Вопросы Теги

То, как защитить от ЦРУ #Vault7-like, нападает в Linux из Windows

Linux компилируется от открытого исходного кода, и тысячи разработчиков определили бы любой злонамеренный исходный код. Однако много Windows двойной загрузки пользователей Linux и вредоносного программного обеспечения / шпионское ПО / программное обеспечение (CIA) изделия "призрака" могло взломать скомпилированные двоичные файлы Linux после того, как чистая версия была установлена.

Решение я думаю, состоит в том, чтобы выполнить контрольную сумму на двоичных файлах Ядра Linux сразу после того, как обновление установлено, т.е. на 4.4.0-63-универсальном.

Вопрос - какие файлы должны быть включены? т.е./boot/4.4.0-63-generic или больше, чем это?

После того, как контрольная сумма сгенерирована a cron задание может быть выполнено ежемесячно, еженедельно или ежедневно повторно создавать контрольную сумму и сравнивать ее с исходной версией, чтобы гарантировать, что она не изменилась. Если контрольные суммы не соответствуют заражению, произошел, и должно быть переустановлено чистое ядро.

Отредактируйте 1, ответы до сих пор больше похожи на комментарии. В тех ответах и комментариях ниже, кажется, говорится, что "ЦРУ слишком умно и слишком богато для защиты себя, так не потрудитесь пробовать". Если я считал, что прямо тогда все ответы могли бы также быть записаны одним ЦРУ, NSA, МИ6 или Mossad, заплаченный сообщения-розыгрыши или кого-то на платежной ведомости призрака. Аналогия была бы "Вашими преступниками района, слишком умны и сложны. Они наблюдают Ваш дом и изучают Ваши привычки. Нет никакого смысла блокирующего Ваши двери или устанавливающий систему аварийной сигнализации".

Кто-то еще говорит, после того как Вы перезагружаете с Windows пароль, Вы раньше шифровали Ваши контрольные суммы, может быть считан шпионским ПО. Я сомневаюсь, что, потому что место Windows RAM больше, чем место RAM Linux и загружающиеся окна, вытер бы любую ценную доступную для поиска RAM, которую, возможно, оставил позади Linux. Помимо простого 10-секундного питания прочь стер бы всю RAM.

В противоположном конце спектра кто-то предложил, "Не используют Windows". Гм... не я не скроюсь в страхе и избегу платформ, которые я должен использовать, когда я должен использовать их. Это - супер быстрый ноутбук с гибридной графикой Nvidia и когда время для Windows, играющего его, будет использоваться как таковой.

  1. Это - больше, как Вы сделали бы это, но с обновлением ядра необходимо будет, очевидно, повторно выполнить хеш, для создания нового. Но что, если бы Вы забыли повторно выполнять его, что произошло бы затем?

С обновлением ядра совершенно новое ядро установлено на /boot. Если Вы забудете выполнять задание для создания новых контрольных сумм затем задание крона, которое выдерживает сравнение, то общие количества дадут Вам ошибку тот же путь, как будто кто-то изменил двоичные файлы ядра за Вашей спиной.

Фактический дизайн сценариев и шифрование контрольных сумм происходят позже. Мы помещаем корзину перед лошадью. Шаг кулака должен определить что потребности быть защищенным. Это - NAA (Не Ответ) для регистрации вопросов на, "как Вы сделали бы это?" встроил в ответ.

Частично отвечая на мой вопрос в дополнение к рабочим контрольным суммам на изображениях Ядра, выбранные драйверы должны быть включены. Конкретно я думаю о том, где они могут выключить питание к led's веб-камеры предоставление иллюзии, они выключены и затем активация камеры. Что-то похожее с микрометром, возможно?

Удаление всего предположения на том, должны ли Вы или не должны контролировать несанкционированные модификации к своему пространству ядра - какие двоичные файлы должны быть защищены от внешнего вмешательства?

7
задан 10 March 2017 в 18:25

3 ответа

Единственный способ избежать этого сценария - избежать двойной загрузки: избавиться от Windows. Конечно, если вы считаете, что ЦРУ не может установить вредоносное ПО, которое будет скрываться в системе Linux для настольных компьютеров и ноутбуков, вы недостаточно параноики ...

1
ответ дан 23 November 2019 в 06:54

Узнайте, как заставить работать grub, и настройте его так, чтобы загружать дистрибутивы linux, которые хранятся в архивах .iso при каждой загрузке. Держите свой компьютер Windoze дома и разрешайте ему общаться только через прямое жесткое соединение, с коробкой linux, которой вы разрешаете общаться с Интернетом при каждой загрузке, и настраивайте всю интернет-активность удаленно, через систему linux, которая инициализируется каждый раз оно загружается. Для тех, кто гиперпараноидален, сделайте загрузочные флешки, которые вы держите в кармане, и отключите загрузку с USB, когда вы выходите из дома, на устройстве linux. Все задействованные блоки будут защищены паролем, конечно же, на уровне BIOS! ; ^)

1
ответ дан 23 November 2019 в 06:54

Вот выборка других двоичных файлов ядра для защиты, кроме тех, что описаны в /boot: 

$ ls /lib/modules/4.9.13-040913-generic/
build          modules.alias.bin    modules.dep.bin  modules.symbols
initrd         modules.builtin      modules.devname  modules.symbols.bin
kernel         modules.builtin.bin  modules.order    updates
modules.alias  modules.dep          modules.softdep  vdso
───────────────────────────────────────────────────────────────────────────────
rick@dell:~$ ls /lib/modules/4.9.13-040913-generic/kernel
arch  crypto  drivers  fs  kernel  lib  mm  net  sound  virt
───────────────────────────────────────────────────────────────────────────────
rick@dell:~$ ls /lib/modules/4.9.13-040913-generic/kernel/drivers
acpi        dca       hwmon       mcb       nvme      rapidio      uio
ata         dma       hwtracing   md        nvmem     regulator    usb
atm         edac      i2c         media     parport   reset        uwb
auxdisplay  extcon    iio         memstick  pci       rtc          vfio
base        firewire  infiniband  message   pcmcia    scsi         vhost
bcma        firmware  input       mfd       phy       spi          video
block       fmc       iommu       misc      pinctrl   spmi         virtio
bluetooth   fpga      ipack       mmc       platform  ssb          vme
char        gpio      isdn        mtd       power     staging      w1
clk         gpu       leds        net       powercap  target       watchdog
cpufreq     hid       lightnvm    nfc       pps       thermal      xen
crypto      hsi       macintosh   ntb       ptp       thunderbolt
dax         hv        mailbox     nvdimm    pwm       tty
───────────────────────────────────────────────────────────────────────────────
rick@dell:~$ ls /lib/modules/4.9.13-040913-generic/kernel/drivers/net/ethernet/realtek/
8139cp.ko  8139too.ko  atp.ko  r8169.ko
───────────────────────────────────────────────────────────────────────────────
rick@dell:~$

Рекурсивный алгоритм необходим для получения моментального снимка md5sum (или любого хэш-кода безопасности, который вы предпочитаете) из всех вложенных элементов каталоги и файлы в каталоге /lib/modules/kernel_version/*

Возможно, есть и другие двоичные файлы, но я хотел опубликовать ответ о том, что было обнаружено до сих пор.

0
ответ дан 23 November 2019 в 06:54

Другие вопросы по тегам:

Похожие вопросы: