Un Router Condiviso Con Un Altro Pc E Accesso Fisico, Come Non Essere Spiato?

[Prototype1]

Ho installato antivirus, spyware, firewall, uso tor... vorrei sapere come non essere spiato per colpa di un router condiviso, e quali sono i programmi per impedire che una persona con un accesso fisico al mio pc possa installare tramite chiavetta usb (e/o scheda sd?) un programma malevolo.

 

[Il cecchino Jackson]

in pratica ti senti come in un wifi pubblico? potresti usare una vpn.
per l'accesso fisico al tuo pc potresti fargli un account limitato di windows. poi esiste qualcosa che ti spii senza installarsi non so. chissà se @BlueRaven ha volgia di dire la sua :)

 

[Prototype1]

In pratica convivo con un'altra persona, ma non siamo in buonissimi rapporti ora come ora... non è un hacker, però vorrei avere la conoscenza necessaria per tutelarmi, perchè e dalla ignoranza che nascono i problemi.

Ci sono 2 computer in 2 stanze separate, lui ha il ruoter vicino a se (anche se posso entrare nella camera quando non ce), io uso un adattatore powerline per il collegamento internet tramite cavo elettrico... per il vpn ci sono i presupposti?

Quando io non ci sono potrebbe avere l'accesso fisico al pc, ho scaricato ratool che impedisce di aggiungere periferiche usb e schede sd (anche altro), questo basta per impedire di immettere sul mio pc un virus tramite dispositivi esterni?

 

[Il cecchino Jackson]

ma se il pc è spendo e protetto da password..ratool non lo conosco, ma dato che l'unica cosa che poteva venirmi in mente è usare una live di linux(forse, al limite) per accedere ai files di windows. direi che stai tranquillo

 

[Il cecchino Jackson]

e comunque per sniffarti il traffico dovrebbe essere bravo o bravino eh, mica lo fan tutti. se proprio stai così imparanoiato usa la vpn di opera browser (è l'unica gratis illimitata che conosco).

poi il modem di chi è? vostro o del proprietario? voi avete accesso all'interfaccia del modem o è portetta da password? lo chiedo solo perchè al limite può registrare quando i dispisitivi si connettono, ma non vedere cosa visiti.

 

[Prototype1]

Il modem è di tutti e due. Io e lui abbiamo accesso alla interfaccia del modem... che si può proteggere da password? interessante, come?

perchè preferire la vpn di opera a tor?

il pc lo può accendere tranquillamente e immettere qualche virus per aggirare la password, ma con ratool attivo i dispositivi non si collegano (chiedo conferma).

sniffare il traffico significa che tramite il mio ip vede dove mi collego? perchè con tor probabilmente non funzionerebbe.

 

[Il cecchino Jackson]

Se il modem è di entrambi non puoi mettere una pena una cosa anche sua.

Boh tor non lo ho mai usato, ma immagino tu navighi molto lentamente , ne vale la pena ?

Se " non è un hacker" , mi sembra che stai prendendo precauzioni esagerate

 

[BlueRaven]

Ringrazio l'amico @Il cecchino Jackson per avermi taggato in questa interessante discussione (poi ti rispondo sulle VPN di là, eh, è che non ho avuto tempo) e provo a dare il mio modesto contributo.
@Prototype1 devi partire dal presupposto che se qualcuno ha l'accesso fisico al tuo PC è l'equivalente di Dio: puoi installare tutti i tool di protezione che vuoi, ma basta avviare la macchina con una live di Linux per fotterti.
Devi adottare un approccio cosiddetto "defense in depth", ovvero layer di sicurezza multipli che scoraggino un eventuale attaccante, per quanto determinato, a sferrare l'attacco perché dovrebbe faticare tanto che non ne vale la pena (e comunque sarebbe impossibile arrivare al risultato voluto).
Le prime misure che prenderei sono ad es. impostare nel BIOS la sequenza di boot in modo che il tuo PC parta sempre e solo dall'HDD (disabilitando ovviamente l'hotkey che permette di cambiarla al volo) e poi proteggere l'accesso al BIOS stesso con una password non banale: in questo modo, quando non ci sei, sei tranquillo che di una live di Linux o robe simili l'attacker se ne fa ben poco.
Certo, potrebbe sempre smontare l'HDD, collegarlo a una sua macchina, curiosare e poi rimontarlo com'era mentre tu sei fuori... ora, tu mi dirai che è impossibile che arrivi a tanto, io ti rispondo di non sottovalutare mai un attacker determinato quindi prevedi anche questa possibilità, per quanto remota possa essere.
La contromisura qui si chiama crittografia: potresti ad es. cifrare il volume con BitLocker e fare in modo che per poterci accedere serva una password o, meglio ancora, un token fisico tipo una chiavetta USB che porti sempre con te... a questo punto l'attaccante può smontare quel che gli pare, a meno di vulnerabilità note in BitLocker (che comunque non mi pare esistano e anche fosse non è certo alla portata del primo che passa x strada sfruttare) dei fatti tuoi non vede un accidente.
Se proprio vuoi esagerare potresti guardare se BitLocker permette di creare un volume che goda di plausible deniability, ovvero del quale puoi negare l'esistenza stessa in quanto è indistinguibile dal resto dei dati contenuti nell'HDD e ci si accede con una credenziale diversa da quella che sblocca il volume normale, in modo che anche se te la dovesse estorcere in qualche modo non vedrebbe i dati realmente sensibili e potresti dire senza possibilità di dimostrare il contrario che quella che gli hai dato è l'unica password esistente... ma qui siamo già in ambito spy story, non penso ti servirà mai, l'ho accennato solo per completezza.
Una volta c'era TrueCrypt che permetteva di farlo ed essendo open source ci si poteva fidare sicuramente più di BitLocker, ma sebbene sia ancora disponibile gli stessi dev sconsigliano di usarlo e passare ai tool nativi... per quanto che io sappia una vulnerabilità non è stata ancora dimostrata.
In tutti questi casi, personalmente farei anche un backup in chiaro dei dati su un supporto rimovibile che ugualmente porti sempre con te, altrimenti se perdi la chiave ai dati non ci accede non solo l'attaccante ma anche tu e non credo sia quello che vuoi.
Per quanto riguarda quando sei online, innanzitutto il powerline è solo il mezzo fisico per cui non pregiudica nulla in termini di possibilità di usare una VPN; però se già usi TOR non serve perché il link tra te e il primo nodo è già cifrato di suo quindi in pratica è come se la stessi già usando e stai tranquillo che il tuo convivente non ha modo di vedere alcunché di quello che fai quando instradi il traffico lì dentro, è fatta apposta per essere anonimi.
L'unica cosa che eviterei è di mettere la password all'interfaccia di amministrazione del router, tanto vale che gli dici in faccia che di lui ti fidi quanto di Satana in persona e se ho capito bene non te lo puoi permettere.
Penso sia più che sufficiente, per altre curiosità o dettagli chiedete pure.

 

[Il cecchino Jackson]

Ero quasi venuto a scrivere la cosa della live linux avendo visto ( per curiosità, interessante comunque )che il tuo sw ratool funziona solo a pc acceso ( giustamente penso ).

Per bitlocker occhio che nei forum c'è gente che lo ha attivato per sbaglio , non era comunque a conoscenza della chiave e ha perso i dati, è impossibile decriptare senza la chiave, almeno per persone diverse da John McAfee

 

[BlueRaven]

Per bitlocker occhio che nei forum c'è gente che lo ha attivato per sbaglio , non era comunque a conoscenza della chiave e ha perso i dati, è impossibile decriptare senza la chiave, almeno per persone diverse da John McAfee

Bah, nonostante sia innegabile che ne sappia, finché non si decide a tirare fuori qualcosa di concreto a supporto delle dichiarazioni che ha fatto personalmente classifico pure lui come "chiacchiere e distintivo".

 

[Il cecchino Jackson]

ma con il secure boot di uefi si sta tranquilli dalla live Linux anche senza mettere pw o fare altro?

 

[Kelion]

Ringrazio l'amico @Il cecchino Jackson per avermi taggato in questa interessante discussione (poi ti rispondo sulle VPN di là, eh, è che non ho avuto tempo) e provo a dare il mio modesto contributo.
@Prototype1 devi partire dal presupposto che se qualcuno ha l'accesso fisico al tuo PC è l'equivalente di Dio: puoi installare tutti i tool di protezione che vuoi, ma basta avviare la macchina con una live di Linux per fotterti.
Devi adottare un approccio cosiddetto "defense in depth", ovvero layer di sicurezza multipli che scoraggino un eventuale attaccante, per quanto determinato, a sferrare l'attacco perché dovrebbe faticare tanto che non ne vale la pena (e comunque sarebbe impossibile arrivare al risultato voluto).
Le prime misure che prenderei sono ad es. impostare nel BIOS la sequenza di boot in modo che il tuo PC parta sempre e solo dall'HDD (disabilitando ovviamente l'hotkey che permette di cambiarla al volo) e poi proteggere l'accesso al BIOS stesso con una password non banale: in questo modo, quando non ci sei, sei tranquillo che di una live di Linux o robe simili l'attacker se ne fa ben poco.
Certo, potrebbe sempre smontare l'HDD, collegarlo a una sua macchina, curiosare e poi rimontarlo com'era mentre tu sei fuori... ora, tu mi dirai che è impossibile che arrivi a tanto, io ti rispondo di non sottovalutare mai un attacker determinato quindi prevedi anche questa possibilità, per quanto remota possa essere.
La contromisura qui si chiama crittografia: potresti ad es. cifrare il volume con BitLocker e fare in modo che per poterci accedere serva una password o, meglio ancora, un token fisico tipo una chiavetta USB che porti sempre con te... a questo punto l'attaccante può smontare quel che gli pare, a meno di vulnerabilità note in BitLocker (che comunque non mi pare esistano e anche fosse non è certo alla portata del primo che passa x strada sfruttare) dei fatti tuoi non vede un accidente.
Se proprio vuoi esagerare potresti guardare se BitLocker permette di creare un volume che goda di plausible deniability, ovvero del quale puoi negare l'esistenza stessa in quanto è indistinguibile dal resto dei dati contenuti nell'HDD e ci si accede con una credenziale diversa da quella che sblocca il volume normale, in modo che anche se te la dovesse estorcere in qualche modo non vedrebbe i dati realmente sensibili e potresti dire senza possibilità di dimostrare il contrario che quella che gli hai dato è l'unica password esistente... ma qui siamo già in ambito spy story, non penso ti servirà mai, l'ho accennato solo per completezza.
Una volta c'era TrueCrypt che permetteva di farlo ed essendo open source ci si poteva fidare sicuramente più di BitLocker, ma sebbene sia ancora disponibile gli stessi dev sconsigliano di usarlo e passare ai tool nativi... per quanto che io sappia una vulnerabilità non è stata ancora dimostrata.
In tutti questi casi, personalmente farei anche un backup in chiaro dei dati su un supporto rimovibile che ugualmente porti sempre con te, altrimenti se perdi la chiave ai dati non ci accede non solo l'attaccante ma anche tu e non credo sia quello che vuoi.
Per quanto riguarda quando sei online, innanzitutto il powerline è solo il mezzo fisico per cui non pregiudica nulla in termini di possibilità di usare una VPN; però se già usi TOR non serve perché il link tra te e il primo nodo è già cifrato di suo quindi in pratica è come se la stessi già usando e stai tranquillo che il tuo convivente non ha modo di vedere alcunché di quello che fai quando instradi il traffico lì dentro, è fatta apposta per essere anonimi.
L'unica cosa che eviterei è di mettere la password all'interfaccia di amministrazione del router, tanto vale che gli dici in faccia che di lui ti fidi quanto di Satana in persona e se ho capito bene non te lo puoi permettere.
Penso sia più che sufficiente, per altre curiosità o dettagli chiedete pure.

Grazie BlueRaven, mi hai dato un paio di conferme...

 

[Prototype1]

Molto interessante. Prima di aprire gli altri punti vorrei chiedere, se come precauzione uso solo tor (dando per scontato antivirus, ecc.) basta che il convivente in questione installi uno spyware che registra quello che digito o che registri tempo reale quello che faccio sullo schermo per spiarmi.

PS: Sto nel frattempo provando i concetti scritti da @BlueRaven prima.

 

[Prototype1]

Ok, domanda importante:

so come si accede al bios e alle impostazioni boot, ma non so cosa modificare per partire dall'HDD, come disabilitare l'hotkey e come mettere la password al bios.

Magari anche un link a una guida, no problem.

PS: in pratica partire dall'HDD significa che il pc non si avvia più automoticamente come prima ma appare un'altra schermata? (bios?)

 

[Il cecchino Jackson]

Devi trovare nelle impostazioni l'ordine di boot, potresti fare delle foto delle schermate . Il Pc si avvia come si è sempre avviato