De beveiliging van jouw PC-omgeving
In de tijden voor Internet ontstonden er sporadisch al beveiligingsproblemen ten gevolge van malware die verspreid werd via floppy's of via bedrijfsnetwerken. Met de komst van het Internet werd dit probleem aanzienlijk groter en anno 2021 kan men het niet meer wegdenken en heeft iedereen ermee te maken.
Om veilig met een computer (op Internet) te kunnen werken dienen een aantal veiligheidsmaatregelen in acht te worden genomen.
100% beveiliging kan niet want dan kom je zelf het systeem niet meer in of uit.
Beveiligingsniveaus
Je kunt beveiligingsniveaus onderscheiden van niets tot hout, ijzer, brons, koper, zilver, goud, platina, diamant.... 100%, waarin de mate van beveiliging het niveau aangeeft.
Helaas hangt daar navenant een (meer dan evenredig) prijskaartje aan.
De keuze hangt af van de toepassing, de (potentiele) bedreigingen en het risico dat je wilt nemen primair ten aanzien van vertrouwelijkheid, berouwbaarheid en continuïteit, rekening houdende met bedreigingen en getroffen maatregelen.
Sommige maatregelen zijn gemakkelijk te implementeren en handhaven, andere zijn veel ingewikkelder.
Uitgangspunt
Wanneer een goed opgeleid persoon in een verder goed beveiligde omgeving, op een goed beveiligde alleenstaande computer (hardware + software), via goed beveiligde (tussenliggende) verbindingen, goede websites bezoekt en daarop correcte handelingen uitvoert dan is het risico gering.
Gelukkig heb je zelf een hoop van die factoren in de hand (of toch niet...).
P.S. Als er meerdere computers, laptops. SmartDevices (tablets, Telefoons), printers... of IOT op jouw LAN zijn aangesloten dan kunnen die ook besmet raken of geraakt zijn.. en gelden daarvoor dezelfde bedreigingen., maatregelen en risico's.
Alle afwijkingen leveren risico's op met alle gevolgen van dien.
OTAP systemen en aparte netwerk(segmenten)
Voor mij is de ideale situatie een OTAP-configuratie waarbij een aparte (fysieke) Ontwikkel-computer, een aparte Acceptatie-computer, een aparte Productie-computer en een aparte Test-computer worden gebruikt, elk op een apart DMZ (De Militarized Zone).
Productie-computer (op P-DMZ) op gebruik ik voor Internet bankieren, Geldzaken, Overheidszaken, vaste leveranciers contacten. Best beveiligd.
Acceptatie- computer (op A-DMZ) gebruik ik om nieuwe software (operating system, applicaties en andere gedurende een aantal dagen te laten proefdraaien). Zodra OK; dan maak ik daar de productie-computer van. Goed beveiligd.
Ontwikkel-computer (op O-DMZ) gebruik ik om nieuwe hard- of software te ontwikkelen of configuratie aanpassingen uit te testen. Grotendeels goed beveiligd..
Test-computer (op T-DMZ) gebruik ik om 'rond te surfen' op Internet, online games mee te spelen, onbekende leveranciers te benaderen of vreemde sites te bezoeken en overigen. Onbetrouwbaar.
Herstel naar begin situatie
Weet je na geslaagde / mislukte acties niet meer zeker of jouw X computer-omgeving nog betrouwbaar is, dan kun je gelukkig altijd terug naar de begin situatie. Ook hierin kun je meerdere niveaus onderscheiden vanaf terug via (Windows) Sandbox-mechanisme (bijv. Sandboxie Plus), Virtual systeem terugzetten (bijv. VMWare Workstation Player) , Windows herstelpunt operating systeem uitvoeren, Backup terugzetten (incrementeel of volledig), Ghost image terugzetten of de PC compleet schoonmaken en opnieuw installeren, uiteraard met legale software.
Opmerkingen
(1) De meeste gebruikersbudgetten voorzien niet in meerdere aparte PC's, gescheiden DMZ's en alle beveiligingsmaatregelen; ook mijn budget niet!
(2) De Test-computer zal in de praktijd vrijwel dagelijks of vaker opnieuw gedigitaliseerd moeten. Ik gebruik derhalve (on)regelmatig TENS ; zie verderop.
(3) Van al die adviezen en maatregelen wordt maar al te snel afgeweken, ook door mij, vanwege a) beschikbaar budget b) Snelheidsbeperking: even snel wat doen... c) inschattingsfout d) geen zin om moeilijk te doen e) Extra risico nemen....
'Work-around'
In de afgelopen jaren gebruikte ik daarvoor een militaire oplossing: LPS nu TENS geheten. Dit is een beveiligde Linux Life CDROM maar tegenwoordig USB-stick (liefst hardware write protected). Met dit medium kun je een willekeurige PC redelijk snel opstarten en daarmee zaken doen in onveilige omgevingen. Het Linux operating system wordt compleet in het geheugen van de PC geladen en er hoeft niet op de stick geschreven te worden. Malware op de gast computer kan zo niet de CD ROM of USB-stick besmetten.
Je kunt die zelfs na het opstarten, alvorens te gaan browsen, eruit halen. Eventueel kunt je deze regelmatig opnieuw aanmaken voor de zekerheid.
"LPS is a simple, inexpensive tool to create trusted endpoints for government and the public. It is bootable, open-source software that can be used with most Windows, Macintosh or Linux computers to create a nonpersistent trusted end node for secure browsing, cloud computing or network access. It boots a Linux operating system from a LiveCD and installs nothing on the client computer, running only in RAM to bypass any local malware and leave no record of the session"
(http://gcn.com/articles/2010/10/18/gcn-awards-air-force-lightweight-portable-security.aspx). LPS is designed to boot from a CD or USB pen-drive on any Intel-based computer.
In other words, LPS allows personally-owned or public computers to connect to restricted government websites and networks. No data from the session is saved to the computer's hard drive.
"Because LPS-Public operates only in Random Access Memory (RAM), users may visit risky, malwareinfected sites with very little permanent risk. Likewise, user’s private sessions and sensitive transactions occur within a leave-no-local-trace browsing environment. LPS-Public provides a thin, secure, endnode for cloud computing. Created by the Software Protection Initiative at the Air Force Research Laboratory (AFRL), LPS-Public boots from a CD, runs only in RAM, installs nothing to the hard drive, and does not require administrative rights. LPS-Public provides a Firefox browser with plug-ins, CAC middleware, certificates, and a PDF viewer within a very thin Linux operating system. It’s a great solution for users with Mac, Linux, or Windows 7 systems, or those using others’ computers.
"LPS isn't meant to be patched. When it's updated, you need to download a new virgin copy of the operating system. LPS is updated at least every quarter. To get the best possible protection the SPI recommends you simply download a fresh copy of the distribution with every update. bron
Non public: It includes a smart card-enabled Firefox browser supporting Common Access Card (CAC) and Personal Identity Verification (PIV) cards
TENS / LPS vertrouwde ik juist omdat het uit de militaire overheidshoek US kwam...
Trusted End Node Security Alternatives - die vertrouw ik niet 123....
other trusted-end-node-security-alternatives
Qubes? / Whonix? - Q-comparison / W-comparison
What is the most secure Linux distro? 28.09.2021
TechRadar Best Linux distros for privacy and security in 2021
Top 10 Most Secure Linux Distros for Personal Use
Top 15 Best Security-Centric Linux Distributions of 2020
https://en.wikipedia.org/wiki/Security-focused_operating_system
Kijken dat je niet van de regen in de drup komt..........
Verdiepingsstof
NSA. Welcome to the National Security Agency’s Open Source Software Site. The software listed below was developed within the National Security Agency and is available to the public for use. We encourage you to check it out!
Cybersecurity Products & Services (NSA)
SELinux is flexible Mandatory Access Control (MAC) for Linux
SECURITY ENHANCEMENTS FOR ANDROID (SEANDROID)
Windows-Event-Log-Messages Retrieves the definitions of Windows Event Log messages embedded in Windows binaries and provides them in discoverable formats.
E e n v e i l i g e n f i j n I n t e r n e t g e b r u i k
Update 03.03.2023