Bin Ich Sicher? Naja nicht ich sondern mein PC.
#1 _PelzigesWaldtier_
geschrieben 14. Februar 2010 - 10:49
ich frage mich, ob meine Daten sicher sind. Kann man in folgenden Szenarien auf wichtige Daten zugreifen?
A. Ich habe meine Festplatten mit dem crypt LUKS Krams verschlüsselt (Bitte an dieser Stelle nicht aufhören zu lesen. Ich weiß, dass ich nicht die meiste Ahnung von solchen Dingen habe). Nur /boot mit etwas weniger als 250MB ist es nicht. Der PC ist ausgeschaltet.
B. Die Festplatten sind wie oben verschlüsselt. Der PC ist aber eingeschaltet und ich befinde mich auf einem Gnome Desktop, habe "Lock Screen" gewählt und kann nur weiterarbeiten, wenn ich das Passwort eingebe.
Ich hoffe, dass ihr mir da mit einigen Infos weiterhelfen könnt.
Grüße und einen schönen 14. Feb.
PelzigesWaldtier
Anzeige
#2 _lustiger_affe_
geschrieben 14. Februar 2010 - 16:49
Zitat
Das Risiko lässt sich eindämmen, indem du /boot z.B. auf einen USB-Stick packst und immer(!) mit dir führst. Multifaktor-Authing würde auch etwas dazu beitragen, z.B. ein Keyfile auf dem Stick, was wiederum z.B. GPG verschlüsselt ist und dazu eine Möglichkeit, zu überprüfen ob der eingesetzte Stick wirklich deiner ist(wobei man mit genügend Geld und Ressourcen z.B. eine USB-ID natürlich fälschen kann).
Zitat
2. Manche Lock-Programme verhindern dennoch nicht, dass man auf eine VT wechselt
3. Man könnte einen Keylogger zwischen Tastatur und Keyboard hängen
4. Man könnte den RAM freezen, rebooten und die Daten im RAM auf Spuren von Keys überprüfen
5. Man könnte heimlich eine weitere Festplatte und eine Art Kabelpeitsche(weis nicht, wie das genau heist) einbauen, so dass Daten auch auf die neue Platte gelangen
6. ...
7. Immer gut, Social Engineering, und wenn es nur eine Waffe am Kopf ist.
Hilfreich wäre hier, für die wichtigsten Daten eine weitere Partition einzurichten und diese ebenfalls zu verschlüsseln, allerdings mit einer anderen Passphrase bzw. Keyfile. Dazu ein Script, was die Partition entweder beim Screenlock oder regelmäßig alle X Minuten ohne Zugriff aushängt und das Mapper-Device schließt.
Kurzum, einen wichtigen Schritt hast du schon getan, aber wirklich sicher bist du noch lange nicht. Ob du weitere Maßnahmen umsetzt, hängt von dir, deinen Fähigkeiten, deiner Zeit, deiner Angst und zum Teil auch deinem Geld ab. Bedenke, Sicherheit und Komfort laufen ziemlich konträr zueinander, also mußt du entscheiden, was dir wichtiger ist.
Dieser Beitrag wurde von lustiger_affe bearbeitet: 14. Februar 2010 - 16:51
#3 _PelzigesWaldtier_
geschrieben 14. Februar 2010 - 17:36
Die Idee mit /boot auf einem USB-Stick klingt interessant. Aber wenn die ID des USB-Gerätes gefälscht / geändert werden kann, dann hat das doch wenig Zweck. Und kann man nicht den dadurch jetzt freien Platz auf der Festplatte wieder herstellen, USB-Boot im Bios ausschalten, falls ich da geschlampt habe?
Was ich ja im Prinzip nur wissen müsste wäre, ob der Kernel geändert worden ist. Kann man nicht bei jedem Herunterfahren eine Prüfsumme auf einem USB-Stick speichern (ung ggf. ein Backup)? Und wenn man startet werden einfach die beiden Summen verglichen (aktueller mit gespeicherter) und man wird zur Bestätigung aufgefordert. Dann kann man halt ausschalten und /boot oder den Kernel oder was auch immer wieder mit Hilfe des Backups zurücksetzen. Geht das? Kann das umgangen werden, wenn ich den USB-Stick immer bei mir habe? Und was mache ich, wenn der Kernel so modifiziert wird, dass die Prüfung des USB-Sticks nicht mehr vorgenommen wird? Kann ich vom USB-Stick starten, der eine erste Prüfung vornimmt und dann weitergibt?
Zu der Variante des eingeschalteten PCs: 1. und 2. extrem ärgerlich und 2. funktioniert. Welche Angriffsmöglichkeiten gibt es bei 2.? Es ist doch niemand eingeloggt dort. 3., 4. und 5. sind auch ziemlich ärgerlich. Könnte man verhindern, dass neue Geräte verwendet werden? Sodass die Tastatur, wenn sie aus- und wieder angesteckt wird, nicht benutzbar ist? So würde man immerhin Kenntnis über die Geräte erlangen.
Grüße und Danke nochmal!
#4 _Stürmische Tage_
geschrieben 14. Februar 2010 - 17:50
Ich hatte mir mal ähnliche Gedanken bezüglich der Tastatur gemacht und bin zu dem Schluss gekommen, dass das einzig durchführbare relativ sichere Verfahren ist, wenn man eine flexible Tastatur hat, welche man immer mit sich rumträgt, falls man gerade nicht am PC ist.
Edit:
Bildschirmtastatur wäre eine andere Möglichkeit, aber auf Dauer unpraktikabel.
Bei einem Touchscreen kann man den Tastenanschlag auch nicht so einfach mitprotokollieren.
Trotz allem bleibt da immer noch das Problem einer Kameraüberwachung. Diese lässt sich aber umgehen, indem man eine Tastatur modifiziert, sodass die Tasten anders angeordnet sind, z.B. wenn ein gedrücktes "A" von der Tastatur als "G" ausgegeben wird. In diesem Falle wäre eine Kameraaufnahme sinnlos, es sei denn der Angreifer gelangt in den Besitz der modifizierten Tastatur.
Dieser Beitrag wurde von Stürmische Tage bearbeitet: 14. Februar 2010 - 17:55
#5 _lustiger_affe_
geschrieben 14. Februar 2010 - 17:53
Zitat
Zitat
Zitat
Zitat
Zitat
Für mehr Sicherheit, ein paar Hinweise zum Googlen, vieles findet sich auch für Laien verständlich im z.B. Gentoo-Wiki beschrieben:
1. Hardened System, das sind speziell gehärtete Kernel und Applikationen, die schon einiges bringen - sind allerdings nicht immer ganz up2date in Sachen Kernel und können mit schlecht geschriebener Software manchmal Probleme machen.
2. Weitere Tools/Frameworks, wie SELinux, RSBAC, PAX, SMACK, etc. Dazu ein paar Auditing-Tools wie Snort, Aide/Tripwire, pp.
Umso sicherer du sein willst, desto tiefer mußt du auf Systemebene eingreifen, entsprechend sind Distros mit hoher Abstraktion eher nicht die erste Wahl, das geht zwar auch, ist oft aber (leider) komplizierter als nötig. Anbieten tuen sich da meiner Meinung nach Gentoo oder Debian am ehesten, gefolgt von Slackware und Arch - was mal nur die "großen" Distros angeht - als halbwegs guten Kompromiss würd ich Fedora sehen.
Auf jeden Fall wirst du sehr viel lesen und verstehen müßen und große Abstriche in Sachen Komfort machen, aber das ist nunmal der Preis. Goog luck
Edit, @Stürmische Tage, alternativ tut's auch eine dieser Lasertastaturen, die sind zwar nicht perfekt, aber hauptsächlich muß man damit ja nur Passwörter eingeben.
Edit2, TEMPEST sollte man auch noch erwähnt haben, das wird in letzter Zeit öfter genutzt, aber gut, eheer selten für den Privatmensch, dennoch sollte man darum wissen und ein wenig auf die Umwelt achten.
Dieser Beitrag wurde von lustiger_affe bearbeitet: 14. Februar 2010 - 17:56
#6
geschrieben 14. Februar 2010 - 18:02
#7 _Stürmische Tage_
geschrieben 14. Februar 2010 - 18:14
Aus dem Grund sollte man auch die Funktion "Hidden Operating System" von Truecrypt, oder ähnliches nutzen. Kann man dass eigentlich doppelt machen, sodass man 3 OSe auf einer verschlüsselten Partition hat?
#8 _lustiger_affe_
geschrieben 14. Februar 2010 - 18:35
#9 _The Grim Reaper_
geschrieben 14. Februar 2010 - 19:21
#10 _Stürmische Tage_
geschrieben 14. Februar 2010 - 19:45
Das mit der Webcam probiere ich seit ein par Tagen aus. Jedes Mal, wenn ich den Raum verlasse, stelle ich eine Webcam an und lasse den Raum auf Bewegungen hin überwachen. Allerdings fehlt mir professionelle Software. Die von mir benutzte kann nur eine Email mit Bild verschicken, sowie ein Bild auf einen FTP Server hochladen, sobald eine Bewegung erkannt wird. Allerdings würde ich die nicht Tag und Nacht laufen lassen, da ich nicht möchte, dass ich überwacht werde und auf meiner Festplatte Videomaterial von mir rumliegt. Daher wird die webcam wieder ausgeschaltet, sobald ich zurück bin.
Allerdings trift man auch hier wieder auf ein Problem, denn sobald das Internet nicht mehr verfügbar ist, wird man nicht mehr gewarnt
#11 _lustiger_affe_
geschrieben 14. Februar 2010 - 19:48
#12 _The Grim Reaper_
geschrieben 14. Februar 2010 - 20:06
Wieso sollte da Inet weg sein? Ich für meinen Teil bin immer, egal ob das Inet läuft, oder nicht, mit einem doch recht großen Netzwerk verbunden. Da stellt du dann iwo einen Rechner hin, der alles protokoliert und gut ist.
Allerdings ist das, wie bei der Software, alles eine Frage des Geldes.
#13 _lustiger_affe_
geschrieben 14. Februar 2010 - 20:23
#14 _The Grim Reaper_
geschrieben 14. Februar 2010 - 20:37
Das OS portabel zu haben ist ja schön und gut, doch so wie es scheint soll wohl der Rechner in Abwesenheit laufen. Gegen Manipulation sollte man sich absichern, jedoch weißt du nie, wie gut dein Gegner ist und wiederum deine Sicherung aushebeln kann.
Daher braucht man eine sofortige unwiederrufliche Warnung - siehe SMS oder MMS. Da kann dann der Gegner nix mehr fuschen. Wenn er den Rechner klaut - naja dann ist so oder so alles weg - Backup und hoffen, dass die Verschlüsselung stand hält.
Wenn man mich fragt reicht Webcam, Hashüberwachung des OS (das kann man ja nun sehr weit ausweiten wie man hier im Threat sieht), immer Backup-OS (welches am nächsten Gebrauch des Rechners immer in Abwechslung zum eigentlichen OS zum Einsatz kommt - somit kann man ohne Zeitverlust das eigentliche OS jeden Tag automatisch an einem anderen Rechner prüfen lassen zBsp Laptop) und halt eine sehr starke Verschlüsselung der Datenplatten.
Je nach Genauigkeit der Webcam würde ich hier ein Script schreiben (lassen), welches bei Bewegung automatisch die Container unmounted und den Rechner herunterfährt, damit auch nix mehr im RAM sein kann. Allderings braucht man hier einer Fernsteuerung der Software, damit diese nicht beim eigenen Betreten des Raumes ausgelöst wird. Das ist dann natürlich wieder ein Sicherheitsrisiko, da ein Schlüssel verwendet werden müsste, der jeden Tag oder bei jeder Benutzung erneuert wird und sowas kann man ggf wieder klauen.
Doch wie es hier schon gesagt wurde - ist erstmal eine Knarre an deinem Schädel, war die Mühe umsonst.
Da musst du schon ganz fette Sachen bei dir auf dem Rechner haben, damit überhaupt wer auf den Gedanken kommt, bei dir was zu wollen. Hast du Probs mit der Mafia ?
Achso noch besser - zur Kamera noch einen Bewegungsmelder an der Tür (Lichtschranken), der dann den Rechner und Co. herunterfährt -> genauer als die Kamera (wei den Teilen kann schon ein Licht(Schatten)wechsel zur Auslösung führen).
Ich glaub, wenn du dir noch eine Panzertür zulegt, bist du noch sicherer. Gegen Inet Angriffe hilft nur die Vermeidung jegliches Cachings, halt die Hashkontrolle und noch eine gute Hardwarefirewall. Es wird sich keiner die Mühe machen, einen 3-Phasenverschlüsselten Container von sehr großer Größe mit einem starken PW und noch einer Keyfile zu entschlüsseln - da will man lieber ans PW kommen.
Aber warum das hier alles? Ich glaub kaum, dass es sich lohnt wegen ein paar illegaler Videos oder Musik etwas derartiges durchzuführen. Wichtige Dokus kann man ja gut verschlüsseln und mit sich führen - die Sticks von heute sind ja klein, haben eine große Datenmenge und sind schnell.
Dieser Beitrag wurde von The Grim Reaper bearbeitet: 14. Februar 2010 - 20:44
#15 _lustiger_affe_
geschrieben 14. Februar 2010 - 20:42
Zitat
Was bis jetzt ja noch gar nicht erwähnt wurde, die beste Sicherung nach aussen bringt nichts, wenn das Problem auf dem Stuhl sitzt, d.h. du mußt extreme Einschränkungen vornehmen, um dir keine Malware einzufangen.