Embed Size (px)
Citation preview
Einführung Laptop-Hardware Ubuntu einrichten
Einen sicheren Laptop mit Ubuntu einrichten
Stefan Schumacher
sicherheitsforschung-magdeburg.destefan.schumacher@sicherheitsforschung-magdeburg.de
30.04.2016
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Über Mich
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Über Mich
Geek, Nerd, Hacker seit knapp 20 JahrenBerater für Finanzinstitute, Regierungen,SicherheitsbehördenDirektor des Magdeburger Instituts fürSicherheitsforschungForschungsprogramme zur UnternehmenssicherheitHerausgeber des Magdeburger Journals zurSicherheitsforschungwww.Sicherheitsforschung-Magdeburg.de
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Schulungs- und Beratungsangebote
Sicher unterwegs im InternetAnonymität und Überwachung im InternetSecurity Awareness Kampagnen konzipierenNetzwerke absichern/Penetration TestingDie psychologischen Grundlagen des Social EngineeringsDer digitale Untergrund: zur aktuellen Bedrohungslage imInternetKryptographie - Konzepte, Methoden und AnwendungenStrategien im WirtschaftskriegSelbstschutz in Krisengebieten
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Informationstechnologie und SicherheitspolitikSambleben, J. und Schumacher, S. (Herausgeber)
sicherheitsforschung-magdeburg.de/buecher.html
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Jahrbuch Terrorismus 2013/2014Hansen, S. und Krause, J. (Herausgeber, Institut für Sicherheitspolitik Kiel)
Stefan Schumacher:Cyber-Terrorismus:Reale Bedrohung oder Mythos?S. 159 – 180
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Stefan Schumacher and René Pfeiffer (editors)In Depth Security – Proceedings of the DeepSecConference360 PagesMagdeburger Institut für Sicherheitsforschung978-3981770001http://www.amazon.de/Depth-Security-Stefan-Schumacher/dp/3981770005/ref=sr_1_1?ie=UTF8&qid=1448888706
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Inhaltsverzeichnis
1 Einführung
2 Laptop-Hardware
3 Ubuntu einrichten
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Bedrohungslage
Schadsoftware greift Rechner anmobile Rechner gehen verloren oder werden gestohlenManipulationen einfach möglich bei physischer KontrolleDaten abschöpfen im HotelTrojaner aufspielen bei »Zollkontrolle«sensible Daten schützen
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Warum Linux?
kostenlos, frei, offenOpen Source - Backdoors verstecken schwierigUnix-Sicherheitsmodellgute Hardwareunterstützungvielfältige Software verfügbar
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Warum Ubuntu?
Ubuntu recht einfach nutzbarunterstützt von Canonicalviele Anwendungen verfügbar2 Releases pro Jahr (.04 und .10)LTS mit 5 Jahren Laufzeit (16.04., 14.04, 12.04)Alternate Install/Server existiert
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Abwägung Aufwand und Kosten vs. Bedrohung undSicherheitWas bedroht mich?Risikoanalyse!Grundlage der Journalistenschulung für Syrien
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Inhaltsverzeichnis
1 Einführung
2 Laptop-Hardware
3 Ubuntu einrichten
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Hardware
professionelle Laptops mit ordentlichem BIOS/UEFILenovo Thinkpad, Dell Latitude, HP ElitebookThinkpad-BIOS besonders geschütztBIOS: User, Admin und Festplattenpasswort setzengebrauchten Wegwerflaptop/Netbookz.B. LapstoreHardwaremanipulationen existieren - Rechner nicht ausden Augen lassen
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Hardware
SSD: Samsung 850 Pro 1TB ab 360 EuroSSD: Samsung 850 Evo 1TB ab 260 EuroSSHD: Seagate ST1000LM015 1TB ab 85 EuroHardwareverschlüsselung in AESimmer aktiviertFestplattenpasswort im BIOS setzencf: OPAL TCG
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Hardware
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Inhaltsverzeichnis
1 Einführung
2 Laptop-Hardware
3 Ubuntu einrichten
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Ubuntu Download
http://www.ubuntu.com/download/server
Ubuntu Server 16.04 LTSMinimal-InstallationAnwendungen per Internet nachinstallierenInstallation per CD/DVD oder USB-Sticknur Ubuntu auf Platte sehr einfachDualboot komplexer, nicht empfohlen
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Verschlüsselung
Verschlüsselung der gesamten Festplatte (LVM LUKS)Verschlüsselung von user durch ecryptfsVerschlüsselung beliebiger Verzeichnisse durch encfsVerschlüsselung einzelner Dateien durch mcrypt,OpenSSL oder GnuPGsicheres Passwort!min. 12 Zeichen, Groß/Kleinbuchstaben, Ziffern,Sonderzeichen, keine Wörter aus dem Wörterbuch
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Verschlüsselung
Verschlüsselung der gesamten Festplatte (LVM LUKS)Verschlüsselung von user durch ecryptfsVerschlüsselung beliebiger Verzeichnisse durch encfsVerschlüsselung einzelner Dateien durch mcrypt,OpenSSL oder GnuPGsicheres Passwort!min. 12 Zeichen, Groß/Kleinbuchstaben, Ziffern,Sonderzeichen, keine Wörter aus dem Wörterbuch
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Verschlüsselung
Partitionierung: /boot (1GB), Swap (RAM), / (Rest)3 Partitionen/boot unverschlüsselt, beinhaltet Startsystem/ wird per LVM und dm-crypt verschlüsseltSwap ist Auslagerungsspeicher, wird verschlüsselt mitZufallspasswort
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Verschlüsselung
Geführt - gesamte Platte mitverschlüsseltem LVM
Manuell
http://wiki.ubuntuusers.de/System_verschlüsseln/Alternate_Installation
/ kann kaum mehr manipuliert werden, /boot schon/boot auf USB-Stick verschiebenkann auch für USB-Sticks oder USB-Platten eingesetzt
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Verschlüsselung
eCryptFS: verschlüsselt das Benutzerverzeichnis(/home/stefan/)verschlüsselt im Dateisystem, Passwort automatisch ausUser-Passwort abgeleitetwird automatisch bei der Installation mit eingerichtetNutzung transparentschützt aber nur Nutzerdateien, nicht Systemdateien
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Verschlüsselung
encfs: verschlüsselt ein beliebiges Verzeichnisverschlüsselt im Dateisystem, Passwort muss übergebenwerdenmuss nachinstalliert werden (apt-get -y install encfs)kann beliebig ineinander gestapelt werden
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Beispiel
Kunde1 | Kunde2 | Kunde3 | Buchhaltung jeweils mitencfsverschlüsseltes /home/stefan mit eCryptFSFestplattenverschlüsselung LVMhardwareverschlüsselte SSD/SSHD
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
externe Datenträger
USB-Stick oder SD-Karte verschlüsselnDateisystem mit LUKSVerzeichnisse mit encfssensible Daten auslagernSD-Karte im Portemonnaie mitführen
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Live-Systeme
starten von CD/DVD oder USB-Stickfassen Festplatte nicht ankönnen ständig mitgeführt werdenTAILS: https://tails.boum.org/download/index.de.htmlc’t Surfix: http://www.heise.de/ct/projekte/c-t-Surfix-Sicher-im-Web-1380126.html
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Dateien verschlüsseln
mcrypt, GnuPG, OpenSSLGnuPG hat standardisiertes Formatportabel und austauschbar: Linux, *BSD, OS X, WindowsOpenSSL recht weit verbreitetDateien in tar-Ball packen, verschlüsseln und im InternetablegenNach der Einreise auf Laptop ziehenvor Ausreise wieder löschen
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Datensicherung
Backups! Backups! Backups!Offline, Offsite, Archiv!Verschlüsselntar cpf Backup-‘date +%y%m%d%H%M‘.tar/home/.ecryptfs/stefan/
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Manipulationen erkennen
Fingerabdruck des Systems erstellenAIDE automatisiert diesDatenbank von /boot erstellen und vergleichen/etc /bin /sbin /usr/bin /usr/sbin
Nach jedem Update aktualisierenPrüfung nicht im Live-System sondern via CD/Stick
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Manipulationen erkennen
chkrootkit: Scannt nach Anzeichen von Rootkitsclamav: freier Virenscannerregelmäßige Scans sinnvoll, aber von Live-CD/Stickkönnen nicht alle Schadsoftware erkennec’t Desinfec’t
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Anwendungen
so wenig wie möglich installierenregelmäßig updates einspielen - sofortLibreOffice als Ersatz für MS Officenach Möglichkeit vermeidenDesktop Environments (KDE, Gnome, LXDE etc.) meiden
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
VPN
Virtual Private Network - verschlüsselt Verbindungzwischen Laptop und ServerServer zu Hause oder im UnternehmensnetzLaptop kann auf Unternehmensserver etc. zugreifenServer einfach einrichten z.B. Raspberry PI mit Raspbian,PC mit Ubuntu oder Hardwarelösung (Fritzbox, ASUS)Miet-Lösungensichert Verbindungen ins Internet abumgeht Zensurmaßnahmen im Interneteventuell verboten und geblocktUpdates möglichst bei VPN-Verbindung einspielen
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Himbeerkuchen
Abbildung : Raspberry PI
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Anonymität mit TOR
Internetverbindungen zurückverfolgbarTOR anonymisiert diese durch kaskadierende ProxysAnwender - Tor1 - Tor2 - Tor3 - WebseiteTor Browser BundleTorBox/Whonix: Virtuelle MaschineTAILS: USB-Stick oder Virtuelle Maschine
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Browser
zentrales Einfallstor für SchadsoftwareChromium derzeit am sichersten, AddBlocker installieren(µBlock)Midori ist klein und schnellauf Flash, Java und Javascript möglichst verzichtenggf. mehrere Browser einsetzen
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
OwnCloud
OwnCloud: eigenen Cloud-Server aufsetzenkann z.B. Google auf Android ersetzen, iOS App verfügbarKalender, Aufgaben, Adressbuch, Dokumentenverwaltungetc.Keine Auslieferung der Daten an Google, Apple, Dropboxund Co.Betrieb mittels VPN zusätzlich absichern
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Virtuelle Maschinen
VirtualBox https://www.virtualbox.org/Open Source, Virtuelle MaschineLinux, Windows, Android, FreeBSD, NetBSD ...virtuelle Maschinen voneinander abgrenzen
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
AppArmor
Kernelmodul, steuert Zugriffsrechte der Prozesseautomatisch installiertProfile für bekannte Programme existieren und werdenautomatisch eingerichteteigene Progile können erstellt werdensichert insbesondere komplexe Programme (Thunderbird,Evolution)
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
U2F Unterstützung
Google, Dropbox, Github, PAM,Wordpress, Django, Ruby on RailsOpenSSH, Login, OpenVPN, FreeRADIUS via PAMLastPass, Dashlane, Password Safe, Passpack, PasswordTote, pwSafe, KeePass
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
U2F Unterstützung
Google, Dropbox, Github, PAM,Wordpress, Django, Ruby on RailsOpenSSH, Login, OpenVPN, FreeRADIUS via PAMLastPass, Dashlane, Password Safe, Passpack, PasswordTote, pwSafe, KeePass
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
Web.de unterstützt U2F nicht
OATH-HOTP im Yubikey Personalization Tool einrichten,Secret Key generierenKeePass installieren und einrichten, Plugin OtpKeyProvinstallieren, Secret Key hinterlegensicheres Passwort für Keepass vergebenZufallspasswort (256HEX Bit) generieren und bei Web.deeintragen09137f0ac6627f9e94e2af2342d2610bf20ff0ee929114d27b3629e3823e11ea
KeePass mit dem Webbrowser via Plugin verbindenKeePass-Datenbank mit Passwort und Tokenentschlüsseln, Browser holt User/Passwort für Web.de viaPlugin aus DB.
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
Einführung Laptop-Hardware Ubuntu einrichten
sicherheitsforschung-magdeburg.de
stefan.schumacher@sicherheitsforschung-magdeburg.desicherheitsforschung-magdeburg.de/publikationen/journal.html
youtube.de/Sicherheitsforschung
Twitter: 0xKaishakuninXing: Stefan Schumacher
Stefan Schumacher sicherheitsforschung-magdeburg.de
Einen sicheren Laptop mit Ubuntu einrichten
