Moin :)

Ich muss voraussichtlich Richtung Ende April für 2 Wochen beruflich nach Südasien, dazu muss ich natürlich meinen Laptop mitnehmen, auf dem lt. Vorschrift nur ein Windows laufen darf/soll.

Ab und an hört man ja doch ein paar Geschichten, was der Zoll theoretisch mit dem Lappi macht, von daher suche ich nach maximaler Sicherheit, gerne auch gepaart mit eklatanter Paranoia :ugly:

Was habt ihr für Vorschläge? Und bitte nur ernstgemeinte und ja, ich muss das Ding mitnehmen... VPN wird vor Ort eh ausschließlich genutzt, es geht mehr um die physische- und Datensicherheit :)

Also ich weiss von einer grossen deutschen Firma, die solche Laptops nach der Rueckkehr aus Asien wegschmeissen laesst. Das scheint bei der Gefahr von Industriespionage auch angebracht.

Als Privatmensch ist wahrscheinlich die Windows-eigne Verschluesselung gepaart mit TPM das sicherste. Fuer Truecrypt gab/gibt es es mal dieses Rootkit, das vor dem Bootloader geladen wurde.

Also wegschmeißen kommt nicht in Frage :ugly: Auf TC vertraue ich da auch nicht so ganz, zumal viele Firmen mit eben diesem Rootkit werben. Einzig wäre ein zusätzliches(!) Linux, welches komplett verschlüsselt wird, machbar. Festplatte ausbauen und bis zur Ankunft in der Jackentasche tragen?

http://www.nytimes.com/2012/02/11/technology/electronic-security-a-worry-in-an-age-of-digital-espionage.html

Danke, bisher recht lesenswert. Aber...:


He never types in a password directly, because, he said, “the Chinese are very good at installing key-logging software on your laptop.”


Die sind auch gut darin, die Zwischenablage zu überwachen ^^ Die wichtigsten Passwörter kenne ich jedoch auswendig, das sollte nicht das Problem sein. Ein Leihgerät wäre in der Tat auch eine sehr gute Idee, auf die bin ich gar nicht gekommen.

Vielen Dank für den Link!

Die sind auch gut darin, die Zwischenablage zu überwachen
Darüber bin ich auch schon gestolpert. Würde in jedem Fall nach der Reise neue Passwörter setzen.

Hmmm, wird zwar ein "Spaß" aber safety first...
Danke Dir auf jeden Fall schon mal für Deine Hilfe. Festplatte werde ich wahrscheinlich ausbauen und in der Jackentasche mitnehmen bis zum Hotel. Hrmpf, ich komm mir auch schon fast vor wie James Bond ;D

Netbook im Ankunftsland kaufen wäre keine Möglichkeit?

Einzig wäre ein zusätzliches(!) Linux, welches komplett verschlüsselt wird, machbar. Festplatte ausbauen und bis zur Ankunft in der Jackentasche tragen?

Hört sich doch gut an. Würde ich so machen.

@Trap: Nope, geht gar nicht. Nicht nur aus Sicherheitsgründen...

Sobald das MBR infiziert ist mit dem Bootkit bringt die verschluesselung wenig, weil bei der ersten passwordeingabe der Bootkit diese bereits mitschreibt.

- Platte ausbauen ist zwar nicht so komfortabel, aber effektiv. Am besten noch einen Aufkleber der nicht ohne Zerstoerung entfernt werden kann, auf SATA port aufkleben, falls diese dir abgenommen wird. :freak:

- oder eine Live CD machen mit dem man den MBR ueberschreiben kann, aber mit dem, der bereits von TC geendert wurde.

Ich kann Dir noch gerne eine schrottige 2,5"" sata HD zuschicken, die kannst dann als Blender einbauen. Die können sie dann manipulieren und man lässt sie so im Glauben, das sie Erfolg hatten :D

festplatte ausbauen und versiegeln. wenn sie das siegel zerstörten, hast du trotzdem nichts mehr zum arbeiten.

alternativ eine oder mehrere dvds oder bluray mitnehmen und markieren, auf der du deine unkompromittierten daten gespeichert hast(inkl betriebssystem und alles was du brauchst um auf einem formatierten system zu arbeiten). wenn du den pc dann benutzen willst, formatierst du und sicherst von der scheibe zurück.

Kann man während die Daten noch mit TC verschlüsselt sind den MBR neu schreiben?
Wenn ja, wäre das todsicher.

Windows 3.11, ob da moderne Spyware darauf läuft ?

TrueCrypt kann plump über die Evil Maid Attacke ausgehebelt werden (http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html) aber man kann zumind. vor dem eigentliche System-Boot prüfen, ob das System noch unversehrt ist: Anti Evil Maid (http://theinvisiblethings.blogspot.com/2011/09/anti-evil-maid.html).

By now: BitLocker + TPM > TrueCrypt. Wenn der BitLocker Loader in Verbindung mit TPM manipuliert wurde und man den Key korrekt eingab, dann bootet das System nicht und es ist damit als nicht-vertrauenswürdig einzustufen. Bei TrueCrypt bootet es und das Passwort kann in einem 2. Besuch ausgelesen werden.

Eine Möglichkeit wäre vielleicht Hash bilden und dann per Boot-CD vorher und nachher vergleichen (für alle Bits und Bytes, die sich auf der HDD befinden): Hast du zumindest die Sicherheit ob manipuliert wurde oder eben nicht)

Alternativ auf die Daten verzichten ...


Greez

Bei TrueCrypt bootet es und das Passwort kann in einem 2. Besuch ausgelesen werden.
Was wäre denn, wenn man den Bootloader vor dem ersten Booten zurück setzt?
Hat TC nicht ne Boot-CD, die das kann?

Edit: Ne Möglichkeit wäre auch Windows 7 x64 im UEFI-Mode zu installieren, da gibts keinen MBR. ;)
Die werden wohl kaum dafür extra ne eigene Spionage-Malware entwickeln. Zumindest jetzt noch nicht.

Edit 2: Funktioniert TC eigentlich im UEFI-Mode?

Mit TC die Systempartition verschluesseln.
Sensible Daten nochmals in Kontainer verschluesseln mit anderen Passwd.
Hier das kostenlose MBRfix herunterladen
http://www.sysint.no/products/Download/tabid/536/language/en-US/Default.aspx

Image herstellen von durch TC geaenderten MBR und vor ort von einer bootablen Linux cd das MBR image draufschreiben. Das image muss aber auf der BootCD drauf sein.


Das TC Bootkit kann sich nur im MBR festsetzen bei einer Komplettverschluesselung, wird das MBR durch eine Image ueberschrieben ist es weg.

Nachtrag: Alternativ das MBR image mit MBRfix auf ein bootables Dos speicherstick oder Windows PE CDimage schreiben, allerdings sollte man vorher testen ob die Treiber von dem SATA controller richtig funktionieren.

Das TC Bootkit kann sich nur im MBR festsetzen bei einer Komplettverschluesselung, wird das MBR durch eine Image ueberschrieben ist es weg.

Daher meine Theorie.
Schön, dass du ne Anleitung lieferst. :)
Die umzusetzen ist ja kein großer Akt, würd sagen das ist die beste Lösung.

Daher meine Theorie.
Schön, dass du ne Anleitung lieferst. :)
Die umzusetzen ist ja kein großer Akt, würd sagen das ist die beste Lösung.

Ich hab dieses CD Image des TC beim Erstellen einer TC systempartition Verschluesselung macht noch nicht getestet.
Logischerweise sollte die Option auch beinhaltet sein. Die frage ist ob diese auch SATA oder RAID Treiber unterstuetzt.

....

Edit: Ne Möglichkeit wäre auch Windows 7 x64 im UEFI-Mode zu installieren, da gibts keinen MBR. ;)
Die werden wohl kaum dafür extra ne eigene Spionage-Malware entwickeln. Zumindest jetzt noch nicht.

Edit 2: Funktioniert TC eigentlich im UEFI-Mode?

Das waere ich mir nicht so sicher, es ist doch bekannt, das bei solchen Industriestandards wie UEFI die drei Buchstaben Organisationen immer irgendwelche spezielle Anforderungen bei der Entwicklung stellen.

Das waere ich mir nicht so sicher, es ist doch bekannt, das bei solchen Industriestandards wie UEFI die drei Buchstaben Organisationen immer irgendwelche spezielle Anforderungen bei der Entwicklung stellen.
Auf wie vielen Systemen ist weltweit Windows im UEFI-Mode installiert?
Das sollte anteilsmäßig im Bereich eines kleinen Rundungsfehlers liegen. Mit Windows 8 wird das aber definitiv in den Fokus rücken, die drei Buchstaben-Organisationen werden mit Bootguard sicherlich keine Probleme haben.

Kannst du dir nich einfach ne Installation auf einer 32gb CF Karte machen und dann über Bootmanager/Cardreader starten? Bräuchtest du zumindest nix aus und oder umbauen :)

Danke für die Anregungen :)

Also eine Blenderplatte habe ich hier, die EvilMaid-Methode dürfte auch fraglich werden, da ich das Notebook generell bei mir haben werde und ich mit einem Kollegen dorthin fahre - vulgo sind die Dinger im Prinzip nie unbeobachtet. Die TC und MBR Methoden haben was! CF-Karte fällt flach, da nie Notebooks keinen Cardreader haben, selbst die USB- und eSata-Ports werden vor Abfahrt versiegelt. ein Hash über die Platte und den MBR im Speziellen wird natürlich vor Abfahrt gebildet, keine Frage ;)

Daten als verschlüsselstes 256-AES-7z mit 15stelligem PW von zuhause hochladen (meinetwegen auch rapidshare etc.; am besten mit "Fotos", "Film XY" etc.). Am Laptop innerhalb des Landes ne VM eindingsen, und von dort arbeiten, nachdem man das OS / MBR neu installiert hat bzw. die Platten ausgetauscht hat. Die Originalplatte würd ich nicht übern Zoll eoingebaut nehmen, wer sagt, dass sie es nicht 1:1 kopieren; und da wird kein Bit geändert (bis auf die SMART-Zahlen).

EDIT: Prinzipiell würde ich Hochsicherheitsdinge alle über ne VM laufen lassen und diese regelmäßig zurücksetzen, während die Daten woanders gespeichert sind. Bios-Update natürlich auf schreibgeschützt stellen etc.

Im zweifel einfach an einem ollen offline-rechner (nie internet) arbeiten mit eigerner usb-tastatur

Ist doch egal, wenn sie die verschlüsselten Daten kopieren - ohne Schlüssel sind die nur Datenmüll.

schon, aber sie können die daten archivieren und haben VIEL, viel Zeit zum knacken

BTW: Iwie finde ich es auf einer Seite auch relativ witzlos, weil mit Windows im ggs. z.B. zu Linux Arch für Hochsicherheits-Projekte von vornerein auf das falsche Pferd gesetzt worden ist. Aber ist ja alles nur theoretisch...

Für Extremparanoiker gibts keine Methoden des 100%igen Schutz, denn den wird es im IT-Bereich nie geben. Es wäre ja auch beispielsweise denkbar, dass beim Zoll ein Hardware-Key-/Screenlogger ins Laptop eingebaut wird und bei der Abreise das Ganze dann wieder ausgebaut wird. Oder dass dein Zimmer überwacht wird während du tippst. Nur ist natürlich die Frage ob das für normale Geschäftsreisende wirklich eine reale Bedrohung ist.

Ich würde an deiner Stelle so wenig Daten wie möglich mitnehmen und auch im per VPN zu erreichenden Netz sowie in allen mit deinem Passwort zu erreichenden sonstigen Stellen nur das absolut Nötigste vorhalten (evtl. nur auf Anfrage von Kollegen daheim die nötigen Daten bereitstellen lassen). Des Weiteren wäre ein WinPE eine Überlegung wert.

Außerdem wäre eine kleine linuxbasierte NATende Firewall ganz praktisch wenn man irgendwo im Netz hängt, denn trotz VPN ist ja man ja primär erstmal mit einem unsicheren Netz verbunden.

Doch es gibt die 100%ige Sicherheit, wenn man es nur schlau genug anstellt. Dasselbe ist ja als würde man sagen "Es gibt keinen perfekten Mord". Will nicht wissen wieviel "Unfälle"...?
Was spricht dagegen, wenn man die Dinger förmlich verschweisst? Dann ist nichts mehr mit schnell mal spioniert.

wenn du einen laptop verschweißt machen sie ihn wohl erst recht auf, könnte ja ne paketbombe sein :freak:

IMHO die meiste Gefahr geht von Boot - und - Rootkits.
Falls jemand unter, sagen wir mal unter "besonderer Fuersorge" steht bei mancher staatlicher Organisation, gibt auch spezielle Hardwareloesungen die Live per Funk alles Senden und Brutforce Crunch Farmen, die so ein AES in wenigen Minuten knacken.

Solange aber der Kernel durch Verschluesselung und MBR durch ueberschreiben geschuetzt ist man relativ sicher.

VPN und Cloud wuerde ich nicht empfehlen, weil in manchen asiatischen Laender das sofort Verdachtsmomente weckt und der beste Schutz ist einfach nicht auffallen.

@arT_of_WaR: gut nachgedacht....

Aber doch nicht AES 256bit? Selbst die CIA soll dieses Verfahren verwenden und laut englischsprachiger wiki 50,955,671,114,250,072,156,962,268,275,658,377,807,020,642,877,435,085 Jahre, das sind 50 Oktilliarde Jahre, selbst wenn sich also die Rechenleistung um milliardenfache (!!!) erhöhen würde, wären es dann nur Septillionen Jahre :D

.....
Aber doch nicht AES 256bit? Selbst die CIA soll dieses Verfahren verwenden und laut englischsprachiger wiki 50,955,671,114,250,072,156,962,268,275,658,377,807,020,642,877,435,085 Jahre, das sind 50 Oktilliarde Jahre, selbst wenn sich also die Rechenleistung um milliardenfache (!!!) erhöhen würde, wären es dann nur Septillionen Jahre :D

Wenn du auch eine Zufallsgeneriertes 265bit langes im vollen ASCI Umfang generiertes Password jedes mal beim Booten eingeben willst, dann sicher.

ja stimmt, zumal der Faktor auch durch außer-it'schen "Dienstleistungen" und "Spenden" rapide abnimmt xD

@Hayab:
Ein 42-stelliges alphanumerisches Passwort erreicht fast den Schlüsselraum von 2^256. Also nicht allzu unrealistisch.