Han stjal vores laptop - den skal findes!!

På arbejdet havde vi besøg for noget tid siden. En sort-klædt mand smuttede ind ad døren og tog en laptop med ud. Den var væk!
ØV! Vi har efterfølgende købt kensington wire-låse til vores udstyr, men misæren gav mig anledning til at tænke en del på hvordan man kan sikre ens computere, så man evt. kan spore hvor den er henne.
Laptoppen var en dyr mac, hvor vi skulle (set bakspejlet) have smidt noget alarm-software på.

Til Mac har jeg set på følgende programmer (bare rolig Linux-geeks - læs videre alligevel).

  • [iAltertU](https://sourceforge.net/projects/ialertu/) som er en bilalarm, der udnytter webcam til at tage billeder af tyven, og motion sensoren i en macbook til at detektere bevægelse. Gratis - perfekt program! Kan varmt anbefales. Dog har jeg lavet en hel del alarmer selv ved at komme retur fra frokost og f.eks. røre musen før alarmen blev deaktiveret ![Eksternt billede](http://www.version2.dk/uploads/smil3dbd4d6422f04.gif" alt=")
  • [Periscope](http://www.freeverse.com/apps/app/'id=7002) er meget lig iAlterU - reagerer også på lyd. Kommercielt program. Fint.
  • [Undercover fra Orbicule](http://www.orbicule.com/undercover/) er også et smart program. Når maskinen er blevet taget skal man registerere maskinen som stjålet, og næste gang maskinen går på nettet vil den begynde at sende billeder af tyven samt netværksinformation hjem. SMART. Desværre er jeg ikke 100% tilfreds, da alarmeringen skal ske FØR tyven kan nå at re-installere maskinen - ellers er der ingen reelt sikring her. ØV! Er det realistisk at man når at alarmere om tyveri før maskinen reinstalleres' Jeg er usikker der.

Jeg tænkte lidt videre, og vi lavede en ret nem sikringsmetode, som jeg gerne vil dele med jer. Ideen er at maskinen hvert minut, hvert 10. minut eller lign - og ved opstart - sender email ud til en mail-konto med netværksinformationer. Derefter er det (måske) muligt at opspore en stjålet maskine.
Nedenfor er mit script "/sbin/gohome" som skal kaldes i cron f.eks. hvert 10. minut og - meget vigtigt - ved opstart i /etc/rc.local (på Linux) og for OSX tilsvarende.
Jeg har (mis)brugt en særlig gmail.com konto til disse alarm-emails, som kommer væltende, da gmail er god til at modtage fra alle mulige underlige steder. Eneste minus er at man skal in og slette alle modtagne mails fra tid til anden. Gmail kan heldigvis vælge og slette samtlige emails i et hug.

Hvad får jeg ud af mit script?

  • Tid så man kan bevise hvornår tyven var på nettet.
  • Intern IP-adresse (ofte en NAT-adresse så den i sig selv kan ikke bruges)
  • Den eksterne IP-adresse - meget vigtig.
  • En traceroute fra maskinen ud mod internettet - her i forhold til en SSLUG-maskine, tyge.sslug.dk. Meget rar at have en vejviser tilbage til maskinen.
  • Liste af personer, der er logget ind. Den er ikke så vigtig - og faktisk kan det være en ide at have en gæste-konto konto på maskinen netop for at lure tyven til at kunne logge ind og bruge maskinen - samtidig med at der emailes IP-adresser ud. Gæstekontoen skal naturligvis balanceres op mod faren for andre misbrugstyper.

En variant af nedenstående er at droppe brugen af emails ud af maskinen, men i stedet bruge curl til at hente en URL fra en sikker server, hvor man i URL'en koder IP-adresserne ind, f.eks. ved at hente
http://sysadmin.version2.dk/'internIP=192.168.1.100'externIP=225.226.92.33
hvor de IP-adresser man overfører er kommet ud af http://myip.dk hhv. ifconfig nedenfor.

Jeg er spændt på at høre om I kan forbedre dette. Smid resultatet på http://pastebin.org - nedenstående script kan også findes på http://pastebin.org/26130

Ved nogen af jer om politiet ville reagere, hvis jeg mødte op med informationer om at jeg nu har sporet min stjålne laptop til en given IP-adresse?

/pto

I nedenstående script skal du ændre "Maskinnavn" til navnet på maskinen, og "ditnavn@gmail.com" til den email-konto, som skal modtage emails. Gem som /sbin/gohome eller lign. Kald det jævnligt fra cron.

!/bin/bash

echo "Internet IP" > /tmp/gohome
curl --url http://myip.dk | grep 'size="6"' | grep -v IP | sed 's/<[^>]*>//g' >> /tmp/gohome
date >> /tmp/gohome
echo "List of persons logged in" >> /tmp/gohome
who >> /tmp/gohome
echo "" >> /tmp/gohome
echo "Date:" >> /tmp/gohome
date >> /tmp/gohome
echo "" >> /tmp/gohome
/sbin/ifconfig >> /tmp/gohome
echo "" >> /tmp/gohome
traceroute -m 6 tyge.sslug.dk >> /tmp/gohome
cat /tmp/gohome | mail -s Maskinnavn_date +%Y%m%d:%H%M ditnavn@gmail.com
rm -rf /tmp/gohome

Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#7 Anonym

Med fare for at virker selvpromoverende, så har vi i RFIDsecs design indbygget mulighed for at en silent RFID kan aktiveres ved at overlades koden til politiet, dvs. så de kan checke stjålne varer uden at tyverisikringen sladrer om sin eksistens eller politiet begår invasive overvågning.

Samtidig er der mulighed for at aktivere en indbygget lost and found funktion, så man kan deponerer en engangslokaliseringskode, der kan aktiveres både af den part som finder enheden og den som savner den.

Ejeren kan selv i zero-knowledge (-baseret) protokol checke og lokalisere devicen hvis den er indenfor range af en reader, du kan adressere, dvs. du muliggør både egenstyring, efterlysning og tyverianmeldelse udenovervågning på en måde der let kan skalere hvis enheden virkelig er væk.

Modellen og teknologien er designet til at skalere og overføres til andre kommunikationskanaler. Man har bare problemet med andre kommunikationsprotokoller er rene overvågningsværktøjer som sikkerhedsmæssigt skaber en lang række sekundære problemstillinger.

Vi har jo ikke lyst til at gøre al teknologi til ukontrolabelt track and trace af mennesker og devices med de dertil følgende angrebsmodeller. Man overser ofte at kriminelle altid kan vende en overvågningsløsning til en angrebsmodel, e.g. et overvågningskamera med tilsluttet bombe som denoteres af ansigskengendelser af målet - for nu at overdrive pointen.

Mvh.

Stephan Engberg Priway

  • 0
  • 0
#8 Morten Krogh Andersen

I stedet for at sende en mail, ville jeg nok benytte curl til at kalde en webside som logger den ønskede information. Så slipper du også for at benytte myip.dk eller andre tjenester du ikke selv er herre over - webserveren får jo alligevel den eksterne ip. Denne løsning vil også virke gennem en http proxy.

Men en hw. løsning vil klart være at foretrække - det kræver bare mere end gps/rfid, hvis det skal give mulighed for tracking, da det jo kræver upload af data.

  • 0
  • 0
#9 Henrik Kramselund Jereminsen Blogger

Kensington er fint nok når man arbejder med computeren, og skal hente kaffe - eller er på konference.

Den er ikke stærk nok som sikkerhedsmekanisme til overnatning på bordet, når du går hjem.

Call home programmer er også ret naive, det skal være en meget dum tyv der ikke reloader maskinen.

Bevares der findes mange dumme tyve, men det er lidt spild af tid efter min mening.

  • 0
  • 0
#10 Henrik Kramselund Jereminsen Blogger

glemte lige at det med at åbne Kensington låsen med en toiletrulle er en ældre version af låsen. De nyere er sværere.

Til gengæld har andre også eksperimenteret med at rive i kablet/laptoppen og se hvor stor skaden bliver. I en Macbook Pro med aluminium er det nok en større skade, men i plastikkabinetter er det minimalt hvad der sker. I de tilfælde jeg har hørt om virkede laptoppen også fint bagefter.

Se http://www.f-secure.com/weblog/archives/00000317.html

  • 0
  • 0
#12 Bryan Rasmussen

Angående de forskellige RFID løsninger tilbudt, hvordan kan de bruges uden en stor distribution af readers?

Jeg synes lidt om det curl løsning, bare fordi jeg kan lige curl men selvfølgelige har den samme ulemper som de andre software-baseret løsninger, at en tyve kan gen-indstallere.

  • 0
  • 0
#13 Erik Trolle

Sådan som jeg har forstået løsningen er der en fælles server for Lommy fra Fasttrack og det er til den server man melder tingene som bortkommet, og kommer RFID enheden forbi bliver det rapporteret. Men du må ikke helt hænge mig op på det. Og jeg ved at Lommy'er solgt til mange lande.

  • 0
  • 0
#15 Peter Maersk-Moller

Jeg tror det er noget i den her stil i er ude efter......

http://www.comon.dk/index.php/forum/show/tid=63140

hvor stjålne laptops dukkede op i Saudi.

Her skulle registreringen også virke efter reinstallering af nyt OS.

Om det så virker med andet end Windows .... må stå hen i det uvisse. Men smart er det da. bare det virkede til min Mac, men bevares, Apple lever af at sælge hardware. Og bliver det udbredt, er det jo det første der skal besejres af de kriminelle, når de stjæler.

mvh.

Peter

  • 0
  • 0
#16 Jarnis Bertelsen

Der findes et produkt til at ændre Open Firmware (Mac'ernes svar på en bios på stereoider) så den gør noget i stil med hvad du gør fra dit script. Jeg fik en reklame for det på mit tidligere arbejde, men vi valgte ikke at købe det pga. prisen. Det kostede så vidt jeg husker ca. kr. 1.500,- ex moms, og da de fleste af vores bærbare var iBooks mente vi procentvis det var for stor en investering i forhold til indkøbsprisen.

Jeg kan ikke lige komme på produktets navn, og en hurtig google søgning gav mig det ikke, så jeg er ikke sikker på om det stadig findes. Er der nogen, der kan huske at have hørt om noget lignende?

  • 0
  • 0
#17 Martin Kofoed

Nu vi er ved emnet, så har jeg tit spekuleret over, om der er noget som helst sikkerhedsmæssigt at hente ved at slå passwordbeskyttelsen i BIOS til? Det afhænger naturligvis en del af producenten, men hvor let er det at zappe en passwordbeskyttet BIOS tilbage til factory defaults?

Det er sikkert endnu et område hvor daglige brugsmønstre vinder over sikkerhed (Hr. Jensens glemte password).

  • 0
  • 0
#18 Per Michael Jensen

Man kan altid resette BIOS'en, om ikke andet ved at fjerne backup-batteriet og kortslutte terminalerne på printet. Det kan kræve at der fjernes en del skruer fra kabinettet først.

Brug af BIOS password giver derfor ingen sikkerhed.

Mvh. Per

  • 0
  • 0
#19 Henrik Kramselund Jereminsen Blogger

Der er forskel på BIOS passwords, nogle typer - ofte kaldet "supervisor" password eller lignende kan IKKE fjernes ved at resette eller fjerne strøm/kortslutte batteri - de kræver kodeordet eller skift af bundkort.

Det fandtes specielt på IBM thinkpads, hvor der også er harddisk passwords på visse modeller. Med HD password skulle man enten finde en HD som havde nogenlunde samme elektronik, eller kende kodeordet for at tilgå data.

Så jo, visse typer BIOS passwords giver en god sikkerhed for at systemet ikke kan bruges af tyven, mens andre kan disables.

Jeg kan i en tråd som denne undre mig over hvorfor folk ikke lige googler en gang, eller evt. kigger i deres egen manual angående BIOS passwords. Så google er din ven, lad være med at tro på diverse tilfældige indlæg på version2.dk :-)

  • 0
  • 0
#20 Andreas Bach Aaen

Glem laptoppen. Det er ikke den der har værdi for firmaet. Det er dataene derpå. Hav en god backup strategi, krypter harddisken på laptoppen, så tyven med meget stor sandsynlighed ikke får noget ud af dataene. Hav en ordenlig forsikring, så I kan gå ud at købe en ny laptop og komme videre samme dag. Gænlæs lige denne 1½ år gamle historie - så ved du hvor vigtig backup er: http://www.business.dk/article/20060904/nyhedsoversigt/109040104/ Nedbrandt bygning. 80 medarbejdere tilbage på arbejde efter 10 dage. Flot!

  • 0
  • 0
#21 Stephan Henningsen

Hvis accelerometeret måler bevægelser tre dimensioner og ellers er præcist nok, kan man måske logge og udlede hvilken vej personen er løbet? Man kunne også scanne for accesspoints og slå op i en wardialer-database, og derigennem udpege laptoppens placering. Alt dette kræve naturligvis, at lappen kan ringe hjem og sladre.

  • 0
  • 0
#22 Søren Lund

Jeg lod mig inspirere af Dan Klein, der var hovedtaler på LinuxForum for nogle år tilbage.

Det kræver at man har en (egen) webserver. Her lægger man en tom fil (f.eks. pingme.txt) i webroot.

Så er en wget i cronjob alt der skal til:

*/5 * * * * wget -q http://server/pingme.txt?id > /dev/null

id kan udskiftes med navnet på laptoppen...

Så kan man hurtig se hvor man har været med en grep:

grep pingme /var/log/httpd/access_log

PS. der var da for nyligt en nyhed om en stjålen laptop, der blev fundet fordi den kørte SETI@home...

  • 0
  • 0
#24 Deleted User

De fleste tyve, tror jeg ikke, starter op på en stjålden PC, med en andens harddisk, og med netforbindelse. Enten hives netforbindelsen ud under opstarten, eller også reinstalleres computeren.

Det mest sikre, er at lave en script til at flashe din bios, således computeren ved hver opstart - uanset harddisken er udskiftes - sender dig en mail.

  • 0
  • 0
#25 Anonym

Peter,

Jeg er principielt enig i måden, du sætter spørgsmålet op. Vi vil gerne kunne stoppe systemet og fange bad guys (2 forskellige spørgsmål). Men vi er nød til at se dybere og længere i vores valg af tilgange til at håndtere disse.

Din tilgang er jo direkte i retning af "trusted computing" eller "treachorous" computing som det også er benævnt. http://en.wikipedia.org/wiki/Trusted_Computing http://www.lafkon.net/tc/

Det er ikke særligt smart at gøre overvågning deterministisk og f.eks. skabe alle muligheder for kommerciel lock-in (f.eks. låse reservedele og services til produktet)

Prøv at fokusere et øjeblik på hvordan dette kan misbruges mod dig - og design så de trusler UD af løsningen.

Det indebærer f.eks. helt banale forhold som at det et indbygget kamera eller mikrofon ikke må kunne optage og specielt ikke tilgås udefra FØREND du selv bevidst åbner herfor - ellers kan det let anvendes til intravenøs og automatiseret overvågning.af dig med diverse biometriske analyseværktøjer i hastig modning.

Generelt er det naivt at designe "sikkerhedsløsninger" som "stoler" på at de kriminelle ikke er indenfor murene allerede. Og selv om det måske virker en anelse paranoidt, så er det nemmere at gå ud fra at svagheder misbruges end at udvælge hvilke svagheder som er "acceptable".

Vi har i dag løsninger til hvordan man kan lave systemlåse kontrolleret af slutbrugeren som ikke kan overvåges, men der er mange hensyn der skal tages højde for.

Dette er ikke ment som en promovering af en bestemt løsning, men som at rejse opmærksomheden på tendensen til at løse et problem ved at skabe et større problem.

Vi ser alt for mange dårlige undskyldninger a la "det kan man allerede" på dette digtiale forureningsproblem.

Lad os få noget "Grøn IT", dvs. som ikke forurener de digitale miljøer med al mulige affaldsprodutker som de kriminelle, kommercielle og andre straks kaster sig over.

Ellers vil disse forberedelser for hændelser med lille sandsynlighed med nærmest statistisk garanti skabe langt større problemer end de trusler, de skulle beskytte imod.

  • 0
  • 0
Log ind eller Opret konto for at kommentere