Conseils pour une Vierge Defcon

Je n'ai jamais assisté à une convention Defcon auparavant et je suis très heureux d'y assister cette année. J'ai besoin d'aide pour m'assurer que je suis prêt pour l'événement.

- Si j'apporte mon ordinateur portable et le connecte à Internet, est-ce qu'il sera piraté?

- Dans l'affirmative, existe-t-il un moyen de sécuriser ma connexion ou mon ordinateur pour empêcher le piratage ou le rendre difficile?

J'espère pouvoir tweeter et bloguer pendant la convention, mais je ne veux pas non plus que mon serveur soit piraté et tout le plaisir qui va avec. Si vous avez également d'autres conseils généraux pour une vierge defcon, veuillez commenter sur mon blog à http://geek.michaelgrace.org/2009/07/07/advice-for-a-defcon-virgin/ afin que cela puisse se concentrer sur le maintien de mon ordinateur et connexion Internet sécurisés pendant la convention defcon. Tous vos commentaires et conseils sont très appréciés. ;)

L'équipement que je prévois apporter

• Macbook Pro
• iPhone 3G
• Appareil photo numérique

En me souvenant de ce que je sais des événements précédents (je n'ai jamais assisté à DefCon non plus), certaines choses générales me viennent à l'esprit:

1. N'utilisez pas de points d'accès Wi-Fi inconnus ou non chiffrés (WEP compte comme non chiffrés)
2. Utilisez le cryptage partout (SSH / SSL)
3. Non, je le répète, ne vous connectez PAS à votre blog ou Twitter via une connexion non cryptée
4. Utilisez un VPN pour vous connecter à un serveur sécurisé (vérifiez toujours le certificat lors de la connexion)
5. Utilisez des mots de passe sécurisés: 10 à 16 caractères (peut-être plus?) Avec des lettres et des chiffres minuscules et majuscules, avec beaucoup d'aléatoire
6. Mettez à jour votre logiciel vers les dernières versions avant de quitter la maison
7. Ne scannez pas d'autres machines, l'autre côté le remarquera et se mettra en colère

Vérifiez les services que votre MacBook fournit au réseau et désactivez tout ce dont vous n'avez pas besoin (vous n'avez pas besoin de SSH là-dedans à coup sûr). Je ne connais pas l'iPhone car je n'en possède pas.

Si possible, ne vous connectez même pas directement à votre propre serveur, même via SSH. Configurez un compte Dreamhost ou quelque chose et tunnelez le SSH par là. En établissant une connexion de quelque nature que ce soit avec votre propre serveur, vous le pointez comme une cible potentielle!

• Du point de vue du réseau, supposez que vous êtes entouré d'hostiles.
• Ces hostiles seront amicaux. Supposons qu'ils tentent de vous attaquer par l'ingénierie sociale lorsque vous leur parlez. Soyez un scrooge lorsque vous distribuez des informations. Il devrait être assez facile de bavarder sans donner votre nom complet, etc.
• L'ingénierie sociale peut inclure la bière. La bière est un excellent moyen d'amener les gens à faire des choses qu'ils ne feraient pas normalement - y compris donner des informations.
• Cela peut sembler étrange, mais ne pas boire de boisson qui ne provient pas d'une marque bien connue dans une usine scellé contenant ... à moins que vous aimez se réveiller avec vos sous - vêtements comme un chapeau dans un endroit étrange.
• En cas de doute sur les informations à donner, ne le dites pas. N'oubliez pas que les gens peuvent désormais deviner votre numéro de sécurité sociale à partir de votre date de naissance et de votre ville. Une petite info va très loin pour un attaquant.
• Si vous insistez pour prendre un ordinateur, considérez que l'installation du logiciel sur celui-ci est jetable et / ou compromise; il vous suffit de graver le contenu que vous obtenez sur un CD / DVD à votre retour et de le supprimer de l'orbite. Inutile de ramener à la maison des petits vers et des bogues sur votre machine.
• Si vous devez le laisser dans une pièce derrière une porte verrouillée, supposez que vous ne le trouverez pas à votre retour. Voyagez léger et pensez «mobile» ou «nomade». N'oubliez pas, ils font des démonstrations sur la façon de choisir les serrures ...

Pour être ultra-paranoïaque, configurez votre pare-feu pour supprimer tout le trafic sortant et n'autoriser que les éléments que vous souhaitez explicitement, et que vous êtes sûr qu'il est crypté ou non sensible. Par exemple, ce serait nul si vous vous connectiez à votre machine et que votre client AIM décidait de se connecter, en envoyant rapidement votre mot de passe en texte clair.

À moins que vous ne sachiez vraiment ce que vous faites, ne vous connectez à aucun réseau qui pourrait de quelque façon être contrôlé par quelqu'un d'autre chez DefCon. Désactivez tout réseau sans fil intégré, éteignez-le si vous le pouvez. Jouer en toute sécurité, installer des pare-feu, utiliser SSH \ SSL pour tout, vérifier les certificats, les mots de passe forts, tout va bien, mais il y aura des gens qui inventeront des exploits du jour zéro contre des systèmes bien sécurisés pour vivre et tout ce qui se connecte à un réseau est considéré comme un jeu équitable. Pour un exemple des raisons pour lesquelles cela pourrait être une mauvaise idée - en particulier cette année DefCon - lisez cet article de blog VRT sur un exploit dans dhclientqui permet à un attaquant de tirer parti d'un bogue dans le client DHCP des systèmes affectés pour lancer une attaque. Votre Mac n'est pas vulnérable à celui-ci, mais pour les systèmes qui ne nécessitent pas d'arrêter les services \ activer les pare-feu \ utiliser SSH vous aidera, dès que vous essayez d'obtenir une connexion réseau, vous avez été cloué.

Une carte 3G \ EVDO qui se connecte à votre fournisseur de téléphonie mobile sera raisonnablement sûre, tout comme la connexion cellulaire de votre iPhone, mais vous ne devez absolument pas laisser le WiFi d'un iPhone activé à quelque chose comme DefCon.

Votre appareil photo doit être suffisamment sûr à condition qu'il ne dispose pas de WiFi intégré.