Вопрос: Безопасное соединение с небезопасным компьютером


Я собираюсь выехать из страны в довольно сомнительную область, и я хотел бы иметь доступ к моему онлайн-банкингу, пока я уезжаю. Если бы я взял свой компьютер, это не было бы проблемой, но это не вариант. У меня будет доступ к «Интернет-кафе», предположительно с компьютерами Windows. Я предполагаю, что у меня не будет возможности установить какое-либо программное обеспечение на компьютер, но я предполагаю, что, вероятно, я смогу запустить программное обеспечение с USB-накопителя.

Я знаю, что основные варианты (хотя и не стесняйтесь предлагать другие) - это SSH Tunneling и VPN. К сожалению, у меня нет доступа к настройке моего домашнего маршрутизатора, поэтому очень сложно настроить SSH и VPN.

До сих пор я нашел teamviewer, у которого есть компонент VPN, но неясно, разрешает ли он весь сетевой трафик через соединение без прав администратора.

Другой вариант - установить firefox на USB-накопитель и использовать proxyfoxy, но опять же, я столкнулся с проблемой неспособности настроить домашний маршрутизатор.

TLDR: Я ищу приложение VPN или SSH Tunneling, которое может работать с USB-накопителя (без установки), для которого не требуется dyndns на сервере.

РЕДАКТИРОВАТЬ: Я знаю о проблемах с клавиатурой, но на самом деле я бы, вероятно, использовал виртуальную клавиатуру. Меня больше интересует создание безопасного соединения, чтобы избежать обнюхивания пакетов и т. Д.


5
2017-07-28 20:28


Источник


так что вы в порядке с клавиатурой / мышью, нюхать, но не в порядке с обнюхиванием пакета? :) с небезопасного компьютера невозможно безопасное соединение. ЭОС. и нет, «виртуальная клавиатура» тоже не помогает. Вы хотите запустить «виртуальный монитор»? возможно, они делают снимки в 25 кадров в секунду того, что вы видите, включая «виртуальную клавиатуру». - akira


Ответы:


Проблема, которую я вижу, заключается в том, что вы не сможете установить что-либо вроде программного обеспечения VPN на этих компьютерах Интернет-кафе, и даже если бы вы это сделали, они могли бы установить кейлогеры, оставив вас очень разоблаченными.

Честно говоря, я никоим образом не мог бы получить доступ к моему банку из любого из них, и я бы отказался от ваших текущих планов.

В качестве примечания: по крайней мере, с TeamViewer вы можете запустить версию быстрой поддержки, которая не требует установки, но вы все равно можете стать жертвой азартного кейлоггера.

Другими словами, вы можете сделать соединение в среднем защищенном, но не на обоих концах соединения.


7
2017-07-28 20:34



Каждый бит информации, которую вы отправляете на ваш домашний компьютер, проходит через локальный, возможно, небезопасный компьютер. КАЖДЫЙ бит информации, которую вы используете для входа в систему, даже если удаленно, может быть легко перехвачен. Как он поступает от вас удаленно на домашний компьютер? Через небезопасный компьютер. Вы просто не можете сделать это надежно. - KCotreau
Шансы невелики, но реальны. Удачи. - KCotreau
If the bank login information is saved on the remote computer, how would that be intercepted by the insecure computer? Потому что небезопасная ОС, в которую вы вводите свои учетные данные, - это электронный эквивалент того, кто смотрит через плечо и записывает, какие клавиши вы нажимаете. Если то, что вы предлагаете, верно, тогда будет нет проблемы с вредоносным ПО в «реальном мире», что, очевидно, не так. если ты действительно хочу сделать это, тогда я предлагаю 1) создать отдельный банковский счет, из которого вы будете получать доступ только из небезопасных мест и хранить минимальную сумму ... - Joe Internet
... денег в нем. Продолжайте заполнять эту учетную запись другим способом (PayPal, безопасная учетная запись), которую вы только доступ из безопасного места, которому вы доверяете. И 2), что вы находите хороший cd / usb, ориентированный на безопасность, который вы можете загрузить с ПК, даже в интернет-кафе. По возможности я пошёл бы с компакт-диском, чтобы что-то не записывать на носитель. В идеале ОС будет работать из ОЗУ. Это примерно так же безопасно, как и вы, и даже это не на 100% надежнее. - Joe Internet
@grawity Я хорошо знаю, что физический доступ к компьютеру дает полный контроль. Я не так обеспокоен тем, что владелец или сотрудники записывают информацию так же сильно, как компьютер, который плохо управляется (и, вероятно, работает с вредоносным ПО). - viking


Если вы не используете одноразовые пароли (которые трудно настроить) или смарт-подобные устройства, все, что вы можете сделать на этом небезопасном компьютере, можно записать и воспроизвести. Например. они могут записывать имя пользователя, которое вы используете для входа на ваш удаленный компьютер, и копировать сертификат. Иногда даже просматривая информацию, отображаемую на вашей странице онлайн-банкинга, они могут использовать некоторые трюки, основанные на социальной инженерии, для доступа к вашей учетной записи во время вашего отсутствия.

Лучше всего принесите с собой Linux Live CD и загрузитесь с этого, Затем подключитесь через защищенную ссылку к доверенному компьютеру.

Если вы не контролируете домашний маршрутизатор, вы можете легко открыть свободно сервер на Amazon EC2. Вы можете использовать этот компьютер как VPN-сервер или использовать его как ваш доверенный хост напрямую.


3
2017-07-28 22:01



+1 для Linux Live CD, хотя у них все еще может быть аппаратный кейлоггер. Наверное, это маловероятно. - houbysoft


Идея №1 - Получите новый домашний маршрутизатор, который позволяет настроить SSH (они довольно дешевы)

Обеспокоенность по поводу этой идеи. Многие интернет-кафе ограничивают порты, которые могут использоваться для исходящих подключений ... Возможно, вы можете ограничить только трафик порта 80, который сделает любой вид SSH очень сложным в использовании.

Идея №2 - Настройте OpenVPN (или другой инструмент VPN) на своем домашнем компьютере и используйте маршрутизатор для перенаправления VPN-порта на этот компьютер ... Устанавливает больше конфигурации, чем использование встроенного прокси-сервиса на вашем маршрутизаторе, но это бесплатно; )

Идея № 3 - Team Viewer на USB-накопителе, вероятно, является самым простым / лучшим вариантом, указанным до сих пор ... Используйте это вместе с KeePass, и вы, вероятно, будете в порядке. Опять же, хотя и зависит от того, как заблокированы компьютеры, и как заблокировано их подключение к Интернету.

Идея № 4 - Если вы не можете получить что-то еще ... Вы могли бы просто позвонить в свой банк :)

Что касается проблемы с клавиатурным шпионом, я бы использовал KeePass ... Вы можете использовать переносимую версию, и если вы используете назначение горячей клавиши для ввода паролей вместо копии / вставки, вы можете установить опцию для Двухканальная автоматическая обфускация

Удачи!


2
2017-07-28 22:00



Что касается вашего комментария - «вы можете ограничить трафик порта 80» - это не проблема для SSH; просто запустите его на другом порту. Я часто это делаю, чтобы обойти этот тип ограничений, и он работает отлично. - houbysoft
Это не такая уж плохая идея. - surfasb


Если вы можете загрузиться с USB или CD, Легкая портативная безопасность (LPS) Linux от Министерства обороны США обеспечит безопасную среду:

LPS-Public превращает ненадежную систему (например, домашний компьютер) в доверенный сетевой клиент. На локальный компьютер не может быть записано никаких следов работы (или вредоносного ПО).

LPS предназначен для работы с носителями только для чтения и без постоянного хранения. Любое вредоносное ПО, которое может заразить компьютер, может работать только в этом сеансе.

Пользователь может повысить безопасность путем перезагрузки между сеансами или   когда собирается совершить конфиденциальную транзакцию. Например, сходница   непосредственно перед совершением банковских операций в Интернете.

У DistroWatch есть обзор Вот:

Идея заключается в том, что большинство общедоступных операционных систем легко поддаются компрометации, поэтому было бы неплохо, если бы люди могли использовать компьютер без риска подвергать свои учетные данные и личные данные вредоносным программам, регистраторам ключей и тому подобному.

(Благодаря Linux Action Show для упоминания этого.)


0
2017-07-28 22:14



Теперь, когда я думаю об этом, я не вижу, как это может блокировать аппаратные средства кейлоггеров. Но отчасти ответственность вашего банка заключается в том, что эта атака неловкая, например, путем запроса определенных символов с вашего пароля или номера PIN-кода или путем запроса их в произвольном порядке. - sblair