Как защитить мой ноутбук так, чтобы хакинг по физическому доступу невозможен?

67

Я испортил свою систему раньше, меня приветствовал черный экран, когда загружался в Ubuntu. Когда я запустил свой ноутбук, я выбрал вариант восстановления из меню grub и выбрал резервную копию на терминале root . Я видел, что я смог использовать команду add user, с ней я, вероятно, мог бы использовать для создания привилегированного пользователя на моей машине.

Разве это не проблема безопасности?

Можно было украсть мой ноутбук, и при запуске выбрал восстановление и добавил другого пользователя, тогда меня подтасовали. Включая мои данные.

Подумайте об этом, даже если вы каким-то образом удалите эту запись, можно загрузиться с live-CD, получить chroot и запустить, а затем добавить другого пользователя с правильными привилегиями, которые позволят ему увидеть все мои данные.

Если я установил BIOS для загрузки только на моем HD, без USB, CD / DVD, сетевого запуска и установки пароля BIOS, это все равно не имеет значения, потому что у вас все равно будет запись запуска восстановления grub.

Я абсолютно уверен, что кто-то из Китая, Россия не может взломать мой Ubuntu Trusty Tahr из сети, потому что это безопасно. Но, если у вас есть физический доступ к моей машине - тогда, ну, вот почему я задаю этот вопрос. Как я могу защитить свою машину, чтобы хакинг через физический доступ не был возможен?

Отчет об ошибке:

задан blade19899 21.09.2015 в 09:51
источник

7 ответов

81

Я предполагаю, что только полное шифрование диска с использованием сильного алгоритма и, самое главное, хорошего пароля - это единственное, что может защитить ваши локально сохраненные данные. Это дает вам гарантию 99,99%. Пожалуйста, обратитесь к одному из многочисленных руководств о том, как это сделать.

Кроме того, НЕ возможно защитить ваш компьютер от опытного хакера с физическим доступом.

  • Папки пользователя / учетной записи:
    Легко создать нового пользователя admin, если вы загрузитесь в режим восстановления, как вы описали себя, потому что вы получаете корневую оболочку, не запрашивая пароли таким образом.
    Это может показаться случайной проблемой безопасности, но предназначено для (которые бы подумали, что?) Случаи восстановления, где вы, например, потеряли пароль администратора или испортили команду sudo или другие важные вещи.

  • пароль root:
    По умолчанию Ubuntu не установил пароль пользователя root. Тем не менее, вы можете установить его, и его попросят, если вы загрузитесь в режиме восстановления. Это кажется довольно безопасным, но по-прежнему не является в конечном итоге безопасным решением. Вы можете добавить параметр ядра single init=/bin/bash через GRUB перед загрузкой Ubuntu, который запускает его в однопользовательском режиме, что на самом деле является корневой оболочкой без пароля.

  • Защита меню GRUB с помощью пароля:
    Вы можете защитить свои записи в меню GRUB только после аутентификации, т. Е. Вы можете отказаться от загрузки режима восстановления без пароля. Это также предотвращает манипулирование параметрами ядра. Для получения дополнительной информации см. сайт Grub2 / Passwords на странице справки.ubuntu.com . Это можно обойти только при загрузке с внешнего носителя или напрямую подключении жесткого диска к другому компьютеру.

  • Отключить загрузку с внешнего носителя в BIOS:
    Вы можете установить порядок загрузки и обычно исключать загрузку устройств во многих версиях BIOS / UEFI. Эти настройки не защищены, поскольку все могут войти в меню настройки. Вы также должны установить здесь пароль, но ...

  • Патчи BIOS:
    Обычно вы также можете обойти пароли BIOS. Существует несколько методов:

    • Сброс памяти CMOS (где хранятся настройки BIOS), открыв корпус компьютера и физически удалив батарею CMOS или временно установив перемычку "Clear CMOS".
    • Сбросить настройки BIOS с помощью комбинации служебных клавиш. Большинство производителей материнских плат описывают комбинации клавиш в своих руководствах по обслуживанию, чтобы сбросить испорченные настройки BIOS до значений по умолчанию, включая пароль. Примером может быть сохранение ScreenUp при включении питания, которое, если я правильно помню, разблокировало материнскую плату acer с AMI BIOS один раз для меня после того, как я испортил настройки разгона.
    • И последнее, но не менее важное: есть набор паролей BIOS по умолчанию, которые, как всегда, работают независимо от реального заданного пароля. Я не тестировал его, но этот сайт предлагает список из них, классифицированный производителем.
      Спасибо Rinzwind за эту информацию и ссылку!
  • Заблокировать компьютерный корпус / запретить физический доступ к материнской плате и жесткому диску:
    Даже если все остальное не удается, вор данных все равно может открыть ваш ноутбук / компьютер, вынуть жесткий диск и подключить его к своему компьютеру. Монтаж и доступ ко всем незашифрованным файлам - это кусок пирога оттуда. Вы должны поместить его в безопасный замок, где вы можете быть уверены, что никто не сможет открыть компьютер. Это, однако, невозможно для ноутбуков и сложно для настольных компьютеров. Может быть, вы можете подумать о том, чтобы иметь боевик, как саморазрушающее устройство, которое взрывает внутри себя взрывчатку, если кто-то пытается открыть его? ;-) Но убедитесь, что вам никогда не придется открывать его самостоятельно для обслуживания!

  • Полное шифрование диска:
    Я знаю, что я рекомендовал этот метод как безопасный, но он также не на 100% безопасен, если вы потеряете свой ноутбук, когда он включен. Существует так называемая "холодная загрузка", которая позволяет злоумышленнику считывать ключи шифрования из вашей оперативной памяти после сброса текущей машины. Это выгружает систему, но не очищает содержимое ОЗУ времени без достаточной мощности.
    Спасибо kos за его комментарий об этой атаке!
    Я также приведу его второй комментарий здесь:

      

    Это старое видео, но хорошо объясняет концепцию: " Чтобы мы не помнили: холодные атаки на кеширование ключей "на YouTube , если у вас установлен пароль BIOS, злоумышленник все равно может удалить батарею CMOS, пока ноутбук все еще включен, чтобы включить пользовательский созданный для загрузки без потери какой-либо важной секунды, в наши дни это страшнее из-за SSD, так как пользовательский SSD, вероятно, сможет сбросить даже 8 ГБ менее чем за 1 минуту, учитывая скорость записи ~ 150 МБ / с

    Связанный, но все еще не отвеченный вопрос о том, как предотвратить Cold Boot Attacks: Как включить Ubuntu (с использованием полного шифрования диска) для вызова LUKSsupend перед спящей / приостановкой в ​​ОЗУ?

В заключение: в настоящее время ничто не защищает ваш ноутбук от привыкания к нему с физическим доступом и злонамеренными намерениями. Вы можете полностью зашифровать все свои данные, если вы достаточно параноичны, чтобы рискнуть потерять все, забыв свой пароль или сбой. Поэтому шифрование делает резервные копии еще более важными, чем они есть. Тем не менее, они также должны быть зашифрованы и расположены в очень безопасном месте.
Или просто не отдавайте свой ноутбук и надейтесь, что вы его никогда не потеряете. ; -)

Если вам больше не нужны ваши данные, а больше о вашем оборудовании, вы можете купить и установить отправителя GPS в свое дело, но это только для реальных параноиков или федеральных агентов.

    
ответ дан Byte Commander 21.09.2015 в 10:15
источник
10

Зашифруйте свой диск. Таким образом ваша система и ваши данные будут в безопасности, если ваш ноутбук будет украден. В противном случае:

  • Пароль BIOS не поможет: вор может легко извлечь диск с вашего компьютера и поместить его на другой компьютер для загрузки с него.
  • Ваш пароль пользователя / root не поможет: вор может легко подключить диск, как описано выше, и получить доступ ко всем вашим данным.

Я бы рекомендовал вам иметь раздел LUKS, в котором вы могли бы настроить LVM. Вы можете оставить свой загрузочный раздел незашифрованным, чтобы только один раз вводить пароль. Это означает, что ваша система может быть легче скомпрометирована, если ее подделать (украдены и возвращены вам, если вы даже не заметите), но это очень редкий случай, и, если вы не думаете, что за вами следует NSA, правительство или какой-то мафии, вы не должны беспокоиться об этом.

Установщик Ubuntu должен предоставить вам возможность установки с LUKS + LVM очень простым и автоматическим способом. Я не переписываю детали здесь, так как в Интернете уже есть много документации. : -)

    
ответ дан Peque 21.09.2015 в 09:53
10

Самый безопасный ноутбук - тот, у кого нет данных. Вы можете настроить свою собственную облачную среду, а затем не хранить ничего важного локально.

Или выньте жесткий диск и расплавьте его термитом. Хотя это технически отвечает на вопрос, это может быть не самым практичным, так как вы больше не сможете использовать свой ноутбук. Но ни один из тех, кто когда-либо был в туманных хакерах.

Запрет этих параметров, двойное шифрование жесткого диска и необходимость включения USB-накопителя для его расшифровки. Флэш-накопитель USB содержит один набор ключей дешифрования, а BIOS содержит другой набор - защищенный паролем, конечно. Объедините это с автоматической автоматической самоуправкой данных, если USB-накопитель не подключен во время загрузки / возобновления с приостановки. Всегда переносите USB-накопитель на человека. Эта комбинация также имеет дело с XKCD # 538 .

    
ответ дан E. Diaz 21.09.2015 в 22:20
5

Есть несколько аппаратных решений, которые стоит отметить.

Во-первых, некоторые ноутбуки, например, некоторые бизнес-ноутбуки Lenovo, имеют переключатель обнаружения несанкционированного доступа, который обнаруживает, когда этот случай открыт. В Lenovo эта функция должна быть активирована в BIOS и должен быть установлен пароль администратора. Если обнаружен тампер, то ноутбук, как мне кажется, немедленно выключится, при запуске он отобразит предупреждение и потребует пароль администратора и соответствующий адаптер переменного тока. Некоторые тамперные детекторы также вызывают звуковой сигнал и могут быть настроены для отправки электронной почты.

Обнаружение несанкционированного доступа на самом деле не предотвращает несанкционированное использование (но может затруднить кражу данных из ОЗУ), и обнаружение тампера может «блокировать» устройство, если оно обнаруживает что-то действительно изворотливое, как попытка удалить CMOS-батарею). Главное преимущество заключается в том, что кто-то не может скрытно манипулировать аппаратными средствами, если не знать - если вы настроили надежную защиту программного обеспечения, такую ​​как полное шифрование диска, то скрытое вмешательство в аппаратное обеспечение, безусловно, является одним из оставшихся векторов атак.

Другая физическая безопасность заключается в том, что некоторые ноутбуки могут быть заблокированы док-станцией. Если док-станция надежно установлена ​​на стол (с помощью винтов, которые будут находиться под ноутбуком), а ноутбук останется заблокированным док-станцией, когда он не используется, то он обеспечивает дополнительный уровень физической защиты. Конечно, это не остановит решительного вора, но это определенно усложняет кражу ноутбука из вашего дома или бизнеса, и, хотя он заблокирован, он все еще отлично подходит для использования (и вы можете подключать периферийные устройства, Ethernet и т. Д. К док-станции).

Конечно, эти физические функции не полезны для обеспечения безопасности ноутбука, который их не имеет. Но если вы осознаете безопасность, может быть стоит рассмотреть их при покупке ноутбука.

    
ответ дан Blake Walsh 21.09.2015 в 15:34
2

Кроме того, чтобы зашифровать ваш диск (вы не сможете обойти это): - SELinux и TRESOR. Оба упрощают ядро ​​Linux и пытаются заставить злоумышленников читать вещи из памяти.

Пока вы на нем: Теперь мы входим на территорию не только страха перед злыми случайными парнями, которые хотят получить информацию о вашей дебетовой карте (они этого не делают), но достаточно часто из спецслужб. В этом случае вы хотите сделать больше:

  • Попробуйте очистить от компьютера все закрытые источники (также прошивку). Это включает UEFI / BIOS!
  • Используйте tianocore / coreboot как новый UEFI / BIOS
  • Используйте SecureBoot своими ключами.

Есть много других вещей, которые вы можете сделать, но они должны дать разумное количество вещей, которые им нужно пощекотать.

И не забывайте о: xkcd ; -)

    
ответ дан larkey 21.09.2015 в 12:56
2

Поскольку вы немного изменили вопрос, вот мой ответ на измененную часть:

  

Как я могу защитить свою машину, чтобы хакинг через физический доступ не был возможен?

Ответ: Вы не можете

Существует множество передовых аппаратных и программных систем, таких как обнаружение , шифрование и т. д., но все это приходит к следующему:

Вы можете защитить свои данные, но вы не можете защитить свое оборудование, как только кто-то получит к нему доступ. И если вы продолжаете использовать любое оборудование после того, как кто-то еще имеет доступ, вы подвергаете опасности свои данные!

Используйте безопасный ноутбук с обнаружением тампера, который очищает ОЗУ, когда кто-то пытается его открыть, использует шифрование с полным диском, сохраняет резервные копии ваших данных, зашифрованных в разных местах. Затем сделайте все возможное, чтобы получить физический доступ к вашему оборудованию. Но если вы считаете, что кто-то имеет доступ к вашему оборудованию, протрите его и выбросите.

Следующий вопрос вы должны спросить : Как я могу приобрести новое оборудование, которое не было подделано.

    
ответ дан Josef 24.09.2015 в 11:35
1

Используйте пароль ATA для вашего жесткого диска / SSD

Это предотвратит использование диска без пароля . Это означает, что не может загрузиться без пароля, потому что вы не можете получить доступ к MBR или ESP без пароля. И если диск используется внутри другого manchine, пароль по-прежнему требуется.

Таким образом, вы можете использовать так называемый пароль пользователя ATA для вашего HDD / SSD. Обычно это устанавливается внутри BIOS (но это не пароль BIOS).

Для дополнительной безопасности вы можете установить главный пароль ATA на диске. Чтобы отключить использование пароля производителя.

Вы можете сделать это в cli с hdparm тоже.

Дополнительная забота должна быть взята, потому что вы можете потерять все свои данные, если вы потеряете пароль.

Ссылка

Примечание. Здесь также есть недостатки, так как есть программные средства, которые требуют восстановления пароля ATA или даже требуют удалить его. Так что это не на 100% безопасно.

Примечание. Пароль ATA не обязательно поставляется с FED (полное шифрование диска)

    
ответ дан solsTiCe 16.10.2016 в 23:08