Onderzoeker demonstreert goedkope wegwerplaptop
Volgens onderzoeker Georg Wicherski is fysieke toegang tot laptops en andere apparaten bij de grens of in hotelkamers altijd al een manier voor geheime diensten geweest om informatie te verzamelen. Met de introductie van volledige schijfversleuteling werd het nodig voor de diensten om firmware- en hardware-implantaten aan te brengen en zo toegang te krijgen.
Het antwoord hierop was het gebruik van wegwerphardware zonder data. Bijvoorbeeld laptops die na de reis konden worden weggegooid. "Helaas is niet iedereen die een doelwit is een directeur en heeft het budget om elke reis een nieuwe laptop aan te schaffen", aldus Wicherski. De onderzoeker werkt voor beveiligingsbedrijf CrowdStrike en is mede-auteur van het Android Hacker's Handbook.
Chromebook
Deze week demonstreerde hij tijdens een conferentie in Finland zijn oplossing, namelijk een goedkope wegwerplaptop gebaseerd op een Chromebook. Tegenover Vice Magazine laat Wicherski weten dat hij bewust voor een Chromebook koos omdat ze vrij goedkoop zijn. Daarnaast zijn ze compatibel met Coreboot, opensourcefirmware. Hierdoor heeft een gebruiker meer controle over het bootproces van de laptop, en kan zo controleren dat er tijdens het laden geen malware actief is.
Om de Chromebook zelf beter tegen aanvallen te beschermen kan er een pin van het SPI-flashgeheugen worden verwijderd, de chip die het BIOS bevat. Door de pin te verwijderen wordt de chip op 'read-only' gezet en kan een aanvaller niet al te eenvoudig aanpassingen doorvoeren. "Door het gebruik van Coreboot, dat echt het eerste is dat wordt uitgevoerd op je processor, en dan zo langzaam als mogelijk de controle over te nemen, om vervolgens voor elke volgende stap cryptografische handtekeningen te gebruiken, wordt het veel lastiger om een implantaat te ontwikkelen."
Wat betreft ChromeOS dat standaard op de Chromebook draait kiest Wicherski ervoor dit door Arch Linux te vervangen. Vanwege het geknutsel en de vereiste kennis van de bootprocedure is zijn wegwerplaptop niet voor iedereen geschikt, zo geeft de onderzoeker toe. Daarnaast is het ook geen wondermiddel. "Het beschermt alleen tegen software- en firmware-implantaten die bij de grens worden toegevoegd, en het voorkomt sommige hardware-implantaten." Toch moeten gebruikers nog steeds hun communicatie versleutelen, anders zijn ze kwetsbaar voor softwarematige aanvallen, besluit Wicherski.
Dan heb je niet gesnapt waar het over gaat.
En die gooi je dan na gebruik weg? Dat is volgens mij de essentie van het verhaal.
nog niet voor iedere telefoon ,probleen van een insecure OS blijft dan nog steeds ;-(
Raspberry pi 2 Model B €36,95
4GB micro SD €6
Rasberry pi display module €39,99
Toesenbord en muis max €30
Totaal = 112,94
Als je het zelfde moet doen met een normale laptop ben je meer geld kwijt.
Hoe dan ook, het voordeel van de Chromebooks is dat je de BIOS kunt vervangen met een open source BIOS waarvan je zelf weet hoe die gemaakt is. De BIOS op Chromebook is namelijk Coreboot. Dus die kun je vervangen met jouw eigen versie.
Daarnaast hebben de Chromebooks standaard een read-only BIOS, tegen malware. Er zit en pin of schakelaar aan de binnen kant waarmee je de BIOS read-write kunt instellen zodat hij geupdate kan worden.
Op die manier kun je dus je eigen BIOS plaatsen in de Chromebook, die alleen data/binaries van de SSD leest die signed is.
Als iemand dus iets wil doen met jouw laptop, dan moeten dus de Chromebook open maken en de schakelaar over halen.
Hopelijk kun je dat dan zien doordat de laptop schade heeft, oid.
En als je het niet vertrouwd kun je hem dus weggooien omdat hij bijvoorbeeld minder dan 300 euro kost.
Dit alles bij elkaar maakt de Chromebook de beste keus hiervoor.
Tip: ik zou een ARM Chromebook kopen, Intel heeft onzin ingebouwd die je niet wil:
http://libreboot.org/faq/#intelme
https://en.wikipedia.org/wiki/Intel_Active_Management_Technology#Known_vulnerabilities_and_exploits
In 9 van de 10 gevallen heb je helemaal geen hardware nodig en kan het ook zonder. Wat is er ooit gebeurd met het eenvoudig dingen ONTHOUDEN? Als je gevoelige data hebt en je zet het op een digitaal medium, waarbij je je volledig realiseert dat dat niet veilig is, moet je niet zeuren als je data wordt gestolen. Het lijkt wel of digitaal werken een doel op zich is in plaats van een middel. Begin bij het stellen van de meest elementaire vraag: Heb ik hard- en software vandaag nodig? Als het antwoord daarop Nee is wordt het allemaal zo ontzettend veel eenvoudiger.
of is dit te simpel gesteld ?
of is dit te simpel gesteld ?
Ja. Veel te simpel. Het gaat juist om malware die wordt geïnstalleerd. In dit geval probeert de onderzoeker tegen te houden dat die wordt geinstalleerd door zelfs de bios te vervangen en af te grendelen.
RDP sessies die niet over een vpn lopen zijn sowieso al geen goed plan, maar dat schiet zijn doel volledig voorbij als je gewoon mee kunt luisteren omdat er een niet-detecteerbare rootkit is geinstalleerd in de bios.
En die gooi je dan na gebruik weg? Dat is volgens mij de essentie van het verhaal.
Bij veel Windows phones is de prijs laag, dus ja, die kun je weggooien.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
