Maximale Sicherheit gegenüber "Einbrechern"

Thomebau

Active member
Themenstarter
Registriert
1 Apr. 2010
Beiträge
10.879
Hi,
da ich demnächst ein X60 übrig habe und damit ein wenig herumspielen möchte würde ich die Kiste gerne so sicher machen wie möglich. Damit jemand dem das Gerät in die Finger kommt auf keinen Fall an die darauf befindlichen Daten ran kommt.

Meine Idee soweit (noch in sehr groben Zügen):
- Libreboot
- komplett verschlüsselte HDD
- BIOS Passwörter (jaja, ich weiß die kann man ohne größeren Aufwand umgehen)
- Linux als OS (welches?)
- Thor Browser fürs Internet

Jemand weitere Ideen?
 
Mich würde viel mehr interessieren wer ein x6x klaut. Also die Chancen stehen nicht besonders hoch. Heutzutage wird nur das Gerät mit Apfellogo geklaut.
 
Es geht in diesem Thread um die Sicherheit der Daten, das Gerät selbst ist natürlich mehr oder minder wertlos.
 
Ja klingt aber so als würde der TE ein sozial Experiment damit vor haben. Und dafür könnte das gewählte Gerät Fehlanzeige sein. Das ist nämlich der beste Schutz an Thinkpads. Sie sind einfach zu unauffällig. Für die Datensicherheit wäre ich auch für Platte raus und nur über optisches Medium oder USB Linux verschlüsselt.
 
Ich habe ihn jetzt nicht so verstanden, dass er ein soziales Experiment vor hätte. Und natürlich werden auch Thinkpads gestohlen, denn sie mögen zwar unauffällig sein, aber Diebe wissen natürlich, dass die Geräte meist teuer sind. Und da sich auch manch ältere Thinkpads nicht auf den ersten Blick von neueren Geräten unterscheiden, werden natürlich auch die gestohlen - wie du im entsprechenden Thread dieses Forums auch leicht nachlesen kannst.

Mit Platte raus und nur optisches Medium/verschlüsseltes Linux erschlägst du nur einen Teil des Problems bei gleichzeitig relativ hohen Einbußen an Komfort. Und gerade beim X60 müsstest du dann natürlich immer mit der Ultrabase oder einem externen Laufwerk rumlaufen, da es sonst kein optisches Laufwerk besitzt.
 
Eine Anmerkung zu deinem Nachtrag, sheldor.

nachtrag: wenn es was schneller sein soll dann ist der x230 der letzte der mit coreboot funktioniert. hat zwar noch firmware blobs drin (deswegen core- und nicht libreboot) aber der prozessor hat noch keine intel managment engine und du kannst deinem prozessor/chipsatz noch etwas mehr vertrauen als das bei spätereren prozessorgenerationen der fall ist. mehr dazu gibts hier:

http://blog.invisiblethings.org/2015...6_harmful.html
https://media.ccc.de/v/32c3-7352-tow...hy_x86_laptops

Ich habe in das Paper der Dame reingelesen und verstehe es eher so, dass man keine halbwegs aktuellen Prozessoren ohne IME bekommt (AMT oder vPro durchaus). Das würde sich mit der Aussage auf der libreboot homepage decken, über die ich auf der suche nach relativ performanter aktueller Hardware mit libreboot gestolpert bin. Diese Intel Subsysteme scheinen wohl seit der ersten i-Prozessor Generation so tief implementiert zu sein, dass man sie nichtmehr deaktiviert bekommt.
 
Sehe ich genauso, ab der Core-i-Generation scheint alles zwangsläufig IME zu haben, aber das ist in diesem Thread eigentlich OT, da der TE ja von einem X60 ausgeht. :)
 
Naja, man sollte es dennoch nicht so stehen lassen, wenn es unzutreffend ist.

Eine Frage an den TE:
Muss die Einbruchsicherung zerstörungsfrei sein, oder heiligt ein Verhindern eines Datenleaks potentielle Zerstörung? :)

Ein weiterer Vorschlag wäre Tarnung: Ordentlich viele ranzige Sticker über das ganze Ding gepflastert (insbesondere das Logo) ABER genug schwarzes Plastik freilassen, damit man es nicht für ein Gerät mit Apfel hält. Tarnung wäre natürlich eher eine ergänzende Maßnahme.
 
Mit Platte raus und nur optisches Medium/verschlüsseltes Linux erschlägst du nur einen Teil des Problems bei gleichzeitig relativ hohen Einbußen an Komfort.

Ist das denn nicht schon ein größerer Vorteil? Das normale Restrisiko im Leben hast du ja immer?
 
Naja...welchen Vorteil gegenüber Platte drinlassen aber verschlüsseln + HDD Passwort setzen soll das bringen?
 
Kein Raum in dem sich Trojaner zumindest langfristig einnisten können.
Daten kann man auch extern lagern wenn nötig, vorallem offline
 
Und wie soll sich ein Trojaner auf einer passwortgeschützten und vollverschlüsselten Platte einnisten? Mal abgesehen von der Firmware vielleicht, auf die ein Angriff nicht ganz ohne ist?
 
Und wie soll sich ein Trojaner auf einer passwortgeschützten und vollverschlüsselten Platte einnisten?
In dem Moment, in dem du mit dem Rechner arbeitest, sind Daten unverschlüsselt. Denn wie sollte ein verschlüsseltes System funktionieren? Das Verschlüsseln hilft nur vor dem unautorisierten Auslesen (Benutzer abgemeldet oder Rechner ausgeschaltet), z.B. nach Ausbau der Platte und Einhängen am Analysesystem. Es schützt nicht davor, dass der Benutzer z.B. die Datei ichbineintrojaner.exe (oder .bin) ausführt. Wenn du mit Word oder LibreOffice ein Dokument bearbeiten willst, so müssen die Programmressourcen wie auch das Dokument unverschlüsselt sein.

Gegen einen solchen Zugriff helfen nur schreibgeschützte System, die z.B. von CD/DVD laufen. Dein Dokument muss dann natürlich auf USB oder sonst einem schreibbaren Speicher gesichert werden, dabei ist es nicht unmöglich, dass sich da Schadsoftware einnistet, die du dir zuvor z.B. über den Browser in die RAM-Disk geladen hast. Genau genommen schützt das optische Laufwerk ebenfalls nicht vor einer Infektion - diese ist dann aber nach einem Neustart wieder "geheilt" (wiederum gibt es auch davon Ausnahmen - BIOS-Schädlinge z.B. ).

Es gibt kein sicheres System. Es gibt nur mehr oder weniger unsichere Systeme.
 
Es geht hier aber um Einbruch auf einen ausgeschalteten Rechner. Dass eine Verschlüsselung nicht vor Trojanern im eingeschalteten Zustand schützt ist hier glaub ich allen klar.

Die Fragen lauten nach wie vor:

Warum es sicherer sein soll die Platte rauszunehmen? Wie soll ein "normaler" Angreifer auf der verschlüsselten und zusätzlich Passwort-geschützten Platte etwas ändern?

(HDD-Firmware-Angriffe ausgenommen, da die technischen Details dazu bislang afaik noch nicht publiziert wurden)
 
  • ok1.de
  • thinkstore24.de
  • ok2.de - Notebook Computer Server
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben