Jump ESP, jump!:如何简单构建DEF CON"一次性设备"
TL;DR:不要构建一次性设备。这可能不是你真正需要防范的风险。
引言
每年DEF CON会议前,人们开始建议参会者携带"一次性设备"参加DEF CON。有些人还开始创建关于如何构建一次性设备的长篇指南,特别是笔记本电脑。但我们对这个话题研究得越深入,就越感到困惑。我们为什么要这样做?我们为什么要推荐这个?我们关注的是正确的事情吗?
“一次性设备"的用途是什么?
首先,整个"一次性设备"概念被完全误解了,即使在信息安全社区内也是如此。“一次性设备"用于非归因目的。比如,你是一名间谍,不想让你居住的国家知道你在与其他人通信。我相信这对大多数DEF CON参会者来说并不是实际情况。关于"一次性"含义的更多信息:https://twitter.com/Viss/status/877400669669306369
一次性手机意味着它有一个一次性SIM卡和一次性手机,仅用于特定操作。你不会使用"一次性设备"登录你的电子邮件账户或VPN连接到你的工作或家庭网络。
但让我们暂时忘记这个词语误用问题,专注于真正的问题。
糟糕的建议
互联网上充满了关注错误事物的文章,特别是在"一次性设备"方面。比如如何构建一次性笔记本电脑,却不解释为什么需要它或如何使用它。
这种方法的问题是,人们最终为构建安全的"一次性设备"消耗了大量资源。但人们却没有接受关于应该如何使用这些设备的教育。
威胁分析
我相信以下是一些在旅行时更高的真实威胁:
- 笔记本电脑丢失或被盗
- 笔记本电脑在边境被检查/复制
这两个风险与DEF CON无关,这对所有旅行都是如此。
其他通常在与"一次性设备"和DEF CON相关的讨论中提到的风险:
- 设备在酒店房间内通过物理访问被攻破
- 网络流量遭受中间人攻击。你的密码显示在"绵羊墙"上。或者通过DHCP利用Shellshock漏洞玩乐。NTLM哈希或类似信息泄露
- 通过一些恶劣的方式如WiFi/TCP/蓝牙/LTE/3G/GSM堆栈攻破设备。这些是独角兽攻击
- 通过攻破设备上的服务来攻破你的设备。比如在CTF中使用的根文件夹中留下upload.php文件,而Nginx设置为自动启动。本文作者无法评论此事件是真实发生还是只是想象示例
如何减轻这些风险?
笔记本电脑被盗/丢失/在边境被检查?
- 带一个便宜的空白设备。或者如果你真的需要日常笔记本电脑,设置一个假操作系统/假账户登录。这个虚拟账户不应解密真实账户中的真实文件
设备在酒店房间内通过物理访问被攻破
- 不要带任何设备
- 如果带任何设备,使其具备防篡改能力。如何做到这一点取决于你的对手,但你可以从使用指甲亮片和全盘加密开始。像"请勿打扰"这样的工具有帮助。如果你的操作系统支持在用户登录前暂停DMA设备,这也有帮助
- 如果无法使设备具备防篡改能力,使用对物理攻击者有良好防御的设备,如iOS
- 可能你并没有那么重要,以至于有人会花时间和资源对付你。如果他们这样做,可能你只会因为所有加固措施而使生活变得痛苦,但仍然被攻破
网络流量遭受中间人攻击
- 不要带任何设备
- 使用受MiTM保护的服务。如TLS
- 将操作系统更新到最新最佳版本。不是每个DEF CON参会者都有价值10万美元的0day,即使有也不会浪费在你身上
- 使用故障安全VPN。不幸的是,没有多少人讨论这个问题或为最流行的操作系统提供适当的解决方案
- 对于特定的攻击如Responder,禁用LLMNR、NBT-NS、WPAD和IPv6,并在机器上使用非工作账户。如果你在机器上没有权限这样做,可能不应带这个设备。或者请本地IT禁用这些服务并为你设置新账户
通过恶劣方式如WiFi/TCP/蓝牙/LTE/3G/GSM堆栈攻破设备
- 不要带任何设备
- 如果带任何设备,不要使用此设备登录工作、个人电子邮件、社交媒体等
- 别担心,这些事情不常发生
通过攻破设备上的服务来攻破你的设备
只需设置一个防火墙配置文件,其中所有服务都对外隐藏。在黑客会议上,你很少需要设备上的任何服务可访问。
结论
如果你仍然如此害怕去那里,就不要去。在家观看演讲。但是随机地方的酒店WiFi与黑客会议有什么不同?事实证明,没有太大不同,所以你最好花时间和资源在365天内加固你的日常工作设备,而不是构建"一次性设备”。
如果你是外国政府的间谍,或者你是犯罪组织的头目,你可能需要"一次性设备”。否则,你不需要一次性设备。也许你需要带一个便宜的替代设备。