Sia per lavoro che per svago, ho l’abitudine di viaggiare in tutta Italia – e spesso all’estero – portando con me il mio notebook, per continuare a lavorare sui miei progetti.
Il mio portatile è, dunque, il mio inseparabile compagno di viaggio.
Tempo fa mi trovavo all’aeroporto di Berlino, collegato al WiFi pubblico, immerso in uno dei miei progetti sulla sicurezza aziendale quando mi venne alla mente qualche domanda.
Come professionista che opera nel campo dell’informatica e che ne conosce tutti i rischi correlati, posso dirmi sufficientemente protetto quando porto il mio notebook in viaggio con me?
Posso affermare che i miei dati siano al sicuro, anche se collegato a una rete wireless aperta?
Così ho deciso di scrivere questo articolo, una guida semplice e pratica per proteggere il notebook.
Ecco quindi i consigli utili a chi, come me, è abituato a portare con sé il suo fedele compagno di viaggio (che io ho chiamato Phoenix, quell’animale mitologico che risorge sempre dalle sue ceneri) e vuole salvaguardarne l’integrità dei dati e la sicurezza.
Proteggere il notebook nei luoghi pubblici
Prima di iniziare, una precisazione: questo post non ha la pretesa di essere un metodo totalmente infallibile per sconfiggere gli aggressori.
La sicurezza informatica non è uno strumento, bensì un processo comprendente diversi accorgimenti, tecniche e attività che danno la “ragionevole certezza” di poter evitare guai.
Ma se un utente malintenzionato riesce ad avere accesso fisico a un computer, è molto facile che l’integrità e l’accesso ai dati vengano compromessi.
Lo scopo di questo articolo è far sì che abbia la vita così complicata da indurlo a cambiare obiettivo.
Credi davvero che sia sicuro usare il tuo notebook in aeroporto?
Ulteriore raccomandazione prima di addentrarci nella configurazione della sicurezza del notebook è quella di avere un backup dei dati.
Dobbiamo effettuare tutto questo “partendo da zero” con l’hard disk vuoto o con un portatile nuovo che ancora non è stato utilizzato.
Partiamo!
Fase uno: preparare il disco rigido e sua cifratura
L’obiettivo di questa fase è quello di installare un filesystem criptato e per fare ciò è necessario procurarsi un DVD di installazione di Debian/Ubuntu/Fedora/OpenSUSE.
Al fine di effettuare completamente questa fase (preparazione disco rigido e sua cifratura) è necessario generare dei dati casuali per l’intero disco, attività che può richiedere parecchio tempo.
La mia esperienza mi ha insegnato che i drive dei dispositivi portatili di lavorano a 30Mbps, quindi per un disco da 300GB, servono poco meno di 3 ore.
Stiamo parlando di disco SATA, per SSD le velocità ovviamente cambiano.
Ma perché lo facciamo? Lo scopo è quello di confondere l’attaccante.
Infatti, se l’intero disco è scritto con dati casuali – o pseudocasuali – sarà praticamente improbabile determinare dove inizia il filesystem criptato e dove finisce.
Alcuni strumenti per l’installazione di del sistema operativo integrano già questo passaggio – come ad esempio il programma di installazione di Debian/Ubuntu/Fedora/OpenSUSE – ma la maggior parte degli altri vendor (Microsoft, Apple) non hanno questa opzione.
È quindi necessario procedere con le azioni descritte successivamente.
Ci sono molti programmi che effettuano la scrittura di dati casuali o pseudocasuali sull’unità. I migliori sono:
- DBNA
- Boot di Derik
- Nuke
Quest’ultimo è generalmente utilizzato per distruggere dati, ma in questo caso, lo useremo per la preparazione dei dati.
Scarica il CD live, masterizzalo o copialo su una chavetta, e riavvia il computer.
Il comando generico è:
sudo dd bs=4MB if=/path-iso-live.x.y.z-w.iso of=/dev/sdd
Se vuoi ulteriori informazioni su questo argomento leggi l’articolo Install distro.iso on USB key from command line (in inglese).
Quando il software parte, seleziona PRNG Stream dal menu.
In questo modo verranno scritti dati pseudocasuali sul disco 4 volte.
Una volta terminato, riavvia.
È importante notare che la procedura Quick Erase farà un solo passaggio di zeri cosa da evitare: stiamo cercando di scoraggiare gli aggressori non dando loro i confini del nostro filesystem criptato!
Se scegli Quick Erase mostrerai chiaramente dove sono quei confini, quindi assicurati che questa opzione non sia selezionata.
Invece di usare un software come i tre precedenti ed in particolare NUKE, potresti utilizzare il terminale.
Criptare da terminale Linux
Se hai familiarità con Linux live CD, è possibile avviare in un ambiente live, come Knoppix, far partire un terminale ed eseguire il seguente comando (supponendo che l’unità si sta preparando sia /dev/sda):
dd if =/dev/urandom of =/dev/sda
Questo comando è identico che usare uno dei software prima summenzionati per proteggere il notebook.
A questo punto parte la formattazione casuale, al termine della quale (a seconda delle dimensioni dell’unità, e in base a quanti passaggi di PRNG Stream scegli di fare), puoi riavviare e passare all’installatore del sistema operativo, se la procedura ti dà la possibilità di crittografare i file system, o in un programma separato per farlo.
Fase due: impostare volumi o partizioni e crittografare
Con il programma di installazione di Debian/Ubuntu/Fedora/OpenSUSE, e la maggior parte dei programmi di installazione di Linux, è possibile impostare le partizioni – o volumi logici – e crittografarle.
Una volta definito i confini del filesystem e sei pronto per crittografare e fare un ulteriore passaggio per proteggere il notebook.
A questo punto ti verrà richiesto l’inserimento un nome utente e una password.
Alcune utility di crittografia li usano come passphrase per l’algoritmo di cifratura: più sono complesse, maggior sicurezza del filesystem avrai.
Quindi, scegli una password robusta e sicura! (Presto scriveremo articolo per passwords sicure e robuste)
Fase tre: installare il sistema operativo
Che si tratti di Windows, Mac, Linux o qualunque altro sistema operativo che supporti i filesystem criptati, ora sei pronto a installarlo.
Segui la normale procedura di installazione del sistema operativo fino alla fine, riavvia, e installa gli ultimi componenti aggiuntivi (drivers, software, ecc) al computer prima di iniziare a scrivere o trasferire i dati.
Bene, a questo punto hai a disposizione un sistema operativo completamente criptato.
Anche se ci volessimo fermare qui, a questo punto sarebbe molto impegnativo per un attaccante impossessarsi dei tuoi dati.
Ma noi vogliamo andare oltre e proteggere il notebook ancor di più.
Quindi, stiamo per iniziare ad aggiungere ulteriori ostacoli lungo la sua strada e se l’hacker avrà una tale capacità di resistenza, tanto di cappello! 🙂
Ma è molto probabile che la maggior parte degli aggressori, di fronte a ciascuno di questi ostacoli, desisteranno e passeranno alla loro prossima vittima, invece di perdere tempo cercando di capire come fare per entrare nel tuo sistema.
Bene, a questo punto ti invito a leggere la seconda parte dell’articolo dove inseriremo alcune password per aumentare ulteriormente la sicurezza del tuo notebook.
Immagine: Designed by Freepik