Nieuws

"Laptop lastig te beveiligen"

zondag 28 augustus 2011, 14:56 door Redactie, 13 reacties

Het installeren van encryptieprogramma Truecrypt is niet het enige dat eigenaren van een laptop kunnen doen om hun machine tegen ongewenste gasten te beschermen. Dat zegt Mike Cardwell. Hij stapte onlangs over van Mac OS X naar Ubuntu en ging bij de beveiliging een stap verder dan de meeste gebruikers.

De voornaamste dreiging is volgens Cardwell diefstal van de computer. Op de machine die hij kocht was standaard Windows 7 geïnstalleerd, hoewel hij Ubuntu wilde gebruiken. In plaats van het besturingssysteem te verwijderen, liet hij Windows als "honeypot" op het systeem staan. Het systeem start automatisch en zonder wachtwoord Windows, dat zelf het programma Prey start. Hiermee is het mogelijk om in geval van diefstal de locatie, uiterlijk en activiteiten van de dief te achterhalen. Daarbij gebruikt Prey de ingebouwde GPS en 3G modem. "Hopelijk is de dief te lui of te dom het systeem opnieuw te installeren", merkt Cardwell op.

De tweede stap was het installeren van Ubuntu op een volledig versleutelde partitie. Daarbij plaatste hij de boot partitie en bootloader op een Corsair Survivor USB-stick. Deze stick is waterdicht en draagt Cardwell altijd bij zich. Laptops met Truecrypt zijn namelijk kwetsbaar voor de 'evil maid attack', waarbij er een keylogger wordt geinstaleed die de Truecrypt passphrase onderschept.

Coldboot
Een andere aanval waar Cardwell zijn laptop tegen wilde beschermen zijn "coldboot aanvallen". Hierbij "bevriest" de aanvaller het geheugen, waar belangrijke informatie in aanwezig kan zijn, zoals passphrases en wachtwoorden. Het kan na uitschakeling van de computer een aantal minuten duren voordat het geheugen alle informatie verwijdert. Door het geheugen te bevriezen kan deze periode worden verlengd. Een aanvaller met fysieke toegang kan via het programma 'msramdmp' een kopie van het geheugen maken.

Om deze aanval te voorkomen schakelt Cardwell zijn machine altijd uit als die niet wordt gebruikt. De tweede verdediging is TRESOR. TRESOR is een implementatie van AES als een cipher-kernelmodule, die de sleutels in de CPU debug register bewaart, en alle cryptografische operaties direct vanuit de processor uitvoert op een manier die voorkomt dat de sleutel ooit in het geheugen terechtkomt. Hiervoor is wel een processor nodig die de AES-NI instructie-set ondersteunt.

Firewire
Een andere dreiging waar laptop-eigenaren mee te maken hebben zijn aanvallen via firewire. Ook via de firewire-port is het mogelijk om de inhoud van het geheugen uit te lezen. Daarom compileerde Cardwell een module waarin firewire niet standaard staat ingeschakeld. Verder adviseert hij om de schijf voor het versleutelen volledig met willekeurige data te overschrijven en het gebruik van een keyfile met een passphrase om het versleutelde besturingssysteem te starten. De keyfile kan in dit geval op een apart apparaat worden bewaard.

Ook is het verstandig om de "swap space" op de harde schijf te versleutelen, aangezien hier ook allerlei vertrouwelijke informatie in kan achterblijven.

Firefox
Op de laptop zelf besloot Cardwell zijn Firefox-installatie beter te beschermen, door het programma onder een ander account te draaien. Als de browser wordt gehackt, krijgt de aanvaller zo niet eenvoudig toegang tot de bestanden van een andere gebruiker. Om de kans op Man-in-the-Middle-aanvallen tegen te gaan gebruikt hij de plugins: Certificate Patrol, Cipherfox, DNSSEC Validator, HTTPS Everywhere, HTTPS Finder, NoScript, Perspectives en Request Policy.

Via een VPN maakt Cardwell verbinding op onbeveiligde en onbetrouwbare netwerken en installeerde hij een lokale DNS resolver die DNSSEC ondersteunt. Een andere dreiging is het niet vergrendelen van de computer. Hiervoor installeerde Cardwell 'blueproximity', die kan detecteren of zijn telefoon uit de buurt is. In dit geval wordt het scherm meteen vergrendeld.

Voor laptopdieven bouwde Cardwell ook nog een andere verrassing in. De Windows installatie gebruikt een VPN die verbinding met Cardwell zijn server maakt. Internet Explorer is ingesteld om deze machine als webproxy te gebruiken, zodat hij al het verstuurde verkeer van de dief kan onderscheppen.

Paranoide
Cardwell beschouwt zichzelf geen "elite hacker", maar ook niet paranoïde. Veel van de aanvallen die hij beschrijft zijn eenvoudig uit te voeren. "Ik beweer niet dat mijn laptop niet te hacken is. Een aanvaller kan nog steeds mijn machine stelen als ik die gebruik en het geheugen eruit halen en zo vertrouwelijke gegevens stelen", laat Cardwell weten.

Ook het stelen van de USB boot key en het hacken van Firefox om via een root-exploit toch toegang tot andere accounts te krijgen zijn mogelijk. Hetzelfde geldt voor een aanvaller die het wachtwoord letterlijk uit Cardwell wil slaan. "Het doel van deze hele oefening is het aantal aanvalsvectoren te bepeken, niet ze te elimineren. Dat zou namelijk onmogelijk zijn."

Mozilla lanceert Firefox 13 op 5 juni 2012

Hillen: KGB-verleden Kaspersky geen probleem

Reacties (13)

28-08-2011, 15:14 door Anoniem

Hoe zal ik mijn macbook goed kunnen beveiligen ? ik heb nu prey erop en Filefault aan. ( Draai lion)

28-08-2011, 20:14 door Anoniem

jezus al dat ingewikkelde gedoe om een laptop te beveiligen.en dan nog,het schijnt dat je een laptop makkelijk met allerlei malware kan besmetten door er een usb stick in te steken zelfs als de laptop uit staat wordt ie dan besmet.wat ga je doen als je eens ergens,op je werk of zo naar het toilet moet? neem je hem dan mee naar het toilet? je hebt natuurlijk van die laptop kluizen daar kun je hem in doen en dan kan men ook fysiek je pc niet benaderen en klooien.

28-08-2011, 20:59 door sjonniev

Als je er prijs op stelt je laptop terug te krijgen is dat honeypot OS zeker geen slecht idee!

29-08-2011, 12:03 door Mysterio

Je zou ook kunnen investeren in goede sloten.

29-08-2011, 12:49 door spatieman

GEEN laptop kopen is ook een oplossing..

29-08-2011, 13:19 door Anoniem

Ik denk dat ik maar stop met internetten; het word mij te gevaarlijk als ik dit verhaal zo lees.

29-08-2011, 14:21 door Anoniem

Mijn zakelijke laptop is enkel en alleen beveiligd met een password op mijn admin account. Daarnaast gebruik ik ook alleen betrouwbare Wifi netwerken en/of 3g.

Dit is meer als genoeg beveiliging aangezien ik altijd werk op mijn Terminal Server.

29-08-2011, 14:28 door Anoniem

ik beschouw mijn laptop als verloren als deze gejat word. Enige wat ik doe is er voor zorgen dat mijn home drive versleuteld is zodat jan de junk niet bij mijn gegevens kan komen.

-
Jdw

29-08-2011, 16:08 door Anoniem

Door Anoniem: ik beschouw mijn laptop als verloren als deze gejat word. Enige wat ik doe is er voor zorgen dat mijn home drive versleuteld is zodat jan de junk niet bij mijn gegevens kan komen.

-
Jdw

Idd, de kans dat je hem dan terug krijgt is verwaarloosbaar klein. Bij mij heb ik, om in zo een geval de ongeoorloofde toegang tot mijn data de voorkomen, mijn hele harde schijf versleuteld. Als "ze" de schijf trouwens formatteren, staat hun nog een leuke verrassing te wachten: er zit slechts een SSD in met een bescheiden opslagcapaciteit :evil grin: Genoeg voor mijn belangrijke documenten en zo ontzettend lekker snel!

[positieve ervaring]
Als backup-programma kan ik trouwens iedereen Wuala aanraden! Alle gegevens worden hierbij versleuteld met AES (ik meen AES-128) voordat ze je computer verlaten en je wachtwoord verlaat nooit je computer. Ideaal is dat je ook eenvoudig kunt synchroniseren tussen computers! En lots of space voor nop middels het "trading"-mechanisme.

En nee, ik heb geen aandelen Wuala/LaCie :)
[/positieve ervaring]

29-08-2011, 23:54 door Earl Grey

Voor iemand die niet bij de NASA of de AIVD werkt, vind ik de beschreven beveiligingsmaatregelen wel heel erg omslachtig. Beveiliging is 1, maar gebruiksgemak is 2.

Zoals in het artikel is te lezen, focust meneer Cardwell zich compleet op security. Heeft hij wel in de gaten dat dit funest is voor de gebruiker? Er moet een balans zijn tussen beveiliging en gemak. Ik vind de heer Cardwell een beetje doorslaan. Een beetje hacker gaat bijvoorbeeld geen cold boot attack uitvoeren op de zojuist gestolen laptop van buurman Teun, die zijn dagelijkse bezigheden vult met het fotograven van zeldzame vogels.

30-08-2011, 02:21 door Anoniem

Was het niet nog makkelijker om een linux live boot cd te gebruiken?
Of koop een usb stick van redelijk groot formaat en zet het O.S. en encryptie op.
En zeker als men op vacantie zou gaan. Men kan dan de eigenlijke bestanden thuis op een
ftp zetten of andere vorm waar men vanaf het vacantie adres aan kan.

Bovenstaande post is leuk om te weten, maar OOoo wat een gedoe.

30-08-2011, 14:56 door Anoniem

Leuk artikel!
Ik vraag me wel af of je - wanneer je beveiliging zo belangrijk vind - je niet beter een client-server oplossing kunt implementeren waardoor er helemaal geen data en (nauwelijks) software op je laptop nodig is

30-08-2011, 21:57 door cryptomannetje

Wat ik mis in de discussie is tegen wie of wat je je laptop wilt beveiligen. Met andere woorden wat is je dreigingsniveau. Voor privé gebruik is Truecrypt eventueel voorzien van een USB-stick met het wachtwoord (two-factor) voldoende. De dreiging is immers verlies en/of diefstal. Bij zakelijk gebruik kunnen de dreigingen anders liggen en de waarde van de opgeslagen informatie vele malen groter. Hierbij valt een gerichte aanval niet helemaal uit te sluiten evenals de inzet van 'specialisten'. In dit scenario vallen de cold boot en de evil maid aanvallen alsmede de direct memory aanval via de firewire interface. Dit soort van dreigingen kunnen het beste afgewend worden door de fysieke toegang tot de laptop te beschermen (opslag in een kluis van het hotel etc.) of de implementatie van een hardware oplossing voor encryptie. Die laatste is duurder dan een software oplossing, maar de schade bij diefstal van de waardevolle data is vaak vele malen groter en rechtvaardigt de investering.
De toepassing van een programma als Prey heeft zijn nut al bewezen tijdens de recente rellen in London alwaar een Macbook van een security specialist werd gestolen. Door middel van Prey dat heimelijk foto's maakte met de webcam en posities doorgeeft aan de eigenaar, kreeg hij zijn Macbook terug. Ook voor smart phones en tablets zijn dergelijke programma's beschikbaar.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer