Muy buena idea, me la apunto.



Después de leer lo anterior veo que meterle una sandbox no está de más. Prefiero prescindir de antivirus (he visto ya unos cuantos ordenadores con AV + DeepFreeze y es casi doloroso ver como cada vez que se inicia el sistema el antivirus se pone a bajar una base de datos de firmas inmensa porque cada día se aleja más la fecha en que se congeló el equipo de la fecha de la última actualización).

Por supuesto, la función de autorun sería de lo primero que le desactivaría al sistema, que con los pen drives nunca se sabe.

Te tomo la palabra, aprovechando que tengo tiempo probaré a hacerle perrerías a una distro de linux en una máquina virtual. Hace tiempo que quiero probar a hacer algo así, pero nunca me lo había propuesto de verdad.

Veré qué tal funciona, aunque reconozco que no me importaría configurarlo para que simplemente se pudiese acceder a la página del correo y a poco más. La idea original se me ocurrió pensando en un sistema preparado para trabajar de manera segura creando, editando y almacenando documentos sensibles en local. Para Internet, además de meterle TOR no se me había ocurrido mucho más.

Jajaja, con el 99% de Jenag me conformo  

Qué gran verdad... las cosas irían mejor si la gente fuese más consciente de lo que tiene entre manos cuando coge un ordenador.  
Como dices, este es un proyecto para experimentar y poner cosas en práctica sobre todo, a mi ordenador personal no le metería ni la mitad de la mitad de lo que le quiero meter a este, sería demasiado incómodo trabajar con él, y no tengo información tan sensible como para que que merezca la pena el esfuerzo.

Gracias a todos por contestar. Si a alguien se le ocurre algo más, sigo abierto a sugerencias.

Para cifrar archivos de texto plano yo uso el Code Master 2.
Para cifrar el resto de archivos que no sean texto, o un .zip con contraseña o un contenedor de datos cifrado creado con algún programa como el TrueCrypt, el CryptoExpert o alguno similar.

En mi opinión personal esos son los que más me gustan.

Es una gran idea, no se me había ocurrido. Estaría bien meterle uno.

Es cierto. Pero como el reto es hacer el ordenador lo más seguro posible... la comodidad no es algo que importe realmente 

En realidad pensaba hacer todo lo contrario para ahorrarle recursos al ordenador. Es decir, el objetivo es que en él se puedan crear y almacenar documentos con un alto grado de seguridad, por lo que había pensado en hacerle una buena configuración y después meterle el DeepFreeze para que todo se quedase exactamente como lo hubiese dejado.

Sip, a contraseñas más largas más seguridad, pero como el correo, las redes sociales, etc, son servicios externos al ordenador es algo que se sale del proyecto. Había pensado en configurarle al navegador la página de hushmail como página de inicio, pero las utilidades externas mejor las dejo para cuando el resto esté preparado.

Lo mismo de antes, para ahorrar recursos no le pondría ni antivirus ni firewall ni antispyware ni ninguna otra herramienta de seguridad. En mi ordenador personal tengo unas medidas de seguridad muy parecidas a las tuyas y es cómodo trabajar con ellas, pero en este proyecto pretendo sustituir el antivirus (consume recursos, depende de actualizaciones de la base de firmas) con el DeepFreeze: si el ordenador se infecta o si alguien explota en él alguna vulnerabilidad por culpa de software no actualizado... reiniciar y solucionado 

Una de las cosas que más me gustó del TrueCrypt es que permite cifrar el SO (sin riesgo, claro, si no no tiene sentido), y antes de arrancarlo obliga a descifrarlo con la contraseña correspondiente, de lo contrario no se monta y no se puede arrancar.
En el post original debería haber especificado que la partición del SO no va a tener más de 10GB (y aún así me parecen demasiados): lo justo para el SO y unos cuantos programas básicos (para escribir en word y poco más). Sin videojuegos, sin compiladores, y sin nada del estilo. Y con el resto de datos personales almacenados en la segunda (o segunda y tercera) partición.

Lo que me gustaría conseguir es una configuración básica y simple que funcione bien, cifrarla con el TC y meterle DeepFreeze y que de ahí no se mueva. Cuanta más seguridad mejor.

Depende, es una de las cosas que más me gusta. Si quiero copiarlo cifrado copio el sub-contenedor cifrado, y si lo quiero copiar descifrado, monto el contenedor y copio el contenido. Además, para un prototipo de ordenador como este, usar conjuntamente un pen drive con cifrado por hardware sería bastante divertido. 

Decidme si se os ocurre algo más.

Gracias a los dos por las respuestas!

Buenas a todos,

Con la llegada del verano y del tiempo libre me he propuesto el reto de coger un ordenador portátil y configurarle varias capas de seguridad para intentar hacerlo lo más inaccesible a terceros que sea capaz.

Es un proyecto que voy a iniciar como hobby y sin ningún fin en concreto, así que no tengo prisa (más bien al contrario, cuanto más tarde en acabarlo más tiempo me mantendré ocupado), así que probaré varias combinaciones. De todas maneras quería contar con la opinión de gente más experta en esta materia que yo (que apenas sé nada).

De momento lo que tengo anotado sobre el papel es lo siguiente:

1. Comprar un ordenador portátil nuevo para evitar que contenga información de usuarios anteriores. No necesariamente un portátil con unas grandes prestaciones, con uno de gama media-baja creo que sería suficiente.

2. Formatearlo e instalarle windows XP (que es el SO con el que más experiencia tengo) configurándole dos particiones: una para el SO y otra para almacenar archivos.

3. Configurar la BIOS para arrancar desde el HDD y no desde el CD-ROM. Configurarle además una contraseña a la BIOS para que el posible intruso lo tenga más difícil para cambiar lo anterior.

4. Cifrar el SO con TrueCrypt.

5. Configurar una contraseña de windows de más de 14 caracteres para evitar que un posible intruso se la saltase con ophcrack o similares (suponiendo que se hubiese podido saltar primero la pass del TrueCrypt).

8. Instalar en la partición del SO programas como TOR e incluir un programa que permita cambiar la dirección MAC del equipo.

7. Congelar la partición del SO con una versión reciente del DeepFreeze para evitar daños o espionaje por malware y también para evitar que se almacenen en el equipo datos de los usuarios como logs, cookies y demás huellas.

8. Cifrar completamente la partición destinada al almacenamiento de datos con TrueCrypt. Asimismo, no almacenar datos sin cifrar dentro de ella: es decir, guardarlos a su vez en sub-contenedores cifrados con TrueCrypt, CryptoExpert o similares. La ventaja de esto es que al acceder a la información no sería necesario descifrar toda la almacenada, sino solo la pequeña porción de ella que sea necesaria, dejando al resto protegida en sus respectivos contenedores.

Había pensado también en usar la característica de windows que permite configurar un pen drive como una llave física sin la cual no es posible acceder al SO, pero después he pensado que prefiero que sería más un estorbo que otra cosa, y que prefiero que el ordenador sea autosuficiente y no dependa de nada más.

Sé que tanto nivel de seguridad es innecesario y además un engorro, pero con este proyecto no pretendo hacer un portátil cómodo de usar, lo que quiero es que en él se puedan guardar datos a prueba de bombas, así que después de todo lo anterior mis preguntas son:

1. ¿Qué más podría hacer para darle más seguridad al equipo?
2. ¿Alguna de las ideas que se me han ocurrido hasta ahora es tan simple de saltar que no merece la pena incluirla?
3. ¿Alguna de las ideas que se me han ocurrido se podría sustituir por otra más efectiva?
4. ¿Alguna otra sugerencia? 

Se agradecen todas las respuestas por adelantado 

Es una solución a un problema que ya existe. Cuando se pongan de moda otros métodos que no sea el típico "te infecto el pen drive" para propagar malware este sistema se quedará obsoleto, así que decir que esto será el fin de los programas antivirus es un poco exagerado.

En cada subforo hay una serie de posts informativos fijos (posts "con chincheta") en los que podrás informarte de las normas de comportamiento, los conocimientos básicos y los links a materias interesantes relacionadas.

De ti depende buscar en el subforo que más te interese.

En realidad con la excusa de mantener la seguridad pública pueden requisarte cualquier cosa que se les ocurra, y no puedes negarte porque supone un acto de resistencia a la autoridad y eso es castigable por la ley (en fin...). Luego puedes ir a comisaría a reclamar y están obligados a devolvértelo si no hay una justificación para que lo retengan.

Pero de primeras quitártelo te lo quitan, y no se te ocurra decir que no, que te la cargas pero bien...

Ya sería violento que la policía le requisase a alguien una bicicleta (o cualquier otra cosa) que encajase con la descripción de una denuncia "sólo por si acaso", así que resulta más violento aún que requisen algo sin haber ni siquiera una denuncia de por medio.

Es simplemente ridículo que haya que llevar encima el justificante de compra de todo lo que nos quieran exigir. ¿Y si me ha dado por robar también el justificante de compra? 

¿Acaso voy yo a casa del policía a requisarle un yogur?

En fin, esto me recuerda a un profesor que tuve en el instituto que antes de meterse en la enseñanza había sido abogado. Según él, si alguna vez le entraban a robar a casa y se veía obligado a defenderse lo mejor para él era rematar a los ladrones, enrollarlos en una alfombra y tirarlos por un puente, porque si se le ocurría defenderse y llamar a la policía el marrón se lo comía él por agredir al asaltante.

¿Qué se puede esperar de una sociedad en la que hay gente que prefiere resolverse los problemas por su cuenta porque si llama a la policía en lugar de ayudarle a resolver su problema se van a buscar más de los que ya tienen?
¿Qué se puede esperar de una sociedad en la que la policía atenta contra los derechos y las libertades de los ciudadanos con la excusa de la seguridad y la protección?

En fin, creo que ya he escrito demasiado.

¿La policía intenta que la gente les tenga más asco del que ya les tiene? Porque si no no se explica.

A este paso vamos camino de que la policía sea más un estorbo que una ayuda.