Jump ESP, jump!：如何一步构建DEF CON的"一次性设备"

TL;DR：不要构建一次性设备。这可能不是你真正需要防范的风险。

引言

每年DEF CON之前，人们开始建议参会者携带"一次性设备"参加DEF CON。有些人还会创建如何构建一次性设备（特别是笔记本电脑）的长篇指南。但我们对这个话题深入研究得越多，就越感到困惑。我们为什么要这样做？我们为什么推荐这个？我们是否关注了正确的事情？

“一次性设备"的用途是什么？

首先，整个"一次性设备"的概念被完全误解了，即使在IT安全社区内也是如此。“一次性设备"用于非归因目的。例如，你是一名间谍，不想让你居住的国家知道你在与其他人通信。我相信这对大多数DEF CON参会者来说都不是实际情况。关于"burner"含义的更多信息：https://twitter.com/Viss/status/877400669669306369

一次性手机意味着它有一个一次性SIM卡和一次性手机，仅用于特定操作。你不会使用"一次性设备"登录电子邮件账户或VPN到工作或家庭网络。

但让我们暂时忘记这个词语误用问题，专注于真正的问题。

不良建议

互联网上充满了关注错误事物的文章，特别是在"一次性设备"方面。比如如何构建一次性笔记本电脑，而不解释为什么需要它或如何使用它。

这种方法的问题是，人们最终会"烧掉”（糟糕的文字游戏，抱歉）大量资源来构建安全的"一次性设备”。但人们没有接受关于如何使用这些设备的教育。

威胁

我相信以下是一些在旅行时更高的真实威胁：

1. 笔记本电脑丢失或被盗
2. 笔记本电脑在边境被检查/复制

这两种风险与DEF CON无关，这对所有旅行都是适用的。

其他通常在与"一次性设备"和DEF CON相关时提到的风险：

3. 设备在酒店房间内通过物理访问被控制
4. 网络流量遭受中间人攻击。你的密码显示在Wall of Sheep上。或者通过DHCP使用Shellshock玩得开心。NTLM哈希或类似信息泄露
5. 通过WiFi/TCP/蓝牙/LTE/3G/GSM堆栈等恶意方式控制设备。这些是独角兽攻击
6. 通过控制设备上的服务来控制你的设备。比如在CTF中使用的根文件夹中留下upload.php文件，并且Nginx设置为自动启动。本文作者无法评论此事件是否发生在现实生活中或只是一个想象示例

如何缓解这些风险？

笔记本电脑在边境被盗/丢失/检查？

1. 带一个便宜的空白设备。或者如果你真的需要日常笔记本电脑，设置一个假操作系统/假账户登录。这个虚拟账户不应解密真实账户中的真实文件

设备在酒店房间内通过物理访问被控制

1. 不要带任何设备
2. 如果带任何设备，使其具有防篡改能力。如何做到这一点取决于你的敌人，但你可以从使用指甲亮片和全盘加密开始。像"请勿打扰"这样的工具有帮助。如果你的操作系统支持在用户登录前暂停DMA设备，也会有帮助
3. 如果无法使设备防篡改，使用对物理攻击者有良好防御的设备，如iOS
4. 可能你并不那么重要，以至于有人会花时间和资源在你身上。如果他们这样做，可能你只会因为所有的加固而使生活变得痛苦，但仍然会被控制

网络流量遭受中间人攻击

1. 不要带任何设备
2. 使用受MiTM保护的服务。如TLS
3. 将操作系统更新到最新最佳版本。不是DEF CON的每个人都有价值10万美元的0day，即使有也不会浪费在你身上
4. 使用故障安全VPN。不幸的是，没有多少人谈论这个或为最流行的操作系统提供适当的解决方案
5. 对于特定的攻击如Responder，禁用LLMNR、NBT-NS、WPAD和IPv6，并在机器上使用非工作账户。如果你在机器上没有权限这样做，可能不应该带这个设备。或者请本地IT禁用这些服务并为你设置新账户

通过WiFi/TCP/蓝牙/LTE/3G/GSM堆栈等恶意方式控制设备

1. 不要带任何设备
2. 如果带任何设备，不要使用此设备登录工作、个人电子邮件、社交媒体等
3. 别担心，这些事情不经常发生

通过控制设备上的服务来控制设备

只需设置一个防火墙配置文件，其中所有服务都对隐藏。在黑客会议上，你很少需要设备上的任何可访问服务。

结论

如果你仍然如此害怕去那里，就不要去。在家观看演讲。但是随机地方的酒店WiFi与黑客会议有什么不同？事实证明，没有太大不同，所以你最好花时间和资源在365天内加固你的日常工作设备，而不是构建"一次性设备"。

如果你是一个外国政府的间谍，或者你是一个犯罪组织的头目，你可能需要一个"一次性设备"。否则，你不需要一次性设备。也许你需要带一个便宜的替代设备。