Як убезпечити свій ноутбук, щоб злом фізичного доступу був неможливий?

73

Раніше я зіпсував свою систему, мене привітали з чорним екраном під час завантаження в Ubuntu. Коли я запустив свій ноутбук, я вибрав варіант відновлення з меню grub і вибрав резервний пристрій на кореневому терміналі. Я побачив, що я міг використовувати команду add user, і, мабуть, міг би створити привілейованого користувача на своїй машині.

Це не проблема безпеки?

Можна було вкрасти мій ноутбук, і під час запуску вибрав відновлення та додати іншого користувача, я тоді переграв. У тому числі мої дані.

Подумайте про це, навіть якщо ви якимось чином видалите цей запис, ви можете завантажуватись із живого компакт-диска, отримувати chrootта працювати, а потім додати іншого користувача з правильними привілеями, що дозволяє йому бачити всі мої дані.

Якщо я встановив BIOS завантажуватися лише на моєму HD, відсутній USB, CD / DVD, запуск мережі та встановлення пароля BIOS, це все одно не має значення, тому що ви все ще будете мати цю стартову запис відновлення.

Я абсолютно впевнений, що хтось із Китаю, Росії не може зламати мого Ubuntu Trusty Tahr з мережі, тому що це так безпечно. Але якщо хтось має фізичний доступ до моєї - вашої машини, то, ну, ось чому я задаю це питання. Як я можу захистити свою машину, щоб взлом через фізичний доступ був неможливим?

Повідомлення про помилку:

14.04  grub2  security  encryption 
лезо19899
джерело
35
Повне шифрування диска та глітернеріполіш для ваших гвинтів. Хто нині цього не робить?
mondjunge
2
@ByteCommander ви можете додати root користувачів. Просто додайте іншого користувача з uid 0 до / etc / password. Я щойно додав fred fred:x:0:0:fred,,,:/home/fred:/bin/bashі тепер, якщо я ввійду як fred і біжу whoami, я отримуюroot
Josef
3
@ByteCommander вони повинні бути. Інструменти для керування обліковими записами adduserтощо, як правило, не дозволяють вам робити це, але просто редагування /etc/passwdпрацює. Бути хакером - означає ігнорувати те, що ти повинен робити;)
Йозеф
3
@ blade19899 Ваш новий помилка напевно буде відхилений. Порівняйте існуючий: bugs.launchpad.net/ubuntu/+bug/283662
Byte Commander
4
@ blade19899 Моя більш широка думка полягає в тому, що вам потрібно думати з точки зору ризиків і компромісів, а не абсолютів. Я не маю уявлення, хто ви є чи де ви живете, але пограбування будинку, яке веде до того, щоб хтось ефективно використовував ваші дані (замість того, щоб просто намагатися вивантажити обладнання), підвіконня звучить трохи далеко і, можливо, менше турбує, ніж час, гроші або навіть втрати даних, які можуть бути наслідком відсутності ефективних варіантів відновлення. Ось чому добре мати зворотний кореневий термінал. Але очевидно, це не означає, що ви не повинні вивчати шифрування на повному диску.
Розслаблено

Відповіді:

86

Я здогадуюсь, що лише повне шифрування диска з використанням сильного алгоритму і, головне, хорошого пароля - це єдине, що може захистити ваші локально збережені дані. Це дає вам, мабуть, 99,99% безпеки. Ознайомтесь з одним із багатьох посібників, як це зробити.

Крім цього, НЕ можливо захистити свій апарат від досвідченого хакера з фізичним доступом.

  • Паролі користувачів / облікових записів:
    Створити нового адміністратора, якщо ви завантажилися в режим відновлення, як описано ви, легко, оскільки ви отримуєте кореневу оболонку, не вимагаючи паролів таким чином.
    Це може виглядати як випадкова проблема безпеки, але призначена для (хто міг би це подумати?) Випадків відновлення, коли ви, наприклад, втратили пароль адміністратора або зіпсували sudoкоманду чи інші важливі речі.

  • root root:
    Ubuntu за замовчуванням не встановив жодного пароля root користувача. Однак ви можете встановити його і вам буде запропоновано, якщо ви завантажуєте його в режимі відновлення. Це здається досить безпечним, але все ще не є надійним рішенням. Ви все ще можете додати параметр ядра single init=/bin/bashчерез GRUB перед завантаженням Ubuntu, який запускає його в режимі одиночного користувача - що насправді є кореневою оболонкою без пароля.

  • Захист меню GRUB паролем:
    Ви можете захистити записи меню GRUB, щоб вони були доступними лише після аутентифікації, тобто ви можете заборонити завантажувати режим відновлення без пароля. Це також запобігає маніпулюванню параметрами ядра. Для отримання додаткової інформації див . Веб-сайт Grub2 / Passwords на help.ubuntu.com . Це можна обійти лише в тому випадку, якщо ви завантажуєтесь із зовнішнього носія або безпосередньо підключаєте жорсткий диск до іншої машини.

  • Вимкнути завантаження із зовнішніх носіїв у BIOS:
    Ви можете встановити порядок завантаження та зазвичай виключити пристрої з завантаження у багатьох поточних версіях BIOS / UEFI. Ці налаштування не захищені, оскільки кожен може увійти в меню налаштувань. Ви також повинні встановити пароль, але ...

  • Паролі BIOS:
    Зазвичай паролі BIOS також можна обійти. Існує кілька методів:

    • Скиньте пам'ять CMOS (де зберігаються налаштування BIOS), відкривши корпус комп'ютера та фізично вийнявши батарею CMOS або тимчасово встановивши перемичку «Очистити CMOS».
    • Скидання налаштувань BIOS за допомогою комбінації службових ключів. Більшість виробників материнських плат описують комбінації клавіш у своїх посібниках з обслуговування, щоб скинути налаштовані настройки BIOS до значень за замовчуванням, включаючи пароль. Прикладом може бути тримання ScreenUpпід час включення живлення, яке, якщо я пам'ятаю правильно, разблокувала материнську плату Acer з AMI BIOS один раз для мене після того, як я зіпсував свої налаштування розгону.
    • І останнє, але не менш важливе, існує набір паролів BIOS за замовчуванням, які, здається, завжди працюють, незалежно від реального встановленого пароля. Я цього не тестував, але цей сайт пропонує їх список, класифікований за виробником.
      Дякуємо Rinzwind за цю інформацію та посилання!

  • Блокування корпусу комп'ютера / заборона фізичного доступу до материнської плати та жорсткого диска:
    Навіть якщо все інше виходить з ладу, злодій може все-таки відкрити ваш ноутбук / комп'ютер, вийняти жорсткий диск і підключити його до власного комп'ютера. Встановлення та доступ до всіх незашифрованих файлів - це шматок пирога. Ви повинні помістити його в надійно заблокований корпус, де ви можете бути впевнені, що ніхто не зможе відкрити комп’ютер. Однак це не можливо для ноутбуків і важко для настільних ПК. Можливо, ви можете подумати про те, що у вас є бойовик, як саморуйнівний пристрій, який підриває всередині вибухівку, якщо хтось намагається його відкрити? ;-) Але переконайтеся, що вам більше ніколи не доведеться відкривати його для обслуговування!

  • Повне шифрування диска:
    я знаю, що я радив цей спосіб безпечним, але він також не є на 100% безпечним, якщо ви втратите ноутбук, поки він увімкнено. Існує так звана "атака холодного завантаження", яка дозволяє зловмиснику зчитувати ключі шифрування з вашої ОЗУ після скидання працюючої машини. Це розвантажує систему, але не змиває вміст оперативної пам’яті часу без енергії досить короткий.
    Дякуємо косу за коментар щодо цієї атаки!
    Я також цитую його другий коментар тут:

    Це старе відео, але воно добре пояснює концепцію: "Щоб ми не пам'ятали: атаки холодного завантаження на ключі шифрування" на YouTube ; якщо у вас встановлений пароль BIOS, зловмисник може все-таки вийняти батарею CMOS, поки ноутбук все ще ввімкнений, щоб дозволити завантаження користувальницького накопичувача, не втрачаючи жодної важливої ​​секунди; це сьогодні страшніше завдяки SSD, оскільки створений на замовлення SSD, ймовірно, зможе скинути навіть 8 Гб менше, ніж за 1 хвилину, враховуючи швидкість запису ~ 150 МБ / с.

    Питання про те, як запобігти атакам Cold Boot, як, але все ще без відповіді: Як дозволити Ubuntu (за допомогою повного шифрування диска) викликати LUKSsupend перед сном / призупиненням оперативної пам'яті?

На закінчення: Наразі ніщо насправді не захищає ваш ноутбук від звикання кимсь із фізичним доступом та зловмисними намірами. Ви можете повністю зашифрувати всі свої дані лише в тому випадку, якщо ви достатньо параноїчні, щоб ризикувати втратити все, забувши пароль або збившись. Таким чином, шифрування робить резервні копії ще важливішими, ніж вони вже є. Однак вони також повинні бути зашифровані і розташовані в дуже безпечному місці.
Або просто не віддавайте ноутбук і сподіваєтесь, що ви його ніколи не втратите. ;-)

Якщо ви дбаєте менше про свої дані, а більше про обладнання, можливо, ви захочете придбати та встановити відправника GPS у свій корпус, але це стосується лише справжніх параноїків чи федеральних агентів.

Байт командир
джерело
7
І все-таки повне шифрування диска не врятує вас від атак на холодному завантаженні, якщо ваш ноутбук вкрадений, поки він увімкнено!
kos
14
Крім того, після того, як ваш ноутбук протягом будь-якого часу перебував поза вашим контролем, очікувати його не можна більше. Тепер він може записувати ваш пароль перед завантаженням, наприклад.
Йозеф
1
Шифрування даних не повинно збільшувати ризик їх втрати, оскільки у вас є резервні копії, правда? Дані, що зберігаються лише один раз, не набагато кращі, ніж дані, які не існують. SSD-диски, як правило, раптово виходять з ладу, не маючи шансів щось із них вийти.
Йозеф
3
Це старе відео, але воно добре пояснює концепцію: youtube.com/watch?v=JDaicPIgn9U ; якщо у вас встановлений пароль BIOS, зловмисник може все-таки вийняти батарею CMOS, поки ноутбук все ще ввімкнений, щоб дозволити завантаження користувальницького накопичувача, не втрачаючи жодної важливої ​​секунди; це сьогодні страшніше завдяки SSD, оскільки створений на замовлення SSD, ймовірно, зможе скинути навіть 8 Гб менше, ніж за 1 хвилину, враховуючи швидкість запису ~ 150 МБ / с
kos
2
@ByteCommander, але ваш SSD може вийти з ладу так само, і всі ваші дані будуть втрачені. Звичайно, якщо ви схильні забувати паролі (ну, запишіть їх і покладіть у свій сейф), ймовірність втрати всіх даних може збільшитися при шифруванні, але це не так, як ваші дані супер безпечні, якщо ви не наважуєтесь їх зашифрувати. . Ви не "ризикуєте всім, забувши пароль або збившись", це робите, не створюючи резервних копій.
Йозеф
11

Найбезпечнішим ноутбуком є ​​той, без будь-яких даних про нього. Ви можете створити своє приватне хмарне середовище, а потім не зберігати нічого важливого на місцях.

Або вийміть жорсткий диск і розплавіть його термітом. Хоча це технічно відповідає на питання, це може бути не найбільш практичним, оскільки ви більше не зможете користуватися своїм ноутбуком. Але ні ті, хто коли-небудь неясні хакери.

Якщо заборонити ці параметри, подвійне шифрування жорсткого диска та вимагає підключення USB thumbdrive, щоб розшифрувати його. USB thumbdrive містить один набір ключів розшифровки, а BIOS містить інший набір - звичайно захищений паролем. Поєднайте це з автоматичною процедурою самознищення даних, якщо USB thumbdrive не підключений під час завантаження / відновлення після призупинення. Несіть USB-накопичувач на своїй особі в будь-який час. Ця комбінація також трапляється з XKCD # 538 .

XKCD # 538

Е. Діас
джерело
7
Автоматичне руйнування самознищення, безумовно, стане приємним сюрпризом, як тільки ваш наконечник USB накопичить трохи пилу на контактних колодках.
Дмитро Григор’єв
10

Зашифруйте свій диск. Таким чином ваша система та ваші дані будуть у безпеці у разі викрадення вашого ноутбука. Інакше:

  • Пароль BIOS не допоможе: злодій може легко витягнути диск з комп'ютера і покласти його на інший ПК для завантаження з нього.
  • Ваш пароль користувача / root не допоможе: злодій може легко змонтувати диск, як було пояснено вище, та отримати доступ до всіх ваших даних.

Я рекомендую вам мати розділ LUKS, в якому ви можете встановити LVM. Ви можете залишити завантажувальний розділ незашифрованим, щоб ввести пароль потрібно лише один раз. Це означає, що ваша система може бути легше порушена, якщо її підробляють (вкрадуть і повернуть вам, навіть не помічаючи), але це дуже рідкісний випадок і, якщо ви не вважаєте, що за вами дотримуються АНБ, уряд чи якийсь інший мафіо, вам не варто переживати з цього приводу.

Ваш інсталятор Ubuntu повинен дати вам можливість інсталяції за допомогою LUKS + LVM дуже легким та автоматизованим способом. Я не публікую деталі тут, оскільки в Інтернеті вже є багато документації. :-)

Пеке
джерело
Якщо можливо, ви могли б дати більш детальну відповідь. Як ви можете сказати на моє запитання, я не є захисником.
blade19899
прихильність до пунктів кулі, але зауважте, що шифрування повним диском - не єдиний спосіб, і це не потрібно, якщо ви обмежуєте свої чутливі файли /home/yourName- як слід! - тоді складіть цю папку з драйвером шифрування файлового рівня (наприклад, таким, про який я згадував на ОП, і більше не спам), дуже життєздатною альтернативою. Я не переживаю за те, щоб люди бачили всі нудні речі /usrтощо.
underscore_d
1
@underscore_d: Я дійсно переживаю за інші речі зовні /home(включаючи особисті та професійні дані в інших розділах), тому мені простіше зашифрувати все, але, мабуть, у кожного користувача є свої потреби :-). Однак використання ecryptfs- це не найкраще рішення, яке сприймає ефективність. Деякі орієнтири ви можете знайти тут . Обов’язково прочитайте сторінки 2-5в статті для дійсних результатів (сторінка 1- це лише вступ).
Peque
Дуже правда, дякую за посилання / орієнтири. Я ще не досягла жодних бар'єрів у виконанні, але, можливо, пізніше. Крім того , я зрозумів , що я, можливо , доведеться почати думати про шифрування речі , як /var/log, /var/www(джерело), і /tmp, тому , можливо , повне шифрування диска починає здаватися розумнішим!
підкреслюй_d
@underscore_d: так, і тоді ти починаєш думати про /etcінші каталоги вищого рівня ... Зрештою, повне шифрування диска - це просте і швидке рішення, яке дозволить вам спати як дитина щовечора. ^^
Peque
5

Є кілька апаратних рішень, які варто відзначити.

По-перше, деякі ноутбуки, наприклад, бізнес-ноутбуки Lenovo, оснащені перемикачем виявлення тамперів, який виявляє, коли справа відкрита. У Lenovo цю функцію потрібно активувати в BIOS і потрібно встановити пароль адміністратора. Якщо виявлено тампер, ноутбук (я вважаю) негайно вимкнеться, при запуску він відображатиме попередження і вимагатиме адміністраторського пароля та належного адаптера змінного струму для продовження роботи. Деякі детектори несанкціонованого захисту також вимкнуть звуковий сигнал і можуть бути налаштовані для надсилання електронної пошти.

Виявлення несанкціонованих дій насправді не запобігає підробці (але це може ускладнити крадіжку даних з оперативної пам’яті - і виявлення несанкціонованого втручання може «замурувати» пристрій, якщо воно виявить щось дійсно хитке, наприклад, намагання вийняти акумулятор CMOS). Основна перевага полягає в тому, що хтось не може приховано підробляти обладнання без того, щоб ви знали - якщо ви налаштували потужну програмну безпеку, таку як повне шифрування диска, то приховане підроблення апаратури, безумовно, є одним із решти векторів атаки.

Інша фізична безпека полягає в тому, що деякі ноутбуки можуть бути заблоковані до док-станції. Якщо док надійно кріпиться до столу (за допомогою гвинтів, які будуть під ноутбуком), а ноутбук тримається заблокованим до дока, коли він не використовується, то він забезпечує додатковий шар фізичного захисту. Звичайно, це не зупинить рішучого злодія, але це, безумовно, ускладнює викрадення ноутбука з дому чи бізнесу, і хоча він заблокований, він все ще прекрасно придатний для використання (і ви можете підключити периферійні пристрої, мережу Ethernet тощо).

Звичайно, ці фізичні особливості не корисні для забезпечення ноутбука, який не має їх. Але якщо ви знаєте безпеку, можливо, варто врахувати їх, купуючи ноутбук.

Блейк Уолш
джерело
2

Додатково до шифрування диска (цього не обійдеш): - SELinux та TRESOR. Обидва загартовують ядро ​​Linux і намагаються ускладнити зловмисникам зчитування речей із пам'яті.

Поки ви перебуваєте на цьому: зараз ми заходимо на територію не лише страху злих випадкових хлопців, які хочуть отримати інформацію про вашу дебетову карту (вони цього не роблять), але часто достатньо для спецслужб. У цьому випадку ви хочете зробити більше:

  • Спробуйте очистити із ПК все закрите джерело (також прошивку). Сюди входить UEFI / BIOS!
  • Використовуйте tianocore / coreboot як новий UEFI / BIOS
  • Використовуйте SecureBoot за допомогою власних клавіш.

Є багато інших речей , які ви можете зробити , але ті повинні дати розумну кількість речей , які вони повинні лоскотати с.

І не забувайте про: xkcd ;-)

лайки
джерело
Ці пропозиції не є корисними. Ні SELinux, ні TRESOR не зупиняють когось із фізичним доступом. Вони не розроблені для цієї моделі загрози. Вони забезпечать помилкове відчуття безпеки. PS Чистка коду з закритим вихідним кодом абсолютно не пов'язана із забезпеченням безпеки від фізичного доступу.
DW
1
@DW "TRESOR (рекурсивна абревіатура для" TRESOR запускає шифрування безпечно за межами оперативної пам'яті ") - це патч ядра Linux, який забезпечує шифрування на основі процесора для захисту від атак холодного завантаження", тому TRESOR безумовно допомагає в таких сценаріях. Але це лише побічна точка. Я написав "Додатково", оскільки ці речі насправді нічого не зроблять, якщо ви не шифруєте свій диск (у сценарії фізичного доступу). Однак, коли ви наштовхуєтесь на фізичну безпеку, ви не повинні забувати, що зловмисник все ще може просто завантажуватись і робити цифрову атаку (наприклад, використовуючи помилки).
лайки
@DW Це досить гарно, якщо ваш ПК добре зашифрований, але схильний до ескалації привілеїв. Ось чому - якщо хтось збирається закріпити систему з фізичної сторони - слід також виконати деяке загартування на стороні програмного забезпечення. Я прямо заявив, що вони загартували ядро ​​Linux, і це потрібно зробити додатково . Те саме стосується програмного забезпечення із закритим кодом. Ваш диск може бути добре зашифрований, але якщо в UEFI є задній дверний брелок, він не допоможе вам проти розвідувальних органів.
лайки
Якщо ви використовуєте повне шифрування диска і не залишаєте комп'ютер працювати без нагляду, атаки ескалації привілеїв не мають значення, оскільки зловмисник не дізнається пароль розшифровки. (Правильне використання повного шифрування диска вимагає відключення / сплячого режиму без нагляду.) Якщо ви використовуєте повне шифрування диска і не залишаєте комп'ютер без нагляду, повне шифрування диска може бути обійдене будь-якою кількістю методів - наприклад, підключення USB dongle - навіть якщо ви використовуєте TRESOR, SELinux тощо. Знову ж таки, вони не розроблені для цієї моделі загрози. Схоже, ця відповідь не відображає ретельного аналізу безпеки.
DW
1
З формулюванням "спробувати", що нісе, не можна кваліфікувати - шифрування rot13 може спробувати переконатися, що експлуатація не може перейняти систему. Цього не варто отримати, але я можу описати це як спроба. Моя думка полягає в тому, що захисні сили, які ви виділяєте, не ефективні для припинення цього класу атак. SELinux / TRESOR не зупиняють холодне завантаження. Щоб проаналізувати безпеку, потрібно почати з моделі загрози та проаналізувати засоби захисту проти цієї конкретної моделі загрози. Безпека - це не процес розсипання нескінченного переліку додаткових обмежень, які добре звучать. До цього є деяка наука.
DW
2

Оскільки ви трохи змінили питання, ось моя відповідь на змінену частину:

Як я можу захистити свою машину, щоб взлом через фізичний доступ був неможливим?

Відповідь: Ви не можете

Існує багато сучасних апаратних та програмних систем, таких як виявлення несанкціонованих дій , шифрування тощо, але все це стосується цього:

Ви можете захистити свої дані, але не можете захистити обладнання, коли хтось отримав доступ до них. І якщо ви продовжуєте користуватися будь-яким обладнанням після того, як хтось інший мав доступ, ви ставите під загрозу ваші дані!

Використовуйте безпечний ноутбук із виявленням несанкціонованого захисту, який очищає оперативну пам’ять, коли хтось намагається відкрити її, використовуйте повне дисковане шифрування, зберігайте резервні копії даних, зашифрованих у різних місцях. Потім зробіть це максимально важким для отримання фізичного доступу до вашого обладнання. Але якщо ви вважаєте, що хтось мав доступ до вашого обладнання, витріть його та викиньте.

Наступне питання, яке вам слід задати : Як я можу придбати нове обладнання, яке не було підроблене.

Йосиф
джерело
1

Використовуйте пароль ATA для свого HDD / SSD

Це запобіжить використанню диска без пароля . Це означає, що ви не можете завантажуватися без пароля, оскільки ви не можете отримати доступ до MBR або ESP без пароля. А якщо диск використовується всередині іншого пристрою, пароль все одно необхідний.

Отже, ви можете використовувати так званий пароль користувача ATA для свого жорсткого диска / SSD. Зазвичай це встановлюється всередині BIOS (але це не пароль BIOS).

Для додаткової безпеки ви також можете встановити головний пароль ATA на диску. Відключення використання пароля виробника.

Ви можете це зробити і на кліпі hdparm.

Особлива обережність слід приймати , тому що ви можете втратити всі свої дані , якщо ви втратите пароль.

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

Примітка. Тут є і слабкі місця, оскільки є програмне забезпечення, яке вимагає відновити пароль ATA або навіть вимагає його видалити. Тож це не на 100% безпечно.

Примітка: пароль ATA не обов'язково постачається з FED (повне шифрування диска)

solsTiCe
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.