Как защитить мой ноутбук так, чтобы хакинг по физическому доступу невозможен?

Question 1

Дельта-обновление означает, что будут загружены только изменения в пакете, и изменения будут объединены в существующие файлы внутри пакета.

Чтобы все было просто. Если у вас уже есть приложение, установленное на вашем телефоне или планшете, и сделано изменение, которое дает ему новый фон, вам не придется загружать все это.

Обновление delta проведет проверку версии, а затем отправит патч, который объединяет изменения, внесенные разработчиком в файлы, которые у вас уже есть.

Question 2

Зашифруйте свой диск. Таким образом ваша система и ваши данные будут в безопасности, если ваш ноутбук будет украден. В противном случае:

Пароль BIOS не поможет: вор может легко извлечь диск с вашего компьютера и поместить его на другой компьютер для загрузки с него. Ваш пароль пользователя / пользователя не поможет: вор может легко подключить диск, как описано выше, и получить доступ ко всем вашим данным.

Я бы рекомендовал вам иметь раздел LUKS, в котором вы можете настроить LVM. Вы можете оставить свой загрузочный раздел незашифрованным, чтобы только один раз вводить пароль. Это означает, что ваша система может быть легче скомпрометирована, если ее подделать (украдены и возвращены вам, если вы даже не заметите), но это очень редкий случай, и, если вы не думаете, что за вами следует NSA, правительство или какой-то мафии, вы не должны беспокоиться об этом.

Установщик Ubuntu должен предоставить вам возможность установки с LUKS + LVM очень простым и автоматическим способом. Я не переписываю детали здесь, так как в Интернете уже есть много документации. : -

)

Question 3

Question 4

Самый безопасный ноутбук - тот, у кого нет данных. Вы можете настроить свою собственную облачную среду, а затем не хранить ничего важного локально.

Или вытащите жесткий диск и расплавьте его с помощью термита. Хотя это технически отвечает на вопрос, это может быть не самым практичным, так как вы больше не сможете использовать свой ноутбук. Но ни один из них не будет туманным хакером.

Запрет этих опций, двойной шифрование жесткого диска и необходимость подключения USB-накопителя для его расшифровки. Флэш-накопитель USB содержит один набор ключей дешифрования, а BIOS содержит другой набор - защищенный паролем, конечно. Объедините это с автоматической автоматической самоуправкой данных, если USB-накопитель не подключен во время загрузки / возобновления с приостановки. Всегда переносите USB-накопитель на человека. Эта комбинация также имеет дело с XKCD # 538.

XKCD # 538

Question 5

Есть несколько аппаратных решений, которые стоит отметить.

Во-первых, некоторые ноутбуки, например, некоторые бизнес-ноутбуки Lenovo, имеют переключатель обнаружения несанкционированного доступа, который обнаруживает, когда этот случай открыт. В Lenovo эта функция должна быть активирована в BIOS и должен быть установлен пароль администратора. Если обнаружен тампер, то ноутбук, как мне кажется, немедленно выключится, при запуске он отобразит предупреждение и потребует пароль администратора и соответствующий адаптер переменного тока. Некоторые тамперные детекторы также выдают звуковой сигнал и могут быть настроены для отправки электронной почты.

Обнаружение тампера действительно не мешает подделке (но может затруднить кражу данных из ОЗУ - и обнаружение тампера может «заколоть» устройство, если оно обнаружит что-то действительно изворотливое, как попытка удалить батарею CMOS). Главное преимущество заключается в том, что кто-то не может скрытно манипулировать аппаратным обеспечением, если вы не знаете, - если вы создали сильную защиту программного обеспечения, такую как полное шифрование диска, то скрытое вмешательство в аппаратное обеспечение, безусловно, является одним из оставшихся векторов атак.

Еще одна физическая безопасность заключается в том, что некоторые ноутбуки можно заблокировать док-станцией. Если док-станция надежно установлена на стол (с помощью винтов, которые будут находиться под ноутбуком), а ноутбук останется заблокированным док-станцией, когда он не используется, то он обеспечивает дополнительный уровень физической защиты. Конечно, это не остановит решительного вора, но это определенно затрудняет кражу ноутбука из вашего дома или бизнеса, и, хотя он заблокирован, он по-прежнему отлично подходит для использования (и вы можете подключить периферийные устройства, Ethernet и т. Д. К док-станции).

Конечно, эти физические функции не полезны для обеспечения безопасности ноутбука, который их не имеет. Но если вы осознаете безопасность, может быть стоит рассмотреть их при покупке ноутбука.

Question 6

Дополнительно к шифрованию вашего диска (вы не сможете обойти это): - SELinux и TRESOR. Оба они ожесточают ядро Linux и пытаются заставить злоумышленников читать вещи из памяти.

Пока вы на нем: теперь мы входим на территорию не только страха перед злыми случайными парнями, желающими вашу информацию о дебетовой карте (они этого не делают), но часто достаточно разведывательных агентств. В этом случае вы хотите сделать больше:

Постарайтесь очистить от компьютера все закрытые источники (также прошивку). Это включает UEFI / BIOS! Используйте tianocore / coreboot в качестве нового UEFI / BIOS. Используйте SecureBoot своими ключами.

Есть хотите других вещей, которые вы можете сделать, но они должны дать разумное количество вещей, которые им нужно пощекотать.

И не забывайте о: xkcd; -)

Question 7

Question 8

Поскольку вы немного изменили вопрос, вот мой ответ на измененную часть:

Как я могу защитить свою машину, чтобы хакинг через физический доступ не был возможен?

Ответ: вы не можете

Существует множество передовых аппаратных и программных систем, таких как обнаружение несанкционированного доступа, шифрование и т. д., но все это приходит к следующему:

Вы можете защитить свои данные, но вы не можете защитить свое оборудование, как только кто-то получит к нему доступ. Вы не можете

Использовать безопасный ноутбук с обнаружением тампера, который очищает ОЗУ, когда кто-то пытается его открыть, использовать шифрование с полным диском, хранить резервные копии ваших данных, зашифрованных в разных местах. Затем сделайте все возможное, чтобы получить физический доступ к вашему оборудованию. Но если вы полагаете, что у кого-то есть доступ к вашему оборудованию, протрите его и выбросите.

Следующий вопрос, который вы должны задать, - это: Как я могу приобрести новое оборудование, которое не было подделано. [!d10 ]

Question 9

Используйте пароль ATA для вашего HDD / SSD

Это предотвратит использование диска без пароля. Это означает, что вы пароль ATA без пароля, потому что вы не можете получить доступ к MBR или ESP без пароля. И если диск используется внутри другого manchine, пароль по-прежнему требуется.

Итак, вы можете использовать так называемый пароль пользователя ATA для вашего HDD / SSD. Обычно это устанавливается в BIOS (но это не пароль BIOS).

Для дополнительной защиты вы также можете установить пароль пользователя пользователя ATA на диске. Чтобы отключить использование пароля производителя.

Вы также можете сделать это в кли с hdparm.

Следует проявлять особую осторожность, поскольку вы можете потерять все свои данные, если вы освободите пароль.

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

Примечание. Здесь также есть недостатки, так как есть программные средства, которые требуют восстановления пароля ATA или даже требуют удалить его. Это не на 100% безопасно.

Примечание. Пароль ATA не обязательно поставляется с FED (Full Disk Encryption)

Peque · Answer 1 · 23 May 2018 в 17:18

Зашифруйте свой диск. Таким образом ваша система и ваши данные будут в безопасности, если ваш ноутбук будет украден. В противном случае:

Пароль BIOS не поможет: вор может легко извлечь диск с вашего компьютера и поместить его на другой компьютер для загрузки с него. Ваш пароль пользователя / пользователя не поможет: вор может легко подключить диск, как описано выше, и получить доступ ко всем вашим данным.

Я бы рекомендовал вам иметь раздел LUKS, в котором вы можете настроить LVM. Вы можете оставить свой загрузочный раздел незашифрованным, чтобы только один раз вводить пароль. Это означает, что ваша система может быть легче скомпрометирована, если ее подделать (украдены и возвращены вам, если вы даже не заметите), но это очень редкий случай, и, если вы не думаете, что за вами следует NSA, правительство или какой-то мафии, вы не должны беспокоиться об этом.

Установщик Ubuntu должен предоставить вам возможность установки с LUKS + LVM очень простым и автоматическим способом. Я не переписываю детали здесь, так как в Интернете уже есть много документации. : -

)

10

ответ дан Peque 23 May 2018 в 17:18

1

Если возможно, вы могли бы предоставить более подробный ответ. Как вы можете сказать по моему вопросу, я не бафф безопасности. – blade19899 21 September 2015 в 10:56
2

но обратите внимание, что шифрование с полным диском - это не единственный способ, и это не обязательно, если вы ограничиваете свои конфиденциальные файлы до /home/yourName - как и следовало! - затем сместите эту папку с драйвером шифрования на уровне файлов (например, я упомянул в OP и не буду спамом снова), очень жизнеспособной альтернативой. Я не беспокоюсь о том, что люди видят все скучные вещи в /usr и т. Д. – underscore_d 24 September 2015 в 02:27
3

@underscore_d: Я действительно беспокоюсь о других вещах за пределами /home (включая личные и профессиональные данные в других разделах), поэтому мне легче шифровать все, но я думаю, что каждый пользователь имеет свои собственные потребности :-). Однако использование ecryptfs не является лучшим решением по производительности. Вы можете найти некоторые тесты здесь . Обязательно прочитайте страницы 2-5 в статье для получения фактических результатов (страница 1 - это просто введение). – Peque 24 September 2015 в 10:24
4

Очень верно, спасибо за ссылку / тесты. Я еще не ударил ни одного барьера производительности, но, возможно, позже. Кроме того, я понял, что мне, вероятно, придется подумать о шифровании таких вещей, как /var/log, /var/www (source) и & amp; /tmp, поэтому, возможно, полное шифрование диска начнет казаться более разумным! – underscore_d 24 September 2015 в 12:41
5

@underscore_d: да, и тогда вы начинаете думать о /etc и других каталогах верхнего уровня ... В конце концов, полное шифрование диска - это простое и быстрое решение, которое позволит вам спать как ребенок каждую ночь. ^^ – Peque 24 September 2015 в 12:52

Byte Commander · Answer 2 · 23 May 2018 в 17:18

Самый безопасный ноутбук - тот, у кого нет данных. Вы можете настроить свою собственную облачную среду, а затем не хранить ничего важного локально.

Или вытащите жесткий диск и расплавьте его с помощью термита. Хотя это технически отвечает на вопрос, это может быть не самым практичным, так как вы больше не сможете использовать свой ноутбук. Но ни один из них не будет туманным хакером.

Запрет этих опций, двойной шифрование жесткого диска и необходимость подключения USB-накопителя для его расшифровки. Флэш-накопитель USB содержит один набор ключей дешифрования, а BIOS содержит другой набор - защищенный паролем, конечно. Объедините это с автоматической автоматической самоуправкой данных, если USB-накопитель не подключен во время загрузки / возобновления с приостановки. Всегда переносите USB-накопитель на человека. Эта комбинация также имеет дело с XKCD # 538.

XKCD # 538

Автоматическая процедура саморазрушения, безусловно, будет приятным сюрпризом, когда ваш USB-накопитель накапливает пыль на контактных площадках. — Dmitry Grigoryev, 22 September 2015 в 12:29

Blake Walsh · Answer 3 · 23 May 2018 в 17:18

Есть несколько аппаратных решений, которые стоит отметить.

Во-первых, некоторые ноутбуки, например, некоторые бизнес-ноутбуки Lenovo, имеют переключатель обнаружения несанкционированного доступа, который обнаруживает, когда этот случай открыт. В Lenovo эта функция должна быть активирована в BIOS и должен быть установлен пароль администратора. Если обнаружен тампер, то ноутбук, как мне кажется, немедленно выключится, при запуске он отобразит предупреждение и потребует пароль администратора и соответствующий адаптер переменного тока. Некоторые тамперные детекторы также выдают звуковой сигнал и могут быть настроены для отправки электронной почты.

Обнаружение тампера действительно не мешает подделке (но может затруднить кражу данных из ОЗУ - и обнаружение тампера может «заколоть» устройство, если оно обнаружит что-то действительно изворотливое, как попытка удалить батарею CMOS). Главное преимущество заключается в том, что кто-то не может скрытно манипулировать аппаратным обеспечением, если вы не знаете, - если вы создали сильную защиту программного обеспечения, такую как полное шифрование диска, то скрытое вмешательство в аппаратное обеспечение, безусловно, является одним из оставшихся векторов атак.

Еще одна физическая безопасность заключается в том, что некоторые ноутбуки можно заблокировать док-станцией. Если док-станция надежно установлена на стол (с помощью винтов, которые будут находиться под ноутбуком), а ноутбук останется заблокированным док-станцией, когда он не используется, то он обеспечивает дополнительный уровень физической защиты. Конечно, это не остановит решительного вора, но это определенно затрудняет кражу ноутбука из вашего дома или бизнеса, и, хотя он заблокирован, он по-прежнему отлично подходит для использования (и вы можете подключить периферийные устройства, Ethernet и т. Д. К док-станции).

Конечно, эти физические функции не полезны для обеспечения безопасности ноутбука, который их не имеет. Но если вы осознаете безопасность, может быть стоит рассмотреть их при покупке ноутбука.

larkey · Answer 4 · 23 May 2018 в 17:18

Дополнительно к шифрованию вашего диска (вы не сможете обойти это): - SELinux и TRESOR. Оба они ожесточают ядро Linux и пытаются заставить злоумышленников читать вещи из памяти.

Пока вы на нем: теперь мы входим на территорию не только страха перед злыми случайными парнями, желающими вашу информацию о дебетовой карте (они этого не делают), но часто достаточно разведывательных агентств. В этом случае вы хотите сделать больше:

Постарайтесь очистить от компьютера все закрытые источники (также прошивку). Это включает UEFI / BIOS! Используйте tianocore / coreboot в качестве нового UEFI / BIOS. Используйте SecureBoot своими ключами.

Есть хотите других вещей, которые вы можете сделать, но они должны дать разумное количество вещей, которые им нужно пощекотать.

И не забывайте о: xkcd; -)

2

ответ дан larkey 23 May 2018 в 17:18

1

Эти предложения не помогают. Ни SELinux, ни TRESOR не останавливают кого-либо с физическим доступом. Они не предназначены для этой модели угрозы. Они обеспечат ложное чувство безопасности. Постскриптум Очистка кода с закрытым кодом полностью не связана с обеспечением безопасности для кого-то с физическим доступом. – D.W. 21 September 2015 в 21:39
2

@ D.W. «TRESOR» (рекурсивный аббревиатура «Безопасное безопасное шифрование TRESOR Outside RAM») представляет собой патч ядра Linux, который обеспечивает шифрование на основе ЦП для защиты от атак с холодной атакой ». - поэтому TRESOR определенно помогает в таких сценариях. Но это только побочный момент. Я написал «Дополнительно», поскольку эти вещи ничего не сделают, если вы не зашифруете свой диск (в сценарии физического доступа). Однако, когда вы сталкиваетесь с физической безопасностью, вы не должны забывать, что злоумышленник все еще может просто загрузиться и сделать цифровую атаку тоже (например, использовать ошибки). – larkey 21 September 2015 в 23:12
3

@ D.W. Это довольно дерьмо, если ваш компьютер хорошо зашифрован, но подвержен эскалации привилегий. Вот почему - если кто-то собирается защитить систему с физической стороны - нужно также сделать некоторую упрочняющую сторону программного обеспечения. Я прямо заявил, что они затвердели ядро Linux, и они должны быть выполнены дополнительно . То же самое касается программного обеспечения с закрытым исходным кодом. Ваш диск может быть хорошо зашифрован, но если в UEFI есть кейлоггер с задней дверью, это не поможет вам в отношении спецслужб. – larkey 21 September 2015 в 23:14
4

Если вы используете полное шифрование диска и не оставляете ваш компьютер без присмотра, атаки эскалации привилегий не имеют значения, так как злоумышленник не будет знать пароль дешифрования. (Правильное использование полного шифрования диска требует, чтобы вы отключили / спящий режим при отсутствии автоматической установки.) Если вы используете полное шифрование диска и , сделайте , оставляйте ваш компьютер без присмотра, тогда полное шифрование диска можно обойти любым количеством методов например, прикрепить USB-ключ, даже если вы используете TRESOR, SELinux и т. д. Опять же, они не предназначены для этой модели угроз. Этот ответ, похоже, не отражает тщательного анализа безопасности. – D.W. 21 September 2015 в 23:27
5

С помощью ласковой формулировки «попробуйте« все что угодно »- шифрование rot13 может попытаться обеспечить, чтобы эксплоит не мог захватить систему. Это не будет стоить штопа, но я могу описать его как попытку. Я хочу сказать, что защита, которую вы выделяете, не эффективна для остановки этого класса атак. SELinux / TRESOR не останавливают холодную загрузку. Чтобы проанализировать безопасность, вы должны начать с модели угрозы и проанализировать защиту от этой конкретной модели угрозы. Безопасность - это не процесс посыпания бесконечным списком дополнительных ограничений, которые звучат хорошо. Для этого есть какая-то наука. – D.W. 22 September 2015 в 02:58

Josef · Answer 5 · 23 May 2018 в 17:18

Поскольку вы немного изменили вопрос, вот мой ответ на измененную часть:

Как я могу защитить свою машину, чтобы хакинг через физический доступ не был возможен?

Ответ: вы не можете

Существует множество передовых аппаратных и программных систем, таких как обнаружение несанкционированного доступа, шифрование и т. д., но все это приходит к следующему:

Вы можете защитить свои данные, но вы не можете защитить свое оборудование, как только кто-то получит к нему доступ. Вы не можете

Использовать безопасный ноутбук с обнаружением тампера, который очищает ОЗУ, когда кто-то пытается его открыть, использовать шифрование с полным диском, хранить резервные копии ваших данных, зашифрованных в разных местах. Затем сделайте все возможное, чтобы получить физический доступ к вашему оборудованию. Но если вы полагаете, что у кого-то есть доступ к вашему оборудованию, протрите его и выбросите.

Следующий вопрос, который вы должны задать, - это: Как я могу приобрести новое оборудование, которое не было подделано. [!d10 ]

solsTiCe · Answer 6 · 23 May 2018 в 17:18

Используйте пароль ATA для вашего HDD / SSD

Это предотвратит использование диска без пароля. Это означает, что вы пароль ATA без пароля, потому что вы не можете получить доступ к MBR или ESP без пароля. И если диск используется внутри другого manchine, пароль по-прежнему требуется.

Итак, вы можете использовать так называемый пароль пользователя ATA для вашего HDD / SSD. Обычно это устанавливается в BIOS (но это не пароль BIOS).

Для дополнительной защиты вы также можете установить пароль пользователя пользователя ATA на диске. Чтобы отключить использование пароля производителя.

Вы также можете сделать это в кли с hdparm.

Следует проявлять особую осторожность, поскольку вы можете потерять все свои данные, если вы освободите пароль.

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

Примечание. Здесь также есть недостатки, так как есть программные средства, которые требуют восстановления пароля ATA или даже требуют удалить его. Это не на 100% безопасно.

Примечание. Пароль ATA не обязательно поставляется с FED (Full Disk Encryption)

Как защитить мой ноутбук так, чтобы хакинг по физическому доступу невозможен?

6 ответов

Другие вопросы по тегам:

Похожие вопросы: