Buenas a todos,
Con la llegada del verano y del tiempo libre me he propuesto el reto de coger un ordenador portátil y configurarle varias capas de seguridad para intentar hacerlo lo más inaccesible a terceros que sea capaz.
Es un proyecto que voy a iniciar como hobby y sin ningún fin en concreto, así que no tengo prisa (más bien al contrario, cuanto más tarde en acabarlo más tiempo me mantendré ocupado), así que probaré varias combinaciones. De todas maneras quería contar con la opinión de gente más experta en esta materia que yo (que apenas sé nada).
De momento lo que tengo anotado sobre el papel es lo siguiente:
1. Comprar un ordenador portátil nuevo para evitar que contenga información de usuarios anteriores. No necesariamente un portátil con unas grandes prestaciones, con uno de gama media-baja creo que sería suficiente.
2. Formatearlo e instalarle windows XP (que es el SO con el que más experiencia tengo) configurándole dos particiones: una para el SO y otra para almacenar archivos.
3. Configurar la BIOS para arrancar desde el HDD y no desde el CD-ROM. Configurarle además una contraseña a la BIOS para que el posible intruso lo tenga más difícil para cambiar lo anterior.
4. Cifrar el SO con TrueCrypt.
5. Configurar una contraseña de windows de más de 14 caracteres para evitar que un posible intruso se la saltase con ophcrack o similares (suponiendo que se hubiese podido saltar primero la pass del TrueCrypt).
8. Instalar en la partición del SO programas como TOR e incluir un programa que permita cambiar la dirección MAC del equipo.
7. Congelar la partición del SO con una versión reciente del DeepFreeze para evitar daños o espionaje por malware y también para evitar que se almacenen en el equipo datos de los usuarios como logs, cookies y demás huellas.
8. Cifrar completamente la partición destinada al almacenamiento de datos con TrueCrypt. Asimismo, no almacenar datos sin cifrar dentro de ella: es decir, guardarlos a su vez en sub-contenedores cifrados con TrueCrypt, CryptoExpert o similares. La ventaja de esto es que al acceder a la información no sería necesario descifrar toda la almacenada, sino solo la pequeña porción de ella que sea necesaria, dejando al resto protegida en sus respectivos contenedores.
Había pensado también en usar la característica de windows que permite configurar un pen drive como una llave física sin la cual no es posible acceder al SO, pero después he pensado que prefiero que sería más un estorbo que otra cosa, y que prefiero que el ordenador sea autosuficiente y no dependa de nada más.
Sé que tanto nivel de seguridad es innecesario y además un engorro, pero con este proyecto no pretendo hacer un portátil cómodo de usar, lo que quiero es que en él se puedan guardar datos a prueba de bombas, así que después de todo lo anterior mis preguntas son:
1. ¿Qué más podría hacer para darle más seguridad al equipo?
2. ¿Alguna de las ideas que se me han ocurrido hasta ahora es tan simple de saltar que no merece la pena incluirla?
3. ¿Alguna de las ideas que se me han ocurrido se podría sustituir por otra más efectiva?
4. ¿Alguna otra sugerencia? Se agradecen todas las respuestas por adelantado
Hola corax. Soy nuevo en el foro.
Te comento lo que he hecho yo para algunas de mis cosas, empecemos por las pijerías. En primer lugar, mantener todo el software actualizado, abosultamente todo. Después, las contraseñas de correo por ejemplo, tendrán unos 25 caracteres, números, símbolos raros, etc etc.
Y ahora lo importante: tengo instalado un firewall, el COMODO FIREWALL, que es mejor que el de windows, no es una maravilla, pero mejor que nada, y para los que quieran configurarlo le he puesto contraseña, al igual que el antivirus, avast. El antivirus tampoco es gran cosa, es el gratuito, pero como tengo experiencia y sé lo que no debo abrir/hacer, me da un poco igual, lo tengo por si acaso.
La contraseña de windows 7 tiene unos 31 o 32 caracteres, también raros, y más cosas. He puesto una tan larga porque así, si en un caso hipotético me cogieran el hash y la entrada del registro, tardarían bastante. Y por ejemplo, el correo de outlook va cifrado, google va cifrado, había pensado poner la tabla ARP fija pero como cambio constantemente de lugar (tengo un portátil) no me conviene. Pero bueno, en casa nadie me puede envenenar la red, además de que la contraseña e la red tiene unos 56 caracteres, y eso que no me dejaba poner más que sino...
Ahora las preguntas que tengo son:
#Aunque le pongas una contraseña a la BIOS, pueden seguir accediendo por la "contraseña predeterminada" que pone el fabricante, y que ya están colgadas en internet.
#En cuanto al true crypt, es un poco arriesgado cifrar el SO, no? Además, yo que ahora tengo unos 120GB ocupados, tardaría una eternidad. Y si en un caso hipotético un virus te eliminara archivos de true crypt, la cagarías. Encima, cuando tienes truecrypt cifrando el SO, cuando instales algo por ejemplo, tarda mucho.
Pero, y si quieres copiar algo cifrado de tu disco duro a un pendrive, se pasaría cifrado?
Contestando a tus preguntas, lo que haría yo sería:
#Firewall y antivirus (NO los de windows), protegidos por contraseña
#Contraseña de windows de más de 25 caracteres, y cuanto más rara mejor
#Contraseña BIOS
#Router bien configurado
#Conexiones cifradas (google, fcebook, hotmail, etc).
Más cosas, que si me vienen a la cabeza las diré.