Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Anti-theft software of Truecrypt?

09-10-2013, 15:04 door Damian_S, 20 reacties
Beste forumgenoten,

Ik heb een afweging te maken over de lokale beveiliging van mijn laptop en ik wilde graag jullie mening hierover horen.

De twee keuzes die ik heb zijn als volgt:

Optie 1: ik zet alle gevoelige info op de D partitie en truecrypt deze. De C partitie met Windows laat ik gewoon open. Ik heb ook een cloud via Dropbox/Boxcryptor combo. Die map zet ik ook op D neer.
Ik installeer vervolgens anti theft software.

Optie 2: Ik truecrypt mijn hele systeem, C en D.

Voordelen optie 1: Mocht mijn laptop gejat worden dan kan ik via de anti theft software de laptop lokaliseren. Dit kan dus alleen als de dief de schijf niet wist en via een Wifi verbinding het internet op gaat. Ik heb echter geen gps op mn laptop, dus locatie zal alleen aan de hand van de wifi verbinding zijn.

Voordelen optie 2: Veiliger. Ik weet zeker dat de mijn data veilig blijft, ook als de laptop gejat wordt.

Ik denk dat de kansen om de dief op heterdaad te betrappen en mijn gestolen laptop terug te krijgen vrij gering zijn, vooral omdat ik dus ook gps mis op mijn laptop. Dus ik neig momenteel naar optie 2.

Wat denken jullie?
Reacties (20)
10-10-2013, 01:09 door Rolfwil
Weet je zeker dat de anti theft software alleen werkt als de schijf niet gewist is?
ik bedenk me namelijk, een eenvoudige dief komt jouw laptop niet op een gewone manier in als hij moet inloggen (er van uitgaande dat hij jouw wachtwoord niet kent), dus het eerste wat hij of zij doet is hetzij de schijf verwijderen, hetzij opstarten met b.v. een windows dvd en een nieuw OS er overheen gooien.
Maar ik meen dat die antitheft functionaliteit in het moederbord/flash/chip gebakken zit (correct if I'm wrong)
Ik gebruik zelf een C en D partitie. De data die ik versleuteld wil hebben zijn klantgegevens en wat prive documenten, hiervoor heb ik een 50GB truecrypt file gemaakt die gemount wordt als X. Dit werkt prima. Dropbox gebruik ik alleen voor openbare documenten en software (e.g. manuals, firmware, muziek) Nooit voor vertrouwelijke data.
10-10-2013, 06:40 door Anoniem
Zonder direct in te gaan op je beide opties, geef ik je de configuratie, die ik gebruik:

1. Om mijn gegevens system wide te beveiligen, gebruik ik MS Bitlocker. Onderdeel van Windows 7 Ultimate. Door schade en schande wijs geworden, wil ik geen 3rd party software op dit niveau.

2. Om mijn gevoelige data te beveiligen, gebruik ik drivecrypt van Securstar (http://www.securstar.com/). Dit is professionele software. De reden waarom ik geen Truecrypt wil gebruiken, is, omdat er mee geknoeid kan worden en geknoeid wordt. De beide programma's zijn vergelijkbaar. Ik heb een container waarin ik al mijn gevoelige zaken zet.

3. Ook ik heb een C: en D: partitie, het enige doel daarvan is om makkelijker te kunnen recoveren als er wat fout gaat.

4. Ik heb slechte ervaringen met anti theft software. De keer, dat ik dat nodig had, kwam ik niet verder. Vandaar mijn principe, dat ze in geval van diefstal etc. die laptop mogen hebben, zolang ze maar niet bij de data kunnen. Een goede verzekering werkt beter.

Hoop dat je hier wat aan hebt...
10-10-2013, 08:55 door Anoniem
2, goede backup en vast reservegeld voor nieuwe laptop. Dan ben je binnen 8 uur weer aan het werk
10-10-2013, 10:38 door Anoniem
Zoek maar eens op TPM; waarschijn kom je dan ook uit op Bitlocker... (als alternatief op TrueCrypt)
Was aan het zoeken om iets van full disk encryptie op de harddisk controller; maar kon daar nog niet zo veel over vinden...
10-10-2013, 13:02 door Anoniem
Door Anoniem: 2, goede backup en vast reservegeld voor nieuwe laptop. Dan ben je binnen 8 uur weer aan het werk
Is ook erg handig als je laptop niet gejat wordt maar je harddisk crasht (ik spreek hier uit recente ervaring...).

De PC dan wegbrengen ter reparatie betekent ook je gegevens blootstellen aan Joost mag weten wie, dus zelf een nieuwe bestellen en erin zetten en de data overzetten voelt een stuk safer.
10-10-2013, 13:14 door wica128
Beetje afhankelijk van de leeftijd van je laptop. Maar je kan een extra programma in je EFI installeren, welke ook netwerk rechten heeft en daarmee naar huis kan bellen :)
10-10-2013, 15:17 door Damian_S
Bedankt voor de reacties

@
Door Ralphwil: ik bedenk me namelijk, een eenvoudige dief komt jouw laptop niet op een gewone manier in als hij moet inloggen (er van uitgaande dat hij jouw wachtwoord niet kent), dus het eerste wat hij of zij doet is hetzij de schijf verwijderen, hetzij opstarten met b.v. een windows dvd en een nieuw OS er overheen gooien.
Maar ik meen dat die antitheft functionaliteit in het moederbord/flash/chip gebakken zit (correct if I'm wrong)

Mijn bedoeling met de anti-theft optie is om juist de C schijf open en bloot te laten zonder opstartpassword zodat een dief er juist wel in kan en uit luiheid besluit om niet een verse installatie te doen. Waarbij ik dus al mijn persoonlijke info zoveel mogelijk op de D schijf zet. Maar ja heel veilig zal dat niet zijn omdat er altijd veel persoonlijke zooi op de C blijft (oa wachtwoorden etc)

Maar ik ben niet zo bekend met anti theft software, dus ik weet niet waar het zich installeert.


Door Anoniem: 1. Om mijn gegevens system wide te beveiligen, gebruik ik MS Bitlocker. Onderdeel van Windows 7 Ultimate. Door schade en schande wijs geworden, wil ik geen 3rd party software op dit niveau.

2. Om mijn gevoelige data te beveiligen, gebruik ik drivecrypt van Securstar (http://www.securstar.com/). Dit is professionele software. De reden waarom ik geen Truecrypt wil gebruiken, is, omdat er mee geknoeid kan worden en geknoeid wordt. De beide programma's zijn vergelijkbaar. Ik heb een container waarin ik al mijn gevoelige zaken zet.

Ik heb juist liever open source zoals Truecrypt dan commerciele oplossingen zoals Bitlocker, vooral na het hele Snowden verhaal.

Door Anoniem: 4. Ik heb slechte ervaringen met anti theft software. De keer, dat ik dat nodig had, kwam ik niet verder. Vandaar mijn principe, dat ze in geval van diefstal etc. die laptop mogen hebben, zolang ze maar niet bij de data kunnen. Een goede verzekering werkt beter..

Mee eens, mijn prioriteit ligt ook bij de data en niet de laptop.

Door wica128: Beetje afhankelijk van de leeftijd van je laptop. Maar je kan een extra programma in je EFI installeren, welke ook netwerk rechten heeft en daarmee naar huis kan bellen :)

Mijn laptop is van vorig jaar dus met EFI. Daar iets in plaatsen wat naar huis kan bellen zou ideaal zijn, als de locatiegegevens dan wel goed encrypt zijn en het liefst phone home naar mijn eigen pc, en niet naar een commercieel bedrijf die dan doodleuk mijn locatie altijd in handen heeft. Bestaat zoiets in open source formaat?
10-10-2013, 16:36 door [Account Verwijderd]
Wat wil je meer bereiken?
Je laptop terugkrijgen of je data veilig houden?
In andere woorden, kost je laptop meer dan de data erop? Of andersom?

Dit gezegd hebbende, zou ik dan nog voor optie 2 kiezen, zoals jezelf zei gaat het toch behoorlijk moeilijk worden om je laptop terug te krijgen als je geen GPS of dergelijk erin hebt.
10-10-2013, 17:08 door wica128
@Damian_S Geen idee. Weet wel dat er zoiets bestaat. Maar ik encrypt mijn laptop en heb niet de ijdele hoop dat ik dat ding ooit nog terug krijg.

Ja, mijn data is meer waaard dan deze macbook Pro :) ivm access tot bepaalde omgevingen.

Wat encryptie voor mij voornamelijk in houd, is dat ik bij diefstal of verlies van mijn laptop. Voldoende tijd (max 24 uur) om toegang voor dan mijn ex laptop in te trekken.

Maar het feit dat je er overna denkt, geeft al aan dat je er bewust mee bezig bent ( +1)

Overigens, zorg als je een grens over moet gaan, dat je laptop ALTIJD CLEAN is. of gewoon niet bij je hebt.
11-10-2013, 11:02 door Anoniem
Mijn strategie is om te zorgen dat mijn apparaten zo toegankelijk mogelijk zijn, maar mijn data niet.
Er staat tracking software op om het vinden van het apparaat (en natuurlijk de dader) op z'n minst een kans te geven.

Om de tracking te laten slagen mag het apparaat natuurlijk niet worden terug gezet naar de fabrieks instellingen, daarom de tactiek om het apparaat dan maar zo toegankelijk mogelijk te maken, zodat de noodzaak voor een volledige reset of het opnieuw installeren van een heel OS zo minimaal mogelijk is. Hierdoor blijft de tracking software ook intact.
En ik heb er geen problemen mee dat iemand gewoon het office pakket kan starten, firefox kan gebruiken of met gimp aan de slag kan.

Mijn data zit (relatief) veilig opgeborgen in een truecrypt container. Laat de dief dus vooral lekker zijn gang gaan met mijn laptop en gebruik maken van de WiFi.
11-10-2013, 15:36 door Damian_S
Door Anoniem: Mijn strategie is om te zorgen dat mijn apparaten zo toegankelijk mogelijk zijn, maar mijn data niet.
Er staat tracking software op om het vinden van het apparaat (en natuurlijk de dader) op z'n minst een kans te geven.

Precies wat ik bedoel met mijn eerste optie; geen loginpassword zodat een (naïeve?) dief de laptop gebruikt zonder schone installatie en dus de tracking software intact laat. Maar heb je dan wel een GPS tracker op je laptop zitten? Want alleen met wifi gaat het heel lastig worden om je laptop terug te vinden toch? Tracking/ anti theft software alleen gebruiken om foto’s en video’s van de dief te maken is leuk, maar brengt je laptop niet terug.

En nu ik meer over commerciele antitracking software heb gelezen; in principe is het gewoon een ‘legale’ trojan die je installeert en waarbij je hoopt dat alleen jij toegang hebt tot de laptop en niet het bedrijf achter de software. Dus je levert gewoon wat privacy in voor de kleine mogelijkheid om je laptop ooit terug te krijgen bij diefstal…

Ik neig nog meer naar truecrypten van heel mn laptop…
13-10-2013, 07:34 door AceHighness
ervan uitgaan dat er een aannemelijk risico is dat de laptop gepikt word en dan C: niet encrypten ?
dan moet je wel heel voorzichtig omgaan met je instellingen ..voordat je het weet heb je wat passwords in je browser staan, je email client, etc.
13-10-2013, 10:26 door Anoniem
Door Damian_S: Ik neig nog meer naar truecrypten van heel mn laptop…
Dat lijkt mij ook de beste oplossing in deze. Ten eerste moet je er gewoon voor zorgen dat je zo weinig mogelijk kans hebt op verlies / diefstal van je spullen. Als dit toch gebeurt is de kans zeer klein dat je die ooit nog terugkrijgt, ongeacht de voorzorgsmaatregelen die je getroffen hebt. Wanneer je dit toch voor elkaar krijgt, door kordaat optreden van de politie of grondig onderzoek door jezelf (houdt er rekening mee dat je niet zonder meer bevoegd bent om e.e.a. zelf te ondernemen), ben je nog uren / dagen / weken bezig met het controleren van de inhoud en integriteit van je data en OS.

Kortom, gewoon ervoor zorgen dat ALLE data (incl. OS!!!) versleuteld is, en -nog belangrijker- regelmatig een back-up maken.

Verder, +1 voor Wica128 en jezelf!
14-10-2013, 12:19 door WhizzMan
Vergeet niet wachtwoorden te zetten op de toegang van je bios en een verplichte boot van harddisk, in combinatie met de TPM om een key op te slaan. Als er alternatieve media geboot kunnen worden, kan een dief alsnog bij je data.

De kans dat het een dief om je data te doen is en dat deze kundig genoeg is om die van je machine te krijgen als je de boel versleutelt is relatief klein. Desondanks, als jij dit belangrijk vindt, houdt het bootproces volledig onder controle, anders ben je de sjaak.
14-10-2013, 19:28 door Damian_S
Ik heb een laptop met Windows 8 en GPT/UEFI. En wat blijkt nu, Truecrypt ondersteunt helemaal geen fulldisk encryptie voor Win8/GPT/UEFI !! Het staat nog in hun future plans lijst.

Ik had dit echt niet verwacht. Heeft iemand een workaround zonder Windows opnieuw te moeten installeren?
14-10-2013, 20:45 door Marius
Truecrypt is op de wat tragere (oudere) computers een redelijke tegenvaller. Door een nieuwe CPU instructie is truecrypt met de nieuwere CPU's wel beduidend sneller, zie http://en.wikipedia.org/wiki/AES_instruction_set.

Een alternatief voor truecrypt zou een hardware matige versleutelde harde schijf kunnen zijn die FDE / OLAP / SED ondersteund, dan heb je helemaal geen last van een trage truecrypt of extra cpu belasting. Een voorbeeld hiervan is Ultrastar 7K4000 (lees de bijbehorende pdf maar eens op http://www.hgst.com/hard-drives/enterprise-hard-drives/enterprise-sas-drives/ultrastar-7k4000). Er zijn meer schijven die dit ondersteunen maar het is altijd verschikkelijk zoeken of FDE wel of niet ondersteund wordt (seagate ondersteund het ook, maar ik weet het type niet meer)

Er hoort alleen OF een bepaalde bios versie bij die dit ondersteund OF bepaalde software (en daar ben ik zelf nog niet uit, als iemand daar het verlossend antwoord op weet houdt ik mij aanbevolen)
15-10-2013, 08:17 door fluffyb53
Truecrypt is wel opensource maar nu blijkt dat er eigenlijk nog nooit een audit werdt uitgevoerd.

Nu lijkt er project in de maak : Lees : http://blog.cryptographyengineering.com/2013/10/lets-audit-truecrypt.html.
15-10-2013, 11:55 door Anoniem
Door Damian_S: Ik heb een laptop met Windows 8 en GPT/UEFI. En wat blijkt nu, Truecrypt ondersteunt helemaal geen fulldisk encryptie voor Win8/GPT/UEFI !! Het staat nog in hun future plans lijst.

Ik had dit echt niet verwacht. Heeft iemand een workaround zonder Windows opnieuw te moeten installeren?
Bootloader of Dual-boot gebruiken, het is even prutsen maar mij is het ook gelukt en ik ben daar echt niet zo handig mee.

Daarnaast is wellicht VM een optie om je doel te bereiken.
15-10-2013, 14:29 door Anoniem
"Maar ik meen dat die antitheft functionaliteit in het moederbord/flash/chip gebakken zit (correct if I'm wrong)"

Er zijn meerdere wegen naar Rome.
15-10-2013, 15:56 door Anoniem
Gratis anti theft software dat je ook zelf naar je eigen server kan laten rapporteren:

http://preyproject.com/

Is wel wat lastig te installeren volgens mij, en als je je eigen melding server wilt hebben, mis je wel een hoop features. Waaronder een HTML dashboard. Maar he... wel gratis :D

TheYOSH
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.