Foro de elhacker.net

Buenas a todos,

Con la llegada del verano y del tiempo libre me he propuesto el reto de coger un ordenador portátil y configurarle varias capas de seguridad para intentar hacerlo lo más inaccesible a terceros que sea capaz.

Es un proyecto que voy a iniciar como hobby y sin ningún fin en concreto, así que no tengo prisa (más bien al contrario, cuanto más tarde en acabarlo más tiempo me mantendré ocupado), así que probaré varias combinaciones. De todas maneras quería contar con la opinión de gente más experta en esta materia que yo (que apenas sé nada).

De momento lo que tengo anotado sobre el papel es lo siguiente:

1. Comprar un ordenador portátil nuevo para evitar que contenga información de usuarios anteriores. No necesariamente un portátil con unas grandes prestaciones, con uno de gama media-baja creo que sería suficiente.

2. Formatearlo e instalarle windows XP (que es el SO con el que más experiencia tengo) configurándole dos particiones: una para el SO y otra para almacenar archivos.

3. Configurar la BIOS para arrancar desde el HDD y no desde el CD-ROM. Configurarle además una contraseña a la BIOS para que el posible intruso lo tenga más difícil para cambiar lo anterior.

4. Cifrar el SO con TrueCrypt.

5. Configurar una contraseña de windows de más de 14 caracteres para evitar que un posible intruso se la saltase con ophcrack o similares (suponiendo que se hubiese podido saltar primero la pass del TrueCrypt).

8. Instalar en la partición del SO programas como TOR e incluir un programa que permita cambiar la dirección MAC del equipo.

7. Congelar la partición del SO con una versión reciente del DeepFreeze para evitar daños o espionaje por malware y también para evitar que se almacenen en el equipo datos de los usuarios como logs, cookies y demás huellas.

8. Cifrar completamente la partición destinada al almacenamiento de datos con TrueCrypt. Asimismo, no almacenar datos sin cifrar dentro de ella: es decir, guardarlos a su vez en sub-contenedores cifrados con TrueCrypt, CryptoExpert o similares. La ventaja de esto es que al acceder a la información no sería necesario descifrar toda la almacenada, sino solo la pequeña porción de ella que sea necesaria, dejando al resto protegida en sus respectivos contenedores.

Había pensado también en usar la característica de windows que permite configurar un pen drive como una llave física sin la cual no es posible acceder al SO, pero después he pensado que prefiero que sería más un estorbo que otra cosa, y que prefiero que el ordenador sea autosuficiente y no dependa de nada más.

Sé que tanto nivel de seguridad es innecesario y además un engorro, pero con este proyecto no pretendo hacer un portátil cómodo de usar, lo que quiero es que en él se puedan guardar datos a prueba de bombas, así que después de todo lo anterior mis preguntas son:

1. ¿Qué más podría hacer para darle más seguridad al equipo?
2. ¿Alguna de las ideas que se me han ocurrido hasta ahora es tan simple de saltar que no merece la pena incluirla?
3. ¿Alguna de las ideas que se me han ocurrido se podría sustituir por otra más efectiva?
4. ¿Alguna otra sugerencia?  :silbar:

Se agradecen todas las respuestas por adelantado  ;-)

Hola corax. Soy nuevo en el foro.

Te comento lo que he hecho yo para algunas de mis cosas, empecemos por las pijerías. En primer lugar, mantener todo el software actualizado, abosultamente todo. Después, las contraseñas de correo por ejemplo, tendrán unos 25 caracteres, números, símbolos raros, etc etc.

Y ahora lo importante: tengo instalado un firewall, el COMODO FIREWALL, que es mejor que el de windows, no es una maravilla, pero mejor que nada, y para los que quieran configurarlo le he puesto contraseña, al igual que el antivirus, avast. El antivirus tampoco es gran cosa, es el gratuito, pero como tengo experiencia y sé lo que no debo abrir/hacer, me da un poco igual, lo tengo por si acaso.

La contraseña de windows 7 tiene unos 31 o 32 caracteres, también raros, y más cosas. He puesto una tan larga porque así, si en un caso hipotético me cogieran el hash y la entrada del registro, tardarían bastante. Y por ejemplo, el correo de outlook va cifrado, google va cifrado, había pensado poner la tabla ARP fija pero como cambio constantemente de lugar (tengo un portátil) no me conviene. Pero bueno, en casa nadie me puede envenenar la red, además de que la contraseña e la red tiene unos 56 caracteres, y eso que no me dejaba poner más que sino...

Ahora las preguntas que tengo son:
#Aunque le pongas una contraseña a la BIOS, pueden seguir accediendo por la "contraseña predeterminada" que pone el fabricante, y que ya están colgadas en internet.
#En cuanto al true crypt, es un poco arriesgado cifrar el SO, no? Además, yo que ahora tengo unos 120GB ocupados, tardaría una eternidad. Y si en un caso hipotético un virus te eliminara archivos de true crypt, la cagarías. Encima, cuando tienes truecrypt cifrando el SO, cuando instales algo por ejemplo, tarda mucho.
Pero, y si quieres copiar algo cifrado de tu disco duro a un pendrive, se pasaría cifrado?

Contestando a tus preguntas, lo que haría yo sería:
#Firewall y antivirus (NO los de windows), protegidos por contraseña
#Contraseña de windows de más de 25 caracteres, y cuanto más rara mejor
#Contraseña BIOS
#Router bien configurado
#Conexiones cifradas (google, fcebook, hotmail, etc).

Más cosas, que si me vienen a la cabeza las diré.

Con 31 caracteres de password no es que "tardarían bastante", es que sería imposible xD

Con 14 caracteres vale ;)


Es muy tonto tener un portatil así de seguro y decir que un virus te va a borrar el truecrypt xD Es como una contradicción xD

En fin, no es sólo la configuración del SO, sino también de los programas. Por ejemplo, si usas Firefox, tendrás que usar AdBlock, Noscript y cosas así, bloquear todas las cosas peligrosas y dudosas y no confiar en nada a priori.

Cuando descargues algún archivo potencialmente peligroso (un ejecutable o algún zip o no sé qué) hacerle un chequeo con alguna herramienta online como virustotal.com

Tener passwords seguros y diferentes para cada cosa y sitio. Puedes usar algún gestor de passwords para eso..

Como siempre, cuanta más seguridad, menor comodidad de uso.

Saludos.

Es una gran idea, no se me había ocurrido. Estaría bien meterle uno.

Es cierto. Pero como el reto es hacer el ordenador lo más seguro posible... la comodidad no es algo que importe realmente  :xD

En realidad pensaba hacer todo lo contrario para ahorrarle recursos al ordenador. Es decir, el objetivo es que en él se puedan crear y almacenar documentos con un alto grado de seguridad, por lo que había pensado en hacerle una buena configuración y después meterle el DeepFreeze para que todo se quedase exactamente como lo hubiese dejado.

Sip, a contraseñas más largas más seguridad, pero como el correo, las redes sociales, etc, son servicios externos al ordenador es algo que se sale del proyecto. Había pensado en configurarle al navegador la página de hushmail como página de inicio, pero las utilidades externas mejor las dejo para cuando el resto esté preparado.

Lo mismo de antes, para ahorrar recursos no le pondría ni antivirus ni firewall ni antispyware ni ninguna otra herramienta de seguridad. En mi ordenador personal tengo unas medidas de seguridad muy parecidas a las tuyas y es cómodo trabajar con ellas, pero en este proyecto pretendo sustituir el antivirus (consume recursos, depende de actualizaciones de la base de firmas) con el DeepFreeze: si el ordenador se infecta o si alguien explota en él alguna vulnerabilidad por culpa de software no actualizado... reiniciar y solucionado  :xD

Una de las cosas que más me gustó del TrueCrypt es que permite cifrar el SO (sin riesgo, claro, si no no tiene sentido), y antes de arrancarlo obliga a descifrarlo con la contraseña correspondiente, de lo contrario no se monta y no se puede arrancar.
En el post original debería haber especificado que la partición del SO no va a tener más de 10GB (y aún así me parecen demasiados): lo justo para el SO y unos cuantos programas básicos (para escribir en word y poco más). Sin videojuegos, sin compiladores, y sin nada del estilo. Y con el resto de datos personales almacenados en la segunda (o segunda y tercera) partición.

Lo que me gustaría conseguir es una configuración básica y simple que funcione bien, cifrarla con el TC y meterle DeepFreeze y que de ahí no se mueva. Cuanta más seguridad mejor.

Depende, es una de las cosas que más me gusta. Si quiero copiarlo cifrado copio el sub-contenedor cifrado, y si lo quiero copiar descifrado, monto el contenedor y copio el contenido. Además, para un prototipo de ordenador como este, usar conjuntamente un pen drive con cifrado por hardware sería bastante divertido.  :silbar:

Decidme si se os ocurre algo más.

Gracias a los dos por las respuestas!

Es muy interesante lo que propones desde luego, pero te diré (o recordaré) que el eslabón más débil del tema de la seguridad son las personas.

Tener un ordenador muy seguro puede ser interesante para practicar y darte cuenta de las cosas, pero más que tener software actualizado y contraseñas, en la vida real es más práctico pensar en políticas de seguridad y seguirlas, que es lo que les cuesta a muchos.

Un saludo!

Saludetes;)

Implementa también herramientas de borrado seguro de ficheros y directorios.

Además, no utilizar antivirus o antimalware me parece una temeridad: aunque uno sea todo lo cuidadoso que quiera, nunca sabe "qué bichitos" acompañarán tal USB que introduzco en mi ordenador, tal página que pensaba era segura, tal... y una vez infectado, hasta el siguiente reinicio tu portátil estará infectado: Todo lo que introduzcas se infectará, si tienes algún directorio o partición sin congelar corres el riesgo de que la infección se instale ahí... Aunque siempre puedes correr tu sistema operativo en una máquina virtual y experimentar primero en ella para ver qué ocurre y después hacerlo en tu sistema-base-ultraseguro. También puedes pensar en utilizar alguna sandbox o similar (se me ocurre a bote-pronto) y alguna herramienta que monitorice el registro de tu windows o en todo caso que saque "imágenes" periódicas del mismo, por conferirle una mayor seguridad...

Aunque todo lo que pides y mucho más lo tienes de serie en Linux. Casi te diría que si te animas, reserves espacio para una distro de linux y habilites un arranque dual protegido para experimentar "ambos sabores" ;)

Espero que te sirva de ayuda

Es más Mordor , tiene mucha razón , en base a linux me pasaron un JDownloader portable y el antivirus en debian , me detectaba cómo malware un archivito que llevaba , lo limpia el JDownloader para dejarlo bién operativo sin bichitos maléficos y demás y listo en espera para descargar cómo tiene que ser.Cuidado que cómo esos bichitos , hay muchos y aunque sean guindoleros , pueden ser también para la plataforma GNU/Linux. :-*

NO EXISTE LA SEGURIDAD 100%.

De lo que ya te han dicho en tú entorno windows yo probaría a instalarle , cómo firewall , wipfw. :-*

Y cómo dice Rando , la seguridad no será 100% pero puedes llegar incluso al que es una cifra bastante buena. :-*

PD : Y Randomize no pongas esa cara , miauuuuuu. :-*

Cerrándolo en una habitación inaccesible y sin internet, es posible  ;-)

Muy buena idea, me la apunto.



Después de leer lo anterior veo que meterle una sandbox no está de más. Prefiero prescindir de antivirus (he visto ya unos cuantos ordenadores con AV + DeepFreeze y es casi doloroso ver como cada vez que se inicia el sistema el antivirus se pone a bajar una base de datos de firmas inmensa porque cada día se aleja más la fecha en que se congeló el equipo de la fecha de la última actualización).

Por supuesto, la función de autorun sería de lo primero que le desactivaría al sistema, que con los pen drives nunca se sabe.

Te tomo la palabra, aprovechando que tengo tiempo probaré a hacerle perrerías a una distro de linux en una máquina virtual. Hace tiempo que quiero probar a hacer algo así, pero nunca me lo había propuesto de verdad.

Veré qué tal funciona, aunque reconozco que no me importaría configurarlo para que simplemente se pudiese acceder a la página del correo y a poco más. La idea original se me ocurrió pensando en un sistema preparado para trabajar de manera segura creando, editando y almacenando documentos sensibles en local. Para Internet, además de meterle TOR no se me había ocurrido mucho más.

Jajaja, con el 99% de Jenag me conformo  :xD

Qué gran verdad... las cosas irían mejor si la gente fuese más consciente de lo que tiene entre manos cuando coge un ordenador.  :silbar:
Como dices, este es un proyecto para experimentar y poner cosas en práctica sobre todo, a mi ordenador personal no le metería ni la mitad de la mitad de lo que le quiero meter a este, sería demasiado incómodo trabajar con él, y no tengo información tan sensible como para que que merezca la pena el esfuerzo.

Gracias a todos por contestar. Si a alguien se le ocurre algo más, sigo abierto a sugerencias.

No entiendo por que usar un sistema operativo de Microsoft windows xp si esta claro que Microsoft espia a sus usuarios a travez de sus sistemas operatio el ordenador portatil no seria tan ultraseguro de esa forma