Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
beveiligingsopties voor een computer zonder internetverbinding
22-04-2020, 14:13 door Anoniem, 4 reacties
Mijn bedrijf maakt apparaten die ondergronds werken in mijnen die soms nooit met elkaar verbonden zijn. We zijn dus beperkt tot de externe apparaten die we kunnen gebruiken. We kunnen geen items meenemen die batterijen bevatten, zoals een RSA-sleutel enz. Ik probeer ideeën te bedenken over dingen die we kunnen gebruiken in plaats van standaard gebruikersnaam / wachtwoorden die de functionaliteit voor een bepaalde tijd aan alleen specifieke gebruikers zullen vergrendelen. Kan iemand iets voorstellen?
Reacties (4)
Door Anoniem: Mijn bedrijf maakt apparaten die ondergronds werken in mijnen die soms nooit met elkaar verbonden zijn. We zijn dus beperkt tot de externe apparaten die we kunnen gebruiken. We kunnen geen items meenemen die batterijen bevatten, zoals een RSA-sleutel enz. Ik probeer ideeën te bedenken over dingen die we kunnen gebruiken in plaats van standaard gebruikersnaam / wachtwoorden die de functionaliteit voor een bepaalde tijd aan alleen specifieke gebruikers zullen vergrendelen. Kan iemand iets voorstellen?
Wat wil je precies - blijkbaar een soort van inlog of "extra rechten voor bepaalde gebruikers" ?
Is dat uberhaupt nodig of vereist door de klant ?
Beveiliging doe je om iets te bereiken - en als de reden er niet is omdat de omgeving 'totaal anders' is, moet je sommige soorten beveiliging niet implementeren.
(vzviw hebben die 100 ton dumptrucks, of legertanks ,of passagiersvliegtuigen, geen "contactsleutel die de bestuurder meeneemt" .
Contactsleutels (en fietssloten) e.d zijn er om te voorkomen dat onbevoegden er met het voertuig vandoor gaan.
Dingen als die mijnbouwtrucks, tanks, passagiersvliegtuigen etc lossen het probleem "er gaat iemand aan de haal met het apparaat" anders op, maar niet met een contactsleutel . )
De eerste vraag in zo'n bijzonder geval is dus "moet dat ook echt" ?
Met wat je zegt over 'geen batterij' moet het blijkbaar explosieveilig zijn.
Dan is ook de vraag wat je aan interfaces mag hebben op het bijzondere apparaat. smartcard of USB tokens met een koper connector kunnen prima voldoen als 'token' , maar die moet je wel mogen aansluiten.
Biometrie zou ook kunnen, maar de vraag is wel of je sensoren kunnen en mogen werken in een mijnomgeving (stof, donker e.d. ). En bij offline devices heb je een hoop gedoe om nieuwe gebruikers te programmeren - en oude te verwijderen.
Een QR code (of barcode) op een badge kan redelijk voldoen als een soort van 'lang password' , maar is redelijk simpel kopieerbaar. Aan de andere kant, beter dan een eeuwig password 'test123' .
Zou een draadloze YubiKey wat kunnen zijn? Is zonder batterij, kan via USB of NFC, en als ik het goed begrijp heb je geen Internet connectivity nodig
Mijn eerste reactie gaat met 16:41 mee, "moet dit nu echt?" Mijn tweede reactie, aannemende dat het echt moet, en zonder erg hard na te denken, is dit: Zou een "electronisch werkbriefje", gesigneerd door een "vertrouwde sleutel" iets zijn?
Dat kan zo simpel zijn als een bestandje op een USB-stick, maar als het klein genoeg is past het ook wel in een QR-code of zelfs de data-ruimte van een (NFC- of contact-)chipkaart. De signatuur maak je met de privésleutel waarvan de werkmachines de publieke sleutel kennen waarmee ze de "werkbriefjes" valideren.
Het hoe precies wordt vrij snel ingewikkeld alnaargelang je allerlei aannames doet. Bijvoorbeeld, hoe weet je nu of die machines allemaal de gelijke tijd beschikbaar hebben? Waarschijnlijk weet je dat niet. En als niet, dan kun je geen kloktijden in je werkbriefje gebruiken, maar bijvoorbeeld wel "tot zoveel uur na eerste gebruik", mits de interne klok het een beetje doet.
Je huiswerk voor deze oplossing is je inlezen in hoe publieke sleutel- aka asymmetrische encryptie werkt en wat je allemaal voor bijzonders met zulke sleutelparen kan. (Ik bedoel niet zozeer de wiskunde, al is die voor bv. RSA goed te doen voor een VWO 5 of 6 leerling, weet ik uit ervaring.) En, aangezien je om hulp moet vragen, raad ik je dringend aan een boek als "Security Engineering" van Ross Anderson te lezen -- eerdere edities zijn gewoon zo op het 'web te vinden dus als je werkgever te goedkoop is om je een boek cadeau te doen dan is dat nog steeds geen excuus het niet te lezen.
En zoals aan het begin, gebruik die stof om niet alleen maar lekker te gaan knutselen, maar denk vooral ook heel goed na over wat je precies wil bereiken en hoeveel dat mag kosten--en niet alleen in geld, maar ook in extra moeite en om onhandigheid heen moeten werken voor de gebruikers. Dichttimmeren is altijd leuk, zeker voor de beginnende beveiligingsenthousiast, maar wordt al snel heel erg vervelend voor de gebruikers. Dat is dus ook een serieus aandachtspunt. Je moet hier ook niet bang zijn een beetje vooruit te kijken over de gevolgen van wat je aan gaat richten.
Dat kan zo simpel zijn als een bestandje op een USB-stick, maar als het klein genoeg is past het ook wel in een QR-code of zelfs de data-ruimte van een (NFC- of contact-)chipkaart. De signatuur maak je met de privésleutel waarvan de werkmachines de publieke sleutel kennen waarmee ze de "werkbriefjes" valideren.
Het hoe precies wordt vrij snel ingewikkeld alnaargelang je allerlei aannames doet. Bijvoorbeeld, hoe weet je nu of die machines allemaal de gelijke tijd beschikbaar hebben? Waarschijnlijk weet je dat niet. En als niet, dan kun je geen kloktijden in je werkbriefje gebruiken, maar bijvoorbeeld wel "tot zoveel uur na eerste gebruik", mits de interne klok het een beetje doet.
Je huiswerk voor deze oplossing is je inlezen in hoe publieke sleutel- aka asymmetrische encryptie werkt en wat je allemaal voor bijzonders met zulke sleutelparen kan. (Ik bedoel niet zozeer de wiskunde, al is die voor bv. RSA goed te doen voor een VWO 5 of 6 leerling, weet ik uit ervaring.) En, aangezien je om hulp moet vragen, raad ik je dringend aan een boek als "Security Engineering" van Ross Anderson te lezen -- eerdere edities zijn gewoon zo op het 'web te vinden dus als je werkgever te goedkoop is om je een boek cadeau te doen dan is dat nog steeds geen excuus het niet te lezen.
En zoals aan het begin, gebruik die stof om niet alleen maar lekker te gaan knutselen, maar denk vooral ook heel goed na over wat je precies wil bereiken en hoeveel dat mag kosten--en niet alleen in geld, maar ook in extra moeite en om onhandigheid heen moeten werken voor de gebruikers. Dichttimmeren is altijd leuk, zeker voor de beginnende beveiligingsenthousiast, maar wordt al snel heel erg vervelend voor de gebruikers. Dat is dus ook een serieus aandachtspunt. Je moet hier ook niet bang zijn een beetje vooruit te kijken over de gevolgen van wat je aan gaat richten.
uitgaande van een windows omgeving:
Zoiets als een Yubikey of een Fingerprint naast het standaard userid/password.
Om data at-rest te versleutelen kun je Windows Bitlocker gebruiken eventueel met PINcode ingave direct na start van de machine en vóór het echt opstarten van het OS op de machine.
Maar belangrijker dan technische oplossingen, is het goed om de vraag aan jezelf te stellen waar tegen wil je het een en ander beveiligen?
Zoiets als een Yubikey of een Fingerprint naast het standaard userid/password.
Om data at-rest te versleutelen kun je Windows Bitlocker gebruiken eventueel met PINcode ingave direct na start van de machine en vóór het echt opstarten van het OS op de machine.
Maar belangrijker dan technische oplossingen, is het goed om de vraag aan jezelf te stellen waar tegen wil je het een en ander beveiligen?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
