ฉันจะป้องกันไม่ให้ลูกค้าของฉันแฮ็คเข้าคอมพิวเตอร์สาธิตได้อย่างไร

ฉันต้องการให้ลูกค้าของ บริษัท ที่ฉันทำงานที่คอมพิวเตอร์แล็ปท็อปที่มีซอฟต์แวร์สาธิตที่จะใช้งานได้

ซอฟต์แวร์นี้ใช้สำหรับการแสดงผลเท่านั้นและไม่ต้องการการโต้ตอบกับผู้ใช้ผ่านแป้นพิมพ์หรือเมาส์

ฉันต้องการให้คอมพิวเตอร์ปิดการใช้งานอินพุตของอุปกรณ์ทั้งหมดและฮาร์ดไดรฟ์ที่จะเข้ารหัสดังนั้นคอมพิวเตอร์เครื่องนี้เท่านั้นที่สามารถทำงานได้ ฉันต้องการป้องกันไม่ให้ลูกค้าเข้าถึงคอมพิวเตอร์ในขณะที่ทำงานและป้องกันไม่ให้ตัวเลือกในการลบฮาร์ดไดรฟ์และใช้งานบนคอมพิวเตอร์เครื่องอื่น

มีใครรู้บ้างเกี่ยวกับคอมโบของฮาร์ดแวร์ฮาร์ดไดรฟ์ที่สามารถทำได้

ขอบคุณ

ตรวจสอบ BIOS ของแล็ปท็อปของคุณเมื่อมองหาตัวเลือกต่างๆเช่นการเข้ารหัสฮาร์ดไดรฟ์หรือ "ATA Hard Disk Lock" (ไม่ใช่การเข้ารหัส แต่ฉันไม่คิดว่าไดรฟ์ส่วนใหญ่มีกลไกที่จะอนุญาตให้คุณเลี่ยงรหัสผ่าน)

คุณสามารถยิง epoxy ลงในพอร์ต firewire เพื่อป้องกันไม่ให้เครื่องมือการดีบักตัวอ่านหน่วยความจำ PCI

ปรับปรุง

ความจริงที่ว่ามันเป็น Linux ช่วยให้คุณมีความยืดหยุ่นมากขึ้น :) คุณสามารถลบusbhid.ko, hid.koและคล้ายโมดูลเคอร์เนลจากระบบ ตรวจสอบlsmod(8)ผลลัพธ์และลบสิ่งที่ดูเหมือนว่าจะเป็นประโยชน์สำหรับ trackpad หรือแป้นพิมพ์หรือหัวนมเมาส์ ลบโมดูล firewire อาจเป็นได้ทั้งโมดูลอนุกรมและขนาน (หากคุณไม่ได้ใช้มันจะไม่เจ็บที่จะกำจัดพวกเขา)

คุณจะต้องลงล็อคgrubเป็นอย่างดีเพื่อให้ลูกค้าของคุณก็ไม่สามารถแก้ไขบรรทัดบูตเคอร์เนลและเพิ่มinit=bashหรือinit=getty /dev/ttyS01หรือสิ่งอื่นที่น่ารำคาญในทำนองเดียวกัน

นอกจากนี้คุณยังอาจต้องการที่จะใช้เครื่องมือเช่นAppArmor , SElinux , โทโมโยะหรือSMACK เครื่องมือควบคุมการเข้าใช้ที่จำเป็นเหล่านี้สามารถป้องกันไม่ให้แอปพลิเคชันหนีชุดสิทธิ์ที่กำหนดไว้อย่างดี ขณะที่ฉันทำงานกับระบบ AppArmor มาสิบปีแล้วมันเป็นสิ่งที่ฉันรู้จักดีที่สุดและเป็นสิ่งที่ฉันแนะนำ :) แต่เครื่องมือใด ๆ เหล่านี้สามารถช่วยล็อคกลไกที่ลูกค้าของคุณสามารถโต้ตอบกับคอมพิวเตอร์ได้

(เพื่อบอกเล่าเรื่องราวเล็ก ๆ น้อย ๆ เราได้ใช้ระบบ AppArmor-confined ในการประกวด DEFCON Capture The Flag เป็นเวลาหลายปีต้องใช้หนึ่งปีเพื่อให้ผู้ใช้สามารถเทลเน็ตด้วยรหัสผ่านเฉพาะ AppArmor ทำให้ง่ายต่อการ จำกัดtelnetdภูต เชลล์เริ่มแล้วจากนั้นโปรแกรมที่ 'scorebot' จำเป็นต้องรันเราไม่เคยชนะการแข่งขัน CTF แต่เราไม่เคยรูทด้วยเช่นกันเราไม่จำเป็นต้องกังวลเกี่ยวกับการโจมตีทางกายภาพเพราะทุกคนที่ปกป้องเรารู้จักกันดี .)

ขอให้โชคดี

มันเป็นไปไม่ได้ การเข้าถึงฮาร์ดแวร์อย่างแท้จริงจะเป็นการขจัดความปลอดภัยออกไป

แน่นอนว่าคุณสามารถทำให้บางคนยากขึ้นในการเข้าถึงโดยไม่ได้รับอนุญาต แต่นอกเหนือจากมาตรการที่ไม่สำคัญและไม่แพงที่สุดการทำเช่นนี้เป็นการเสียเวลาและเงินอย่างสมบูรณ์ หากมีคนต้องการเข้ามาจริงๆพวกเขาจะหาวิธีที่จะทำเช่นนั้นและคุณจะไม่สามารถหยุดพวกเขาได้

ไม่ต้องพูดถึงพวกเขาสามารถย้อนกลับซอฟต์แวร์ของคุณโดยไม่สูญเสียคอมพิวเตอร์สาธิตที่คุณให้ ฉันไม่แน่ใจว่าสิ่งนี้อยู่ภายใต้คำจำกัดความของคุณของ "การแฮ็ก" แต่อาจเป็นไปได้

นี่ไม่ใช่ปัญหาด้านเทคโนโลยี แต่เป็นปัญหาทางกฎหมาย คุณต้องปกป้องซอฟต์แวร์และทรัพย์สินทางปัญญาของคุณด้วยสิทธิ์ใช้งานและข้อตกลงตามสัญญาอื่น ๆ ให้ลูกค้าลงนามในข้อตกลงการไม่เปิดเผยหากจำเป็น สิ่งที่ดีที่สุดที่ต้องทำคือปรึกษาทนายความไม่ใช่นักเทคโนโลยี

หากคุณกลัวทนายความจ้าง บริษัท รักษาความปลอดภัย ล็อคคอมพิวเตอร์ของคุณลงด้วยโซลูชันฮาร์ดแวร์เช่นตู้ล็อคและยามติดอาวุธ หากฟังดูไร้สาระให้ดูย่อหน้าด้านบน

ตามที่ได้กล่าวไว้ในความคิดเห็นเกี่ยวกับคำถามอุปกรณ์ที่ถูกต้องสำหรับการดำเนินการนี้เรียกว่า "สัญญา" เขียนหนึ่ง (หรือดีกว่าจ้างทนายความเพื่อเขียนขึ้นหนึ่ง - คุณอาจจะได้รับมันทำสองสามร้อยดอลลาร์ซึ่งเป็นจำนวนมากน้อยกว่าฮาร์ดแวร์ป้องกันการปลอมแปลงจะเสียค่าใช้จ่าย) รายละเอียดสิ่งที่พวกเขาและไม่ได้รับอนุญาต ทำอย่างไรกับหน่วยตัวอย่างและให้พวกเขาเซ็นชื่อเป็นเงื่อนไขในการรับหน่วยตัวอย่างดังกล่าว

หลังจากได้รับคำแนะนำและความเข้าใจที่ดีจากคุณจุดอ่อนที่ฉันควรระวังฉันต้องการสรุปและบอกคุณว่าเราตัดสินใจทำอะไรในที่สุด:

ก่อนอื่นสองสิ่งที่คุณต้องรู้

1. การคุ้มครองทางกฎหมายไม่สามารถใช้ได้เมื่อจัดการกับลูกค้าของเรา หากเขาตัดสินใจที่จะแฮ็คระบบเขาจะประสบความสำเร็จในที่สุด

2. ตราบใดที่เราสามารถปกป้องผลิตภัณฑ์ในลักษณะที่ลูกค้าจะต้องลงทุนเงินในวิศวกรรมย้อนกลับมากกว่าสิ่งที่ทั้ง บริษัท มีค่านั่นคือการป้องกันที่ดีพอสำหรับเรา

3. ระบบของเราคือ Linux + Java + Postgres

ตอนนี้สำหรับวิธีการแก้ปัญหาที่เราเลือก

1. เราจะป้องกันไบออสด้วยรหัสผ่าน ในระดับไบออสเราจะ จำกัด การบู๊ตเป็น HD และป้องกันการเชื่อมต่อของอุปกรณ์ USB สิ่งนี้อาจถูกแฮ็กโดยการซื้อรหัสประตูหลังบนเว็บในราคา $ 30 หรือดัดแปลงด้วยชิปบนกระดาน อย่างไรก็ตามสิ่งนี้จะทำให้สิ่งบ่งชี้ว่ามีการแก้ไขเปลี่ยนแปลงซึ่งมองเห็นได้ค่อนข้างชัดเจน

2. เราจะล็อค Grub เพื่อป้องกันการบูทไปยังบรรทัดคำสั่ง

3. คีย์บอร์ด mousepad และเมาส์ usb ใน XWin ถูกล็อคโดยใช้พารามิเตอร์ใน xorg.conf:

   Section "ServerFlags"
   Option "AllowEmptyInput" "false"
   Option "AutoAddDevices" "false"
   Option "AutoEnableDevices" "false"
   EndSection
   

4. เราจะลบไดรเวอร์ usb และคีย์บอร์ดออกจากเคอร์เนล (เพื่อทำให้ชีวิตของแฮ็กเกอร์ยากขึ้น)

5. เราจะใส่สิ่งบ่งชี้ทางกายภาพ (อาจเป็นซิลิคอนสี) ลงบน HD เพื่อดูว่า HD ถูกลบออกจากคอมพิวเตอร์หรือไม่ หากพวกเขาลบ HD หรือแฮ็คไบออสพวกเขาจะทิ้งรอยนิ้วมือที่พวกเขาจะไม่สามารถเช็ดได้

6. เราจะใช้เครื่องมือ Obfuscation ในโค้ด Java ผลิตภัณฑ์ของเราค่อนข้างซับซ้อนดังนั้นการทำให้งงงวยจะป้องกันไม่ให้วิศวกรรมย้อนกลับในราคาที่สมเหตุสมผลหรือกรอบเวลา โปรดอ่าน: http://www.javaworld.com/javaworld/javaqa/2003-05/01-qa-0509-jcrypt.html และเราจะใช้เครื่องมือหนึ่งต่อไปนี้เครื่องมือโอเพนซอร์ส: http: // java-source .net / open-source / obfuscators หรือ DashO จากhttp://www.preemptive.com/

7. การเข้าถึง SSH นั้นมีให้สำหรับฉันเท่านั้นที่มีไฟล์คีย์ รหัสผ่านทั้งหมดจะถูกลบหากทำได้

ด้วยขั้นตอนทั้งหมดข้างต้นเราสามารถบังคับให้แฮ็กเกอร์ทำงานเพื่อเงินของพวกเขาและรับการบ่งชี้ว่าระบบถูกแฮ็ค

เมื่อมีคนสามารถเข้าถึงระบบได้จริง ๆ แล้วคุณจะไม่สามารถทำอะไรกับมันได้ สำหรับการเริ่มการทำงานของระบบปฏิบัติการ - คุณอาจใช้สื่อแบบอ่านอย่างเดียวเพื่อป้องกันผู้ใช้ไม่ให้ยุ่งกับระบบและในกระบวนการตั้งค่าให้ตั้งค่าให้อินพุตไม่พร้อมใช้งาน - อาจใช้บาร์ต (สำหรับ windows) หรือบางส่วน ลักษณะของ livecd - วิธีการมากมายทำให้คุณสามารถทำการสำรองข้อมูลที่สามารถบูตได้จากระบบที่กำลังทำงานอยู่

ฉันยังแนะนำให้แก้ไขสติ๊กเกอร์ที่เห็นได้ชัดของฮาร์ดไดรฟ์หรือไดรฟ์ซีดีรอม - อย่างน้อยที่สุดมันจะแจ้งให้คุณทราบหากฮาร์ดไดรฟ์ถูกลบ

ในกรณีนี้สรรพสิ่ง mini ITX หรือระบบเต็มรูปแบบที่มีตัวเรือนที่ล็อคได้อาจเป็นทางออกที่ดีกว่า

โดยทั่วไปซอฟต์แวร์เข้ารหัสดิสก์เต็มรูปแบบอาศัยรหัสผ่านที่ใช้ในการถอดรหัสมันคุณเสนอวิธีการป้องกันฮาร์ดไดรฟ์อย่างไรในคำอื่น ๆ ที่คุณจะใส่ 'ความลับ'?

ทำไมจึงทำให้พวกเขาสามารถเข้าถึงซอฟต์แวร์ได้ทั้งหมด?

หากมีการป้อนข้อมูลในเครื่องเล็กน้อยแล็ปท็อปที่คุณให้มาจะไม่ต้องทำอะไรมากไปกว่าการเป็นผู้ดูระยะไกลของเครื่องอื่นที่ยังคงอยู่ในความครอบครองของคุณ

วิธีนี้พวกเขาสามารถทำงานด้วยสิทธิพิเศษที่ จำกัด มากได้รับการตรวจสอบอย่างต่อเนื่องและอัญมณีในครอบครัวไม่จำเป็นต้องออกจากห้องนิรภัยของคุณ แม้ว่าจะไม่รู้แพลตฟอร์มของคุณฉันก็มั่นใจว่ามีตัวเลือกการเข้าถึงระยะไกลจำนวนมากที่เหมาะกับคุณ Teamviewer, LogMeIn หรือ Remmina เพื่อบอกชื่อไม่กี่

เห็นได้ชัดว่ายังมีปัญหาด้านความปลอดภัยที่ต้องพิจารณา แต่สำรองนี้กับสัญญาทางกฎหมายที่เข้มงวดและคุณควรจะนอนหลับคืนโดยไม่ต้องกังวล

เมื่อคุณให้ผู้อื่นเข้าถึงเครื่องได้พวกเขาสามารถดึงฮาร์ดไดรฟ์ออกมาทำสำเนาคัดลอกมันกลับเข้าไปใหม่และแฮ็คมันในยามว่าง โคดี้นั้นถูกต้องว่าปัญหานี้แก้ไม่ได้จริงๆ

สิ่งหนึ่งที่ต้องหลีกเลี่ยงคือการให้โปรแกรมจริงทำงานบนคอมพิวเตอร์สาธิตระยะไกล ให้คอมพิวเตอร์ตัวอย่างของลูกค้าของคุณเชื่อมต่ออยู่ สิ่งนี้จะทำให้แอปพลิเคชันของคุณดูตอบสนองน้อยลงดังนั้นอาจทำให้ยอดขาย: /

นี่เป็นปัญหาที่ยุ่งยากมาก ฉันมีความคิดที่แปลกใหม่ที่ฉันเพิ่งจะทิ้งเพราะนั่นอาจเป็นทางออกที่ดีกว่าการทำลายคอมพิวเตอร์ คุณสามารถมีผลิตภัณฑ์ซอฟต์แวร์ที่คุณตั้งค่าเป็นโปรแกรมรักษาหน้าจอ linux จากนั้นตั้งค่าการหมดเวลาให้เหลือน้อยมากถ้าผู้ใช้พยายามที่จะโต้ตอบกับคอมพิวเตอร์หน้าจอเข้าสู่ระบบจะปรากฏขึ้นและพวกเขาจะเป็น SOL แต่แอปพลิเคชันควรกลับมาทำงานหลังจากหมดเวลาสำหรับสกรีนเซฟเวอร์ วิธีแก้ปัญหาการเข้ารหัสฮาร์ดไดรฟ์ของคุณวิธีแก้ปัญหาเดียวที่ฉันนึกออกคือถ้าคุณมีการเข้ารหัสฮาร์ดแวร์บนแผงวงจรหลักของแล็ปท็อปมันอาจเป็นไปได้ คุณจะต้องตรวจสอบ BIOS ระบบของคุณเพื่อดูว่าคุณมีคุณสมบัตินั้นหรือไม่ นอกเหนือจากนั้นฉันใช้ truecrypt.org สำหรับความต้องการการเข้ารหัส (และงานของฉัน) ทั้งหมดของฉัน แต่ทุกอย่างจะต้องป้อนรหัสผ่าน คิดว่าฉันจะแนะนำมันเหมือนกันหมด ถ้าฉันคิดอะไรมากกว่านี้ฉันจะบอกให้คุณโชคดี;)

คุณได้พิจารณาการเปิดใช้งาน CPU ID ใน BIOS จากนั้นเมื่อคุณควบคุมรหัสให้แทรกการตรวจสอบที่เหมาะสมลงในรหัสของคุณในพื้นที่เป็นระยะ ระหว่างการเริ่มต้นโปรแกรม - ตรวจสอบ CPU ID ถ้าไม่ดียกเลิกและเขียนทับโปรแกรม ระหว่างการรันโปรแกรม - ตรวจสอบ CPU ID ถ้าไม่ดียกเลิกและเขียนทับโปรแกรม ...

วิธีแก้ไขคือดูที่ฟังก์ชั่น Trusted Platform ที่ บริษัท นำเสนอไม่กี่แห่งแม้ว่าอาจมีราคาสูงเกินไปสำหรับสิ่งที่คุณต้องการ

Microsoft มีโมดูล TPMซึ่งคุณสามารถใช้กับฮาร์ดแวร์ TPM

หน้า Infineon นี้มีลิงก์ไปยังผู้ผลิตหลายรายเช่น Dell, HP, Toshiba และอื่น ๆ

TPM ช่วยให้คุณสามารถผูกซอฟต์แวร์กับฮาร์ดแวร์ได้อย่างปลอดภัยยิ่งขึ้น

คุณสามารถเปิดแล็ปท็อปและปิดการใช้งานแป้นพิมพ์และแทร็กแพดโดยถอดปลั๊กตัวเชื่อมต่อทางกายภาพ
คุณจะต้องทำสิ่งนี้เมื่อทุกอย่างถูกกำหนดค่า อุปกรณ์ USB ถูกปิดการใช้งานการบูตจากการปิดใช้งาน CD / DVD เป็นต้นวิธีนี้เมื่อคุณนำคอมพิวเตอร์กลับมาที่ yuo ก็สามารถเปิดขึ้นมาเชื่อมต่อแทร็คแพดและคีย์บอร์ดอีกครั้งและตั้งค่าทุกอย่างให้กลับมาเป็นปกติ
หากคุณกังวลจริงๆคุณสามารถใช้สกรูเพื่อความปลอดภัย / เทปความปลอดภัยเพื่อป้องกันไม่ให้เขาเปิดแล็ปท็อปของตัวเอง

ฉันเห็นการกล่าวถึงการเข้าถึงจากระยะไกลในคำตอบบางส่วนที่นี่และคำตอบที่บอกใบ้ให้ทราบถึงการใช้ VNC ไม่มีใคร metioned Thin Client

เนื่องจากซอฟต์แวร์ / เครื่องของคุณจำเป็นต้องเข้าถึงเนื้อหาแบบไดนามิกและเชื่อมต่อกับเครือข่ายไคลเอ็นต์แบบ thin ก็น่าจะเหมาะสม

แอปพลิเคชันทำงานราวกับติดตั้งในเครื่องลูกค้า แต่มีฮาร์ดแวร์น้อยมากและไม่จำเป็นต้องติดตั้งซอฟต์แวร์ลงบนเครื่องที่จะปล่อยมือไป

ในการทำธุรกรรมเช่นเดียวกับที่คุณอธิบายจะต้องมีการให้ / รับจากทั้งสองฝ่ายที่เกี่ยวข้อง - ความพยายามที่จะทำให้ทุกคนซื่อสัตย์

หากคุณไม่เชื่อใจบุคคลนี้อย่ายื่นความคิดของคุณและส่งต่อนิ้วของคุณ แม้ว่าคุณจะลงเอยด้วยการฟ้องร้องเพื่อละเมิดลิขสิทธิ์หรือการโจรกรรมความเสียหายนั้นได้ทำไปแล้ว - แต่ดูเหมือนว่าคุณรู้สึกแบบนั้นแล้ว

ขอให้โชคดี

หาก Linux ปิดการใช้งานอินพุตจากเมาส์และคีย์บอร์ดและไม่อนุญาตให้ไดรฟ์ USB หรือซีดีบูต

คุณจะต้องมีวิธีในการเข้าหาตัวคุณเอง แต่ด้วยการรับรองความถูกต้องบางอย่างคุณไม่ควรทำการค้นคว้ามากเกินไป อาจเพิ่มรหัสผ่าน BIOS และอนุญาตให้ซีดีเพื่อบูตหลังจากที่ yuo เข้าถึง BIOS แล้ว