[HaBo]

Blackbird++ · 12.05.11, 19:43

Hallo,

ich habe mir vorgenommen meinen Laptop möglichst sicher zu machen, als kleines Freizeitprojekt. Sicher gegen sowohl feindliche Übernahme als auch gegen Datenzugriff.
Softwareseitig fühle ich mich mit OpenBSD schon relativ sicher.

Was mir im Moment am meisten Kopfzerbrechen bereitet ist folgendes Szenario (Anmerkung: Da ich das ja nur zum Spaß mache, ziehe ich auch die unrealistischsten Szenarien in Betracht ):
In meiner Abwesenheit macht sich jemand mit höchsten technischen Möglichkeiten an meinem Laptop zu schaffen. Gegen Manipulation der Sicherheitsmechanismen kann ich mich ja mit "full disk encryption" ganz gut schützen. Aber wie sieht das mit Hardware-Keyloggern aus?
1. Derjenige baut einen Notebook-HW-KL in meine Tastatur ein.
2. Derjenige baut mein (passwortgeschütztes) BIOS aus, wendet einen Firmware-Patch an und baut es wieder ein.
Wie kann ich mich dagegen am besten schützen?

Das Problem bei einem zufälligen dynamischen PW ist ja, dass ich mir das kaum merken kann. Gibts noch andere Möglichkeiten?

Und natürlich, seht ihr noch andere Schwachstellen, die ich noch gar nicht auf dem Zettel habe?

Mfg Blackbird++

xrayn · 12.05.11, 20:16

Sich gegen offline-Attacken zu währen ist generell schwierig und dies mit Software zu erreichen, eigentlich unmöglich. Was du machen kannst, ist dein Rechner mit Siegeln zu versehen und diese jedes mal zu überprüfen, wenn du deinen Laptop alleine gelassen hast. Weiter solltest du dein Laptop nie im angeschalteten oder Standby Zustand alleine lassen. Um sicher zu gehen, dass niemand den RAM ausliest, am Besten immer nach dem herunterfahren vom Strom trennen und 2-3 Minuten warten. Achja und vor allem auf vor dem Start auf externe Devices untersuchen.

Anzeige

- Anzeige -

**bitmuncher** · 12.05.11, 20:21

Zitat:

Zitat von Blackbird++

1. Derjenige baut einen Notebook-HW-KL in meine Tastatur ein.

Baue vor jeder Benutzung dein Notebook auseinander und schau nach ob irgendwas verändert wurde.

Zitat:

Zitat von Blackbird++

2. Derjenige baut mein (passwortgeschütztes) BIOS aus, wendet einen Firmware-Patch an und baut es wieder ein.
Wie kann ich mich dagegen am besten schützen?

Lasse dein System jedes Mal die Checksumme eines aktuellen BIOS-Dumps mit einer unter sicheren Umständen gespeicherten Checksumme vergleichen.

Zitat:

Zitat von Blackbird++

Das Problem bei einem zufälligen dynamischen PW ist ja, dass ich mir das kaum merken kann. Gibts noch andere Möglichkeiten?

Setze dir irgendwo einen eigenen Kerberos-Server oder ein System für One-Time-Passwords auf.

end4win · 12.05.11, 20:26

Quecksilberschalter und C4 ist die harte Variante,
ein Haar auf der Tischplatte fixieren und das andere Ende durch den Spalt
zwischen Laptop und Display, für Weicheier.

Vergiss nicht dir ein EPM-Gerät anzuschaffen die heutigen Kameras und Wanzen
sind kaum noch zu finden.

Gruss

Blackbird++ · 12.05.11, 20:43

@ xrayn: Um einen HW-Keylogger beim Laptop zu installieren, muss man ihn doch aufschrauben oder? geht das von "oben"? Ansonsten, weist du wo man geeignete Siegel herbekommt?
Wachs ist ja wohl nicht richtig sinnvoll. Es soll ja auch fälschungssicher sein.

Zitat:

Zitat von bitmuncher

Lasse dein System jedes Mal die Checksumme eines aktuellen BIOS-Dumps mit einer unter sicheren Umständen gespeicherten Checksumme vergleichen.

Gute Idee!

Zitat:

Zitat von bitmuncher

Setze dir irgendwo einen eigenen Kerberos-Server oder ein System für One-Time-Passwords auf.

Ich will das ganze aber auch offline benutzen können.

Zitat:

Zitat von end4win

Quecksilberschalter und C4 ist die harte Variante

lol.

jemo. · 12.05.11, 20:59

Zu den OTP: da wäre vielleicht ein Yubikey was für dich. Der funktioniert afaik sowohl mit Linux und BSDs, als auch mit Windows und sogar per ssh.

Sven · 12.05.11, 21:03

Es gibt solchen Schrauben Sicherungslack, auch Siegellack genannt:
Sicherungslack rot Spritze 10ml - Herst.-Teile-Nr.: BLR10SL bei Mercateo günstig kaufen

Davon etwas auf jede Schraube, wenn jemand versucht sie zu öffnen splittert dieser Lack und du hast den Nachweis, dass wer drann war.
Musst du natürlich kontrollieren

xrayn · 12.05.11, 21:08

Zitat:

Zitat von bitmuncher

Lasse dein System jedes Mal die Checksumme eines aktuellen BIOS-Dumps mit einer unter sicheren Umständen gespeicherten Checksumme vergleichen.

So etwas gibt es schon lange und ist in vielen Laptops schon eingebaut: TPM (static root of trust /srtm) und TXT/trusted Boot (zb tboot) sind Stichwörter.

killgenerals · 12.05.11, 21:48

Man könnte noch nen USB-Stick mit dynamischem Passwort als Schlüssel nutzen. Zusätzlich softwareseitig ein Passwort und für die ganz paranoiden: vernünftig eingebauter Fingerabdruckscanner und Gesichtserkennung mit der Webcam. Wenn ein einziger Faktor nicht stimmt: kein Zugriff.

Oh und ein Szenario hast du glaube ich übersehen: jemand installiert eine virtuelle Maschine auf deinem Rechner und lässt sie exakt deine normale Hardware virtuell verwenden, sodass du nichts merkst. Diese Maschine kann dann alles abgreifen was du eintippst und jede Form von Verschlüsselung effektiv verhindern indem sie die nur simuliert. Merken tust du nur was, weil dein vorher verschlüsselte Festplatte plötzlich formatiert ist

Vielleicht gibt es auch Wächterkarten für den PCMCIA-Slot ... Dann kann man auch nichts im Bios machen, und kommt nicht an die Festplatte(n) dran. Auch ein Ausbau der Karte hilft nichts, weil sie dann den PC komplett blockiert

Wäre jetzt der einzige Schutz der mir gegen eine virtuelle Maschine schützt. Aber hey ... mittlerweile bewegen wir uns auf einem so hohen Paranoia Level, dass jemand, der den ganzen Aufwand treibt, es vermutlich leichter hätte dich samt Laptop zu entführen und dich zu zwingen die Daten rauszurücken

Blackbird++ · 13.05.11, 07:31

Ich denke das wichtigste ist erstmal die Versiegelung.
1. Siegellack oder Aufklebe-Siegel?
2. Wie fälschungssicher? Derjenige könnte ja zufällig auch roten Siegellack mithaben.

Oder er spioniert vorher erstmal und bestellt ein gleiches Aufklebe-Siegel.
3. Zum Aufklebe-Siegel: Wie funktioniert das auf Notebook-Plastik? Kann es von alleine abgehen, oder gehen die Restbestände nie mehr ab? <-- Erfahrungsbericht??

xrayn · 13.05.11, 10:14

Wie kommst du eigentlich zu der Annahme, dass CPU oder andere Hardwarekomponenten nicht mit einer Backdoor ausgeliefert wurden?

Was deine restlichen Sorgen angeht, wenn jemand wirklich einen solchen Aufwand betreibt und dich Wochenlang ausspioniert, wird es eher so laufen:

end4win · 13.05.11, 12:41

Also bei dem von dir entworfenen Szenario wirst du mit handelsüblichen Techniken
scheitern. Bei solcher Paranoia würde ich einfach das Gehäuse grosszügig mit Sekundenkleber
sichern, so dass ein Öffnen ohne sichtbare Beschädigung nicht mehr möglich ist.
Allerdings würde ich mir in diesem Fall, wesentlich mehr Gedanken über den Schutz
meiner Wohnung/Zimmers machen, zumal jede getroffene Massnahme hier auch den Laptop schützt.

Gruss

enkore · 15.05.11, 16:01

Schon überlegt, einfach das Mobo vom Laptop mit Epoxidharz zu "versiegeln"?

Inliferty · 15.05.11, 17:15

Don't forget the good old Van-Eck-Phreaking

Van-Eck-Phreaking

enkore · 16.05.11, 14:39

Kunststoffgehäuse von innen mit EMV-Schirmlack beschichten, Sache gegessen.

Anzeige

- Anzeige -

12.05.11, 19:43	#1 (permalink)
Blackbird++ Stammuser Registriert seit: 25.02.10 Likes: 6	Laptop lokal absichern - Hardwarekeylogger & Co. Anzeige Hallo, ich habe mir vorgenommen meinen Laptop möglichst sicher zu machen, als kleines Freizeitprojekt. Sicher gegen sowohl feindliche Übernahme als auch gegen Datenzugriff. Softwareseitig fühle ich mich mit OpenBSD schon relativ sicher. Was mir im Moment am meisten Kopfzerbrechen bereitet ist folgendes Szenario (Anmerkung: Da ich das ja nur zum Spaß mache, ziehe ich auch die unrealistischsten Szenarien in Betracht ): In meiner Abwesenheit macht sich jemand mit höchsten technischen Möglichkeiten an meinem Laptop zu schaffen. Gegen Manipulation der Sicherheitsmechanismen kann ich mich ja mit "full disk encryption" ganz gut schützen. Aber wie sieht das mit Hardware-Keyloggern aus? 1. Derjenige baut einen Notebook-HW-KL in meine Tastatur ein. 2. Derjenige baut mein (passwortgeschütztes) BIOS aus, wendet einen Firmware-Patch an und baut es wieder ein. Wie kann ich mich dagegen am besten schützen? Das Problem bei einem zufälligen dynamischen PW ist ja, dass ich mir das kaum merken kann. Gibts noch andere Möglichkeiten? Und natürlich, seht ihr noch andere Schwachstellen, die ich noch gar nicht auf dem Zettel habe? Mfg Blackbird++ Geändert von Blackbird++ (12.05.11 um 19:46 Uhr)

12.05.11, 20:16	#2 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Sich gegen offline-Attacken zu währen ist generell schwierig und dies mit Software zu erreichen, eigentlich unmöglich. Was du machen kannst, ist dein Rechner mit Siegeln zu versehen und diese jedes mal zu überprüfen, wenn du deinen Laptop alleine gelassen hast. Weiter solltest du dein Laptop nie im angeschalteten oder Standby Zustand alleine lassen. Um sicher zu gehen, dass niemand den RAM ausliest, am Besten immer nach dem herunterfahren vom Strom trennen und 2-3 Minuten warten. Achja und vor allem auf vor dem Start auf externe Devices untersuchen. Tarantoga likes this.

12.05.11, 20:26	#4 (permalink)
end4win Member of Honour Registriert seit: 07.12.04 Likes: 256	Quecksilberschalter und C4 ist die harte Variante, ein Haar auf der Tischplatte fixieren und das andere Ende durch den Spalt zwischen Laptop und Display, für Weicheier. Vergiss nicht dir ein EPM-Gerät anzuschaffen die heutigen Kameras und Wanzen sind kaum noch zu finden. Gruss Sven, killgenerals and Tarantoga like this. __________________ Die deutsche Rechtschreibung ist Freeware, daher darf man sie kostenlos nutzen. Allerdings ist sie nicht Open Source, dies bedeutet man darf sie nicht verändern oder in veränderter Form veröffentlichen.

12.05.11, 21:03	#7 (permalink)
Sven Member of Honour Registriert seit: 14.09.03 Likes: 34	Es gibt solchen Schrauben Sicherungslack, auch Siegellack genannt: Sicherungslack rot Spritze 10ml - Herst.-Teile-Nr.: BLR10SL bei Mercateo günstig kaufen Davon etwas auf jede Schraube, wenn jemand versucht sie zu öffnen splittert dieser Lack und du hast den Nachweis, dass wer drann war. Musst du natürlich kontrollieren __________________ Mein Portfolio Meine Fotogalerie best view with open eyes

13.05.11, 10:14	#11 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Wie kommst du eigentlich zu der Annahme, dass CPU oder andere Hardwarekomponenten nicht mit einer Backdoor ausgeliefert wurden? Was deine restlichen Sorgen angeht, wenn jemand wirklich einen solchen Aufwand betreibt und dich Wochenlang ausspioniert, wird es eher so laufen: Sven and end4win like this.

12.05.11, 20:59	#6 (permalink)
jemo. Registriert seit: 22.04.08 Likes: 15	Zu den OTP: da wäre vielleicht ein Yubikey was für dich. Der funktioniert afaik sowohl mit Linux und BSDs, als auch mit Windows und sogar per ssh.

12.05.11, 21:48	#9 (permalink)
killgenerals Registriert seit: 15.10.05 Likes: 29	Man könnte noch nen USB-Stick mit dynamischem Passwort als Schlüssel nutzen. Zusätzlich softwareseitig ein Passwort und für die ganz paranoiden: vernünftig eingebauter Fingerabdruckscanner und Gesichtserkennung mit der Webcam. Wenn ein einziger Faktor nicht stimmt: kein Zugriff. Oh und ein Szenario hast du glaube ich übersehen: jemand installiert eine virtuelle Maschine auf deinem Rechner und lässt sie exakt deine normale Hardware virtuell verwenden, sodass du nichts merkst. Diese Maschine kann dann alles abgreifen was du eintippst und jede Form von Verschlüsselung effektiv verhindern indem sie die nur simuliert. Merken tust du nur was, weil dein vorher verschlüsselte Festplatte plötzlich formatiert ist Vielleicht gibt es auch Wächterkarten für den PCMCIA-Slot ... Dann kann man auch nichts im Bios machen, und kommt nicht an die Festplatte(n) dran. Auch ein Ausbau der Karte hilft nichts, weil sie dann den PC komplett blockiert Wäre jetzt der einzige Schutz der mir gegen eine virtuelle Maschine schützt. Aber hey ... mittlerweile bewegen wir uns auf einem so hohen Paranoia Level, dass jemand, der den ganzen Aufwand treibt, es vermutlich leichter hätte dich samt Laptop zu entführen und dich zu zwingen die Daten rauszurücken

13.05.11, 07:31	#10 (permalink)
Blackbird++ Stammuser Themenstarter Registriert seit: 25.02.10 Likes: 6	Ich denke das wichtigste ist erstmal die Versiegelung. 1. Siegellack oder Aufklebe-Siegel? 2. Wie fälschungssicher? Derjenige könnte ja zufällig auch roten Siegellack mithaben. Oder er spioniert vorher erstmal und bestellt ein gleiches Aufklebe-Siegel. 3. Zum Aufklebe-Siegel: Wie funktioniert das auf Notebook-Plastik? Kann es von alleine abgehen, oder gehen die Restbestände nie mehr ab? <-- Erfahrungsbericht??

13.05.11, 12:41	#12 (permalink)
end4win Member of Honour Registriert seit: 07.12.04 Likes: 256	Also bei dem von dir entworfenen Szenario wirst du mit handelsüblichen Techniken scheitern. Bei solcher Paranoia würde ich einfach das Gehäuse grosszügig mit Sekundenkleber sichern, so dass ein Öffnen ohne sichtbare Beschädigung nicht mehr möglich ist. Allerdings würde ich mir in diesem Fall, wesentlich mehr Gedanken über den Schutz meiner Wohnung/Zimmers machen, zumal jede getroffene Massnahme hier auch den Laptop schützt. Gruss __________________ Die deutsche Rechtschreibung ist Freeware, daher darf man sie kostenlos nutzen. Allerdings ist sie nicht Open Source, dies bedeutet man darf sie nicht verändern oder in veränderter Form veröffentlichen.

15.05.11, 16:01	#13 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 85	Schon überlegt, einfach das Mobo vom Laptop mit Epoxidharz zu "versiegeln"? __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

15.05.11, 17:15	#14 (permalink)
Inliferty Registriert seit: 05.10.05 Likes: 5	Don't forget the good old Van-Eck-Phreaking Van-Eck-Phreaking -=Draven=- and Blackbird++ like this.

16.05.11, 14:39	#15 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 85	Kunststoffgehäuse von innen mit EMV-Schirmlack beschichten, Sache gegessen. __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

[HaBo]

Laptop lokal absichern - Hardwarekeylogger & Co.