ComputerBase Menü
Aktuelles

Hinterzimersicheres mobiles Arbeitstier für ca 2k

Also es gibt/gab von den NSA-Leaks auch Tools/Firmwares für alle gängigen Festplattenhersteller, wo entsprechende Änderungen in die Festplattefirmware geschrieben werden. Sprich ein Neuaufsetzen bringt nichts.
Beim Land ist es dann insofern relevant, weil man z.B. in den USA seine Passwörter etc herausrücken muss, wenn das gewollt wird.
 
  • Gefällt mir
Reaktionen: FR3DI
Keylogger via BIOS oder sonstige Schadsoftware, welche in den Firmware-Speicher eingeschleust werden können, sind kein neues Szenario.

100% Sicherheit gibt es halt nicht. Am Ehesten würde mir noch einfallen, ein Backup-BIOS auf einem verschlüsselten Stick mit dir herumzutragen, welches du bei Bedarf frisch aufspielst. Datenträger sollte ja eh verschlüsselt sein.

Als Gerät würde ich ein Framework in den Raum werfen, Performance sollte das Ding genug liefern. Außerdem arbeiten sie gerade an Coreboot.
https://frame.work/de/de
 
  • Gefällt mir
Reaktionen: FR3DI
Viel kürzer und einfacher: So ein System gibt es nicht.

Wenn du es so eng siehst, muss man sagen: Jegliches System, auf das feindliche Aktoren physischen Zugriff hatten, gilt als kompromitiert. Wenn du es genauer nimmst, gilt auch jegliches System, dass deinen Sichtbereich verlassen hat, als kompromitiert. Sprich, sobald du du es z.B. im Hotelzimmer alleine gelassen hast, gilt es als kompromitiert.

Dazu kann ich dir das Thema "Tamper Evident Devices" ans Herz legen, z.B. dieses Video als Einstieg: https://hackaday.com/2012/06/23/defcon-20-tamper-evident-contest-signup/

Wenn du wirklich so viel Paranoia betreibst, dann bleibt dir nichts über, als ohne Geräte und Daten über die Grenze zu reisen und vor Ort alle Daten über einen Server mit einem nur dir bekannten, starken Passwort und MFA herunterzuladen.

Rein praktisch: Verschlüssle das Gerät mit Bitlocker (Pre-Boot Authentication) und BIOS Passwort. Der 08/15 Zollbeamte, der den Auftrag hat, einen USB Stick mit Schadsoftware anzustecken, wird daran scheitern. Sollte die Aktoren, die ein derart verschlüsseltes Notebook infizieren können an dir interessiert sein, wird das, was an einer Grenze passiert, dein kleines Problem sein.
 
  • Gefällt mir
Reaktionen: S K Y N E T
Zeroflow schrieb:
Bitlocker
Zum Vergrößern anklicken....
Es ist immer noch Linux im Gespräch und Bitlocker gilt auch nicht zweifelsfrei als sicher.

Für mich geht es hier um die Person, er sagt ja selber dass die Daten weniger das Problem sind und so ein Aufwand wird sicher nicht bei Jedem betrieben. Ich denke mir jetzt meinen Teil dazu, Info werden wir hier eh nicht bekommen.

Bleibt den Rechner in dem Land zu kaufen, dort aufzuspielen und sicher und gelöscht bis zur Rückkehr zu verwahren. Reicht das auch nicht fällt mir nichts mehr weiter ein.
 
Mein Vorschlag: besorg dir in dem Land selbst ein Gerät (vllt. ein baugleiches wie du hier hast), lass es dort und transportiere mit dir selbst nur die externe HDD/SSD welche vollverschlüsselt ist. So brauchst du keine Sorgen vor Manipulation sonstiger Hardwarebestandteile zu haben und an die Daten kommen sie auch nicht. Alles andere wird dich niemals zufrieden stellen.
 
Das Thema Sicherheit erfüllt dir kein Gerät mehr als die anderen. Entweder vertraust du einem der genannten Verfahren, oder eben nicht.

Trackpoints haben HP und Dell seit 3-4 Jahren weg gespart. Willst du Trackpoint bleibt nur Lenovo.
Hier würde sich wohl das P14s anbieten.
Nur das Dynabook Portege X30L hat abseits von Lenovo noch einen, erfüllt aber wohl kaum deine Wünsche an die Leistung.

Dein Wunsch nach kleiner Größe und Gewicht führt fast zwangsläufig zu Geräten mit mindestens teilweis oder komplett verlöteten RAM, meist 16GB Max. und 32GB+ sieht eher schlecht aus.

Das Precision 5470 könnte deinen Wünschen vielleicht nahe kommen. Zwar auch mit verlöteten RAM, aber immerhin mit 32GB.

Gesockelten RAM für 2x32GB gibts dann erst beim XPS15/Precision 5570, also 15“.

Vielleicht wäre auch das Asus G14 etwas für dich.
 
Zuletzt bearbeitet:
Wie ist es den wenn du der Gerät mit Post hin/zurückschickst, wird das dann auch im Hinterzimmer befummelt? :D
 
Ist normale Praxis in gewissen Länder.
Ich kenne das von Bekannten die Geschäftlich dahin reisen mit Firmen Laptops und Handys.
Beim Privat Handy sollte man wenn es geht immer nur das zweit Handy am besten Apple mitnehmen. Auf diesem keine Passwörter, keine Apps, keine Kontakte und keine Daten sowie Simkarte.

Kann man unter anderem auch hier nachlesen:
https://www.spiegel.de/netzwelt/net...app-telefone-von-touristen-aus-a-1275463.html
 
"US-Grenzschützer dürfen die elektronischen Geräte von Einreisenden durchsuchen. Niemand ist verpflichtet, seine Passwörter zu verraten oder Laptop und Smartphone zu entsperren. Wer nicht kooperiert, riskiert aber, dass er gar nicht einreisen darf und auf eigene Kosten zurückfliegen muss."

Totale Sicherheit gibt es nur, wenn du das Gerät zu Hause lässt. Ansonsten wie genannt ein Laptop mit coreboot und einer Fake Installation mitnehmen, im Ausland dann ein Backup zurückspielen.
 
  • Gefällt mir
Reaktionen: grünerbert
Roesi schrieb:
Ist normale Praxis in gewissen Länder.
Zum Vergrößern anklicken....
Nennst du mir mal einige Beispiele wo Jeder Einreisende auf dieser Basis (Firmware Manipulation vom Feinsten) das durchmacht?! Es geht hier wohl nach Angabe des TE um etwas mehr als die üblichen Kontrollen wie z.B. in den USA.
 
Da deine Kollegen Apple empfehlen:

Du hast scheinbar Kollegen. Arbeitest also in einem Unternehmen mit einigen Mitarbeitern.
Was sagt die Unternehmensführung und die IT zu dem Thema Sicherheit, vertrauliche Daten usw.?

Bisschen strange, dass ihr euch da selbst drum bemühen und Gedanken machen müsst.
 
  • Gefällt mir
Reaktionen: species_0001
Habe seit Jahren ein X230 mit Coreboot und Skull/Heads als Tamper Boot und Nitrokey und LVM-Crypt, da kann nichts verändert werden ohne das man das beim ersten Boot mit bekommt.
 
  • Gefällt mir
Reaktionen: coasterblog
Nein da muss sich niemand privat selbst Gedanken machen wenn man Beruflich unterwegs ist.
Ok ein wenig mitdenken hilft :-)

Laptops kommen von der Firma und sind von der IT vorbereitet. Installiert ist nur ein VPN Client. Alles weitere wird dann über VPN gezogen bzw angeschaut.
Firmen Handys sind immer von Apple.
Diese sind erst mal sicherer wie Android aber das ist dabei nicht das wichtigste.
Berufliche Apple Geräte werden nackt mitgegeben und dann wenn man angekommen ist erst komplett neu eingerichtet. Dies kann man nur bei Apple Geräten da Android so eine Sicherheitssteuerung nicht hat.
Vor dem heimfliegen wird alles wieder zurück gesetzt.
 
@ klumpur40
Die Diskussion ist tatsächlich überhaupt nicht akademisch. Sog. Rootkits d.h. "Virensoftware" die im BIOS (und UEFI) leben, gibt es schon lange. Heutzutage hat außerdem immer mehr Hardware komplexe Software (aka Firmware). Alles was eine Firmware hat, kann man entsprechend manipulieren (https://www.heise.de/news/Windows-1...-das-Mainboard-BIOS-auf-Angriffe-4787873.html, https://www.borncity.com/blog/2022/...smicstrand-rootkit-in-uefi-firmware-gefunden/).

Wie soll das bei verschlüsselter Festplattte/OS gehen? Ganz einfach:
1. du startest den PC (Strom an)
2. der startet das BIOS (Firmware BIOS)
3. da drin ist Schadcode - der startet mit
4. das BIOS postet und startet dann dein OS Entschlüsseler
5. du gibst das Passwort ein (übrigens: BIOS Schadcode könnte das Passwort mitloggen)
6. die HDD wird entschlüsselt
7. hier könnte der Schadcode jetzt den Kernel manipulieren
8. das OS startet
9. während der Laufzeit kann man nahezu nicht feststellen, dass der Kernel manipuliert ist

Voila: du hast ein vollverschlüsselten Massenspeicher, aber bei jedem Start wird dein OS manipuliert. Man kann sogar einen Schritt weiter gehen und die Schadsoftware nicht im BIOS direkt sondern in einem Nebenchip (der ne eigene Firmware hat) platzieren, der von dort startet und sich dann erst in das BIOS injected.

Und das ist keine akademische Möglichkeit. Das passiert da draußen. Insbesondere staatliche Akteure wie China oder USA haben das Know How und die Möglichkeit solch eine Schadsoftware direkt zu platzieren. Und zwar nicht für "Tariq Terrorist" sondern für "Laura Lieschen" und "Emil Entwickler". Man manipuliert einfach die Produktion direkt beim Hersteller der Mainboards (https://www.zdnet.de/88345143/spionage-chips-super-micro-computer-leitet-untersuchung-ein/).

@ Roesi
Nein, natürlich hat Android keine Sicherheitssteuerung. Die leben ja schließlich auf dem Mond, Unternehmen sind gar nicht die Zielgruppe und warum überhaupt sollte man IT-gesteuert das Gerät sperren, resetten oder sonstige Policies erzwingen wollen.
Wenn wir schon dabei sind: natürlich sind alle Laptops immer komplett leer und man lädt dann 100 GB an Software immer erst vor Ort im Dschungel runter. Wenn man das so macht, kann ein die Schadsoftware auch nichts manipulieren oder abgreifen.
 
Dummy System mit ein bisschen Krimskrams auf zweite SSD installieren.
Echte System-SSD im Aufgabegepäck transportieren. Bei Ankunft im Hotel kurz umbauen.
Vorzugsweise ein Notebook mit Wartungsklappe für die System-SSD nutzen.
Ggf. verschlüsseltes Image auf einen USB Stick im Handgepäck.

Auf dem USB Stick zusätzlich ein BIOS/UEFI File bereit halten und dieses drüber flashen.

Aber auch das hilft nicht gegen Malware auf absolut höchstem technischem Niveau.

andy_0 schrieb:
Insbesondere staatliche Akteure wie China oder USA haben das Know How und die Möglichkeit solch eine Schadsoftware direkt zu platzieren.
Zum Vergrößern anklicken....
Ich bezweifle aber dass das 1-2 Personen am Flughafen auf die schnelle hinbekommen.
Solche Lösungen sind oftmals universell für ALLE Geräte der Welt geeignet sondern müssen teilweise speziell für genau das anzugreifende Gerät designt werden.
 
Je komplexer das BIOS (UEFI) wird, desto mehr gleichen sie sich an bzw. sind halt bei den drei Herstellern jeweils eine Variante verfügbar. Das Problem sehe ich nicht. Man muss verhindern, dass jemand das Gerät nehmen, einschalten und etwas via USB einspielen kann. Das ist ein realistisches Angriffsszenario.

Ich gebe dir vollkommen recht, dass das Personal am Flughafen, selbst wenn es zustängier IT Beamter ist, mit einer entsprechenden "vernünftigen" Sicherung mithilfe von TPM und Verschlüsselung am Ende ist. Die Mainboards Chips umlöten wird da sicherlich keiner ;-). Nur: diesen Sicherheitslevel muss man auch erst einmal erreichen.
 
TriceO schrieb:
Du hast scheinbar Kollegen. Arbeitest also in einem Unternehmen mit einigen Mitarbeitern.
Was sagt die Unternehmensführung und die IT zu dem Thema Sicherheit, vertrauliche Daten usw.?

Bisschen strange, dass ihr euch da selbst drum bemühen und Gedanken machen müsst.
Zum Vergrößern anklicken....
Sind nicht viele Kollegen, kleiner junger Laden.
 
@andy_0

Danke für die Antwort. Auf diesem Weg kann ich es mir ungefähr vorstellen. Benutzer schließt system selbst auf während Schadsoftware bereits läuft. Da hilft wohl nur, ein sauberes BIOS zu gewährleisten, wie auch immer. Gruselig.
 
Also ich hab mir nicht alles durchgelesen, aber falls es nur um ein einzelnes Land geht, wo die Hinterzimmerkontrolle gemacht wird und du da solche Sorgen hast, reise ohne Gerät dorthin und kauf dir erst vor Ort eins. :)

Dann kommt das Gerät kein einziges Mal durch die Kontrolle :D

Ansonsten wurde ja schon viel genannt mit Verschlüsselung, Secure Boot etc.

Ich schließe mich auch der Meinung an, dass bei entsprechender Verschlüsselung und BIOS-Passwort das Personal am Ende ist.
Firmware-Manipulation oder BIOS-Chip-Umlötaktionen am Flughafen halte ich dann doch für unrealistisch :)
 
  • Gefällt mir
Reaktionen: coasterblog
Wobei auch bei einem im Land gekauften Gerät keine 100 %ige Sicherheit gewährleistet ist. Gewisse Modifikationen könnten ja schon ab Werk durchgeführt worden sein.

Selbst bei Apple würde es mich grundsätzlich nicht wundern, wenn es im Zweifelsfall irgendeine Art Kooperation mit CIA/NSA gäbe.

Klar, dass geht schon stark Richtung Aluhut. Aber absolute Sicherheit ist nüchtern und sachlich betrachtet einfach nicht möglich.
 
  • Gefällt mir
Reaktionen: matze313 und tomgit
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

enucar
Notebook für Kundentreffen und mobiles Arbeiten
2
Antworten
38
Aufrufe
1.857
Hans_Dampfer
H
4nudels
Dell Latitude 3300 für mobiles arbeiten? Alternativen?
Antworten
11
Aufrufe
1.230
4nudels
4nudels
G00fY
Arbeitstier Notebook für ca. 1000 Euro
Antworten
4
Aufrufe
1.023
G00fY
G00fY
R
Laptop für mobiles Arbeiten im Zug + Home Office mit zwei Bildschirmen
Antworten
6
Aufrufe
1.097
Lawnmower
Lawnmower
N
Hochwertiges, kleines Notebook für mobiles Arbeiten gesucht
Antworten
12
Aufrufe
1.348
Model
Model

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz