Maximale Sicherheit gegenüber "Einbrechern"

[Thomebau]

Hi,
da ich demnächst ein X60 übrig habe und damit ein wenig herumspielen möchte würde ich die Kiste gerne so sicher machen wie möglich. Damit jemand dem das Gerät in die Finger kommt auf keinen Fall an die darauf befindlichen Daten ran kommt.

Meine Idee soweit (noch in sehr groben Zügen):
- Libreboot
- komplett verschlüsselte HDD
- BIOS Passwörter (jaja, ich weiß die kann man ohne größeren Aufwand umgehen)
- Linux als OS (welches?)
- Thor Browser fürs Internet

Jemand weitere Ideen?

 

[Koile]

Und bei Einbrechern hilft es immer, wenn man schön diplomatisch bleibt... :whistling:


Realistisch betrachtet: Die meisten "Einbrecher" sind keine Hacker/Computernerds sondern eher Leute, die schnell daraus wieder Geld machen wollen, d.h. wie schon gesagt wurde: Wenn die sensiblen Partitionen ausreichend verschlüsselt sind und du die BIOS-interne HDD-Verschlüsselung aktivierst, sollten deine Daten so weit safe sein.

 

[Schwartz]

Es reicht aus, die Home und Swap Partitionen zu verschlüsseln. An deine installierten Programme ranzukommen bringt dem Einbrecher erstmal gar nichts. Die Festplatte formatieren kann er sowieso. Software-Configs die in /etc oder sonstwo liegen, können dir egal sein; da geht es nur darum, dass der PC gescheit läuft. Alle sensiblen Daten wie Browserpasswörter, -History, Dokumente, User-Einstellungen der besagten Programme usw. liegen ausnahmslos auf Home. Somit hast du den Vorteil einer schnelleren Root-Partition und genießt trotzdem ein verschlüsseltes System. Alle weiteren Sicherheitsmaßnahmen gegen Einbrecher sind eigentlich unsinn. Du hast hier keinen Mehrwert an Sicherheit.

Bei einem älteren Gerät wie dem X60 wird AES-Encryption nicht von Hardwareseite unterstützt. Du wirst im Benchmark wahrscheinlich feststellen, dass du mit dem Serpent-XTS-256bit Algorithmus am besten fährst. War zumindest auf meinem X200 so.

Da auf dem Rechner wohl wichtige Daten drauf sein sollen (denn wieso sonst der ganze Einbrecherschutz) nehme ich mal an, es soll sich auch in Webseiten eingeloggt werden und ähnliches? Das würde ich mit Tor niemals machen. Einfach zuviel Risiko, dass deine Passwörter abgegriffen werden. Der Vorteil von Tor ist Anonymität, nicht Sicherheit per se. Hier wäre eine gescheite VPN und ein Browser mit Skriptblocker die bessere Wahl.

Ja, die Idee war ein 'Maximum' an Sicherheit und meine Argumente zielen eher in Richtung 'sinnvolle' Sicherheit. Aber am Ende willst du deinen Laptop ja auch für was benutzen, oder nicht?

 

[Helios]

Hallo Arminius

Danke dir für die Info.


Hinsichtlich des Zwiebelbrowsers (TOR). Früher gab es Sicherheitslücken en masse. Wie das mit der aktuellen Version aussieht, weiss ich nicht. Selbst vermeide ich TOR. Dem Ding traue ich absolut nicht. Und ins DarkNet muss ich jetzt auch nicht.


Übrigens: Ab Firefox 45.0 (Beta) wird ".onion" auf DNS-Ebene standardmässig blockiert.

Introduce a new preference (network.dns.blockDotOnion) to allow blocking .onion at the DNS level

Changelog FF 45.0 (Beta)

 

[fishmac]

Es reicht aus, die Home und Swap Partitionen zu verschlüsseln. An deine installierten Programme ranzukommen bringt dem Einbrecher erstmal gar nichts.

Hast Du /etc in swap oder /home verlagert?

 

[Bad TuX]

Ich werfe jetzt einfach mal noch die Möglichkeit eines USB Dongle ins Rennen. Interessiere mich selber grad sehr dafür. Hier im Forum findet man aber leider nur ein paar Kommentare über den Yubikey. Jemand Erfahrungen mit dem Nitrokey aus Deutschland?

https://www.nitrokey.com/de
https://www.yubico.com/

 

[fishmac]

Von der Funktionalität würde sich eher TPM anbieten. Klar, den USB-Stick ist leichter zu transportieren, aber speziell für T400/T500 ist diese Lösung eher suboptimal. Desweiteren gab es mal vor Jahren auf heise.de einen Bereicht über einen Stick, der als sicher dargestellt und wohl auch ein TÜV-Zertifikat hatte, aber dann wurde der Treiber geändert und das Teil war dann nicht mehr sicher.

 

[Arminius]

@ Thomebau
Wie hast du dich entschieden?
Wie hast du das X60 eingerichtet?

 

[Thomebau]

Noch garnicht, dafür fehlt mir im Moment noch die Zeit wegen Klausuren

 

[Gurow]

Ich werfe jetzt einfach mal noch die Möglichkeit eines USB Dongle ins Rennen. Interessiere mich selber grad sehr dafür. Hier im Forum findet man aber leider nur ein paar Kommentare über den Yubikey. Jemand Erfahrungen mit dem Nitrokey aus Deutschland?

https://www.nitrokey.com/de
https://www.yubico.com/

Mit dem Nitrokey nicht, da es den meines Wissens noch nicht so lange gibt, allerdings benutze ich Yubikeys seit mehreren Jahren und bin damit sehr zufrieden. Meine FDE entschlüssele ich mit einem Passwort auf einem Yubikey und auch andere wichtige Passwörter sind auf Yubikeys. Der Passwortsafe wird mit OTP über Yubikey geöffnet. Zudem sind die Passwörter auf dem Yubikey oft nur ein Bestandteil, d.h. ich gebe noch was aus dem Kopf mit ein. Macht die ganze Sache noch sicherer.

Full Disk Encryption und Passwortsafe machen den Rechner schon um einiges sicherer.

 

[independence]

Mit dem Nitrokey nicht, da es den meines Wissens noch nicht so lange gibt, allerdings benutze ich Yubikeys seit mehreren Jahren und bin damit sehr zufrieden. Meine FDE entschlüssele ich mit einem Passwort auf einem Yubikey und auch andere wichtige Passwörter sind auf Yubikeys. Der Passwortsafe wird mit OTP über Yubikey geöffnet. Zudem sind die Passwörter auf dem Yubikey oft nur ein Bestandteil, d.h. ich gebe noch was aus dem Kopf mit ein. Macht die ganze Sache noch sicherer.

Full Disk Encryption und Passwortsafe machen den Rechner schon um einiges sicherer.

Kannst du deine Nutzung von den Yubikeys etwas weiter ausführen?

Ich verstehe bei der Funktion OTP irgendwie nicht, wo der Mehrwert gegenüber der Nutzung einer Handyapp ist, die auch OTP bereitstellen kann (Google Authenticator zum Beispiel). Immerhin würde ich mir dadurch 50 Euro sparen für den Yubikey

 

[Gurow]

Kannst du deine Nutzung von den Yubikeys etwas weiter ausführen?

Ich verstehe bei der Funktion OTP irgendwie nicht, wo der Mehrwert gegenüber der Nutzung einer Handyapp ist, die auch OTP bereitstellen kann (Google Authenticator zum Beispiel). Immerhin würde ich mir dadurch 50 Euro sparen für den Yubikey

Gut möglich, dass man sich den Yubikey mittels Handyapp und somit die 40-50€ sparen kann (sofern man den neuesten nimmt, die älteren sind deutlich günstiger). Ich habe leider keinen Vergleich, da ich nicht so der große Freund von Smartphones bin. Kommt vielleicht noch. Den Yubikey4 kann man jetzt auch für gpg keys benutzen um Mails zu verschlüsseln/signieren. Meines Erachtens eine sehr gute Lösung, die Schlüssel nicht auf dem Rechner zu haben.



Ansonsten ist es auch eine Frage der Bequemlichkeit, wobei Yubikey Neo und Yubikey 4 schon eine ganze Menge können. Der Yubikey ist aus Sicherheitsgründen nicht mit neuer Firmware bespielbar, d.h. sobald neue Features eingeführt werden, alte vielleicht unsicher(er) werden, darf ich mir einen neuen kaufen. Nicht so schlecht für Yubico, denn eine Art Upgrade oder Austausch gibt es nicht.



Szenarien gibt es auf der Webseite genügend (z.B. https://www.yubico.com/applications/password-management/consumer/keepass/), wenngleich U2F nach meinem Gefühl erst langsam in die Gänge kommt.

Es muss halt jeder selbst entscheiden, ob er sowas braucht. Alternativen gibt es natürlich (z.B. deine Handyapp, Schlüsseldateien, USB-Sticks und andere Key-Produkte usw). Ich war damals allein schon aus Interesse bereit, das Geld für die Yubikeys auszugeben. Die Standard Version war auch nicht so teuer, da gab es 2 Stück für um die 40€ (glaube ich). Absichern kann ich die Daten auch ohne Yubikey, persönlich gelingt es mir mit den Keys eben besser/schneller. Viele Angriffsszenarien sind sehr theoretischer Natur, aber es arbeitet sich angenehmer in dem Gefühl, dass im Fall der Fälle, auf meine Daten nicht ohne Weiteres zugegriffen werden kann.

 

[Gurow]

Doppelpost

 

[milaidin]

Ich verstehe bei der Funktion OTP irgendwie nicht, wo der Mehrwert gegenüber der Nutzung einer Handyapp ist, die auch OTP bereitstellen kann (Google Authenticator zum Beispiel). Immerhin würde ich mir dadurch 50 Euro sparen für den Yubikey

Die Handyapp läuft halt auf einem Gerät, dass selber Sicherheitslücken mitbringt und einen ganzen Haufen zusätzlicher Software ausführt die ihrerseits wieder Lücken haben kann. Den Yubikey anzugreifen ist deshalb schwieriger.

 

[sheldor]

auch ohne libreboot brauchst du keine unencrypted boot partition mehr. grub2 kann mit verschlüsselten boot partitionen umgehen.

https://wiki.archlinux.org/index.ph...re_system#Encrypted_boot_partition_.28GRUB.29

allerdings, solltest du root und boot verschlüsselt haben und das selbe pw nutzen kann grub das pwd von der boot partition nicht an den kernel weiter parsen. musst also zweimal das pw eingeben. aber wenn du das system neu aufsetzt müssen root und boot ja nicht getrennt sein.

spannend bei coreboot ist, dass du grub2 direkt mit flashen kannst und somit grub auch nicht mehr auf der hdd/sdd haben musst.
https://github.com/bibanon/Coreboot-ThinkPads/wiki/Compiling-GRUB2-for-Coreboot

matthew garret hat da was gebrutzelt mit OTP und TPM gegen evil maid angriffe. der ansatz ist zu verifizieren, ob das system tampered ist bevor du dein hdd pw eingibst oder deinen yubikey o. ä. das pw eingeben lässt

https://mjg59.dreamwidth.org/35742.html
https://media.ccc.de/v/32c3-7343-beyond_anti_evil_maid

abgesehen davon hast du aber das problem, dass wenn physisch zugang erlangt wurde leute einfach einen usb stick an deinen rechner stecken können und die usb-firmware deines rechners manipulieren können. das erscheint zwar grad nicht sehr niedrigschwellig, aber wenn wir hier schon grad im paranoia modus sind
somit solltest du deinen rechner nie aus den augen lassen und immer mit dir herum tragen/wirklich gut verstecken/in nem (open hardware)safe zwischenlagern.

das größere einfallstor ist aber imho dass der rechner am netz hängt. wichtiger ist also die absicherung auf betriebssystem ebene. tails ist hier eine möglichkeit, aber vermutlich nur partiell praktikabel. Qubes Os hat da nen spannenden ansatz zum absichern, wird auf nem x200 oder x60 (libreboot) wohl nicht annehmbar funktionieren. dann am besten nen linux mit rolling releases und grsecurtity und pax -> gentoo hardened oder arch mit grsec patches und pax sowie nem schönen RBAC profil. ferner noch haupteinfallstore wie browser, pdf viewer etc mit ner seccomp sandbox eintüten (das geht relativ einfach bspw. mit firejail unter linux).

nachtrag: wenn es was schneller sein soll dann ist der x230 der letzte der mit coreboot funktioniert. hat zwar noch firmware blobs drin (deswegen core- und nicht libreboot) aber der prozessor hat noch keine intel managment engine und du kannst deinem prozessor/chipsatz noch etwas mehr vertrauen als das bei spätereren prozessorgenerationen der fall ist. mehr dazu gibts hier:

http://blog.invisiblethings.org/2015/10/27/x86_harmful.html
https://media.ccc.de/v/32c3-7352-towards_reasonably_trustworthy_x86_laptops

 

[cyrax]

Der Chip kann aber auch "schreibgeschützt" werden, so dass eine Änderung nur unter Verwendung eines externen Flashers möglich ist, somit müsste jemand erstmal genug Zeit und Ruhe haben das Ding aufzumachen tec.

Siehe hier: https://libreboot.org/faq/#writeprotect

 

[Helios]

An den TE. Wirf mal einen Blick auf Qubes OS. Könnte durchaus etwas für dich sein.

 

[ThinkX]

Das Ding aufzuschrauben dauert nur nicht sehr lange, das Flashen hingegen kann sich aber wohl eine Weile hinziehen. Einen Vorteil hat man theoretisch bei einem X200s, da liegt der BIOS-Chip nämlich auf der anderen Seite der Hauptplatine - der Angreifer muss nicht nur das Mainboard ausbauen sondern auch noch von Hand löten, da es hierfür wohl keine Clips gibt.

Aber zum Verständnis: Wie würde denn ein Angriff ablaufen, wenn man nur selbst-signierte Kernel booten lässt und die root-Partition vorher erst mittels Passphrase entschlüsseln muss? Selbst wenn der Angreifer das Libreboot-BIOS ersetzt (mittels Hardware-Flasher), so kann er zwar beliebige Kernel ohne Signaturprüfung booten, aber wie will er denn den bereits vorhandenen Kernel ersetzen, wenn er auf einer verschlüsselten Partition liegt? Er müsste sich eine Kopie der Platte anfertigen und das BIOS so modifizieren, dass es die Passphrase mitloggt und später irgendwie verschickt, um sie dann erst entschlüsseln zu können. Jedenfalls bemerkt man als Opfer diesen Einbruch dann sehr schnell, weil man plötzlich ein Gerät ohne seine ganzen Daten vorfindet...

Ist das wirklich so oder habe ich irgendwo einen Denkfehler gemacht?

 

[sheldor]

Aber zum Verständnis: Wie würde denn ein Angriff ablaufen, wenn man nur selbst-signierte Kernel booten lässt und die root-Partition vorher erst mittels Passphrase entschlüsseln muss? Selbst wenn der Angreifer das Libreboot-BIOS ersetzt (mittels Hardware-Flasher), so kann er zwar beliebige Kernel ohne Signaturprüfung booten, aber wie will er denn den bereits vorhandenen Kernel ersetzen, wenn er auf einer verschlüsselten Partition liegt? Er müsste sich eine Kopie der Platte anfertigen und das BIOS so modifizieren, dass es die Passphrase mitloggt und später irgendwie verschickt, um sie dann erst entschlüsseln zu können. Jedenfalls bemerkt man als Opfer diesen Einbruch dann sehr schnell, weil man plötzlich ein Gerät ohne seine ganzen Daten vorfindet...Ist das wirklich so oder habe ich irgendwo einen Denkfehler gemacht?

bios modifizieren reicht. kann über dieses dein system modifizieren, payload nachladen und daten nach hause funken. platte auswechseln ist nicht nötig.

- die firmware von HDDs/SSDs sind auch angreifbar ( bspw: http://hackaday.com/2015/06/08/hard-drive-rootkit-is-frighteningly-persistent/ und natürlich nicht zu vergessen die NSA ) und bei thinkpads schnell ausgebaut

- weiterhin könnte bspw. eine kleine pcmcia karte eingesetzt werden um per DMA dein HDD passwort aus dem RAM auszulesen (müsste dann wieder abgeholt werden, oder sie könnte das erbeutete passwort in die welt funken)

- deine tastatur ersetzen/modifizieren mit einem key logger- in einer etwaig vorhandenen docking station ist massig platz für krims-krams

- wenn dein rechner nur im suspend mode ist: cold boot attack

- und dann gitb es noch unzählige andere seitenkanalangriffe die möglich sind: https://de.wikipedia.org/wiki/Seitenkanalattackeletztlich

 

[sheldor]

als etwas schlankere alternative zu "qubes os" bietet sich "subgraph os" an ( https://subgraph.com/sgos/index.en.html ). just noch in der alpha phase, aber es erscheint mir sehr interessant, vor allem mit "Oz" zum sandboxen ( https://github.com/subgraph/oz ), da es scheinbar auch den input den programme unter X lesen können separiert (zum problem siehe: http://blog.invisiblethings.org/2011/04/23/linux-security-circus-on-gui-isolation.html ).

ein review der alpha gitb es bei golem ( http://www.golem.de/news/sicheres-l...e-alphaversion-hat-potenzial-1603-119767.html )

 

[ThinkX]

Danke für die Hinweise, mir ging es hier primär um den BIOS-Angriff (die anderen kenne ich auch):

bios modifizieren reicht. kann über dieses dein system modifizieren, payload nachladen und daten nach hause funken. platte auswechseln ist nicht nötig.

Wenn man den Schreibschutz aktiviert dürfte das aber nicht so leicht sein, da man dann ohne HW-Flasher nichts machen kann und die bekanntermaßen ziemlich langsam beim Schreiben sind. Und beispielsweise bei einem X200s ist es sehr schwierig überhaupt an den BIOS-Chip zu kommen, zumal man dann auch noch löten darf...

Man könnte auch etwas tun, um solche Angriffe schneller zu bemerken - etwa ein spezielles Hintergrundbild im Payload einbauen. Der Angreifer müsste dann erst dieses Bild auslesen, ein eigenes BIOS mit diesem Bild übersetzen und müsste erst dieses dann flashen.