Buon pomeriggio, stavo pensando di blindare completamente il pc e mi è sorta una domanda: oltre al bios/uefi, nei computer ci sono altre impostazioni aggiuntive?
- Autore discussione Chronalt14
- Data d'inizio
Non ho ben capito la tua domanda.. c'è anche il bios csm (compatibily support mode) serve se hai un sistema operativo non compatibile con uefi tipo xp e altri.. ma con i sistemi operativi moderni compatibili con uefi devi utilizzare quello..
Mi spiego meglio: intendevo, oltre al bios/uefi ci sono impostazioni nascoste che permettono di personalizzare ancora di più il pc?
Messaggio unito automaticamente:
So che non è molto chiaro ma non so spiegarlo in modo dettagliato così da farvelo capire.
Il bios uefi non è una personalizzazione, cosa intendi personalizzare? Nel bios ci sono molte cose che possono essere cambiate però dipende anche da quale bios hai e soprattutto cosa vuoi fareMi spiego meglio: intendevo, oltre al bios/uefi ci sono impostazioni nascoste che permettono di personalizzare ancora di più il pc?
Messaggio unito automaticamente:
So che non è molto chiaro ma non so spiegarlo in modo dettagliato così da farvelo capire.
Per personalizzare intendo attivare o disattivare il secure boot, rendere l'hard disk criptato e altre cose riguardo la privcacy. Volevo sapere se c'erano delle impostazioni aggiuntive per rendere il pc sicuro!
Dal punto di vista hardware non puoi fare molto altro, ricorda che è impossibile proteggersi del tutto da gli attacchi fisici contro dispositivi non custoditi, c'è un detto: "se qualcuno mette le mani sul tuo pc, non è più il tuo pc", l'attacco è anche noto come "Evil maid attack" che va ben oltre il semplice furto.
L'attenzione invece andrebbe focalizzata sull'aspetto software e alle regole del buon senso digitali: non serve a niente avere il disco cifrato e password a 30 caratteri se poi non si fanno gli update, si aprono malware, si usano crack prese chissà dove, si fa click su link di phishing ecc... Ad oggi tutti i gruppi di cybercriminali prendono di mira il software + social engineering proprio perché gli permette di attaccare da remoto, tutta un'altra cosa rispetto al rischio e l'enorme dispendio di risorse per mandare qualcuno ad attaccare fisicamente un dispositivo.
Ciao, tieni in considerazione che se parli di sicurezza, dovresti disattivare le porte usb e attivarle solo quando necessario.
Riguardo l'HDD, potresti criptarlo direttamente con Veracrypt
Riguardo l'HDD, potresti criptarlo direttamente con Veracrypt
Ha senso disattivare le porte USB ma solo in ambito aziendale, uffici, casse, negozi... Se sei a casa tua è solo una seccatura non poterle usare.
Per quanto riguarda Veracrypt è ottimo per i dischi esterni ma suggerisco di delegare il compito di cifrare l'OS al sistema di full-disk encryption dell'OS cioè LUKS per Linux, FileVault per MacOS e BitLocker per Windows. I motivi sono tanti dalla stabilità alla sicurezza stessa. Stabilità perché sono stati scritti da chi ha conoscenza e documentazione interna dell'OS e quindi integrato meglio, per il numero di device su cui è stato testato, per tenere il bootloader originale... Sicurezza perché veracrypt cifra solo la partizione di sistema in questa modalità e non usa la TPM, quindi stai facilitando il compito per l'eventuale "evil maid" perché gli basta sovrascrivere il bootloader di veracrypt e la prossima volta che logghi, la password viene salvata/inviata oppure ti viene installato uno spyware con bootkit, cosa che sarebbe stata molto più difficile con i sistemi FDE + TPM di default (non impossibile).
Tutte teorie estreme ovviamente, non sono cose che capitano a chiunque. L'ho scritto solo per dimostrare come a volte voler mettere più protezioni di terze parti significa indebolire il sistema.
Ecco fino ad ora che cosa ho fatto per ampliare la sicurezza del mio pc: ho criptato l'UEFI (utente e supervisore), l'hdd e secure boot con una password; inoltre ho criptato il disco direttamente quando ho installato Ubuntu (tramite lvm). Inoltre ho disabilitato intel vtx e rtx ma ogni giorno li riattivo perchè sennò non posso usare virtualbox. Cosa posso fare per potenziare di più, in termini di sicurezza, il mio pc?
Ultima modifica:
Non si può "criptare" l'UEFI, al massimo hai impostato una password (che può essere resettata). Perché hai disabilitato VT-x? Puoi lasciarlo sempre attivo senza problemi, anzi avere l'abitudine di usare macchine virtuali può solo far bene.
Ti abbiamo già risposto, dal punto di vista hardware è inutile fare altro, con la disk encryption rimuovi il problema privacy quando si tratta di normali furti. Proteggersi da tutti i possibili attacchi (fisici) è impossibile e reputo uno spreco di energie anche solo provarci. Per citare un esempio, alcune agenzie US, in seguito a un attacco simile verificatosi in Cina, suggerirono di impiegare l'uso di PC "usa e getta" per viaggi di lavoro all'estero proprio perché sanno che non è possibile proteggersi al 100% da questo tipo di attacchi. L'esempio è calzante anche per far capire chi sono i bersagli tipo di attacchi del genere.
Se vuoi aumentare la tua sicurezza approfondisci le tattiche di red e blue teaming per avere ben chiaro quali aspetti software vanno protetti meglio e quali azioni sono più pericolose di altre.
Le password a livello bios o firmware a mio parere sono uno strato di difesa molto debole.
Ad un malintenzionato che ha accesso fisico alla macchina basterà togliere la batteria tampone della scheda madre per resettarle...