Come proteggere il mio laptop in modo tale che l'hacking tramite accesso fisico non sia possibile?

69

Ho incasinato il mio sistema in precedenza, sono stato accolto da uno schermo nero, quando ho fatto il boot su Ubuntu. Quando ho avviato il mio laptop, ho selezionato l'opzione di ripristino dal menu di grub e ho scelto il fallback al terminale root . Ho visto che ero in grado di utilizzare il comando add user, con esso, probabilmente avrei potuto usare per creare un utente privilegiato sulla mia macchina.

Non è un problema di sicurezza?

Uno potrebbe aver rubato il mio laptop e all'avvio ho scelto il ripristino e ho aggiunto un altro utente, quindi sono stato scartato. Compresi i miei dati.

Vieni a pensarci, anche se in qualche modo rimuovi questa voce, puoi avviare da un CD live, ottenere un chroot attivo e in esecuzione e quindi aggiungere un altro utente, con i privilegi giusti che gli consentono di vedere tutto i miei dati.

Se avessi impostato il BIOS solo per l'avvio sul mio HD, senza USB, CD / DVD, avvio di rete e impostato una password del BIOS, non avrebbe comunque importanza, perché avresti ancora la voce di avvio per il ripristino di grub.

Sono abbastanza sicuro che qualcuno dalla Cina, la Russia non può hackerare il mio Ubuntu Trusty Tahr, dalla rete, perché è sicuro così. Ma, se uno ha accesso fisico alla mia - la tua - macchina, allora, ecco perché sto facendo questa domanda. Come posso proteggere la mia macchina in modo che l'hacking tramite l'accesso fisico non sia possibile?

Rapporto bug:

posta blade19899 21.09.2015 - 09:51

7 risposte

83

La mia ipotesi è che solo la crittografia completa del disco utilizzando un algoritmo forte e, la più importante, una buona password è l'unica cosa che può proteggere i dati memorizzati localmente. Questo ti dà probabilmente il 99,99% di sicurezza. Si prega di fare riferimento a una delle numerose guide su come farlo.

Oltre a questo, è NON possibile proteggere la tua macchina da un hacker esperto con accesso fisico.

  • Password utente / account: È facile creare un nuovo utente amministratore se si avvia in modalità di ripristino, come descritto da solo, perché si ottiene una shell di root senza che venga richiesta la password in questo modo.
    Potrebbe sembrare un problema di sicurezza accidentale, ma è inteso per (chi avrebbe pensato che?) I casi di recupero, dove ad es. ha perso la password dell'amministratore o ha incasinato il comando sudo o altre cose importanti.

  • password di root: Ubuntu non ha impostato alcuna password utente root per impostazione predefinita. Tuttavia, è possibile impostarne uno e verrà richiesto se si avvia in modalità di ripristino. Questo sembra abbastanza sicuro, ma non è ancora una soluzione definitiva. Puoi ancora aggiungere il parametro kernel single init=/bin/bash tramite GRUB prima di avviare Ubuntu che lo avvia in modalità utente singolo - che in effetti è una shell di root senza password.

  • Protezione del menu di GRUB con una password:
    È possibile proteggere le voci del menu di GRUB solo dopo l'autenticazione, ad esempio, è possibile negare l'avvio della modalità di ripristino senza password. Questo impedisce anche di manipolare i parametri del kernel. Per ulteriori informazioni, consultare il sito Grub2 / Passwords su help.ubuntu.com . Questo può essere bypassato solo se si avvia da un supporto esterno o si collega direttamente l'HDD a un'altra macchina.

  • Disabilita l'avvio da un supporto esterno nel BIOS: È possibile impostare l'ordine di avvio e in genere escludere i dispositivi dall'avvio in molte versioni correnti di BIOS / UEFI. Tuttavia, queste impostazioni non sono sicure, poiché tutti possono accedere al menu di configurazione. Devi impostare una password anche qui, ma ...

  • Password del BIOS: Di solito puoi anche bypassare le password del BIOS. Esistono diversi metodi:

    • Ripristina la memoria CMOS (dove sono archiviate le impostazioni del BIOS) aprendo il case del computer e rimuovendo fisicamente la batteria CMOS o impostando temporaneamente un jumper "Clear CMOS".
    • Ripristina le impostazioni del BIOS con una combinazione di tasti di servizio. La maggior parte dei produttori di schede madri descrive combinazioni chiave nei loro manuali di servizio per ripristinare le impostazioni BIOS incasinate ai valori predefiniti, inclusa la password. Un esempio sarebbe tenere premuto ScreenUp mentre si accende la potenza, che, se ricordo bene, ha sbloccato una scheda madre acer con AMI BIOS una volta per me dopo aver incasinato le mie impostazioni di overclocking.
    • Ultimo ma non meno importante, ci sono un set di password BIOS predefinite che sembrano funzionare sempre, indipendentemente dalla password reale impostata. Non l'ho provato, ma questo sito offre un elenco di essi, suddivisi per produttore.
      Grazie a Rinzwind per queste informazioni e link!
  • Blocca il caso del computer / nega l'accesso fisico alla scheda madre e al disco rigido:
    Anche se tutto il resto fallisce, un ladro di dati può ancora aprire il tuo laptop / computer, estrarre l'HDD e collegarlo al suo computer. Montarlo e accedere a tutti i file non criptati è un pezzo di torta da lì. Devi metterlo in una custodia chiusa a chiave dove puoi essere sicuro che nessuno è in grado di aprire il computer. Questo tuttavia è impossibile per i laptop e difficile per i desktop. Forse puoi pensare di possedere un film d'azione come un dispositivo autodistruttivo che fa esplodere alcuni esplosivi se qualcuno cerca di aprirlo? ;-) Ma assicurati che non dovrai mai aprirlo da solo per la manutenzione!

  • Crittografia del disco completo: So che ho consigliato questo metodo come sicuro, ma non è sicuro al 100% se si perde il laptop mentre è acceso. Esiste un cosiddetto "attacco di avvio a freddo" che consente all'utente malintenzionato di leggere le chiavi di crittografia dalla RAM dopo aver ripristinato la macchina in esecuzione. Questo scarica il sistema, ma non scarica il contenuto della RAM del tempo senza che l'alimentazione sia abbastanza breve.
    Grazie a kos per il suo commento su questo attacco!
    Citerò anche il suo secondo commento qui:

      

    Questo è un vecchio video, ma spiega bene il concetto: " Ricorda: attacchi Cold Boot su chiavi di crittografia "su YouTube ; se hai una password BIOS impostata, l'utente malintenzionato può comunque rimuovere la batteria CMOS mentre il portatile è ancora acceso per abilitare l'abitudine drive elaborato per l'avvio senza perdere secondi cruciali, questo è più spaventoso al giorno d'oggi a causa di SSD, in quanto un SSD personalizzato sarà probabilmente in grado di scaricare anche 8 GB in meno di 1 minuto, considerando una velocità di scrittura di ~ 150MB / s

    Questione relativa, ma ancora senza risposta su come prevenire gli attacchi Cold Boot: Come abilito Ubuntu (usando la crittografia completa del disco) per chiamare LUKSsupend prima di dormire / sospendere su RAM?

Per concludere: attualmente nulla protegge il tuo laptop dall'usarlo per l'accesso fisico e l'intento malevolo. Puoi crittografare tutti i tuoi dati solo se sei abbastanza paranoico da rischiare di perdere tutto dimenticando la tua password o un crash. Quindi la crittografia rende i backup ancora più importanti di quanto non lo siano già. Tuttavia, dovrebbero anche essere crittografati e posizionati in un posto molto sicuro.
O semplicemente non dare via il tuo laptop e spero che non lo perderai mai. ; -)

Se ti interessa meno dei tuoi dati, ma più del tuo hardware, potresti comunque acquistare e installare un mittente GPS nel tuo caso, ma è solo per i veri paranoici o agenti federali.

    
risposta data Byte Commander 21.09.2015 - 10:15
10

Encrypt your disk. In questo modo il tuo sistema e i tuoi dati saranno al sicuro in caso di furto del tuo laptop. In caso contrario:

  • La password del BIOS non aiuta: il ladro può facilmente estrarre il disco dal tuo computer e metterlo su un altro PC per avviarlo.
  • La tua password utente / root non sarà di aiuto: il ladro può facilmente montare il disco come spiegato sopra e accedere a tutti i tuoi dati.

Ti consiglierei di avere una partizione LUKS in cui puoi configurare un LVM. È possibile lasciare la partizione di avvio non crittografata in modo che sia sufficiente inserire la password una sola volta. Ciò significa che il tuo sistema potrebbe essere più facilmente compromesso se manomesso (rubato e restituito a te senza che tu te ne accorga), ma questo è un caso molto raro e, a meno che non pensi di essere seguito dall'NSA, da un governo o da qualche tipo di mafia, non dovresti preoccuparti di questo.

Il tuo installatore di Ubuntu dovrebbe darti la possibilità di installare con LUKS + LVM in modo molto semplice e automatico. Non sto reindirizzando i dettagli qui, perché c'è già un sacco di documentazione là fuori su internet. : -)

    
risposta data Peque 21.09.2015 - 09:53
10

Il laptop più sicuro è quello senza dati. È possibile impostare il proprio ambiente cloud privato e quindi non memorizzare nulla di importante a livello locale.

Oppure estrai il disco rigido e sciogliilo con thermite. Sebbene questo tecnicamente risponda alla domanda, potrebbe non essere il più pratico dal momento che non sarai più in grado di utilizzare il tuo laptop. Ma neanche questi hacker sempre nebulosi.

Escludendo tali opzioni, duplica il disco rigido e richiedi l'inserimento di una chiavetta USB per decrittografarlo. La chiavetta USB contiene un set di chiavi di decrittografia e il BIOS contiene l'altro set - protetto da password, ovviamente. Combinalo con una routine di autodistruzione automatica dei dati se la chiavetta USB non è collegata durante l'avvio / ripresa dalla sospensione. Porta sempre con te la chiavetta USB sulla tua persona. Questa combinazione si verifica anche con XKCD # 538 .

    
risposta data E. Diaz 21.09.2015 - 22:20
5

Ci sono un paio di soluzioni hardware degne di nota.

In primo luogo alcuni laptop, come alcuni portatili aziendali Lenovo, sono dotati di un interruttore di rilevamento manomissione che rileva quando il caso viene aperto. Su Lenovo questa funzione deve essere attivata nel BIOS e deve essere impostata una password di amministratore. Se il rilevatore di manomissione viene rilevato, il computer portatile (credo) verrà immediatamente spento, all'avvio visualizzerà un avviso e richiederà la password dell'amministratore e l'adattatore CA corretto per procedere. Alcuni rilevatori di manomissione attivano anche un allarme acustico e possono essere configurati per inviare una e-mail.

Il rilevamento delle manomissioni non impedisce realmente la manomissione (ma potrebbe rendere più difficile il furto dei dati dalla RAM) e il rilevamento delle manomissioni potrebbe "brick" il dispositivo se rileva qualcosa di veramente rischioso come tentare di rimuovere la batteria CMOS). Il vantaggio principale è che qualcuno non può manomettere segretamente l'hardware senza che tu sappia: se hai impostato una solida sicurezza software come la crittografia completa del disco, la manomissione dell'hardware è sicuramente uno dei vettori di attacco rimanenti.

Un'altra sicurezza fisica è che alcuni laptop possono essere bloccati su un dock. Se il dock è montato in modo sicuro su un tavolo (tramite viti che saranno sotto il laptop) e il laptop rimane bloccato sul dock quando non in uso, fornisce un ulteriore livello di protezione fisica. Ovviamente questo non fermerà un ladro determinato ma rende sicuramente più difficile rubare il laptop da casa o dal lavoro, e mentre è bloccato è ancora perfettamente utilizzabile (e puoi collegare periferiche, Ethernet e così via al dock).

Naturalmente, queste caratteristiche fisiche non sono utili per proteggere un laptop che non le possiede. Ma se sei attento alla sicurezza, può essere utile considerarli quando acquisti un laptop.

    
risposta data Blake Walsh 21.09.2015 - 15:34
2

Inoltre per crittografare il tuo disco (non lo farai a meno): - SELinux e TRESOR. Entrambi induriscono il kernel di Linux e cercano di rendere difficile agli hacker leggere le cose dalla memoria.

Mentre ci sei: Ora entriamo nel territorio non solo della paura del male, ragazzi casuali che vogliono informazioni sulla tua carta di debito (non lo fanno) ma abbastanza spesso di agenzie di intelligence. In tal caso, vuoi fare di più:

  • Prova a eliminare tutto ciò che è closed-source (anche firmware) dal PC. Questo include UEFI / BIOS!
  • Usa tianocore / coreboot come nuovo UEFI / BIOS
  • Usa SecureBoot con le tue chiavi.

Ci sono molte di altre cose che puoi fare, ma quelle dovrebbero fornire una quantità ragionevole di cose di cui hanno bisogno per solleticare.

E non dimenticare di: xkcd ; -)

    
risposta data larkey 21.09.2015 - 12:56
2

Poiché hai cambiato la domanda un po ', ecco la mia risposta alla parte modificata:

  

Come posso proteggere la mia macchina in modo che l'hacking tramite l'accesso fisico non sia possibile?

Risposta: Non puoi

Esistono molti sistemi hardware e software avanzati come il rilevamento di manomissione , la crittografia, ecc., ma tutto ciò si ottiene con questo:

Puoi proteggere i tuoi dati, ma non puoi proteggere il tuo hardware una volta che qualcuno ha avuto accesso ad esso. E se continui a utilizzare qualsiasi hardware dopo che qualcuno ha avuto accesso, stai mettendo in pericolo i tuoi dati!

Utilizza un notebook protetto con rilevamento antimanomissione che cancella la RAM quando qualcuno tenta di aprirlo, usa la crittografia a disco intero, archivia i backup dei tuoi dati crittografati in posizioni diverse. Quindi rendi il più difficile possibile ottenere l'accesso fisico al tuo hardware. Ma se credi che qualcuno abbia accesso al tuo hardware, puliscilo e gettalo via.

La prossima domanda dovresti chiedere è: come posso acquistare un nuovo hardware che non è stato manomesso.

    
risposta data Josef 24.09.2015 - 11:35
1

Utilizza una password ATA per il tuo HDD / SSD

Ciò impedirà l'uso del disco senza la password . Ciò significa che non può avviare senza la password perché non puoi accedere a MBR o ESP senza la password. E se il disco viene utilizzato all'interno di un'altra manchina, la password è ancora richiesta.

Quindi, puoi utilizzare una cosiddetta password utente ATA per il tuo HDD / SSD. Questo di solito è impostato all'interno del BIOS (ma questa non è una password del BIOS).

Per maggiore sicurezza, puoi anche impostare una password ATA master sul disco. Per disabilitare l'uso della password del produttore.

Puoi farlo sul cli anche con hdparm .

Extra care dovrebbe essere preso perché puoi perdere tutti i tuoi dati se perdi la password.

link

Nota: anche qui ci sono dei punti deboli in quanto vi sono software che pretendono di recuperare la password ATA, o addirittura pretendono di rimuoverla. Quindi non è sicuro al 100%.

Nota: la password ATA non viene necessariamente con FED (Full Disk Encryption)

    
risposta data solsTiCe 16.10.2016 - 23:08

Leggi altre domande sui tag