Volgens onderzoeker Georg Wicherski is fysieke toegang tot laptops en andere apparaten bij de grens of in hotelkamers altijd al een manier voor geheime diensten geweest om informatie te verzamelen. Met de introductie van volledige schijfversleuteling werd het nodig voor de diensten om firmware- en hardware-implantaten aan te brengen en zo toegang te krijgen.
Het antwoord hierop was het gebruik van wegwerphardware zonder data. Bijvoorbeeld laptops die na de reis konden worden weggegooid. "Helaas is niet iedereen die een doelwit is een directeur en heeft het budget om elke reis een nieuwe laptop aan te schaffen", aldus Wicherski. De onderzoeker werkt voor beveiligingsbedrijf CrowdStrike en is mede-auteur van het Android Hacker's Handbook.
Deze week demonstreerde hij tijdens een conferentie in Finland zijn oplossing, namelijk een goedkope wegwerplaptop gebaseerd op een Chromebook. Tegenover Vice Magazine laat Wicherski weten dat hij bewust voor een Chromebook koos omdat ze vrij goedkoop zijn. Daarnaast zijn ze compatibel met Coreboot, opensourcefirmware. Hierdoor heeft een gebruiker meer controle over het bootproces van de laptop, en kan zo controleren dat er tijdens het laden geen malware actief is.
Om de Chromebook zelf beter tegen aanvallen te beschermen kan er een pin van het SPI-flashgeheugen worden verwijderd, de chip die het BIOS bevat. Door de pin te verwijderen wordt de chip op 'read-only' gezet en kan een aanvaller niet al te eenvoudig aanpassingen doorvoeren. "Door het gebruik van Coreboot, dat echt het eerste is dat wordt uitgevoerd op je processor, en dan zo langzaam als mogelijk de controle over te nemen, om vervolgens voor elke volgende stap cryptografische handtekeningen te gebruiken, wordt het veel lastiger om een implantaat te ontwikkelen."
Wat betreft ChromeOS dat standaard op de Chromebook draait kiest Wicherski ervoor dit door Arch Linux te vervangen. Vanwege het geknutsel en de vereiste kennis van de bootprocedure is zijn wegwerplaptop niet voor iedereen geschikt, zo geeft de onderzoeker toe. Daarnaast is het ook geen wondermiddel. "Het beschermt alleen tegen software- en firmware-implantaten die bij de grens worden toegevoegd, en het voorkomt sommige hardware-implantaten." Toch moeten gebruikers nog steeds hun communicatie versleutelen, anders zijn ze kwetsbaar voor softwarematige aanvallen, besluit Wicherski.
Deze posting is gelocked. Reageren is niet meer mogelijk.