Burner Laptops

(BTW Det officielle lydspor til dette blogindlæg er Von Dü Verdens Mindst Fuck https://open.spotify.com/track/2Nxapa9BvUKQbo0BeFCnut )

En af morgendagens nyheder var at deltagerne på vej hjem fra Palæstina Marathon blev chikaneret i lufthavnen Ben Gurion.

Chokeret Johanne Schmidt stoppet i lufthavn: Israel har snuppet folketingscomputer
http://www.avisen.dk/chokeret-johanne-schmidt-stoppet-i-lufthavn-israel_...

Leila Stockmarr har bekræftet det, og desværre lader det til at fuld disk kryptering ikke er slået til som standard på folketingets computere - lidt af et WTF i 2016.
https://www.facebook.com/leila.stockmarr

OK, så er scenen sat og jeg vil godt tale lidt ud fra egne regler, forventninger, passende paranoia.

Jeg har i et par år nu set på Right to Movement og kort overvejet Palæstina Marathon http://palestinemarathon.com/

og hvad nu hvis jeg skulle til Israel ...på vej til at protestere, som løbet jo er.

Rejse til uvenlige stater

Hvis man rejser til uvenlige stater, hvor der er risiko for at man bliver tvunget til at åbne laptoppen for andre - så de kan se om man er terrorist-pædofil-nazist-kommunist-palæstinavenlig. Så vil det i min optik være vigtig at nedbringe risiko.

Det betyder i første omgang at jeg slet ikke tager min normale laptop med mig!

Mine normale laptops indeholder mange data og filer som jeg ikke ønsker andre skal se. Derfor er de fuld-disk-krypteret. Dvs Mac OS X Filevault (FileVault2 i de nye udgaver er hele disken) og dem med Linux bruger LUKS. LUKS er forøvrigt samme som dansk politi ikke kunne åbne efter 17 mdr.

Men hvis jeg tager min normale laptop med er der en risiko for at nogen kan bryde krypteringen ELLER måske mere sandsynligt vil tvinge mig til at åbne den ... hvis jeg nogensinde vil hjem igen. Bemærk at sådan en hurtig opsummering vil samme gælde ikke bare Israel, men også UK, Frankrig som er i undtagelsestilstand, og selvfølgelig USA.

Så en tur til England kommer formentlig slet ikke på tale, og selvom jeg HAR været i Atlanta engang, så er USA på no-flight listen for mig.

Godt, men hvis man ikke skal have sin normale laptop med, hvad så?

Så vil jeg anbefale en gammel slidt laptop, evt. den du brugte før du fik den nye. Det vil selvfølgelig koste lidt, men hvis denne slettes inden brug og du kun kopierer de data der skal bruges på netop denne rejse, så er risikoen reduceret mest muligt.

Burner Netbook

Illustration: screenshot HLK

Billedet er en Samsung NC10 som jeg har fået foræret. Den er klargjort ved at overskrive hele harddisken med "dd" kommandoen på en Kali Linux og derefter er Kali Linux installeret UDEN fuld disk kryptering. Det betyder at hvis den opsnappes, tages, beslaglægges, whatever - så er der nogle fakta.

Kun data der ligger på laptoppen er i risiko for at blive opsnappet. Enhver computer forensics ekspert vil således hurtigt kunne aflæse hele disken, opsummere hvad data der findes på den, og afvise at der er terrorplaner

Vigtigt: jeg kan nogenlunde trygt give andre adgang til den, og derefter hurtigst muligt lukke for eventuelle adgange hjemme i Danmark, VPN forbindelser, logins osv.

Jeg brugte sådan set samme princip med min iPad 1 hvor jeg lavede en speciel SSH nøgle, som kun gav adgang til login på bestemte steder - fordi jeg ikke stolede på den låsekode til skærmen som andre nemt kan se.

Faktisk er det et princip som alle Version2 brugere, og senere alle danskere bør se nærmere på.

  • Din arbejdsgiver kan kræve du åbner din laptop for eksempelvis politiet
  • Hvis du gemmer dine private data på arbejdsgivers laptop - har de reelt kontrollen
  • På en arbejdslaptop bestemmer virksomheden hvad niveauet for sikkerhed skal være
  • Laptops er idag billige

Så min anbefaling er klart, køb en laptop til dig selv, så dine private data kan være under din kontrol. Det lyder måske arrogant, men en basal laptop - ikke gamer-high-end-apple - kan fås fra 3.000kr eller lignende.

Sikring af laptop

Hvordan sikrer man så sin laptop som indeholder følsommme data i dagligdagen?

Nedenfor er nogle enkle og enkelte råd, det er ikke en fuld gennemgang, men måske inspiration for nogle.

Start med at købe den i en butik, for kontanter, få evt. en anden til at gøre det. Der er dokumenterede eksempler på at udstyr fra leverandører lige kommer forbi en efterretningstjeneste for ekstra "tuning" - med bagdøre osv. Det undgås.

Lad også være med at registrere udstyret i dit navn, hvis eksempelvis der allerede ER en bagdør eller andet som er bundet op på serienr og hardwaren.

Derefter lav en geninstallation, før du lægger følsomme data over. Det betyder aktivering af fuld disk kryptering. Det er lovligt og anbefalet i Danmark - hjælper mod diverse kriminelle der vil snage. På Mac OS X kan jeg ligeledes sige nej tak til at Apple gemmer en kopi af nøglen (og det må jeg så stole på). På Windows er jeg ikke ekspert i Bitlocker, da jeg undgår og ignorerer Windows mest muligt, men Schneier har skrevet om det https://www.schneier.com/blog/archives/2015/06/encrypting_wind.html. Hvis man hverken stoler på Mac OS X eller Windows, så må man Linux vejen med LUKS - som er super nemt at bruge.

Godt så, laptop og operativsystemet er på plads, men hvad så når man efterlader den udenfor ens kontrol, hjemme eller på arbejdspladsen?

Jeg vil anbefale at man indstiller sin BIOS til KUN at boote fra harddisken, og sætter kode på. Samtidig bør man sikre laptoppen fysisk med neglelak, ja neglelak. Glimmerneglelak er en fin løsning på et problem, har nogen åbnet min laptop?

Illustration: HLK

Ideen med denne påføring er at man nemt kan se om skruerne har været drejet eller fjernet helt. Netop glimmerneglelak giver et mønster som ikke kan genskabes, ihvertfald ville det imponere mig hvis nogen kan finde samme type/farve OG lave det magen til. Tip: tag evt. et par billeder så du har dem hjemme og kan sammenligne.

Læs evt. op på Evil-maid og Anti Evil Maid
https://www.qubes-os.org/doc/anti-evil-maid/

Kompromiteret computer

Hvis en computer er kompromiteret, dvs man ikke stoler på den, hvad så?

Jo, man kan selvfølgelig godt prøve at finde ud af hvad der er sket med den, er der fysiske bagdøre, eller kun pillet ved data? Det kan desværre tage uendelig lang tid, og jeg har prøvet at tage image af laptops, uden at kunne konkludere noget sikkert.

Min anbefaling er således at hvis din computer har været kompromiteret så køb en ny.

Faktisk rækker det lidt længere! Jeg vil anbefale at købe ny computer og telefon, hvis:

  • Du er netop kommet ud af et voldeligt parforhold og skal genvinde kontrollen med dit liv
  • Du har været anholdt og din computer har været udenfor din kontrol i længere tid
  • Du har haft en computer udenfor din kontrol i en Israelsk lufthavn, Engelsk lufthavn, Fransk, ... I forstår vist nu

Prøv evt. at sælge dine enheder, eller giv dem bort. Nogle tal siger at måske 50% af telefoner som kvinder medbringer på misbrugscentre er kompromiterede, og det er blandt andet for at kunne afsløre lokation :-(

NB: Hvis man er interesseret i disse emner kan jeg pege på Dymaxion, Eleanor Saitta som skriver glimrende
https://dymaxion.org/essays/usecases.html Jeg støtter hende på https://www.patreon.com/Dymaxion?ty=h

Kommentarer (28)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Poul-Henning Kamp Blogger

Jeg vil lige tilføje:

Ikke noget med at genbruge burner-laptop'en ved at give den til ungerne, den skal helt ud af dit liv.

Overvej evt. de forskellige velgørende organisationer der sender IT udstyr til Afrika mv.

  • 9
  • 0
Kristian Rastrup

1984 kan vise mere end overvågningssamfundet.
Blandt andet ideen om hvor grundige efterretningstjenester kan være.
Når vores helt bliver arresteret ved de alt om ham, inklusiv indholdet af hans dagbog.
Hans "Glimmerlak" er et støvkorn lagt på bogen, men det erstattede partiet, så intet blev opdaget. Han overvejede først et hår, men fandt det for oplagt.

Den bedste sikring er ikke den som stopper alle, men den som ikke kan undgå at afsløre indbrud. Som Henrik selv skriver: Rubberhose dekryptering er et meget muligt scenarie, hvis krypteringen er for svær at bryde https://xkcd.com/538/

  • 0
  • 0
Niels Callesøe

Både vores Justitsminister og vores Udenrigsminister er faste Israel-støtter, så vi skal nok ikke regne med nogen reaktion fra regeringen i denne sag, selvom der reelt er tale om et klart overgreb mod den danske stat.

  • 4
  • 2
Simon Sørensen

Hvis man ikke vil investere i reservecomputere men hellere vil gøre en ekstra indsats for at sikre sin primære, så er en anden mulighed fulddiskkryptering samt et skjult OS.

https://veracrypt.codeplex.com/wikipage?title=VeraCrypt%20Hidden%20Opera...

Så kan man roligt boote op på en præsentabel Windows og vise lufthavnsinspektøren, at man ikke har nogen farlige filer, og kun bruger computeren til at læse Ekstrabladet og spille Mahjong, mens dit reelle OS og dine private filer vil være helt skjulte.

  • 2
  • 1
Martin Sørensen

De har vel ret til at undersøge og beslaglægge ejendele som de mener kan have deres interesse? Man kan da ikke forvente at fordi ens arbejdsgiver hedder Folketinget at det så automatisk giver diplomatisk immunitet. Hvis man ikke vil risikere noget, så lad være med at tage den med eller tag en billig burner med som der argumenteres for her.

  • 4
  • 4
Poul-Henning Kamp Blogger
  • 4
  • 0
Carsten Hansen

Så vidt jeg husker den norske spion, diplomat og socialdemokratiske Arne Treholts forsvar, så var han bare kommet til at tage "finanslovsforslaget" med på rejse til Sovjet, hvor han regnede med at få tid til at læse det igennem.

Hvis der er fortroligt materiale fra diverse udvalg f.eks. vedr. Israel, så er det en bekvem måde at aflevere materialet på - for en spion :-)

  • 5
  • 0
Knud Høgh Knudsen

At rejse til Israel for at deltage i et provokerende løb og så regne med at de "flinke" toldere i lufthavnen stadig er flinke, må være noget kun tåber antager med hensyn til Israel, der har en af verdens stærkeste efterretningstjenester.
At tage en fuld åben Folketing PC med til Israel (eller for den sags skyld også alle andre steder) kan kun tilskrives tåbelighed.
En lækkerbisken af foræring til Israels Efterretningstjeneste.

  • 7
  • 0
Frithiof Andreas Jensen

Haha - Der sker intet. Vi ved at SKAT er blevet rippet for mindst 10 Mia Kroner og at der nok er en vis sandsynlighed for at nogle af pengene er röget igennem skuffeselskaber i Panama - som lige er blevet läkket.

Er det noget man vil se på? Näh! Det ville väre alt for risikabelt, man risikerer jo nemt at komme til at "buste" nogen med indflydelse så "efter-karrieren" går i vasken!

  • 1
  • 0
Henrik Kramshøj Blogger

Vi kan ikke undgå at have usb, men firewire er heldigvis på vej ud. Thunderbolt er vist også en fuglerede.

Bedste bud er nok hvis man har boot password på bios og lukker helt ned hvergang - så kryptonøgler er ude af ram.

Interesserede kan genfinde Least we remember cold boot attacks sjov med ramkredse, samt Thunderstruck mac som burde finde 2014 december Apple angreb via Thunderbolt bios extensions

  • 1
  • 0
Cristian Ambæk

Hvis man skal rejse til udlandet og vil have adgang til bestemte data, som ikke nødvendigvis skal ses af andre.

Så vil jeg overveje at opsætte en simpel RaspberryPi (andet) hjemme med en tilkoblet harddisk på en DMZ zone. Så lave en SSH-VPN til denne, som manuelt skal sættes op hver gang maskinen startes med en kode fra en krypteret keychain samtidig med at raspberry'ien kun acceptere bestemte SSH nøgler at forbinde til den.

Du kan også konfigurer f.eks din Linux maskine til at starte op (kun) når en bestemt USB nøgle er forbundet til den som tillader maskinen at dekryptere. Så kender du jo reelt ikke koden til maskinen.

  • 1
  • 1
Maciej Szeliga

Du kan også konfigurer f.eks din Linux maskine til at starte op (kun) når en bestemt USB nøgle er forbundet til den som tillader maskinen at dekryptere. Så kender du jo reelt ikke koden til maskinen.


Hvis din laptop ikke kan starte er du per definition terrorist og hvis du skal stikke en USB for at den kan starte er det jo ikke sikkert at den rent faktisk ikke bare kører på pinden og laptoppen er en bombe. Hvor langt tror du at du kommer ?

Der findes USB harddiske og "pinde" med indbygget kode (fra IBM og Kingston f.eks. Kingston DT2000) som først aktiverer lagringsenheden når der tastes kode direkte på enheden og data er krypteret på enheden - og de slettes automatisk hvis man taster forkert.

  • 0
  • 0
Martin Sørensen

Det er svært at blive 100% sikker, men rådet om at købe computeren kontant i en fysisk butik sikrer at der ikke er installeret ting som er specifikt målrettet mod dig. Derfor kan der jo stadig være ting i hardwaren eller operativsystemet som afslører dig når du begynder at bruge enheden hvis du ikke er påpasselig (du bør nok starte med at smide Windows ud).

  • 0
  • 0
Michael Weber
  • 0
  • 0
Michael Jensen

Tak for tippet med lim i USB-porten ;-)
Jeg testede selv sådan nogle USB-lock-dimser fra Lindys (eller der omkring). De krævede en helt særlig fysisk nøgle at montere og afmontere, og burde på den måde kunne sikre USB-porten. Men den var "dirket" på under et minut med en papirclips i første forsøg. Så dem kan jeg ikke anbefale.

EDIT: Jeg købte også en pakke med 100 løse USB-hanstik fra kina til ingen penge. De var sværere at få ud, end de der dedikerede låsedimser. Man er stadig fucked hvis laptoppen ryger ud af ens varetægt i blot få minutter, men det kræver dog at angriberen har en fladtang eller lignende med i lommen :-)

  • 0
  • 0
Log ind eller Opret konto for at kommentere