Einführung Laptop-Hardware Ubuntu einrichten Einen sicheren Laptop mit Ubuntu einrichten Stefan Schumacher sicherheitsforschung-magdeburg.de [email protected]30.04.2016 Stefan Schumacher sicherheitsforschung-magdeburg.de Einen sicheren Laptop mit Ubuntu einrichten
45
Embed
Stefan SchumacherEinführungLaptop-HardwareUbuntu einrichten Einen sicheren Laptop mit Ubuntu einrichten Stefan Schumacher sicherheitsforschung-magdeburg.de stefan.schumacher@sicherheitsforschung
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Geek, Nerd, Hacker seit knapp 20 JahrenBerater für Finanzinstitute, Regierungen,SicherheitsbehördenDirektor des Magdeburger Instituts fürSicherheitsforschungForschungsprogramme zur UnternehmenssicherheitHerausgeber des Magdeburger Journals zurSicherheitsforschungwww.Sicherheitsforschung-Magdeburg.de
Stefan Schumacher sicherheitsforschung-magdeburg.de
Sicher unterwegs im InternetAnonymität und Überwachung im InternetSecurity Awareness Kampagnen konzipierenNetzwerke absichern/Penetration TestingDie psychologischen Grundlagen des Social EngineeringsDer digitale Untergrund: zur aktuellen Bedrohungslage imInternetKryptographie - Konzepte, Methoden und AnwendungenStrategien im WirtschaftskriegSelbstschutz in Krisengebieten
Stefan Schumacher sicherheitsforschung-magdeburg.de
Stefan Schumacher and René Pfeiffer (editors)In Depth Security – Proceedings of the DeepSecConference360 PagesMagdeburger Institut für Sicherheitsforschung978-3981770001http://www.amazon.de/Depth-Security-Stefan-Schumacher/dp/3981770005/ref=sr_1_1?ie=UTF8&qid=1448888706
Stefan Schumacher sicherheitsforschung-magdeburg.de
Schadsoftware greift Rechner anmobile Rechner gehen verloren oder werden gestohlenManipulationen einfach möglich bei physischer KontrolleDaten abschöpfen im HotelTrojaner aufspielen bei »Zollkontrolle«sensible Daten schützen
Stefan Schumacher sicherheitsforschung-magdeburg.de
Ubuntu recht einfach nutzbarunterstützt von Canonicalviele Anwendungen verfügbar2 Releases pro Jahr (.04 und .10)LTS mit 5 Jahren Laufzeit (16.04., 14.04, 12.04)Alternate Install/Server existiert
Stefan Schumacher sicherheitsforschung-magdeburg.de
SSD: Samsung 850 Pro 1TB ab 360 EuroSSD: Samsung 850 Evo 1TB ab 260 EuroSSHD: Seagate ST1000LM015 1TB ab 85 EuroHardwareverschlüsselung in AESimmer aktiviertFestplattenpasswort im BIOS setzencf: OPAL TCG
Stefan Schumacher sicherheitsforschung-magdeburg.de
Ubuntu Server 16.04 LTSMinimal-InstallationAnwendungen per Internet nachinstallierenInstallation per CD/DVD oder USB-Sticknur Ubuntu auf Platte sehr einfachDualboot komplexer, nicht empfohlen
Stefan Schumacher sicherheitsforschung-magdeburg.de
Verschlüsselung der gesamten Festplatte (LVM LUKS)Verschlüsselung von user durch ecryptfsVerschlüsselung beliebiger Verzeichnisse durch encfsVerschlüsselung einzelner Dateien durch mcrypt,OpenSSL oder GnuPGsicheres Passwort!min. 12 Zeichen, Groß/Kleinbuchstaben, Ziffern,Sonderzeichen, keine Wörter aus dem Wörterbuch
Stefan Schumacher sicherheitsforschung-magdeburg.de
Verschlüsselung der gesamten Festplatte (LVM LUKS)Verschlüsselung von user durch ecryptfsVerschlüsselung beliebiger Verzeichnisse durch encfsVerschlüsselung einzelner Dateien durch mcrypt,OpenSSL oder GnuPGsicheres Passwort!min. 12 Zeichen, Groß/Kleinbuchstaben, Ziffern,Sonderzeichen, keine Wörter aus dem Wörterbuch
Stefan Schumacher sicherheitsforschung-magdeburg.de
Partitionierung: /boot (1GB), Swap (RAM), / (Rest)3 Partitionen/boot unverschlüsselt, beinhaltet Startsystem/ wird per LVM und dm-crypt verschlüsseltSwap ist Auslagerungsspeicher, wird verschlüsselt mitZufallspasswort
Stefan Schumacher sicherheitsforschung-magdeburg.de
eCryptFS: verschlüsselt das Benutzerverzeichnis(/home/stefan/)verschlüsselt im Dateisystem, Passwort automatisch ausUser-Passwort abgeleitetwird automatisch bei der Installation mit eingerichtetNutzung transparentschützt aber nur Nutzerdateien, nicht Systemdateien
Stefan Schumacher sicherheitsforschung-magdeburg.de
encfs: verschlüsselt ein beliebiges Verzeichnisverschlüsselt im Dateisystem, Passwort muss übergebenwerdenmuss nachinstalliert werden (apt-get -y install encfs)kann beliebig ineinander gestapelt werden
Stefan Schumacher sicherheitsforschung-magdeburg.de
starten von CD/DVD oder USB-Stickfassen Festplatte nicht ankönnen ständig mitgeführt werdenTAILS: https://tails.boum.org/download/index.de.htmlc’t Surfix: http://www.heise.de/ct/projekte/c-t-Surfix-Sicher-im-Web-1380126.html
Stefan Schumacher sicherheitsforschung-magdeburg.de
mcrypt, GnuPG, OpenSSLGnuPG hat standardisiertes Formatportabel und austauschbar: Linux, *BSD, OS X, WindowsOpenSSL recht weit verbreitetDateien in tar-Ball packen, verschlüsseln und im InternetablegenNach der Einreise auf Laptop ziehenvor Ausreise wieder löschen
Stefan Schumacher sicherheitsforschung-magdeburg.de
chkrootkit: Scannt nach Anzeichen von Rootkitsclamav: freier Virenscannerregelmäßige Scans sinnvoll, aber von Live-CD/Stickkönnen nicht alle Schadsoftware erkennec’t Desinfec’t
Stefan Schumacher sicherheitsforschung-magdeburg.de
so wenig wie möglich installierenregelmäßig updates einspielen - sofortLibreOffice als Ersatz für MS Officenach Möglichkeit vermeidenDesktop Environments (KDE, Gnome, LXDE etc.) meiden
Stefan Schumacher sicherheitsforschung-magdeburg.de
Virtual Private Network - verschlüsselt Verbindungzwischen Laptop und ServerServer zu Hause oder im UnternehmensnetzLaptop kann auf Unternehmensserver etc. zugreifenServer einfach einrichten z.B. Raspberry PI mit Raspbian,PC mit Ubuntu oder Hardwarelösung (Fritzbox, ASUS)Miet-Lösungensichert Verbindungen ins Internet abumgeht Zensurmaßnahmen im Interneteventuell verboten und geblocktUpdates möglichst bei VPN-Verbindung einspielen
Stefan Schumacher sicherheitsforschung-magdeburg.de
zentrales Einfallstor für SchadsoftwareChromium derzeit am sichersten, AddBlocker installieren(µBlock)Midori ist klein und schnellauf Flash, Java und Javascript möglichst verzichtenggf. mehrere Browser einsetzen
Stefan Schumacher sicherheitsforschung-magdeburg.de
OwnCloud: eigenen Cloud-Server aufsetzenkann z.B. Google auf Android ersetzen, iOS App verfügbarKalender, Aufgaben, Adressbuch, Dokumentenverwaltungetc.Keine Auslieferung der Daten an Google, Apple, Dropboxund Co.Betrieb mittels VPN zusätzlich absichern
Stefan Schumacher sicherheitsforschung-magdeburg.de
Kernelmodul, steuert Zugriffsrechte der Prozesseautomatisch installiertProfile für bekannte Programme existieren und werdenautomatisch eingerichteteigene Progile können erstellt werdensichert insbesondere komplexe Programme (Thunderbird,Evolution)
Stefan Schumacher sicherheitsforschung-magdeburg.de
OATH-HOTP im Yubikey Personalization Tool einrichten,Secret Key generierenKeePass installieren und einrichten, Plugin OtpKeyProvinstallieren, Secret Key hinterlegensicheres Passwort für Keepass vergebenZufallspasswort (256HEX Bit) generieren und bei Web.deeintragen09137f0ac6627f9e94e2af2342d2610bf20ff0ee929114d27b3629e3823e11ea
KeePass mit dem Webbrowser via Plugin verbindenKeePass-Datenbank mit Passwort und Tokenentschlüsseln, Browser holt User/Passwort für Web.de viaPlugin aus DB.
Stefan Schumacher sicherheitsforschung-magdeburg.de