Han stjal vores laptop - den skal findes!!
På arbejdet havde vi besøg for noget tid siden. En sort-klædt mand smuttede ind ad døren og tog en laptop med ud. Den var væk! ØV! Vi har efterfølgende købt kensington wire-låse til vores udstyr, men misæren gav mig anledning til at tænke en del på hvordan man kan sikre ens computere, så man evt. kan spore hvor den er henne. Laptoppen var en dyr mac, hvor vi skulle (set bakspejlet) have smidt noget alarm-software på.
Til Mac har jeg set på følgende programmer (bare rolig Linux-geeks - læs videre alligevel).
- [iAltertU](https://sourceforge.net/projects/ialertu/) som er en bilalarm, der udnytter webcam til at tage billeder af tyven, og motion sensoren i en macbook til at detektere bevægelse. Gratis - perfekt program! Kan varmt anbefales. Dog har jeg lavet en hel del alarmer selv ved at komme retur fra frokost og f.eks. røre musen før alarmen blev deaktiveret ![Eksternt billede](http://www.version2.dk/uploads/smil3dbd4d6422f04.gif" alt=")
- [Periscope](http://www.freeverse.com/apps/app/'id=7002) er meget lig iAlterU - reagerer også på lyd. Kommercielt program. Fint.
- [Undercover fra Orbicule](http://www.orbicule.com/undercover/) er også et smart program. Når maskinen er blevet taget skal man registerere maskinen som stjålet, og næste gang maskinen går på nettet vil den begynde at sende billeder af tyven samt netværksinformation hjem. SMART. Desværre er jeg ikke 100% tilfreds, da alarmeringen skal ske FØR tyven kan nå at re-installere maskinen - ellers er der ingen reelt sikring her. ØV! Er det realistisk at man når at alarmere om tyveri før maskinen reinstalleres' Jeg er usikker der.
Jeg tænkte lidt videre, og vi lavede en ret nem sikringsmetode, som jeg gerne vil dele med jer. Ideen er at maskinen hvert minut, hvert 10. minut eller lign - og ved opstart - sender email ud til en mail-konto med netværksinformationer. Derefter er det (måske) muligt at opspore en stjålet maskine. Nedenfor er mit script "/sbin/gohome" som skal kaldes i cron f.eks. hvert 10. minut og - meget vigtigt - ved opstart i /etc/rc.local (på Linux) og for OSX tilsvarende. Jeg har (mis)brugt en særlig gmail.com konto til disse alarm-emails, som kommer væltende, da gmail er god til at modtage fra alle mulige underlige steder. Eneste minus er at man skal in og slette alle modtagne mails fra tid til anden. Gmail kan heldigvis vælge og slette samtlige emails i et hug.
Hvad får jeg ud af mit script?
- Tid så man kan bevise hvornår tyven var på nettet.
- Intern IP-adresse (ofte en NAT-adresse så den i sig selv kan ikke bruges)
- Den eksterne IP-adresse - meget vigtig.
- En traceroute fra maskinen ud mod internettet - her i forhold til en SSLUG-maskine, tyge.sslug.dk. Meget rar at have en vejviser tilbage til maskinen.
- Liste af personer, der er logget ind. Den er ikke så vigtig - og faktisk kan det være en ide at have en gæste-konto konto på maskinen netop for at lure tyven til at kunne logge ind og bruge maskinen - samtidig med at der emailes IP-adresser ud. Gæstekontoen skal naturligvis balanceres op mod faren for andre misbrugstyper.
En variant af nedenstående er at droppe brugen af emails ud af maskinen, men i stedet bruge curl til at hente en URL fra en sikker server, hvor man i URL'en koder IP-adresserne ind, f.eks. ved at hente http://sysadmin.version2.dk/'internIP=192.168.1.100'externIP=225.226.92.33 hvor de IP-adresser man overfører er kommet ud af http://myip.dk hhv. ifconfig nedenfor.
Jeg er spændt på at høre om I kan forbedre dette. Smid resultatet på http://pastebin.org - nedenstående script kan også findes på http://pastebin.org/26130
Ved nogen af jer om politiet ville reagere, hvis jeg mødte op med informationer om at jeg nu har sporet min stjålne laptop til en given IP-adresse?
/pto
I nedenstående script skal du ændre "Maskinnavn" til navnet på maskinen, og "ditnavn@gmail.com" til den email-konto, som skal modtage emails. Gem som /sbin/gohome eller lign. Kald det jævnligt fra cron.
!/bin/bash
echo "Internet IP" > /tmp/gohome curl --url http://myip.dk | grep 'size="6"' | grep -v IP | sed 's/<[^>]*>//g' >> /tmp/gohome date >> /tmp/gohome echo "List of persons logged in" >> /tmp/gohome who >> /tmp/gohome echo "" >> /tmp/gohome echo "Date:" >> /tmp/gohome date >> /tmp/gohome echo "" >> /tmp/gohome /sbin/ifconfig >> /tmp/gohome echo "" >> /tmp/gohome traceroute -m 6 tyge.sslug.dk >> /tmp/gohome cat /tmp/gohome | mail -s Maskinnavn_
date +%Y%m%d:%H%Mditnavn@gmail.com rm -rf /tmp/gohome
Om Peter ToftPeter Toft er senior specialist hos Renesas Mobile og har blogget om open source og Linux siden Version2's begyndelse. Blogger også jævnligt om andre sjove teknologi-områder.
Follow @petertoftKommentarer (25)
Mon ikke de fleste tyve og hælere har fået indarbejdet, at man skal reinstallere maskiner som er blevet sjålet?
Det, jeg synes er interessant i forb. med tyveriforberedelser er at få krypteret diske grundigt.
-
0 -
0
Ganske interessant indlæg om phone-home teknologier. Jeg ville dog nok overveje om kensington-låsen ikke var noget man skulle skifte.
Her er der en fyr der viser hvordan man dirker den... med en toiletrulle!
-
0
-
0
Det ville egentlig være federe med en mobil-tracking evt. med GPS, som kunne klampes ind på computeren.
Jeg tror deværre ikke den type produkter findes ... endnu
-
0
-
0
Det findes til biler http://www.innoshop.dk/product.asp?product=379&sub=55&page=1
Så det er sådanset bare at få det gjort mindre.. her kunne jeg fx forestille mig en pc-card/express-card størrelse..
-
0
-
0
Det system du efterspørger findes og det er et dansk project. Det blev oprindeligt lavet til cykler. Man kan lave geofencing og meget mere.
Hjemme siden er ikke så imponerede, men det er produktet.
-
0
-
0
Tag et kig på SureFind: http://www.oakleynetworks.com/products/surefind.php - det kan en masse spændende, incl. noget med "remote destroy"...
-
0
-
0
Med fare for at virker selvpromoverende, så har vi i RFIDsecs design indbygget mulighed for at en silent RFID kan aktiveres ved at overlades koden til politiet, dvs. så de kan checke stjålne varer uden at tyverisikringen sladrer om sin eksistens eller politiet begår invasive overvågning.
Samtidig er der mulighed for at aktivere en indbygget lost and found funktion, så man kan deponerer en engangslokaliseringskode, der kan aktiveres både af den part som finder enheden og den som savner den.
Ejeren kan selv i zero-knowledge (-baseret) protokol checke og lokalisere devicen hvis den er indenfor range af en reader, du kan adressere, dvs. du muliggør både egenstyring, efterlysning og tyverianmeldelse udenovervågning på en måde der let kan skalere hvis enheden virkelig er væk.
Modellen og teknologien er designet til at skalere og overføres til andre kommunikationskanaler. Man har bare problemet med andre kommunikationsprotokoller er rene overvågningsværktøjer som sikkerhedsmæssigt skaber en lang række sekundære problemstillinger.
Vi har jo ikke lyst til at gøre al teknologi til ukontrolabelt track and trace af mennesker og devices med de dertil følgende angrebsmodeller. Man overser ofte at kriminelle altid kan vende en overvågningsløsning til en angrebsmodel, e.g. et overvågningskamera med tilsluttet bombe som denoteres af ansigskengendelser af målet - for nu at overdrive pointen.
Mvh.
Stephan Engberg
Priway
-
0
-
0
I stedet for at sende en mail, ville jeg nok benytte curl til at kalde en webside som logger den ønskede information. Så slipper du også for at benytte myip.dk eller andre tjenester du ikke selv er herre over - webserveren får jo alligevel den eksterne ip. Denne løsning vil også virke gennem en http proxy.
Men en hw. løsning vil klart være at foretrække - det kræver bare mere end gps/rfid, hvis det skal give mulighed for tracking, da det jo kræver upload af data.
-
0
-
0
Kensington er fint nok når man arbejder med computeren, og skal hente kaffe - eller er på konference.
Den er ikke stærk nok som sikkerhedsmekanisme til overnatning på bordet, når du går hjem.
Call home programmer er også ret naive, det skal være en meget dum tyv der ikke reloader maskinen.
Bevares der findes mange dumme tyve, men det er lidt spild af tid efter min mening.
-
0
-
0
glemte lige at det med at åbne Kensington låsen med en toiletrulle er en ældre version af låsen. De nyere er sværere.
Til gengæld har andre også eksperimenteret med at rive i kablet/laptoppen og se hvor stor skaden bliver. I en Macbook Pro med aluminium er det nok en større skade, men i plastikkabinetter er det minimalt hvad der sker. I de tilfælde jeg har hørt om virkede laptoppen også fint bagefter.
-
0
-
0
Jeg har ingen interesse i http://www.tagstrack.dk/, jeg kender godtnok personerne bag. Men det der gør produktet så unik er at det arbejder samme med http://www.flextrack.dk/en/default.aspx gps tracking enhederne og de er solgt i hele verden.
-
0
-
0
Angående de forskellige RFID løsninger tilbudt, hvordan kan de bruges uden en stor distribution af readers?
Jeg synes lidt om det curl løsning, bare fordi jeg kan lige curl men selvfølgelige har den samme ulemper som de andre software-baseret løsninger, at en tyve kan gen-indstallere.
-
0
-
0
Sådan som jeg har forstået løsningen er der en fælles server for Lommy fra Fasttrack og det er til den server man melder tingene som bortkommet, og kommer RFID enheden forbi bliver det rapporteret. Men du må ikke helt hænge mig op på det. Og jeg ved at Lommy'er solgt til mange lande.
-
0
-
0
Jeg tror det er noget i den her stil i er ude efter......
http://www.comon.dk/index.php/forum/show/tid=63140
hvor stjålne laptops dukkede op i Saudi.
Her skulle registreringen også virke efter reinstallering af nyt OS.
Om det så virker med andet end Windows .... må stå hen i det uvisse. Men smart er det da. bare det virkede til min Mac, men bevares, Apple lever af at sælge hardware. Og bliver det udbredt, er det jo det første der skal besejres af de kriminelle, når de stjæler.
mvh.
Peter
-
0
-
0
Der findes et produkt til at ændre Open Firmware (Mac'ernes svar på en bios på stereoider) så den gør noget i stil med hvad du gør fra dit script. Jeg fik en reklame for det på mit tidligere arbejde, men vi valgte ikke at købe det pga. prisen. Det kostede så vidt jeg husker ca. kr. 1.500,- ex moms, og da de fleste af vores bærbare var iBooks mente vi procentvis det var for stor en investering i forhold til indkøbsprisen.
Jeg kan ikke lige komme på produktets navn, og en hurtig google søgning gav mig det ikke, så jeg er ikke sikker på om det stadig findes. Er der nogen, der kan huske at have hørt om noget lignende?
-
0
-
0
Nu vi er ved emnet, så har jeg tit spekuleret over, om der er noget som helst sikkerhedsmæssigt at hente ved at slå passwordbeskyttelsen i BIOS til? Det afhænger naturligvis en del af producenten, men hvor let er det at zappe en passwordbeskyttet BIOS tilbage til factory defaults?
Det er sikkert endnu et område hvor daglige brugsmønstre vinder over sikkerhed (Hr. Jensens glemte password).
-
0
-
0
Man kan altid resette BIOS'en, om ikke andet ved at fjerne backup-batteriet og kortslutte terminalerne på printet. Det kan kræve at der fjernes en del skruer fra kabinettet først.
Brug af BIOS password giver derfor ingen sikkerhed.
Mvh.
Per
-
0
-
0
Der er forskel på BIOS passwords, nogle typer - ofte kaldet "supervisor" password eller lignende kan IKKE fjernes ved at resette eller fjerne strøm/kortslutte batteri - de kræver kodeordet eller skift af bundkort.
Det fandtes specielt på IBM thinkpads, hvor der også er harddisk passwords på visse modeller. Med HD password skulle man enten finde en HD som havde nogenlunde samme elektronik, eller kende kodeordet for at tilgå data.
Så jo, visse typer BIOS passwords giver en god sikkerhed for at systemet ikke kan bruges af tyven, mens andre kan disables.
Jeg kan i en tråd som denne undre mig over hvorfor folk ikke lige googler en gang, eller evt. kigger i deres egen manual angående BIOS passwords. Så google er din ven, lad være med at tro på diverse tilfældige indlæg på version2.dk :-)
-
0
-
0
Glem laptoppen. Det er ikke den der har værdi for firmaet. Det er dataene derpå. Hav en god backup strategi, krypter harddisken på laptoppen, så tyven med meget stor sandsynlighed ikke får noget ud af dataene. Hav en ordenlig forsikring, så I kan gå ud at købe en ny laptop og komme videre samme dag.
Gænlæs lige denne 1½ år gamle historie - så ved du hvor vigtig backup er:
http://www.business.dk/article/20060904/nyhedsoversigt/109040104/
Nedbrandt bygning. 80 medarbejdere tilbage på arbejde efter 10 dage. Flot!
-
0
-
0
Hvis accelerometeret måler bevægelser tre dimensioner og ellers er præcist nok, kan man måske logge og udlede hvilken vej personen er løbet? Man kunne også scanne for accesspoints og slå op i en wardialer-database, og derigennem udpege laptoppens placering. Alt dette kræve naturligvis, at lappen kan ringe hjem og sladre.
-
0
-
0
Jeg lod mig inspirere af Dan Klein, der var hovedtaler på LinuxForum for nogle år tilbage.
Det kræver at man har en (egen) webserver. Her lægger man en tom fil (f.eks. pingme.txt) i webroot.
Så er en wget i cronjob alt der skal til:
*/5 * * * * wget -q http://server/pingme.txt?id > /dev/null
id kan udskiftes med navnet på laptoppen...
Så kan man hurtig se hvor man har været med en grep:
grep pingme /var/log/httpd/access_log
PS. der var da for nyligt en nyhed om en stjålen laptop, der blev fundet fordi den kørte SETI@home...
-
0
-
0
New York Times har en interessant artikel om nogle mac-brugere, som det lykkedes at få deres bærbare pc'er igen
http://www.nytimes.com/2008/05/10/nyregion/10laptop.html
-
0
-
0
De fleste tyve, tror jeg ikke, starter op på en stjålden PC, med en andens harddisk, og med netforbindelse. Enten hives netforbindelsen ud under opstarten, eller også reinstalleres computeren.
Det mest sikre, er at lave en script til at flashe din bios, således computeren ved hver opstart - uanset harddisken er udskiftes - sender dig en mail.
-
0
-
0
Peter,
Jeg er principielt enig i måden, du sætter spørgsmålet op. Vi vil gerne kunne stoppe systemet og fange bad guys (2 forskellige spørgsmål). Men vi er nød til at se dybere og længere i vores valg af tilgange til at håndtere disse.
Din tilgang er jo direkte i retning af "trusted computing" eller "treachorous" computing som det også er benævnt.
http://en.wikipedia.org/wiki/Trusted_Computing
http://www.lafkon.net/tc/
Det er ikke særligt smart at gøre overvågning deterministisk og f.eks. skabe alle muligheder for kommerciel lock-in (f.eks. låse reservedele og services til produktet)
Prøv at fokusere et øjeblik på hvordan dette kan misbruges mod dig - og design så de trusler UD af løsningen.
Det indebærer f.eks. helt banale forhold som at det et indbygget kamera eller mikrofon ikke må kunne optage og specielt ikke tilgås udefra FØREND du selv bevidst åbner herfor - ellers kan det let anvendes til intravenøs og automatiseret overvågning.af dig med diverse biometriske analyseværktøjer i hastig modning.
Generelt er det naivt at designe "sikkerhedsløsninger" som "stoler" på at de kriminelle ikke er indenfor murene allerede. Og selv om det måske virker en anelse paranoidt, så er det nemmere at gå ud fra at svagheder misbruges end at udvælge hvilke svagheder som er "acceptable".
Vi har i dag løsninger til hvordan man kan lave systemlåse kontrolleret af slutbrugeren som ikke kan overvåges, men der er mange hensyn der skal tages højde for.
Dette er ikke ment som en promovering af en bestemt løsning, men som at rejse opmærksomheden på tendensen til at løse et problem ved at skabe et større problem.
Vi ser alt for mange dårlige undskyldninger a la "det kan man allerede" på dette digtiale forureningsproblem.
Lad os få noget "Grøn IT", dvs. som ikke forurener de digitale miljøer med al mulige affaldsprodutker som de kriminelle, kommercielle og andre straks kaster sig over.
Ellers vil disse forberedelser for hændelser med lille sandsynlighed med nærmest statistisk garanti skabe langt større problemer end de trusler, de skulle beskytte imod.
-
0
-
0
