Ecco la seconda parte dell’articolo su come proteggere il notebook di un viaggiatore.
Nella prima parte ci siamo occupati del file system e di come criptarlo per scoraggiare gli hacker a tentare di forzarlo.
In questo post vedremo come aggiungere ulteriori “intoppi”, come settare alcune password, sulla strada di eventuali malintenzionati che vogliono accedere al nostro notebook.
Fase quattro: proteggere il BIOS con password
Questo passaggio può variare da sistema a sistema, quindi è necessario consultare la documentazione del produttore del tuo notebook su come avviare il BIOS del vostro portatile e su come impostare una password di amministratore.
Questa funzionalità di inserimento password dovrebbe essere di default sulla maggior parte dei BIOS moderni.
Una volta trovato il menù giusto (solitamente sta sotto Sistema o Protezione), andare avanti e impostare una password, che può essere anche diversa da quella usata per criptare il filesystem (che deve essere davvero forte), ma il consiglio è che sia comunque robusta e sicura.
Una precisazione: cerca di imparare la password a memoria in quanto se la perdi non sarai più in grado di entrare nel BIOS.
Fatto tutto non riavviare ma rimani nel BIOS per il passo successivo.
Fase Cinque: cambiare l’ordine di avvio per il boot dal disco rigido
La ragione per cui abbiamo impostazione la password di amministratore del BIOS è semplice: vogliamo sempre che la prima opzione di boot sia sempre il disco rigido, piuttosto che floppy, CD-ROM, rete o USB.
Questa fase è importante per evitare il cosiddetto attacco della cameriera malvagia (evil maid attack). Di cosa si tratta?
Per compiere questo attacco è necessario disporre materialmente del portatile, che potrebbe essere lasciato incustodito in una camera d’albergo (da qui il nome).
Consiste nell’estrarre la passphrase necessaria per decifrare il disco criptato nei passaggi precedenti, infettando la partizione in chiaro che contiene il kernel di boot, con un tool adatto.
Il tool deve però essere lanciato all’avvio (da chiavetta o da DVD), uindi, se il tuo computer portatile ha l’avvio da HDD come prioritario e il BIOS è protetto da password, questo è un buon deterrente contro i malintenzionati.
Ma perché?
È facile capirlo: se un hacker vuole rimuovere questa password BIOS si troverebbe costretto a smontare il portatile per arrivare alla scheda madre, e resettare la flash del BIOS.
Un’operazione abbastanza complicata, non trovi?
Beh, se per caso ti è mai capitato di doverlo fare, saprai certamente che è un’operazione tutt’altro che semplice e richiede parecchio tempo.
Un buon attaccante, per definizione, è paranoico nei confronti del tempo perché non deve sprecarne per non farsi beccare.
Se questo significa spendere tre ore per smontaggio un computer portatile solo per aggiornare il BIOS, in modo che possa installare il bootloader personalizzato e un keylogger, le probabilità che passi a un’altra potenziale vittima sono alte.
Passo sei: doppia cifratura o assenza di dati
Molti sistemi operativi supportano la crittografia file e directory all’avvio del filesystem stesso.
Questo significa che puoi avere una directory cifrata nella tua cartella home, o dovunque conservi i tuoi preziosi dati.
Nel caso in cui un hacker riesca a ottenere l’accesso al vostro file system cifrato in precedenza, si dovrà scontrare con una nuova cifratura per venire in possesso dei file più importanti.
Ma, tenere questo tipo di dati sensibili sul disco potrebbe non essere saggio, anche se è crittografato, quindi, sarebbe meglio avere i dati su un disco USB (anch’esso cifrato a sua volta): la tua unica preoccupazione dovrebbe essere poi di non perdere tale unità.
Come alternativa, esistono delle soluzioni (già attive in alcune aziende) dove i dipendenti hanno solo desktop virtuali nel datacenter mentre i dati sono conservati fuori dal computer portatile.
In questo modo si può avere accesso alla macchina anche da remoto, via VPN o RDP, per accedere al proprio desktop a distanza, senza necessità di avere dati conservati in drive locali.
Così, il portatile diventa un semplice terminale, senza alcuna necessità di memorizzare un singolo un singolo file.
È il cosiddetto smartworking del quale abbiamo già parlato in un precedente articolo.
Ci sono alcune controindicazione, come ad esempio l’assenza di accesso a Internet, o se il datacenter è irraggiungibile, tuttavia per chi utilizza il portatile in viaggio è un’ottima innovazione anche in termini di sicurezza.
Alcuni hotel potrebbero avere un WIFI scadente, ma la sicurezza dei dati è al primo posto!
Immagine: Designed by Freepik