Securizarea laptopurilor - Securitatea Informatica

Securizarea laptopurilor

1. Aspecte de baza in securitatea echipamentelor portabile
a) Alegeti un Sistem de Operare Sigur!
b) Alegeti o parola pentru BIOS
c) Utilizati functiile de criptare pentru Hard Disk
d) Inregistrati Laptop-ul peWebsite-ul producatorului

2. Aspecte legate de securitatea fizica a laptop-urilor
a) Utilizati solutii de tip Kensington Lock
b) Pastrati cardurile de extensie nefolosite intr-un loc sigur
c) Utilizati software de tip “Track, Manage and Protect”

3. Aspecte legate de securitatea logica a laptop-urilor
a) Urmariti Ghidul de Securizare a Sistemelor de Operare Windows
b) Utilizati retelele wireless cu precautie!
c) Dezactivati contul Guest
d) Redenumiti contul Administrator si utilizati un cont cu drepturi administrative restranse
e) Folositi un sistem de fisiere cu posibilitatea de criptare a datelor
f) Dezactivati conexiunile Infra-Rosu si Bluetooth atunci cand nu sunt utilizate
g) Realizati back-up-uri ale celor mai importante documente si fisiere!

Preambul:

Ultimii 5 ani au adus o crestere spectaculoasa a vanzarilor de computere portabile in randul utilizatorilor casnici iar cateva rapoarte sustin cum ca vanzarile de laptop-uri, in special, au depasit vanzarile de sisteme de tip desktop. Natura portabila a acestor calculatoare aduce un risc sporit din punct de vedere al securitatii informatiilor de pe laptop-uri, acestea fiind mult mai expuse la furtul, pierderea sau distrugerea datelor stocate. Acest ghid doreste sa ofere o serie de pasi usor de urmarit pentru a asigura un grad sporit de securitate dispozitivelor portabile de tip laptop.

1. Aspecte de baza

a) Alegeti un sistem de operare sigur!

Daca laptop-ul dvs. a fost achizitionat cu un sistem de operare preinstalat, asigurati-va ca acesta este la cea mai noua versiune. Vom recomanda intotdeauna instalarea celei mai noi versiuni ale sistemului de operare, in masura in care cerintele hardware pentru rularea acestuia sunt indeplinite. Majoritatea laptop-urilor vandute in Romania sunt cumparate cu sistem Microsoft Windows preinstalat sau pot rula fara probleme cea mai noua versiune a acestui sistem, si anume, Windows Vista SP2. Toate laptop-urile ce indeplinesc cerintele hardware pentru a rula Windows Vista SP2 vor putea rula si Windows Seven la momentul aparitiei acestuia. Alegerea celui mai nou sistem de operare ce poate rula in conditii optime pe sistemul dumneavoastra este un pas deosebit de important in securizarea laptop-ului.
Utilizatorii de sisteme de operare alternative (Linux, Mac OSX) pot urmari, deasemenea, practicile descrise in aces ghid deoarece metodele si tehnologiile de securizare descrise sunt independente de sistemul de operare instalat pe laptop.

b) Alegeti o parola pentru BIOS

De cele mai multe ori, utilitarul pentru configurarea BIOS-ului este unul spartan alcatuit, din punct de vedere al optiunilor puse la dispozitia utilizatorului de laptop. Spre deosebire de configuratorul BIOS din sistemele de tip desktop, ce permite setari exhaustive pentru majoritatea componentelor din calculator, BIOS Set-up-ul laptop-urilor permite, de cele mai multe ori, doar setarea catorva optiuni de securitate. Recomandam stabilirea unei parole in BIOS, parola ce va fi ceruta la fiecare pornire a laptop-ului. Astfel, accesul utilizatorilor la sistemul de operare se face doar prin introducerea parolei stabilite in BIOS. Recomandam ca parola sa aiba minim 6 caractere, sa contina combinatii de litere ale alfabetului roman cat si cifre si simboluri. Atentie: Resetarea BIOS-ului, in cazul in care uitati sau pierdeti parola stabilita, este un procedeu ce presupune desfacerea carcasei laptop-ului. Recomandam ca in aceste cazuri sa apelati la personalul de service autorizat de producatorul laptop-ului dvs.

c) Utilizati functiile de criptare pentru hard-disk-uri

Majoritatea laptop-urilor actuale ofera o forma de criptare electronica a datelor de pe hard-disk,la nivel logic. Aplicatia de criptare este, in cele mai multe cazuri, una independenta de sistemul de operare si este incarcata la pornirea laptop-ului dintr-o memorie de tip FLASH, astfel, criptarea fiind asigurata chiar inainte de pornirea OS-ului si transparent pentru acesta. Printre producatorii consacrati ce ofera aceasta optiune, enumeram: HP, pentru toate modelele business fabricate dupa anul 2005, IBM/Lenovo pentru toata gama de modele din seriile T si X, Dell, in cazul modelelor din seriile N (Inspiron), Latitude si Adamo, Toshiba pentru modelele de varf din gama Sattelite precum si Apple pentru intreaga gama de produse MacBook si PowerBook. Criptarea hard-disk-ului aduce un grad de securitate deosebit, utilizata impreuna cu parola pentru BIOS. In acest caz, daca laptop-ul dvs. este furat sau pierdut, gasitorul nu va putea accesa datele de pe hard-disk chiar daca instaleaza hard-disk-ul din laptop-ul dvs. pe un alt calculator.

d) Inregistrati laptop-ul dvs. pe site-ul producatorului

Toti producatorii consacrati de laptop-uri permit utilizatorului sa se inregistreze intr-o baza de date pentru clienti, introducand seria si modelul laptop-ului precum si numarul unic de identificare, de obicei tiparit pe carcasa laptop-ului.
Odata inregistrat ca si utilizator, posesorul laptop-ului beneficiaza de servicii personalizate pentru modelul sau de laptop, cum ar fi:
-notificari prin e-mail sau chiar telefonic despre cele mai noi actualizari de firmware, drivere sau aplicatii pentru modelul respectiv
-suport tehnic cu raspuns la incident prin e-mail, mesagerie instanta sau telefonic
-servicii de tip “product tracking” ce permit user-ului sa afle locatia precisa a laptop-ului, in cazul in care acesta a fost pierdut sau furat si sa dezactiveze, de la distanta, prin internet, accesul altor utilizatori la acesta.

Gama de servicii si facilitati oferite difera pentru fiecare producator asa ca va recomandam sa consultati pagina de internet a producatorului laptop-ului dvs. pentru mai multe detalii.

2. Aspecte de securitate fizica

a) Utilizati cabluri de tip Kensington Lock!

Cablu Kensington MAS-2Montarea lacatului pe laptopToate laptop-urile produse dupa 1998, ce sunt conforme cu standardul PC-99 sau mai nou, permit prinderea de o suprafata fixa prin intermediul unui cablu. Asa cum puteti observa din pozele alaturate, un orificiu mic, de aproximativ 4mm lungime si 3mm grosime permite introducerea unei cleme de otel, atasata unui cablu, de cele mai multe ori construit din aliaje rezistente de aluminiu si otel. Cablul, la randul sau, poate fi prins de o suprafata fixa cum ar fi piciorul unei mese sau scaun. Acest mecanism de prindere este cunoscut ca si Cheie Kensington (Kensington Lock) dupa numele celui mai important producator de astfel de accesorii pentru laptop-uri, Kensington Inc. Utilizarea acestui tip de dispozitiv in locuri publice, cafenele, parcuri etc. este recomandat pentru a preveni furtul sau distrugerea laptop-urilor.

b) Pastrati cardurile de extensie intr-un loc sigur

Atunci cand nu utilizati extensiile de tip PCM-CIA, USB, Firewire, e-SATA etc., pastrati-le intr-un loc sigur, altul decat cel in care se alfa laptop-ul! Aceasta practica vine sa preintampine pierderea datelor datorata pierderii sau furtului memoriilor portabile de tip USB, PCM-CIA etc., dar si pierderea sau furtul extensiilor de tip modem, placa de retea wireless si asemenea, succeptibile spre a fi pierdute sau furate datorita dimensiunilor reduse. Recomandam sa pastrati toate extensiile de tip modem, placa de retea, memorie USB in alt loc decat acolo unde se afla laptop-ul, in timpul in care nu le folositi. O solutie buna este pastrarea acestora in geanta / rucsac-ul laptop-ului.

c) Utilizati software de tip “location tracking” si “call back home”

Anumite modele de laptop-uri sunt compatibile cu servicii de pozitionare de tip GPS si/sau cu servicii de comunicatii mobile de tip GSM/CDMA. Aceste modele sunt echipate, de cele mai multe ori, cu dispozitive speciale de tip Receptor GPS si Radio GSM/CDMA. Pentru a asigura o buna securitate a acestor laptop-uri recomandam utilizarea unor aplicatii de tip “localizeaza si raporteaza” ce permit descoperirea coordonatelor geografice ale laptop-ului in orice moment in care acesta este pornit. In combinatie cu radio-ul GSM/CDMA, laptop-ul poate chiar trimite mesaje scrise de tip SMS sau alerte telefonice, catre proprietar, in cazul in care acesta a fost furat sau pierdut. Consultati pagina de internet a producatorului laptop-ului dvs. pentru a afla daca dispozitivul dvs. este compatibil cu aceste servicii si pentru a gasi aplicatii de tip “localizeaza si raporteaza”.

3. Aspecte de securitate logica

a) Urmariti ghidul de securizare a sistemelor Microsoft Windows

Acest ghid propune o serie de metode si aplicatii pentru a securiza sistemele de operare Microsoft Windows. Utilizatorii de sisteme de operare alternative (Linux, Mac OS X) au la dispozitie, deasemenea, o serie de unelte si metode pentru a securiza respectivele OS-uri. Pentru orice detaliu in acest sens puteti sa ne contactati la adresa de e-mail din sectiunea Contact sau puteti scrie un comentariu la acest articol.

b) Utilizati retelele wireless cu precautie

Toate laptop-urile actuale utilizeaza tehnologii de comunicatii fara fir de tip wi-fi, bluetooth sau GSM/CDMA. Odata cu raspandirea la scara larga a retelelor wi-fi, riscurile de corupere sau pierdere a datelor asociate cu conectarea in aceste retele a crescut considerabil. Pentru a naviga pe internet in siguranta prin intermediul retelelor wireless va recomandam sa cititi ghidul nostru de securizare a comunicatiilor wireless
Dezactivarea Administrative SharesUn aspect foarte important al utilizarii retelelor wi-fi il reprezinta partajarea informatiilor de pe hard-disk-ul laptop-ului dvs. Trebuie stiut cum ca implicit, sistemele ce ruleaza Windows XP, partajeaza intreaga structura de directoare de pe toate partitiile, in scopuri administrative (Administrative Shares).
Astfel, este foarte usor pentru un atacator conectat in aceeasi retea ca si dumneavoastra sa acceseze informatiile de pe laptop-ul dvs. doar prin introducerea in browser-ul de fisiere a sintaxei \\Numele_PC-ului_dvs\litera_corespunzatoare_partitiei$.
Pentru a evita acest lucru recomandam dezactivarea Administrative Shares atunci cand utilizati retele wi-fi, altele decat cele cunoscute. Puteti dezactiva partajarea acestor resurse accesand Start-Settings-Control Panel-Administrative Tools-Shared Folders-Shares-dezactivati intrarea IPC$, asa cum puteti vedea in imaginea alaturata.

c) Dezactivati contul Guest

Dezactiveaza contul GuestImplicit, sistemele de operare Microsoft Windows creeaza un cont cu drepturi restranse, neprotejat prin parola. Acest cont permite accesul oricarei persoane din aceeasi retea cu dvs. la o parte din resursele sistemului dumneavoastra. Contrul Guest poate fi accesat de la distanta, de oriunde din internet, daca lapotp-ul dvs. are activat serviciul Remote Desktop. Deasemenea, poate fi accesat de orice persoana conectata in acceasi retea (wireless sau prin fir). Desi implicit contul Guest nu permite utilizatorului sa modifice setari de sistem sau sa acceseze fisiere protejate, acesta permite vizualizarea tuturor fisierelor de pe discurile locale. Recomandam dezactivarea acestui cont accesand Start-Settings-Control Panel-Users and Accounts-selectati contul Guest apoi apasati butonul Guest Account Off, ca in imaginea alaturata.

d) Redenumiti contul Administrator si utilizati un cont cu drepturi administrative restranse!

Windows XP si Vista creeaza automat un cont cu drepturi administrative, neprotejat prin parola, numit Administrator. Ca si in cazul contului Guest, orice persoana conectata in aceeasi retea in care se afla si laptop-ul dvs., se poate loga cu drepturi administrative pe laptop-ul dvs., prin intermediul acestui cont.
O solutie ar fi protejarea acestui cont prin stabilirea unei parole insa atacatorii pot utiliza unelte de tip Password Guessing – Dictionary Based pentru a afla parola contului respectiv prin incercari multiple. Din aceste ratiuni recomandam redenumirea contului folosind un nume cunoscut numai de dumneavoastra. Pentru a redenumi contul Administrator urmariti pasii de mai sus, accesand Start-Settings-Control Panel-Users and Accounts-Selectati contul-apsati butonul Change/Rename-introduceti noul nume pentru cont. In aceeasi masura recomandam si protejarea acestui cont printr-o parola, dupa ce a fost redenumit.
Pentru a asigura un mediu sigur de lucru va recomandam, deasemenea, crearea unui cont de utilizator cu drepturi restranse (User Account) pentru utilizarea de zi cu zi a laptop-ului. In acest fel riscul de a face modificari in configuratia sistemului sau de a sterge fisiere importante ce ar putea afecta functionalitatea laptop-ului este redus semnificativ. Atunci cand aveti nevoie de privilegii administrative pentru a rula o aplicatie puteti apela la comanda Run As Administrator, disponibila prin click-dreapta pe pictograma aplicatiei respective.

e) Folositi un sistem de fisiere ce suporta criptarea datelor!

Activarea criptarii pe discCriptarea datelor de pe hard-disk este foarte importanta pentru pastrarea confidentialitatii acestora, mai ales in situatiile in care laptop-ul nu suporta criptare low-level (vezi 1,c)
Criptarea este realizata, de cele mai multe ori, cu algoritmi puternici de tip AES/DES 128 pana la 512 biti si foloseste un sistem de chei de comunicatii in pereche: una dintre acestea va autentifica hard-disk-ul catre sistemul de operare, cealalta va autentifica utilizatorul curent catre sistemul de operare si implicit hard-disk-ul.
Sistemele de operare Microsoft Windows 2000 si mai noi pun la dispozitia utilizatorului optiunea de a cripta sistemul de fisiere in totalitate sau doar la nivel de director / fisier, utilizand EFS – Encrypted File Systems, o extensie a NTFS. Puteti cripta fisiere, foldere sau intreaga structura de directoare a unui disc prin click dreapta pe pictograma respectiva-Properties-Advanced-Bifati Encrypt contents to secure data, asa cum puteti vedea si imaginea alaturata.
Windows XP utilizeaza chei de criptare valabile pentru o perioada de 100 de ani, cu optiunea de autodistrugere dupa scurgerea acestui timp.
In cazul Windows Vista sau Windows Seven, utilizatorii variantelor Ultimate sau Enterprise dispun de o aplicatie ce usureaza criptare datelor folosind EFS, numita BitLocker Drive Encryption. Puteti accesa aceasta aplicatie din Start-Control Panel-Security-BitLocker Drive Encryption.
Unealta utilizeaza un wizard intuitiv ce permite criptarea intregii structuri de directoare, a tuturor partitiilor sau doar a unei partitii. Un detaliu important este faptul ca BitLocker nu va cripta o portiune de 1.5Gbytes din partitia de boot si va utiliza aceasta zona pentru a stoca o copie de siguranta a sistemului de operare, pentru a putea recupera oricand cheile de criptare in cazul in care sistemul de operare nu va mai putea porni. Asadar, utilizati BitLocker doar in masura in care dispuneti de un spatiu de 1.5Gbytes liberi pe partitia de Boot.

In cazul sistemelor de operare alterative, majoritatea sistemelor de fisiere utilizate sub Linux permit criptare nativa. Utilizatorii Linux sau Mac OS X pot utiliza aplicatii gratuite, cum ar fi TrueCrypt, ce permit criptarea intregului hard disk, a unei partitii, sau doar a unor directoare si/sau fisiere. Pentru a utiliza solutia TrueCrypt, utilizatorul va folosi sistemul de fisiere Ext4 In cazul Linux sau HFS+ in cazul Mac OS X.

f) Dezactivati porturile Infra-Rosu si Bluetooth daca nu sunt folosite!

Majoritatea laptop-urilor actuale dispun de radio Bluetooth pentru comunicatii pe distante scurte. O parte din laptop-urile actuale, din clasa high-end si business integreaza si un port Infra-Rosu bidirectional pentru comunicatii cu telefoane mobile, modem-uri, imprimante, etc.
Deoarece aceste servicii utilizeaza software propriu pentru a functiona si transmite date, eventualele vulnerabilitati din aplicatiile folosite pentru transfer de date pot duce la compromiterea sistemului printr-un atac directionat. Un exemplu recent in acest caz este vulnerabilitatea driverelor bluetooth preinstalate in Windows XP SP3 si Windows Vista SP1 ce poate duce la compromiterea completa a sistemului de operare prin accesarea, editarea, rularea si chiar stergerea fisierelor din sistem de catre un atacator conectat prin bluetooth la laptop-ul victima.

Recomandam dezactivarea acestor doua interfete atunci cand nu sunt utilizate. Pentru a dezactiva Infrarosu accesati Start-Settings-Control Panel-Infrared-Disable Receiving Beams. Pentru a dezactiva Bluetooth, in cele mai multe cazuri este suficient sa efectuati click-dreapta pe prictograma Bluetooth din tray si sa selectati Bluetooth Off.

g) Pastrati copii de siguranta a fisierelor importante!

O practica eficienta pentru a reduce riscurile compromiterii laptop-urilor dvs., reprezinta pastrarea unei copii de siguranta a tuturor documentelor importante sau chiar o intreaga imagine a partitiilor din hard-disk-ul laptop-ului, pe un hard-disk extern,pastrat acasa. Deoarece hard-disk-urile externe au devenit foarte accesibile prin prisma pretului, recomandam achizitionarea unui astfel de dispozitiv, cu o capacitate de stocare cel putin egala cu cea a hard-disk-ului din laptop-ul dvs., pe care sa pastrati fie o imagine 1:1 a hard-disk-ului din laptop, fie doar acele documente si fisiere importante.

In redactarea acestui ghid au fost luate in consideratie prevederile Ghidului de Practici Recomandate in domeniul securitatii echipamentelor portabile, asa cum a fost editat de Institutul SANS precum si liniile directive ale ghidului Security for Portables, editata de ITSO.

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro