Ringrazio l'amico
@Il cecchino Jackson per avermi taggato in questa interessante discussione (poi ti rispondo sulle VPN di là, eh, è che non ho avuto tempo) e provo a dare il mio modesto contributo.
@Prototype1 devi partire dal presupposto che se qualcuno ha l'accesso fisico al tuo PC è l'equivalente di Dio: puoi installare tutti i tool di protezione che vuoi, ma basta avviare la macchina con una live di Linux per fotterti.
Devi adottare un approccio cosiddetto "defense in depth", ovvero layer di sicurezza multipli che scoraggino un eventuale attaccante, per quanto determinato, a sferrare l'attacco perché dovrebbe faticare tanto che non ne vale la pena (e comunque sarebbe impossibile arrivare al risultato voluto).
Le prime misure che prenderei sono ad es. impostare nel BIOS la sequenza di boot in modo che il tuo PC parta sempre e solo dall'HDD (disabilitando ovviamente l'hotkey che permette di cambiarla al volo) e poi proteggere l'accesso al BIOS stesso con una password non banale: in questo modo, quando non ci sei, sei tranquillo che di una live di Linux o robe simili l'attacker se ne fa ben poco.
Certo, potrebbe sempre smontare l'HDD, collegarlo a una sua macchina, curiosare e poi rimontarlo com'era mentre tu sei fuori... ora, tu mi dirai che è impossibile che arrivi a tanto, io ti rispondo di non sottovalutare mai un attacker determinato quindi prevedi anche questa possibilità, per quanto remota possa essere.
La contromisura qui si chiama crittografia: potresti ad es. cifrare il volume con
BitLocker e fare in modo che per poterci accedere serva una password o, meglio ancora, un token fisico tipo una chiavetta USB che porti sempre con te... a questo punto l'attaccante può smontare quel che gli pare, a meno di vulnerabilità note in BitLocker (che comunque non mi pare esistano e anche fosse non è certo alla portata del primo che passa x strada sfruttare) dei fatti tuoi non vede un accidente.
Se proprio vuoi esagerare potresti guardare se BitLocker permette di creare un volume che goda di
plausible deniability, ovvero del quale puoi negare l'esistenza stessa in quanto è indistinguibile dal resto dei dati contenuti nell'HDD e ci si accede con una credenziale diversa da quella che sblocca il volume normale, in modo che anche se te la dovesse estorcere in qualche modo non vedrebbe i dati realmente sensibili e potresti dire senza possibilità di dimostrare il contrario che quella che gli hai dato è l'unica password esistente... ma qui siamo già in ambito spy story, non penso ti servirà mai, l'ho accennato solo per completezza.
Una volta c'era
TrueCrypt che permetteva di farlo ed essendo open source ci si poteva fidare sicuramente più di BitLocker, ma sebbene sia ancora disponibile gli stessi dev sconsigliano di usarlo e passare ai tool nativi... per quanto che io sappia una vulnerabilità non è stata ancora dimostrata.
In tutti questi casi, personalmente farei anche un backup in chiaro dei dati su un supporto rimovibile che ugualmente porti sempre con te, altrimenti se perdi la chiave ai dati non ci accede non solo l'attaccante ma anche tu e non credo sia quello che vuoi.
Per quanto riguarda quando sei online, innanzitutto il powerline è solo il mezzo fisico per cui non pregiudica nulla in termini di possibilità di usare una VPN; però se già usi TOR non serve perché il link tra te e il primo nodo è già cifrato di suo quindi in pratica è come se la stessi già usando e stai tranquillo che il tuo convivente non ha modo di vedere alcunché di quello che fai quando instradi il traffico lì dentro, è fatta apposta per essere anonimi.
L'unica cosa che eviterei è di mettere la password all'interfaccia di amministrazione del router, tanto vale che gli dici in faccia che di lui ti fidi quanto di Satana in persona e se ho capito bene non te lo puoi permettere.
Penso sia più che sufficiente, per altre curiosità o dettagli chiedete pure.