Jump ESP, jump!:如何为DEF CON构建“一次性设备”的一步指南
TL;DR:不要构建一次性设备。这可能不是你真正需要应对的风险。
引言
每年DEF CON之前,人们开始建议与会者携带“一次性设备”参加DEF CON。有些人还会创建如何构建一次性设备(尤其是笔记本电脑)的长篇指南。但我们对这个话题越深入,就越感到困惑。我们为什么要这样做?我们为什么推荐这个?我们关注的是正确的事情吗?
“一次性设备”是用来做什么的?
首先,整个“一次性设备”的概念被完全误解了,即使在IT安全社区内也是如此。“一次性设备”用于非归因。例如,你是一名间谍,不想让你居住的国家知道你在与其他人通信。我相信这对大多数DEF CON与会者来说并不是实际情况。关于“burner”含义的更多信息:https://twitter.com/Viss/status/877400669669306369
一次性手机意味着它有一个一次性SIM卡和一次性手机,仅用于一次特定操作。你不会使用“一次性设备”登录你的电子邮件账户或VPN到你的工作或家庭网络。
但让我们暂时忘记这个词的误用问题,专注于真正的问题。
不良建议
互联网上充满了关注错误事物的文章,尤其是在“一次性设备”方面。比如如何构建一次性笔记本电脑,而不解释你为什么需要它或如何使用它。
这种方法的问题是,人们最终会“烧掉”(糟糕的双关语,抱歉)大量资源来构建安全的“一次性设备”。但人们没有接受关于如何使用这些设备的教育。
威胁
我相信以下是一些在旅行时更高的真实威胁:
- 笔记本电脑丢失或被盗。
- 笔记本电脑在边境被检查/复制。
这两种风险与DEF CON无关,这对每次旅行都是如此。
其他一些通常在提到“一次性设备”和DEF CON时提到的风险:
- 设备在酒店房间内通过物理访问被控制。
- 网络流量遭受中间人攻击。你的密码显示在“羊墙”上。或者通过DHCP玩Shellshock。NTLM哈希或类似信息泄露。
- 通过一些讨厌的东西如WiFi/TCP/Bluetooth/LTE/3G/GSM栈控制设备。这些是独角兽攻击。
- 通过控制你设备上的服务来控制你的设备。比如在CTF中使用的根文件夹中留下你的upload.php文件,并且Nginx设置为自动启动。本文作者无法评论此事件是否发生在现实生活中或只是一个虚构的例子。
如何缓解这些风险?
笔记本电脑在边境被盗/丢失/检查?
- 带一个便宜的、空的设备。或者如果你真的需要日常笔记本电脑,设置一个假操作系统/假账户登录。这个虚拟账户不应解密真实账户中的真实文件。
设备在酒店房间内通过物理访问被控制
- 不要带任何设备。
- 如果你带任何设备,使其防篡改。如何做到这一点取决于你的敌人,但你可以从使用指甲 glitter 和全盘加密开始。像“请勿打扰”这样的工具有帮助。如果你的操作系统支持在用户登录前暂停DMA设备,也有帮助。
- 如果你不能使设备防篡改,使用一个对物理攻击者有良好防御的设备,如iOS。
- 可能你并没有那么重要,以至于任何人都会花时间和资源在你身上。如果他们这样做,可能你只会通过所有加固使你的生活变得悲惨,但仍然被控制。
网络流量遭受中间人攻击
- 不要带任何设备。
- 使用受MiTM保护的服务。如TLS。
- 将你的操作系统更新到最新和最好的版本。不是每个在DEF CON的人都有价值10万美元的0day,即使有也不会浪费在你身上。
- 使用故障安全VPN。不幸的是,没有多少人谈论这个或为最流行的操作系统提供适当的解决方案。
- 对于特定的攻击如Responder,禁用LLMNR、NBT-NS、WPAD和IPv6,并在机器上使用非工作账户。如果你没有权限在你的机器上这样做,你可能不应该带这个设备。或者请你的本地IT禁用这些服务并为你设置一个新账户。
通过一些讨厌的东西如WiFi/TCP/Bluetooth/LTE/3G/GSM栈控制设备
- 不要带任何设备。
- 如果你带任何设备,不要使用此设备登录工作、个人电子邮件、社交媒体等。
- 别担心,这些事情不经常发生。
通过控制你设备上的服务来控制你的设备
只需设置一个防火墙配置文件,其中所有服务都对外隐藏。在黑客会议上,你很少需要任何可访问的服务在你的设备上。
结论
如果你仍然如此害怕去那里,就不要去。在家看演讲。但随机地方的酒店WiFi与黑客会议有什么不同?事实证明,没有太大不同,所以你最好花时间和资源在365天内加固你的日常工作设备,而不是构建一个“一次性设备”。
如果你是一个外国政府的间谍,你可能需要一个“一次性设备”。或者你是一个犯罪组织的头目。否则,你不需要一次性设备。也许你需要带一个便宜的替代设备。