我最近去中国出差。我们的 IT 部门告诉我,我不能拿我的普通机器,而是给了我一个借用机。这个借用者有 MS Outlook,并链接到我正常的公司电子邮件帐户。我使用相同的 VPN 和令牌(我的 iPhone 上的 Mobile Pass)登录到公司网络,如果我使用我的普通机器,我会使用。我应该注意,我确实拿了我的普通 iPhone,而不是借来的。
与普通机器的主要区别似乎是,在我回来后,借用机将被重新成像,并可能在某人下一次旅行时用作借用机。我从来没有被要求不要在我返回时将借用人放在公司网络上,我也从未尝试过,所以我不知道它是否会连接到网络。将文件从借用者移动到我的普通机器上也没有任何限制。我还在借用者上使用了我的正常登录信息(用户 ID、密码等)。
我的问题是:与使用用户的普通机器相比,这种借用笔记本电脑政策是否提供了显着的安全优势?
后续编辑:目的地是中国这一事实与欧洲或美国的地点相比有什么不同吗?
我最近去中国出差。我们的 IT 部门告诉我,我不能拿我的普通机器,而是给了我一个借用机。
那可能对你一点帮助都没有。我之所以这么说,是因为您在将笔记本电脑带回您的国家/地区后将其连接到了公司网络。
这个借用者有 MS Outlook,并链接到我正常的公司电子邮件帐户。我使用相同的 VPN 和令牌(我的 iPhone 上的 Mobile Pass)登录到公司网络,如果我使用我的普通机器,我会使用。我应该注意,我确实拿了我的普通 iPhone,而不是借来的。
您永远不应该将该计算机重新连接到您的公司网络。您需要明确分离关注点。
您有在中国从事重要业务的公司吗?您可能在抵达时被黑客入侵。不幸的是,由于您还连接了公司电子邮件和其他帐户,因此您可能拥有所有电子邮件地址和联系人exfil'd。
他们为什么需要这些信息?对于网络钓鱼攻击,有关客户、联系人等的信息。
不幸的是,我遇到的大多数酒店互联网服务的登录门户都存在严重问题,例如 Javascript、Flash 和 Java 中的驱动下载漏洞。如果您启用了其中任何一个,并且您的机器很容易受到攻击,那么您很可能在没有意识到的情况下被感染。
我个人遇到过“不起作用”的酒店 WiFi,这需要酒店中的“IT 人员”亲自进来并设置您的连接属性(IPv4、、、IPv6等DNS)以通过恶意服务器进行连接。有时他们甚至会在“修复”时尝试在我的笔记本电脑上下载文件。
与普通机器的主要区别似乎是,在我回来后,借用机将被重新成像,并可能在某人下一次旅行时用作借用机。
不幸的是,这无助于抵御基于固件的攻击。它可以像BadUSB在您离开时插入设备一样简单。走进去,插入,等待刷机硬件的确认,离开。如果您正在为政府承包商工作,或者有重要的公司机密要保护,我什至不会相信重新映像的驱动器。
全盘加密无法保护您免受闪存固件甚至隐藏设备植入的侵害。他们可以简单地打开笔记本电脑,插入包含恶意软件的媒体,在不接触驱动器的情况下刷新您的 bios,然后安装基于 bios 的恶意软件。
您是否在购物或参加重要会议时将笔记本电脑单独留在酒店?当你不在的时候,它可能已经被物理破坏了。
防止这种情况的一种好方法是确保您的硬盘驱动器已加密,然后在您离开时将其关闭。但这也不完美。他们可以比你想象的更快地在你的笔记本电脑中植入东西。在访问中国之前,您还可以尝试在笔记本电脑边缘放置一些保修/无效封条。如果它们坏了,假设硬件受到了损害。
同样,请记住,这full-disk encryption不会使您免受基于硬件的攻击。如果他们复制了您的硬盘内容,然后安装了基于硬件的键盘记录器,那么他们可以轻松检索您的硬盘内容。
既然你在帖子中提到了你的手机,我想我会添加这个小花絮。当你离开时,甚至在你睡着的时候,有可能用恶意的分身替换你手机的充电设备。
如果您在酒店度过的时间足够长,您甚至可能会遇到在您睡觉时实际进入您酒店的酒店员工。即使你已经用螺栓锁住了门并锁上了它们。
我从来没有被要求不要在我返回时将借用人放在公司网络上,我也从未尝试过,所以我不知道它是否会连接到网络。将文件从借用者移动到我的普通机器上也没有任何限制。我还在借用者上使用了我的正常登录信息(用户 ID、密码等)。
我建议您的 IT 安全人员花更多时间了解外国攻击者。在中国或任何其他高风险地区,使用您的正常登录几乎是一个巨大的禁忌。
我的问题是:与使用用户的普通机器相比,这种借用笔记本电脑政策是否提供了显着的安全优势?
不。原因是您最终连接到了公司网络的 VPN。我把很多一次性技术带到中国,结果每次都被黑客入侵。之后我重新格式化,感染仍然存在。如果我将它连接到一个重要的网络,我可以在该网络上对关键事物进行读/写访问,我将陷入困境。
如果您希望高级持续性威胁无处不在,那就去做吧。就个人而言,我想要所有的感染,这样我就可以对它们进行逆向工程!:-) 但是,考虑到贵公司可能有要保护的秘密,我不会相信这个笔记本电脑政策。
事实上,你所描述的——你使用计算机的方式——对于一个熟练的黑客来说就像一个金矿,甚至是一个可以自动化攻击的脚本小子。如果您认为您的数据被泄露,此时您会怎么做?这可能只是数据泄露的早期阶段,为网络钓鱼攻击做好准备,或者您可能已经掌握了更重要的潜在攻击者信息。
请记住,正如我多次说过的,如果您通过企业 VPN 连接到您的公司,并且在中国或其他地方的人感染了您的计算机,那么他们也可以访问您被允许在该公司网络上执行的任何操作. 您是否允许创建/读取/写入关键文件和文件夹?他们也可以。
同样,无论您在公司网络上被允许做什么,如果他们控制您的计算机,他们也可以这样做。这可以在您没有意识到的情况下静默完成,即使您在系统上也是如此。
不幸的是,工业间谍活动在中国非常普遍。
在某些情况下,间谍软件被安装在计算设备上(据称是酒店工作人员),在某些情况下,甚至硬件间谍设备也被安装到笔记本电脑中。
擦除每个借出的笔记本电脑是摆脱任何间谍软件的好方法。一些建议建议在出差之前和之后对任何硬件进行称重,并调查它是否以某种方式增加了几克。您的 IT 部门在收到借用人时可能会也可能不会这样做。
但是,这并不能防止出差期间发生的任何间谍活动。
应该为您提供一台笔记本电脑,上面没有公司信息,这不是绝对必要的。在可能的情况下,应防止访问安全的公司内部信息。您的公司应该为您提供一个不属于其正常内部系统(Gmail、Outlook.com 等)的基于 Web 的电子邮件帐户,而不是您的常规公司电子邮件帐户。
计算机返回公司后,应立即返回 IT 部门。例行的病毒扫描在这里不会有用,因为他们几乎肯定会使用未主动扫描的定制漏洞。
公司应擦除计算机,重新刷新所有固件,然后重新映像计算机。
出于取证目的,在旅行前后对计算机驱动器和固件执行完整的 SHA 哈希扫描可能会提供有关发生了什么攻击的有用信息。
最后但同样重要的是,请确保您在这次旅行中使用的任何密码都与您通常使用的密码完全不同。
从假设的黑帽的 POV 来看,有很多方法可以破坏磁盘擦除甚至固件闪存都无法触及的笔记本电脑。想象一个非常小的硬件设备,基本上是一个 SOC 和一大块闪存。接线成SATA电源,用数据线接键盘数据线。只需记录 64GB 或 128GB 时间的所有原始击键,满时用新键覆盖最旧的键,并在笔记本电脑返回国内时尝试恢复/刷新。做起来很简单,不是很昂贵(在大型公司/政府规模上),并且可能会管理可接受的高成功率,同时完全不受重新刷新和磁盘擦除的影响。这大约需要 5 分钟的思考时间,在政府层面的努力下,事情可能会变得非常非常糟糕,非常非常快。