Как обезопасить свой ноутбук, чтобы взлом через физический доступ был невозможен?
Я испортил свою систему раньше, меня встретили с черным экраном при загрузке в Ubuntu. Когда я запустил свой ноутбук, я выбрал опцию восстановления в меню grub и выбрал откат в корневом терминале. Я увидел, что могу использовать команду добавления пользователя, с ее помощью я, вероятно, смогу создать привилегированного пользователя на моей машине.
Разве это не проблема безопасности?
Можно было бы украсть мой ноутбук и при запуске выбрать восстановление и добавить другого пользователя, тогда я обманываю. Включая мои данные.
Если подумать, даже если вы как-то удалите эту запись, можно загрузиться с live-CD, получить chroot и затем добавьте еще одного пользователя с правами доступа, позволяющими просматривать все мои данные.
Если я установлю BIOS для загрузки только на моем HD, без USB, CD/DVD, запуска по сети и установлю пароль BIOS, это все равно не будет иметь значения, потому что у вас все еще будет эта запись запуска восстановления grub.
Я совершенно уверен, что кто-то из Китая, России, не сможет взломать мой Ubuntu Trusty Tahr из сети, потому что это безопасно. Но если у кого-то есть физический доступ к моей - вашей - машине, тогда, вот почему я задаю этот вопрос. Как я могу защитить свою машину, чтобы взлом через физический доступ был невозможен?
Сообщение об ошибке:
7 ответов
Я предполагаю, что только полное шифрование диска с использованием надежного алгоритма и, самое главное, надежного пароля - единственное, что может защитить ваши локально сохраненные данные. Это дает вам, вероятно, 99,99% безопасности. Пожалуйста, обратитесь к одному из многочисленных руководств о том, как это сделать.
Кроме того, невозможно защитить вашу машину от опытного хакера с физическим доступом.
Пароли пользователя / учетной записи:
Создать нового пользователя-администратора легко, если вы загрузитесь в режиме восстановления, как вы сами описали, потому что вы получаете корневую оболочку без запроса паролей таким образом.
Это может выглядеть как случайная проблема безопасности, но предназначено для (кто бы мог подумать?) Случаев восстановления, когда вы, например, потеряли пароль администратора или испортилиsudoкоманда или другие важные вещи.пароль root:
Ubuntu по умолчанию не устанавливает пароль пользователя root. Тем не менее, вы можете установить один и будет предложено для него, если вы загружаетесь в режиме восстановления. Это кажется довольно безопасным, но все еще не является в конечном счете безопасным решением. Вы все еще можете добавить параметр ядраsingle init=/bin/bashчерез GRUB перед загрузкой Ubuntu, которая запускает его в однопользовательском режиме, который на самом деле также является корневой оболочкой без пароля.Защита меню GRUB с помощью пароля:
Вы можете защитить свои пункты меню GRUB, чтобы они были доступны только после аутентификации, т.е. вы можете запретить загрузку режима восстановления без пароля. Это также предотвращает манипулирование параметрами ядра. Для получения дополнительной информации см. Сайт Grub2 / Passwords на help.ubuntu.com. Это можно обойти, только если вы загрузитесь с внешнего носителя или подключите жесткий диск к другому компьютеру напрямую.Отключить загрузку с внешнего носителя в BIOS:
Вы можете установить порядок загрузки и обычно исключать устройства из загрузки во многих текущих версиях BIOS/UEFI. Эти настройки не защищены, так как каждый может войти в меню настроек. Вы должны установить пароль и здесь, но...Пароли BIOS:
Обычно вы также можете обойти пароли BIOS. Есть несколько методов:- Сбросьте память CMOS (там, где хранятся настройки BIOS), открыв корпус компьютера и физически вынув батарею CMOS или временно установив перемычку "Clear CMOS".
- Сброс настроек BIOS с помощью комбинации служебных клавиш. Большинство производителей материнских плат описывают комбинации клавиш в своих руководствах по обслуживанию, чтобы сбросить неверные настройки BIOS до значений по умолчанию, включая пароль. Примером может служить удержание ScreenUp при включении питания, которое, если я правильно помню, разблокировало материнскую плату acer с AMI BIOS один раз для меня после того, как я испортил свои настройки разгона.
- Наконец, что не менее важно, есть набор паролей BIOS по умолчанию, которые, кажется, всегда работают, независимо от реального установленного пароля. Я не проверял это, но этот сайт предлагает список их, классифицированных производителем.
Спасибо Rinzwind за эту информацию и ссылку!
Заблокировать корпус компьютера / запретить физический доступ к материнской плате и жесткому диску:
Даже если ничего не помогает, похититель данных может открыть ваш ноутбук / компьютер, вынуть жесткий диск и подключить его к своему компьютеру. Смонтировать его и получить доступ ко всем незашифрованным файлам - очень просто. Вы должны положить его в надежно закрытый ящик, где вы можете быть уверены, что никто не сможет открыть компьютер. Это, однако, невозможно для ноутбуков и трудно для настольных компьютеров. Может быть, вы можете подумать о собственном боевике, подобном саморазрушающему устройству, которое взрывает внутри себя взрывчатку, если кто-то пытается ее открыть?;-) Но убедитесь, что вам никогда не придется открывать его для обслуживания!Полное шифрование диска:
Я знаю, что рекомендовал этот метод как безопасный, но он также не на 100% безопасен, если вы потеряете свой ноутбук, когда он включен. Существует так называемая "холодная загрузка", которая позволяет злоумышленнику считывать ключи шифрования из вашей оперативной памяти после перезагрузки работающей машины. Это выгружает систему, но не сбрасывает содержимое оперативной памяти, пока питание не достаточно короткое.
Спасибо Косу за его комментарий об этой атаке!
Я также собираюсь процитировать его второй комментарий здесь:Это старое видео, но оно хорошо объясняет концепцию: "Чтобы мы не помнили:" холодные "атаки на ключах шифрования" на YouTube; если у вас установлен пароль BIOS, злоумышленник все еще может извлечь батарею CMOS, пока ноутбук еще включен, чтобы загруженный диск был загружен без потери какой-либо важной секунды; в настоящее время это страшнее из-за SSD, так как пользовательский SSD, вероятно, сможет записывать даже 8 ГБ менее чем за 1 минуту, учитывая скорость записи ~150 МБ / с.
Связанный, но все еще оставшийся без ответа вопрос о том, как предотвратить "холодные" атаки: как включить в Ubuntu (с использованием полного шифрования диска) вызов LUKSsupend перед сном / приостановкой работы в ОЗУ?
В заключение: в настоящее время ничто на самом деле не защищает ваш ноутбук от использования кем-то с физическим доступом и злонамеренными намерениями. Вы можете полностью зашифровать все свои данные, только если у вас достаточно параноика, чтобы рискнуть потерять все, забыв пароль или сбой. Таким образом, шифрование делает резервные копии еще более важными, чем они есть. Тем не менее, они также должны быть зашифрованы и расположены в очень безопасном месте.
Или просто не отдавайте свой ноутбук и надейтесь, что вы его никогда не потеряете.;-)
Если вы заботитесь не столько о своих данных, сколько о своем оборудовании, вы можете купить и установить отправитель GPS в ваше дело, но это только для настоящих параноиков или федеральных агентов.
Самый безопасный ноутбук - тот, на котором нет никаких данных. Вы можете настроить свою собственную среду частного облака, а затем не хранить ничего важного локально.
Или достаньте жесткий диск и растопите его термитом. Хотя это технически отвечает на вопрос, это может быть не самым практичным, так как вы больше не сможете использовать свой ноутбук. Но не будут и эти вечно туманные хакеры.
Запретив эти параметры, дважды зашифруйте жесткий диск и для его расшифровки необходимо подключить USB-накопитель. USB-накопитель содержит один набор ключей дешифрования, а BIOS содержит другой набор - конечно, защищенный паролем. Добавьте к этому процедуру автоматического самоуничтожения данных, если флэш-накопитель USB не подключен во время загрузки / возобновления из режима ожидания. Всегда носите с собой USB-накопитель. Эта комбинация также имеет дело с XKCD # 538.
Зашифруйте свой диск. Таким образом, ваша система и ваши данные будут в безопасности в случае кражи вашего ноутбука. Иначе:
- Пароль BIOS не поможет: вор может легко извлечь диск из вашего компьютера и установить его на другой компьютер для загрузки с него.
- Ваш пароль пользователя /root также не поможет: вор может легко смонтировать диск, как описано выше, и получить доступ ко всем вашим данным.
Я бы порекомендовал вам иметь раздел LUKS, в котором вы можете настроить LVM. Вы можете оставить загрузочный раздел незашифрованным, так что вам нужно будет ввести пароль только один раз. Это означает, что ваша система может быть более легко взломана, если будет подделана (украдена и возвращена вам без вашего ведома), но это очень редкий случай, и, если вы не думаете, что за вами следят АНБ, правительство или какой-то мафия, тебе не стоит об этом беспокоиться.
Ваш установщик Ubuntu должен дать вам возможность установки с LUKS+LVM очень простым и автоматизированным способом. Я не публикую здесь подробности, так как в Интернете уже есть много документации.:-)
Есть пара аппаратных решений, на которые стоит обратить внимание.
Во-первых, некоторые ноутбуки, такие как бизнес-ноутбуки Lenovo, поставляются с переключателем обнаружения несанкционированного доступа, который определяет, когда дело открывается. В Lenovo эта функция должна быть активирована в BIOS, а также должен быть установлен пароль администратора. Если обнаружен несанкционированный доступ, ноутбук (я полагаю) немедленно отключится, при запуске он отобразит предупреждение и потребует пароль администратора и соответствующий адаптер переменного тока для продолжения. Некоторые детекторы вскрытия также активируют звуковой сигнал и могут быть настроены на отправку электронной почты.
Обнаружение несанкционированного доступа на самом деле не предотвращает несанкционированное вмешательство (но может усложнить кражу данных из ОЗУ - и обнаружение несанкционированного доступа может "замуровать" устройство, если оно обнаружит что-то действительно изворотливое, например, попытку извлечь батарею CMOS). Основным преимуществом является то, что кто-то не может скрытно вмешиваться в аппаратное обеспечение без вашего ведома - если вы настроили надежную защиту программного обеспечения, такую как полное шифрование диска, то скрытое вмешательство в аппаратное обеспечение, безусловно, является одним из оставшихся векторов атаки.
Другая физическая защита заключается в том, что некоторые ноутбуки могут быть заблокированы в док-станции. Если док-станция надежно закреплена на столе (с помощью винтов, которые будут находиться под ноутбуком), а ноутбук не будет подключен к док-станции, когда он не используется, он обеспечивает дополнительный уровень физической защиты. Конечно, это не остановит решительного вора, но определенно затруднит кражу ноутбука у вас дома или в офисе, и, будучи заблокированным, он по-прежнему идеально подходит (и вы можете подключить периферийные устройства, Ethernet и т. Д. К док-станции).
Конечно, эти физические функции бесполезны для защиты ноутбука, у которого их нет. Но если вы заботитесь о безопасности, стоит подумать о них при покупке ноутбука.
Поскольку вы немного изменили вопрос, вот мой ответ на измененную часть:
Как я могу защитить свою машину, чтобы взлом через физический доступ был невозможен?
Ответ: вы не можете
Существует множество современных аппаратных и программных систем, таких как обнаружение несанкционированного доступа, шифрование и т. Д., Но все это сводится к следующему:
Вы можете защитить свои данные, но вы не можете защитить свое оборудование, когда кто-то получил к нему доступ. И если вы продолжаете использовать какое-либо оборудование после того, как кто-то другой получил доступ, вы подвергаете опасности свои данные!
Используйте защищенную записную книжку с обнаружением несанкционированного доступа, которая очищает ОЗУ, когда кто-то пытается ее открыть, используйте полное шифрование диска, храните резервные копии ваших данных в зашифрованном виде в разных местах. Затем сделайте все возможное, чтобы получить физический доступ к вашему оборудованию. Но если вы считаете, что кто-то имел доступ к вашему оборудованию, вытрите его и выбросьте.
Следующий вопрос, который вы должны задать: как я могу приобрести новое оборудование, которое не было взломано.
В дополнение к шифрованию вашего диска (вы не сможете обойти это): - SELinux и TRESOR. Оба защищают ядро Linux и пытаются затруднить злоумышленникам чтение вещей из памяти.
Пока вы в этом: Мы теперь входим на территорию не только страха злых случайных парней, желающих получить информацию о вашей дебетовой карте (они этого не делают), но и достаточно частого количества спецслужб. В этом случае вы хотите сделать больше:
- Попробуйте очистить все с закрытым исходным кодом (также прошивки) от ПК. Это включает в себя UEFI/BIOS!
- Используйте tianocore/coreboot в качестве нового UEFI / BIOS
- Используйте SecureBoot со своими собственными ключами.
Есть много других вещей, которые вы можете сделать, но они должны дать разумное количество вещей, с которыми им нужно справиться.
И не забудьте про: xkcd;-)
Используйте пароль ATA для вашего HDD/SSD
Это предотвратит использование диска без пароля. Это означает, что вы не можете загрузиться без пароля, потому что вы не можете получить доступ к MBR или ESP без пароля. И если диск используется внутри другого канала, пароль все равно требуется.
Таким образом, вы можете использовать так называемый пользовательский пароль ATA для вашего HDD/SSD. Обычно это устанавливается в BIOS (но это не пароль BIOS).
Для дополнительной безопасности вы также можете установить мастер-пароль ATA на диске. Чтобы отключить использование пароля производителя.
Вы можете сделать это в кли hdparm тоже.
Следует проявлять особую осторожность, потому что вы можете потерять все свои данные, если вы потеряете пароль.
Примечание. Здесь также есть недостатки, поскольку существуют программы, которые утверждают, что восстанавливают пароль ATA или даже утверждают, что его удаляют. Так что это не на 100% безопасно.
Примечание: пароль ATA не обязательно идет с FED (полное шифрование диска)