e rimuovi il disco rigido quando non è in uso. Portalo via con te o conservalo in un luogo sicuro.

Tale unità può essere collegata alla normale connessione SATA. A differenza dell'USB, non perdi la velocità e può essere qualsiasi capacità. Il sistema operativo può avviarsi da questa unità senza problemi e non possono davvero ottenere nulla dal tuo computer quando togli l'unità.

#21
  0
Michael B
2016-06-19 19:14:04 UTC
view on stackexchange narkive permalink

Il mio PC principale è costituito da un PC desktop senza password, utilizzabile da chiunque in casa. Da questa macchina mi connetto a una macchina Windows 10 in esecuzione su Azure. Non ho problemi con nessuno che installi keylogger ecc. (Non credo!) Ma ci sono una serie di opzioni di autenticazione a 2 fattori liberamente disponibili per gli utenti domestici che renderebbero inutile la password per quella macchina senza il dispositivo che usi per accesso.

Con uno script di pulizia per eliminare le impostazioni salvate MSTSC e una VPN, sarebbe impossibile sapere che ti stai connettendo a una VM.

Gli altri suggerimenti qui affrontano i problemi di keylogging e l'avvio da un CD live ecc. manterrebbe pulito il sistema operativo sottostante.

Ovviamente qui c'è un problema di costo, ma puoi usare istanze spot AWS e avviarne una solo quando desideri fare qualcosa che vuoi mantenere privato, questo lo rende un costo ragionevolmente nominale.

È un approccio alternativo e forse non soddisfa completamente le tue esigenze, ma può fornire una buona soluzione alla privacy (a meno che tu non voglia mantenere le cose private dai governi e dalle grandi corporazioni, ovviamente)

#22
  0
Hey
2016-12-13 22:19:34 UTC
view on stackexchange narkive permalink

Qualcosa che non sembra essere stato menzionato nelle altre risposte è la password HDD .

Se si imposta una password HDD su l'unità, si rifiuterà di parlare con il computer fino a quando non gli avrai fornito la password. Il BIOS richiede il passaggio al momento dell'avvio. È inoltre necessario impostare la password nella configurazione del BIOS.

Il vantaggio è che sarà molto difficile leggere o modificare i dati sull'unità quando il computer è spento, perché il controller dell'unità ha vinto " t funziona.

Non sostituisce la crittografia (perché alcune aziende possono ancora leggere i piatti direttamente), ma rende impossibile fare confusione con il tuo sistema o leggere i tuoi dati senza essere molto motivato (e disposto a pagare).

Tieni presente che se perdi la password dell'HDD, l'unità smetterà semplicemente di funzionare, sicuramente (alcuni produttori hanno "chiavi principali" e alcune possono essere trovate sul Internet, ma dipende dal modello e non ci conterei).

Infine, sappi che alcune unità (come l'SSD 850 Evo di Samsung) crittografano i dati su di esse con la password dell'HDD, fornendo reale sicurezza).

Funziona solo se spegni la macchina.Se l'OP utilizza la crittografia dell'intero disco (come dice lui), non sono sicuro che ciò aggiungerà ulteriore sicurezza.
Può almeno rendere gli attacchi delle domestiche malvagie molto più difficili: la crittografia fornisce riservatezza e le password dell'HDD forniscono integrità.Ho pensato che potesse aiutare.
Il problema è che c'è un numero crescente di strumenti disponibili per sbloccare dischi rigidi bloccati ATA di determinate marche.
#23
  0
Alex Cannon
2018-04-19 08:08:21 UTC
view on stackexchange narkive permalink

La maggior parte delle risposte complica troppo l'aspetto del software.

Se imposti la password CMOS per impedire modifiche al BIOS e bloccare l'unità di avvio, bloccare il bootloader, impostare una password di accesso, fare una piccola ricerca su qualsiasi hack di bypass della schermata di accesso comunemente dimenticato e non lo fai dimentica di bloccare la tua sessione quando te ne vai, quindi non c'è praticamente modo che nessuno possa accedere al software, sia esso GNU / Linux o Windows.

So che hai detto che non sei interessato a proteggerti da attacchi che richiedono hardware personalizzato o attacchi altamente avanzati, ma se lo facessi, vorrai disabilitare tutte le porte Firewire poiché danno accesso DMA, e possibilmente disabilita il plug and play USB solo per evitare di sfruttare i bug dei driver USB.

Quindi, se vogliono avere accesso al tuo computer, si limiteranno ad accedere all'hardware. Quindi impostalo per la crittografia completa del disco. Quindi potresti voler avere uno chassis con serratura e configurare l'interruttore anti-intrusione dello chassis per cancellare la chiave di crittografia dalla memoria e cancellare il resto della RAM.

Se pensi che possano aprire il blocco dello chassis o modificare la tua tastiera, quindi rendere evidente la manomissione della tastiera e dello chassis ottenendo alcuni buoni adesivi con la tua firma o simili che si strapperanno se la tastiera o lo chassis del computer viene aperto. Assicurati che siano buoni in modo che riscaldarli con un asciugacapelli non li sconfigga. Puoi anche usare qualcosa come la ceralacca e un timbro personalizzato. Mettere la cera sugli adesivi rivelerebbe se sono stati riscaldati. Dovrai prendere l'abitudine di controllare l'integrità delle funzioni antimanomissione ogni volta che accendi il computer. Altrimenti potrebbero inserire una sorta di hardware DMA economico o un allegato PCIe esterno che consente a qualcuno di recuperare la password di crittografia del disco dalla memoria. Oppure potrebbero cancellare la password CMOS e riconfigurare il BIOS per avviare uno strumento per il furto della password di crittografia completa del disco e attendere che tu entri in esso.

Assicurati che la password di sblocco del salvaschermo sia diversa dalla password di crittografia dell'intero disco. Altrimenti, se immaginano il tuo disco rigido crittografato, potrebbero ottenere la tua password presentandoti una falsa schermata di sblocco. Nel momento in cui inserisci la password e scopri che la schermata di sblocco era falsa, potrebbe aver già inviato la tua password tramite la rete.

Assicurati che non monitorino la tua tastiera avendo un fotocamera puntata verso di esso.

Verifica tutto ciò che scarichi nel caso in cui faccia qualcosa alla rete locale che aggiunge malware ai file scaricati.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...