Вопросы Теги

Как обезопасить свой ноутбук, чтобы взлом через физический доступ был невозможен?

Я испортил свою систему раньше, меня приветствовал черный экран при загрузке в Ubuntu. Когда я запустил свой ноутбук, я выбрал опцию восстановления в меню grub и выбрал запасной вариант на терминале root . Я увидел, что могу использовать команду добавления пользователя, с ее помощью я, вероятно, смогу создать привилегированного пользователя на моей машине.

Разве это не проблема безопасности?

Кто-то мог украсть мой ноутбук и при запуске выбрать восстановление и добавить другого пользователя, тогда я в замешательстве. Включая мои данные.

Если подумать, даже если вы как-то удалите эту запись, можно загрузиться с live-CD, запустить и запустить chroot, а затем добавить другого пользователя с нужными привилегиями, позволяющими ему видеть все мои данные.

Если я установлю BIOS для загрузки только на моем HD, без USB, CD / DVD, запуска по сети и установлю пароль BIOS, это все равно не будет иметь значения, потому что у вас все еще будет это восстановление grub начальная запись.

Я совершенно уверен, что кто-то из Китая, России, не сможет взломать мой Ubuntu Trusty Tahr из сети, потому что это безопасно. Но если у кого-то есть физический доступ к моей - вашей - машине, тогда, вот почему я задаю этот вопрос. Как я могу защитить свою машину, чтобы взлом через физический доступ был невозможен?

Отчет об ошибке:

74
задан 22 September 2015 в 11:01

7 ответов

Полагаю, что только полное шифрование диска с использованием сильного алгоритма и, самое главное, хорошего пароля может обезопасить ваши локально хранящиеся данные. Это дает вам, вероятно, 99.99% безопасности. Пожалуйста, обратитесь к одному из многочисленных руководств, как это сделать.

Кроме того, НЕ возможно защитить вашу машину от опытного хакера с физическим доступом.

  • Пароли пользователей/аккаунтов:
    Легко создать нового пользователя-администратора, если вы загружаетесь в режиме восстановления, как вы сами описали, потому что таким образом вы получаете корневую оболочку без необходимости запрашивать пароли.
    . Это может выглядеть как случайная проблема безопасности, но предназначено для (кто бы мог подумать?) случаев восстановления, когда вы, например, потеряли пароль администратора или испортили команду sudo или другие жизненно важные вещи.

  • пароль root:
    Ubuntu не установила ни одного пароля пользователя root по умолчанию. Однако, вы можете установить его, и он будет запрошен, если вы загрузитесь в режиме восстановления. Это кажется довольно безопасным, но все же не является в конечном счете безопасным решением. Вы все еще можете добавить параметр ядра single init=/bin/bashчерез GRUB перед загрузкой Ubuntu, которая запускает его в режиме одиночного пользователя - на самом деле это тоже корневая оболочка без пароля.

  • Защита меню GRUB паролем:
    Вы можете обезопасить свои пункты меню GRUB, чтобы они были доступны только после аутентификации, т.е. вы можете запретить загрузку в режиме восстановления без пароля. Это также предотвращает манипуляции с параметрами ядра. Дополнительную информацию см. на сайте Grub2/Passwords на help.ubuntu.com. Это можно обойти, только если вы загружаетесь с внешнего носителя или напрямую подключаете HDD к другой машине.

  • Отключить загрузку с внешнего носителя в BIOS:
    Можно установить порядок загрузки и обычно исключать устройства из загрузки во многих текущих версиях BIOS/UEFI. Однако эти настройки не защищены, так как все могут войти в меню настроек. Здесь тоже нужно задать пароль, но...

  • Пароли BIOS:
    Обычно можно обойти и пароли BIOS. Есть несколько способов:

    • Сброс CMOS-памяти (где хранятся настройки BIOS), открыв корпус компьютера и физически вытащив CMOS-батарею или временно установив перемычку "Clear CMOS".
    • Сброс настроек BIOS с помощью комбинации служебных клавиш. Большинство производителей материнских плат описывают комбинации клавиш в своих сервисных руководствах для сброса неправильных настроек BIOS на значения по умолчанию, включая пароль. В качестве примера можно привести ScreenUp при включении питания, который, если я правильно помню, разблокировал материнскую плату acer с AMI BIOS один раз после того, как я испортил настройки разгона.
    • И последнее, но не менее важное: есть набор паролей BIOS по умолчанию, которые, кажется, всегда работают, независимо от реального установленного пароля. Я его не тестировал, но этот сайт предлагает их список, сгруппированный по производителям.
      Спасибо Rinzwind за эту информацию и ссылку!

  • Блокировка корпуса компьютера/отключение физического доступа к материнской плате и жесткому диску:
    Даже если все остальное выйдет из строя, вор данных все равно сможет открыть ваш ноутбук/компьютер, вытащить жесткий диск и подключить его к собственному компьютеру. Монтаж и доступ ко всем незашифрованным файлам - это кусок пирога. Вы должны поместить его в надежно закрытый чехол, где вы можете быть уверены, что никто не сможет открыть компьютер. Однако это невозможно для ноутбуков и сложно для настольных компьютеров. Может быть, вы можете подумать о владении боевиком, как саморазрушающее устройство, которое взрывает взрывчатку внутри, если кто-то попытается открыть его? ;-) Но убедитесь, что вам никогда не придется открывать его самостоятельно для обслуживания тогда!

  • Полное шифрование диска:
    Я знаю, я советовал этот метод как безопасный, но это также не на 100% безопасно, если вы потеряете свой ноутбук, пока он находится на. Существует так называемая "атака холодной загрузки", которая позволяет злоумышленнику читать ключи шифрования из вашей оперативной памяти после перезагрузки работающей машины. Это выгружает систему, но не смывает содержимое оперативной памяти без питания достаточно мало.
    Спасибо kos за его комментарий об этой атаке!
    Я также процитирую его второй комментарий здесь:

    Это старое видео, но хорошо объясняет эту концепцию: "Lest We Remember": Cold Boot Attacks on Encryption Keys" на YouTube; если у вас есть набор паролей BIOS, то злоумышленник все равно может извлечь CMOS-батарею, пока ноутбук включен, чтобы пользовательский диск мог загрузиться без потери важной секунды; В настоящее время это страшнее из-за SSD, так как изготовленный на заказ SSD, вероятно, будет способен сбрасывать даже 8 Гб менее чем за 1 минуту, учитывая скорость записи ~ 150 Мб/с

    , но все еще не ответил на вопрос о том, как предотвратить атаки "холодной загрузки": Как включить Ubuntu (с использованием полного шифрования диска) для вызова LUKSsupend перед тем, как спать/отключиться в оперативную память?

В заключение: В настоящее время ничто не защищает ваш ноутбук от использования кем-либо с физическим доступом и злоумышленными целями. Вы можете полностью зашифровать все свои данные только в том случае, если вы достаточно параноики, чтобы рискнуть потерять все, забыв пароль или в случае аварии. Поэтому шифрование делает резервные копии еще более важными, чем они уже есть. Однако тогда они тоже должны быть зашифрованы и расположены в очень безопасном месте.
. Или просто не отдавайте свой ноутбук и надеетесь, что никогда его не потеряете. ;-)

Если вас меньше волнуют ваши данные, но больше - ваше оборудование, то, возможно, вы захотите купить и установить в вашем кейсе GPS отправителя, но это только для настоящих параноиков или федеральных агентов.

91
ответ дан 22 September 2015 в 21:01
  • 1
    Оба установлены 4.0.0 и 3.8.0, но системой по умолчанию читает 3.8. Который портит при использовании Emscripten, который читает это, но требует 4.0.0. – RED 22 August 2017 в 03:18

Самый безопасный ноутбук - это ноутбук без данных на нём. Вы можете создать свою собственную частную облачную среду, а затем не хранить ничего важного локально

Или вытащить жесткий диск и расплавить его термитом. Хотя это технически отвечает на вопрос, это может быть не самым практичным, так как вы не сможете использовать свой ноутбук больше. Но ни те, ни те вечно смутные хакеры.

За исключением этих вариантов, дважды зашифровать жесткий диск и требуют подключить USB thumbdrive, чтобы расшифровать его. USB thumbdrive содержит один набор ключей расшифровки, а BIOS содержит другой набор - конечно же, защищенный паролем. Объедините это с автоматическим самоуничтожением данных, если USB-накопитель не подключен во время загрузки/восстановления из режима ожидания. Постоянно носите флешку USB на себе. Эта комбинация также работает с XKCD #538.

XKCD #538

13
ответ дан 22 September 2015 в 21:01
  • 1
    этот repo работает от жилого соединения или чего-то? – Jonathan Henson 7 March 2018 в 12:30

Дополнительно к шифрованию вашего диска (вы не обойдете это стороной): - SELinux и TRESOR. Оба укрепляют ядро Linux и стараются затруднить злоумышленникам чтение вещей из памяти.

Пока Вы этим занимаетесь: Теперь мы входим на территорию не только боязни злых случайных парней, желающих получить информацию о вашей дебетовой карте (они этого не делают), но и достаточно часто - спецслужб. В этом случае вы хотите сделать больше:

  • Попробуйте очистить компьютер от всякой закрытой информации (в том числе и от прошивки). Это включает в себя UEFI/BIOS !
  • Use tianocore/coreboot as new UEFI/BIOS
  • Use SecureBoot with your own keys.

Есть множество других вещей, которые вы можете сделать, но они должны дать разумное количество вещей, которые нужно пощекотать.

И не забудьте об этом: xkcd ;-)

2
ответ дан 22 September 2015 в 21:01
  • 1
    я выполнил все шаги, которые Вы сказали мне, но все еще никакой удаче в том, чтобы заставлять его работать – Manish Sakpal 11 December 2016 в 17:13

Зашифровать диск. Таким образом, ваша система и ваши данные будут в безопасности в случае кражи ноутбука. Иначе:

  • BIOS-пароль не поможет: вор может легко извлечь диск из вашего компьютера и поместить его на другой компьютер для загрузки с него.
  • Ваш пароль пользователя/корня тоже не поможет: вор может легко смонтировать диск, как описано выше, и получить доступ ко всем вашим данным.

Я бы порекомендовал вам иметь раздел LUKS, в котором вы можете настроить LVM. Вы можете оставить загрузочный раздел незашифрованным, так что вам нужно будет ввести пароль только один раз. Это означает, что ваша система может быть более легко взломана в случае подделки (украдена и возвращена вам без вашего ведома), но это очень редкий случай и, если вы думаете, что за вами следит АНБ, правительство или какая-то мафия, вам не стоит об этом беспокоиться.

Ваша программа установки Ubuntu должна предоставить вам возможность установки с помощью LUKS+LVM очень простым и автоматизированным способом. Я не буду повторно размещать здесь подробности, т.к. в интернете уже достаточно много документации. :-)

10
ответ дан 22 September 2015 в 21:01

Так как вы немного изменили вопрос, вот мой ответ на измененную часть:

Как я могу обезопасить свою машину так, чтобы взлом через физический доступ был невозможен?

Ответ: Вы не можете

Существует множество продвинутых аппаратных и программных систем, таких как обнаружение взлома , шифрование и т.д., но все сводится к следующему:

Вы можете защитить свои данные, но вы не можете защитить свое аппаратное обеспечение, как только кто-то получил доступ к нему. И если вы продолжаете использовать любое оборудование после того, как кто-то получил доступ к нему, вы подвергаете свои данные опасности!

Используйте защищенный ноутбук с обнаружением взлома, который очищает оперативную память, когда кто-то пытается ее открыть, используйте полное дисковое шифрование, храните резервные копии ваших данных, зашифрованные в разных местах. Затем как можно сложнее получить физический доступ к вашему оборудованию. Но если вы считаете, что у кого-то был доступ к вашему оборудованию, сотрите его и выбросьте.

Следующий вопрос следует задать : Как приобрести новое аппаратное обеспечение, которое не было подделано.

2
ответ дан 22 September 2015 в 21:01
  • 1
    Действительно? К сожалению, это - ультрабук, означающий, что внутренний диск сварен в материнскую плату, и разъединение его может быть проблемой. Это походит на огромный контроль на разработке программного обеспечения мастера Ubuntu. Вы подразумевали, что, делая это в UEFI твердо и вероятно, почему он прокладывает себе путь? – ByteFlinger 14 December 2016 в 11:07

Есть пара аппаратных решений, заслуживающих внимания.

Во-первых, некоторые ноутбуки, например, некоторые бизнес-ноутбуки Lenovo поставляются с переключателем обнаружения взлома, который обнаруживает, когда корпус открыт. На Lenovo эта функция должна быть активирована в BIOS и пароль администратора должен быть установлен. Если вскрытие ноутбука будет обнаружено, ноутбук (я полагаю) будет немедленно выключен, при запуске он будет отображать предупреждение и потребовать пароль администратора и соответствующий адаптер переменного тока для продолжения работы. Некоторые детекторы взлома также включают звуковой сигнал и могут быть настроены на отправку сообщения по электронной почте.

Обнаружение взлома на самом деле не предотвращает взлом (но это может затруднить кражу данных из оперативной памяти - и обнаружение взлома может "замуровать" устройство, если оно обнаружит что-то действительно изворотливое, например, попытку извлечь CMOS-батарею). Основным преимуществом является то, что кто-то не может тайно взломать аппаратуру без вашего ведома - если вы установили сильную программную безопасность, такую как полное шифрование диска, то тайное взлом аппаратуры определенно является одним из оставшихся векторов атаки.

Другая физическая безопасность заключается в том, что некоторые ноутбуки могут быть заблокированы в доке. Если док надежно крепится к столу (с помощью винтов, которые будут находиться под ноутбуком), а ноутбук, когда он не используется, остается запертым в доке, то это обеспечивает дополнительный уровень физической защиты. Конечно, это не остановит решительного вора, но это определенно делает его труднее украсть ноутбук из вашего дома или бизнеса, и в то время как заблокирован он все еще прекрасно пригодны для использования (и вы можете подключить периферийные устройства, ethernet и так далее к доку).

Конечно, эти физические возможности не являются полезными для обеспечения безопасности ноутбука, который не имеет их. Но если вы заботитесь о безопасности, возможно, стоит рассмотреть их при покупке ноутбука.

5
ответ дан 22 September 2015 в 21:01

Используйте пароль ATA для жесткого диска / SSD

Это предотвратит использование диска без пароля . Это означает, что вы не можете загрузить без пароля, потому что вы не можете получить доступ к MBR или ESP без пароля. И если диск используется в другом manchine, пароль все равно требуется.

Таким образом, вы можете использовать так называемый пользовательский пароль ATA для вашего HDD / SSD. Обычно это устанавливается в BIOS (но это не пароль BIOS).

Для дополнительной безопасности вы также можете установить главный пароль ATA на диске. Чтобы отключить использование пароля производителя.

Вы можете сделать это на cli с помощью hdparm .

Следует проявлять особую осторожность , потому что вы можете потерять все свои данные, если потеряете пароль.

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

Примечание: Здесь также есть слабые места, поскольку есть программы, которые утверждают, что восстанавливают пароль ATA или даже заявляют об удалении его. Так что это тоже не на 100% безопасно.

Примечание: пароль ATA не обязательно поставляется с FED (полное шифрование диска)

1
ответ дан 22 September 2015 в 21:01
  • 1
    К сожалению, да. Я думаю, что некоторые производители используют нестандартные версии UEFI, чтобы быть сложно устанавливать любую другую операционную систему. Можно попробовать согласно ссылке UEFI-BIOS. (Я сделал то сжатое изображение, и это портативно между несколькими компьютерами.) Я don' t знают, попробовал ли кто-либо его в ультрабуке, но это могло бы стоить попробовать. Тем путем можно даже высветить изображение к Карте памяти в другом компьютере. Другая альтернатива должна сделать персистентный живой диск. В обоих случаях можно использовать mkusb. – sudodus 14 December 2016 в 11:19

Другие вопросы по тегам:

Похожие вопросы: