Je lisais ce question quand je pensais : Certaines urgences exigent que vous vous connectiez à des e-mails ou à d'autres sites sensibles dans des ordinateurs publics sur Internet. N'oubliez pas ces points :
Je pense que peut-être un service en ligne répondra à ces exigences...
Tu ne peux pas. L'authentification à deux facteurs avec des mots de passe à usage unique (OTP ?) serait la première exigence, car vos frappes au clavier et la procédure de connexion seront sans doute enregistrées. Il serait ainsi plus difficile pour un attaquant de réutiliser quelque chose une autre fois...
...cependant, même si vous établissez ensuite un tunnel crypté, rien n'empêche évidemment que toutes les informations que vous y faites transiter soient divulguées puisque vous ne contrôlez pas votre point d'arrivée.
Donc, tant que vous ne protégez que les droits d'accès, il est possible de le faire de manière convenablement protégée (bien que rien ne le soit jamais). sécurisé ). Mais toutes les informations dont vous disposez pendant cette session doivent être considérées comme un bien public, car vous ne pouvez pas contrôler leur distribution lorsque le client est compromis.
Il pourrait utiliser la journalisation matérielle, donc même si vous vous introduisez dans le terminal et démarrez votre propre système d'exploitation, vous ne sauriez pas si c'est sûr ^^.
Je doute que vous puissiez garantir la sécurité à partir d'un terminal public. Si vos services sensibles sont disponibles via HTTPS, cela vous donnera une certaine protection contre le reniflage de ligne ou les serveurs proxy entre le poste de travail et le serveur. Cependant, rien ne garantit qu'il n'y aura pas d'application d'enregistrement sur l'ordinateur lui-même, comme un enregistreur de frappe ou un logiciel d'enregistrement de bureau qui surveille tout ce que vous faites. Si possible, démarrez votre propre micro-OS à partir d'un périphérique de stockage USB portable, travaillez avec celui-ci et connectez-vous au serveur via un VPN sécurisé ou une autre connexion cryptée. Mais même cela n'est pas infaillible, car un enregistreur de frappe matériel pourrait être installé sur le clavier ou le câble de connexion (des voleurs ont même fait ce genre de choses avec des distributeurs automatiques de billets pour obtenir la bande magnétique de votre carte et votre numéro de code).
Point mineur : https ne vous protégera pas d'un serveur proxy qui effectue un détournement SSL de type "man in the middle". le magasin de certificats de confiance du navigateur contiendra un certificat qui a été injecté pour permettre au proxy de se faire passer pour ce qu'il veut être. le cryptage de bout en bout ne fonctionne pas si votre point d'extrémité est compromis, que ce soit par malveillance ou par politique d'entreprise. :-)
Cela dépend en grande partie de la confiance que vous accordez à la machine publique. Qui l'exploite ? Si la machine ou le réseau est sous le contrôle d'une personne ou d'une organisation dont vous ne faites pas confiance pour gérer les questions de confidentialité de manière compétente, il n'y a pas beaucoup d'options à votre disposition pour ASSURER votre confidentialité. La machine peut être équipée de keyloggers (matériel ou logiciel) ou d'autres logiciels de surveillance.
Cependant, si vous devez le faire, ou si votre principale préoccupation concerne les personnes susceptibles d'utiliser le terminal public après vous et ayant des capacités d'accès similaires, je choisirais les solutions suivantes :
J'ai installé une applet Java SSH sur les boîtes Linux auxquelles je dois me rendre et j'ai skey l'authentification (clé unique) est activée pour l'ouverture de session et l'accès à l'information. sudo avec une liste d'au moins 50 clés valides dans ma poche (sans aucune indication qui pourrait aider un voleur à identifier à quelle boîte ces clés sont valides).
Pour accéder à mon courrier électronique, j'utilise Emacs con Gnus depuis cette console.
Cette configuration me convient car la plupart des installations de Windows ont une sorte de Java préinstallé et l'applet SSH fonctionne même sur les anciennes versions de Java.
Je suis conscient que de cette façon la communication que je fais en travaillant est no sûr. J'essaie principalement de me protéger contre les tentatives de connexion et les attaques par rejeu en utilisant les mots de passe à usage unique proposés par skey .
Commencez par un examen rapide du matériel (recherchez les enregistreurs de frappe sur la fiche ou le câble du clavier). Pour les vrais paranoïaques, apportez votre propre clavier. (car des modifications de keylogging peuvent être présentes à l'intérieur du clavier).
Démarrez dans votre propre système d'exploitation préparé à l'avance à partir de clé usb ou cd. (empêche tout malware ou spyware déjà présent sur la machine de vous affecter). Un système d'exploitation sur un support en lecture seule pourrait être plus sûr.
Même après tout ça, vous ne pouvez toujours pas faire confiance à la machine car elle il est toujours possible que des rootkits soient présents.
À ce stade, vous pouvez établir une connexion ssh ou vpn avec votre machine/réseau domestique et travailler à distance. Sachez simplement que toute négociation de clé peut être interceptée par une attaque de type "man in the middle". Vous pouvez mettre votre clé ssh sur le support en lecture seule avec l'os.
En fin de compte, vous ne pouvez jamais vraiment faire confiance à l'interaction avec une machine publique, quelles que soient les mesures que vous prenez.
Soyez toujours conscient des possibilités d'enregistrement de vos frappes par le matériel, d'attaques de type "man in the middle" sur le réseau, etc...
Comme c'est généralement le cas lorsqu'il s'agit de sécurité, vous fournissez couche après couche de protection, en espérant que vos couches soient plus épaisses que la détermination et l'ingéniosité de tout attaquant potentiel à vous compromettre.
Vous pouvez soit aller très loin avec tout cela, soit décider qu'un simple tunnel ssh avec vos clés sur une clé usb est suffisant. Il y aura toujours un risque, et c'est à vous de décider jusqu'où vous êtes prêt à aller pour diminuer ce risque.
(Personnellement, je ne toucherais pas un ordinateur public pour faire quoi que ce soit d'important avec un bâton de dix pieds, quelles que soient les mesures que je pense avoir mises en place).
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
0 votes
Apportez un support de démarrage avec vous et démarrez à partir de celui-ci. Une fois qu'une connexion Internet a été établie, connectez-vous en utilisant le VPN.