image

Onderzoeker demonstreert goedkope wegwerplaptop

zaterdag 31 oktober 2015, 09:17 door Redactie, 15 reacties

Volgens onderzoeker Georg Wicherski is fysieke toegang tot laptops en andere apparaten bij de grens of in hotelkamers altijd al een manier voor geheime diensten geweest om informatie te verzamelen. Met de introductie van volledige schijfversleuteling werd het nodig voor de diensten om firmware- en hardware-implantaten aan te brengen en zo toegang te krijgen.

Het antwoord hierop was het gebruik van wegwerphardware zonder data. Bijvoorbeeld laptops die na de reis konden worden weggegooid. "Helaas is niet iedereen die een doelwit is een directeur en heeft het budget om elke reis een nieuwe laptop aan te schaffen", aldus Wicherski. De onderzoeker werkt voor beveiligingsbedrijf CrowdStrike en is mede-auteur van het Android Hacker's Handbook.

Chromebook

Deze week demonstreerde hij tijdens een conferentie in Finland zijn oplossing, namelijk een goedkope wegwerplaptop gebaseerd op een Chromebook. Tegenover Vice Magazine laat Wicherski weten dat hij bewust voor een Chromebook koos omdat ze vrij goedkoop zijn. Daarnaast zijn ze compatibel met Coreboot, opensourcefirmware. Hierdoor heeft een gebruiker meer controle over het bootproces van de laptop, en kan zo controleren dat er tijdens het laden geen malware actief is.

Om de Chromebook zelf beter tegen aanvallen te beschermen kan er een pin van het SPI-flashgeheugen worden verwijderd, de chip die het BIOS bevat. Door de pin te verwijderen wordt de chip op 'read-only' gezet en kan een aanvaller niet al te eenvoudig aanpassingen doorvoeren. "Door het gebruik van Coreboot, dat echt het eerste is dat wordt uitgevoerd op je processor, en dan zo langzaam als mogelijk de controle over te nemen, om vervolgens voor elke volgende stap cryptografische handtekeningen te gebruiken, wordt het veel lastiger om een implantaat te ontwikkelen."

Wat betreft ChromeOS dat standaard op de Chromebook draait kiest Wicherski ervoor dit door Arch Linux te vervangen. Vanwege het geknutsel en de vereiste kennis van de bootprocedure is zijn wegwerplaptop niet voor iedereen geschikt, zo geeft de onderzoeker toe. Daarnaast is het ook geen wondermiddel. "Het beschermt alleen tegen software- en firmware-implantaten die bij de grens worden toegevoegd, en het voorkomt sommige hardware-implantaten." Toch moeten gebruikers nog steeds hun communicatie versleutelen, anders zijn ze kwetsbaar voor softwarematige aanvallen, besluit Wicherski.

Reacties (15)
31-10-2015, 10:58 door Anoniem
Wat is er nog goedkoop aan als je al dit prutswerk moet doen? Daar gaat toch voor honderden euro aan manuren in zitten?
31-10-2015, 11:36 door [Account Verwijderd]
[Verwijderd]
31-10-2015, 12:43 door Anoniem
Ach, binnenkort kan je je Windows en Ubuntu telefoon op een groot scherm aansluiten en computeren.
31-10-2015, 14:37 door Anoniem
Door Anoniem: Ach, binnenkort kan je je Windows en Ubuntu telefoon op een groot scherm aansluiten en computeren.

Dan heb je niet gesnapt waar het over gaat.
31-10-2015, 14:55 door Anoniem
Door Anoniem: Ach, binnenkort kan je je Windows en Ubuntu telefoon op een groot scherm aansluiten en computeren.

En die gooi je dan na gebruik weg? Dat is volgens mij de essentie van het verhaal.
31-10-2015, 15:18 door Anoniem
Door Anoniem: Ach, binnenkort kan je je Windows en Ubuntu telefoon op een groot scherm aansluiten en computeren.
Haha,klinkt mooi,maar alles kan gehacked worden,ook je windows,android,ubuntu telefoon en ook je televisie.Als jij jouw telefoon aansluit op een al met malware geinfecteerde of gehackte televisie of los pc monitor/beeldscherm (bijv. in je hotelkamer) ben je ook het haasje,aangezien je telefoon zo ook besmet kan worden.
31-10-2015, 15:26 door Anoniem
Het veiligst is een mini computer bijv. de Raspberry Pi en dan geen beeldscherm maar alles op de muur van je (hotel)kamer projecteren,maar ja dan moet je dus ook nog wel even een pc muis,kleine portable geluidsboxjes en klein draagbaar toetsenbord bij je hebben,die je altijd bij je hebt en nooit uit het oog verliest.Maar zelfs dan,en zeker in de wereld vd geheime diensten zullen ze spyware gaan toepassen zoals sensoren,minuscule spycams,mini drones zo groot/klein als een insect om jouw en je computer/internetsessie af te tappen.M.a.w je zult nooit echt veilig zijn.
31-10-2015, 16:49 door Anoniem
Door Anoniem: Ach, binnenkort kan je je Windows en Ubuntu telefoon op een groot scherm aansluiten en computeren.
Dat is al een tijdje mogelijk met Mobile High-Definition Link (MHL)
nog niet voor iedere telefoon ,probleen van een insecure OS blijft dan nog steeds ;-(
01-11-2015, 03:29 door Anoniem
Begrijp inderdaad niet waarom er voor een chromebook gekozen word, terwijl raspberry pi een goedkopere oplossing is.

Raspberry pi 2 Model B €36,95
4GB micro SD €6
Rasberry pi display module €39,99
Toesenbord en muis max €30

Totaal = 112,94
01-11-2015, 10:38 door Anoniem
Door Anoniem: Wat is er nog goedkoop aan als je al dit prutswerk moet doen? Daar gaat toch voor honderden euro aan manuren in zitten?

Als je het zelfde moet doen met een normale laptop ben je meer geld kwijt.

Hoe dan ook, het voordeel van de Chromebooks is dat je de BIOS kunt vervangen met een open source BIOS waarvan je zelf weet hoe die gemaakt is. De BIOS op Chromebook is namelijk Coreboot. Dus die kun je vervangen met jouw eigen versie.

Daarnaast hebben de Chromebooks standaard een read-only BIOS, tegen malware. Er zit en pin of schakelaar aan de binnen kant waarmee je de BIOS read-write kunt instellen zodat hij geupdate kan worden.

Op die manier kun je dus je eigen BIOS plaatsen in de Chromebook, die alleen data/binaries van de SSD leest die signed is.

Als iemand dus iets wil doen met jouw laptop, dan moeten dus de Chromebook open maken en de schakelaar over halen.

Hopelijk kun je dat dan zien doordat de laptop schade heeft, oid.

En als je het niet vertrouwd kun je hem dus weggooien omdat hij bijvoorbeeld minder dan 300 euro kost.

Dit alles bij elkaar maakt de Chromebook de beste keus hiervoor.

Tip: ik zou een ARM Chromebook kopen, Intel heeft onzin ingebouwd die je niet wil:
http://libreboot.org/faq/#intelme
https://en.wikipedia.org/wiki/Intel_Active_Management_Technology#Known_vulnerabilities_and_exploits
01-11-2015, 11:19 door VriendP
Ik heb het! Je neemt gewoon een analoge computer mee. Eentje met ringband of gelijmd. Goedkoop, bevat geen firmware, geen noodzaak om data te versleutelen en is ook nog eens eenvoudig te vernietigen. Ik ben zoooo slim.

In 9 van de 10 gevallen heb je helemaal geen hardware nodig en kan het ook zonder. Wat is er ooit gebeurd met het eenvoudig dingen ONTHOUDEN? Als je gevoelige data hebt en je zet het op een digitaal medium, waarbij je je volledig realiseert dat dat niet veilig is, moet je niet zeuren als je data wordt gestolen. Het lijkt wel of digitaal werken een doel op zich is in plaats van een middel. Begin bij het stellen van de meest elementaire vraag: Heb ik hard- en software vandaag nodig? Als het antwoord daarop Nee is wordt het allemaal zo ontzettend veel eenvoudiger.
01-11-2015, 12:13 door ben987
kan je niet gewoon met een lege laptop met w7 oid in het buitenland contact maken met thuis-pc dmv "Verbinding met extern bureaublad"?

of is dit te simpel gesteld ?
01-11-2015, 14:38 door Anoniem
Door ben987: kan je niet gewoon met een lege laptop met w7 oid in het buitenland contact maken met thuis-pc dmv "Verbinding met extern bureaublad"?

of is dit te simpel gesteld ?

Ja. Veel te simpel. Het gaat juist om malware die wordt geïnstalleerd. In dit geval probeert de onderzoeker tegen te houden dat die wordt geinstalleerd door zelfs de bios te vervangen en af te grendelen.

RDP sessies die niet over een vpn lopen zijn sowieso al geen goed plan, maar dat schiet zijn doel volledig voorbij als je gewoon mee kunt luisteren omdat er een niet-detecteerbare rootkit is geinstalleerd in de bios.
02-11-2015, 10:39 door Anoniem
Door Anoniem:
Door Anoniem: Ach, binnenkort kan je je Windows en Ubuntu telefoon op een groot scherm aansluiten en computeren.

En die gooi je dan na gebruik weg? Dat is volgens mij de essentie van het verhaal.

Bij veel Windows phones is de prijs laag, dus ja, die kun je weggooien.
02-11-2015, 12:18 door Anoniem
Door Anoniem: Wat is er nog goedkoop aan als je al dit prutswerk moet doen? Daar gaat toch voor honderden euro aan manuren in zitten?
Het gaat ook niet om de pure kosteneis, het gaat om het principe dat ding volledig te kunnen versleutelen, de security daarvan redelijk te waarborgen, en bij twijfel zo laag mogelijke vervangkosten (echt financieel, uren zijn te investeren) als je besluit het apparaat te dumpen. De situaties waar je het hier dan ook over kan hebben zijn onder andere in de journalistiek in gebieden waar jouw materiaal je mogelijk in gevaar zou kunnen brengen, dan heb je er graag een bepaalde hoeveelheid tijd voorbereiding voor over in plaats van enkele jaren denktijd...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.