จะรักษาความปลอดภัยให้แล็ปท็อปของฉันเพื่อให้การแฮ็กโดยการเข้าถึงทางกายภาพเป็นไปไม่ได้?

73

ฉันทำให้ระบบของฉันสับสนก่อนหน้านี้ฉันได้รับการต้อนรับด้วยหน้าจอสีดำเมื่อบูตเข้าสู่ Ubuntu เมื่อฉันเปิดแล็ปท็อปฉันเลือกตัวเลือกการกู้คืนจากเมนูด้วงและเลือกทางเลือกที่รูทเทอร์มินัล ฉันเห็นว่าฉันสามารถใช้คำสั่งเพิ่มผู้ใช้ด้วยฉันอาจใช้เพื่อสร้างผู้ใช้ที่มีสิทธิพิเศษบนเครื่องของฉัน

นั่นเป็นปัญหาด้านความปลอดภัยใช่ไหม

หนึ่งอาจขโมยแล็ปท็อปของฉันและเมื่อเริ่มต้นเลือกกู้คืนและเพิ่มผู้ใช้คนอื่นฉัน fudged แล้ว รวมถึงข้อมูลของฉัน

ลองคิดดูสิถึงแม้ว่าคุณจะลบรายการนั้นออกไปก็สามารถบูตได้จากไลฟ์ซีดีchrootและเริ่มทำงานแล้วเพิ่มผู้ใช้รายอื่นด้วยสิทธิ์ที่ถูกต้องซึ่งทำให้สามารถดูข้อมูลทั้งหมดของฉันได้

หากฉันตั้งค่า BIOS ให้บู๊ตที่ HD เท่านั้นไม่มี USB, CD / DVD, การเริ่มต้นเครือข่ายและตั้งรหัสผ่าน BIOS มันยังคงไม่สำคัญเพราะคุณยังมีรายการเริ่มต้นการกู้คืนด้วงนั้น

ฉันค่อนข้างแน่ใจว่าบางคนจากจีนรัสเซียไม่สามารถแฮก Ubuntu Trusty Tahr จากเครือข่ายเพราะมันปลอดภัยเช่นนั้น แต่ถ้าใครมีสิทธิ์เข้าถึงเครื่องของคุณ - แล้วนั่นคือเหตุผลที่ฉันถามคำถามนี้ ฉันจะรักษาความปลอดภัยเครื่องของฉันเพื่อให้การแฮ็คผ่านการเข้าถึงทางกายภาพเป็นไปไม่ได้?

รายงานข้อผิดพลาด:

14.04  grub2  security  encryption 
blade19899
แหล่งที่มา
35
การเข้ารหัสดิสก์เต็มรูปแบบและ glitternailpolish สำหรับสกรูของคุณ ใครไม่ทำอย่างนั้นในปัจจุบัน?
mondjunge
2
@ByteCommander คุณสามารถเพิ่มผู้ใช้รูทได้ เพียงเพิ่มผู้ใช้อื่นด้วย uid 0 ถึง / etc / รหัสผ่าน ฉันเพิ่งเพิ่ม fred fred:x:0:0:fred,,,:/home/fred:/bin/bashและตอนนี้ถ้าฉันเข้าสู่ระบบเป็น fred และเรียกใช้whoamiฉันจะได้รับroot
Josef
3
@ ByteCommander พวกเขาควรจะเป็น เครื่องมือในการจัดการบัญชีเช่นadduserฯลฯ จะไม่ยอมให้คุณทำแบบนั้น แต่โดยทั่วไปแล้วเพียงแค่แก้ไข/etc/passwdงาน การเป็นแฮ็กเกอร์หมายถึงการเพิกเฉยต่อสิ่งที่คุณควรทำ;)
โจเซฟ
3
@ blade19899 ข้อผิดพลาดใหม่ของคุณจะถูกปฏิเสธอย่างแน่นอน เปรียบเทียบสิ่งที่มีอยู่นี้: bugs.launchpad.net/ubuntu/+bug/283662
Byte Commander
4
@ blade19899 จุดที่กว้างกว่าของฉันคือคุณต้องคิดในแง่ของความเสี่ยงและการแลกเปลี่ยนไม่ใช่สิ่งที่สมบูรณ์ ฉันไม่รู้ว่าคุณเป็นใครหรืออาศัยอยู่ที่ไหน แต่เป็นบ้านที่นำไปสู่การขโมยข้อมูลของคุณอย่างมีประสิทธิภาพ (แทนที่จะพยายามโหลดฮาร์ดแวร์) งัวเสียงฟังดูไกลและกังวลน้อยกว่าเวลา เงินหรือการสูญเสียข้อมูลที่อาจเป็นผลมาจากการขาดตัวเลือกการกู้คืนที่มีประสิทธิภาพ นี่คือเหตุผลว่าทำไมการมีเทอร์มินัลรูตที่หล่นกลับเป็นสิ่งที่ดี แต่เห็นได้ชัดว่าไม่ควรบอกว่าคุณไม่ควรมองเข้าไปในการเข้ารหัสดิสก์เต็มรูปแบบ
ผ่อนคลาย

คำตอบ:

86

ฉันเดาว่าเฉพาะการเข้ารหัสดิสก์แบบเต็มโดยใช้อัลกอริทึมที่รัดกุมและรหัสผ่านที่ดีที่สุดคือสิ่งเดียวที่สามารถรักษาความปลอดภัยข้อมูลที่เก็บไว้ในเครื่องของคุณได้ สิ่งนี้ทำให้คุณมีความปลอดภัย 99.99% โปรดอ้างอิงหนึ่งในหลาย ๆ คำแนะนำเกี่ยวกับวิธีการทำเช่นนี้

นอกจากนั้นมันเป็นไปไม่ได้ที่จะรักษาความปลอดภัยเครื่องของคุณจากแฮ็กเกอร์ที่มีประสบการณ์ด้วยการเข้าถึงทางกายภาพ

  • รหัสผ่านผู้ใช้ / บัญชี:
    เป็นเรื่องง่ายที่จะสร้างผู้ใช้ผู้ดูแลระบบใหม่หากคุณบูตเข้าสู่โหมดการกู้คืนตามที่คุณอธิบายด้วยตัวคุณเองเพราะคุณได้รูทเชลล์โดยไม่ต้องถามรหัสผ่านด้วยวิธีนี้
    นั่นอาจดูเหมือนปัญหาด้านความปลอดภัยโดยไม่ตั้งใจ แต่มีไว้สำหรับกรณีการกู้คืน (ซึ่งอาจคิดว่า?) กรณีการกู้คืนที่คุณเช่นลืมรหัสผ่านผู้ดูแลระบบของคุณหรือทำให้sudoคำสั่งหรือสิ่งที่สำคัญอื่น ๆ

  • รหัสผ่านรูท:
    Ubuntu ไม่ได้ตั้งค่ารหัสผ่านผู้ใช้รูทใด ๆ ตามค่าเริ่มต้น อย่างไรก็ตามคุณสามารถตั้งค่าหนึ่งและจะถูกถามว่าคุณบูตในโหมดการกู้คืน ดูเหมือนว่าจะปลอดภัย แต่ก็ยังไม่มีวิธีแก้ปัญหาที่ปลอดภัยที่สุด คุณยังสามารถเพิ่มพารามิเตอร์เคอร์เนลsingle init=/bin/bashผ่าน GRUB ก่อนที่จะทำการบูต Ubuntu ที่เริ่มต้นในโหมดผู้ใช้คนเดียวซึ่งอันที่จริงแล้วรูทเชลล์โดยไม่มีรหัสผ่านด้วย

  • การรักษาความปลอดภัยเมนู GRUB ด้วยรหัสผ่าน:
    คุณสามารถรักษาความปลอดภัยรายการเมนู GRUB ของคุณเพื่อให้สามารถเข้าถึงได้หลังจากการพิสูจน์ตัวตนเท่านั้นคือคุณสามารถปฏิเสธการบูทโหมดกู้คืนโดยไม่ต้องใช้รหัสผ่าน สิ่งนี้ยังป้องกันมิให้จัดการกับพารามิเตอร์เคอร์เนล สำหรับข้อมูลเพิ่มเติมโปรดดูดูเว็บไซต์ Grub2 / รหัสผ่านบน help.ubuntu.com สิ่งนี้สามารถข้ามได้ถ้าคุณบูตจากสื่อภายนอกหรือเชื่อมต่อ HDD กับเครื่องอื่นโดยตรง

  • ปิดใช้งานการบูทจากสื่อภายนอกใน BIOS:
    คุณสามารถตั้งค่าลำดับการบู๊ตและโดยปกติจะไม่รวมอุปกรณ์ในการบูตใน BIOS / UEFI เวอร์ชันปัจจุบัน การตั้งค่าเหล่านั้นไม่ปลอดภัยแม้ว่าทุกคนสามารถเข้าสู่เมนูการตั้งค่า คุณต้องตั้งรหัสผ่านที่นี่เช่นกัน แต่ ...

  • รหัสผ่าน BIOS:
    โดยปกติคุณสามารถเลี่ยงรหัสผ่าน BIOS ได้เช่นกัน มีหลายวิธี:

    • รีเซ็ตหน่วยความจำ CMOS (ที่จัดเก็บการตั้งค่า BIOS) โดยการเปิดเคสคอมพิวเตอร์และถอดแบตเตอรี่ CMOS หรือตั้งจัมเปอร์ "Clear CMOS" ชั่วคราว
    • รีเซ็ตการตั้งค่า BIOS ด้วยคีย์ผสมบริการ ผู้ผลิตแผงวงจรหลักส่วนใหญ่จะอธิบายชุดค่าผสมที่สำคัญในคู่มือบริการเพื่อรีเซ็ตการตั้งค่า BIOS ให้เป็นค่าเริ่มต้นรวมถึงรหัสผ่าน ตัวอย่างจะถูกเก็บไว้ScreenUpในขณะที่เปิดเครื่องซึ่งถ้าฉันจำถูกต้องปลดล็อคเมนบอร์ด acer ด้วย AMI BIOS หนึ่งครั้งสำหรับฉันหลังจากที่ฉันทำรกการตั้งค่าการโอเวอร์คล็อกของฉัน
    • สุดท้าย แต่ไม่ท้ายสุดมีชุดของรหัสผ่าน BIOS เริ่มต้นที่ดูเหมือนว่าจะทำงานอยู่เสมอโดยไม่ขึ้นอยู่กับรหัสผ่านจริงที่ตั้งไว้ ฉันไม่ได้ทดสอบ แต่เว็บไซต์นี้นำเสนอรายการของพวกเขาจัดหมวดหมู่โดยผู้ผลิต
      ขอบคุณ Rinzwind สำหรับข้อมูลและลิงค์นี้!

  • ล็อคเคสคอมพิวเตอร์ / ปฏิเสธการเข้าใช้งานเมนบอร์ดและฮาร์ดดิสก์:
    แม้ว่าทุกอย่างจะล้มเหลวขโมยข้อมูลยังสามารถเปิดแล็ปท็อป / คอมพิวเตอร์ของคุณนำ HDD ออกและเชื่อมต่อกับคอมพิวเตอร์ของเขาเอง การติดตั้งและเข้าถึงไฟล์ที่ไม่ได้เข้ารหัสทั้งหมดเป็นเพียงส่วนหนึ่งของเค้กจากนั้น คุณต้องใส่ลงในกล่องที่ล็อคอย่างแน่นหนาซึ่งคุณสามารถมั่นใจได้ว่าไม่มีใครสามารถเปิดคอมพิวเตอร์ อย่างไรก็ตามเรื่องนี้เป็นไปไม่ได้สำหรับแล็ปท็อปและเดสก์ท็อปยาก บางทีคุณอาจคิดว่าการเป็นเจ้าของหนังแอ็คชั่นเหมือนอุปกรณ์ทำลายตัวเองที่ทำให้เกิดระเบิดขึ้นภายในถ้ามีคนพยายามเปิดมัน? ;-) แต่ให้แน่ใจว่าคุณจะไม่ต้องเปิดมันเองเพื่อการบำรุงรักษา!

  • การเข้ารหัสดิสก์แบบเต็ม:
    ฉันรู้ว่าฉันแนะนำวิธีนี้ให้ปลอดภัย แต่ก็ไม่ปลอดภัย 100% หากคุณทำแล็ปท็อปของคุณสูญหายในขณะที่เปิดอยู่ มีสิ่งที่เรียกว่า "การโจมตีด้วยการบู๊ตเย็น" ที่ช่วยให้ผู้โจมตีสามารถอ่านคีย์การเข้ารหัสจาก RAM ของคุณหลังจากรีเซ็ตเครื่องที่ทำงานอยู่ สิ่งนี้จะยกเลิกการโหลดระบบ แต่ไม่ได้ล้างเนื้อหา RAM ของเวลาโดยไม่มีกำลังไฟเพียงพอ
    ขอบคุณ kos สำหรับความคิดเห็นของเขาเกี่ยวกับการโจมตีครั้งนี้!
    ฉันจะพูดความคิดเห็นที่สองของเขาที่นี่:

    นี่เป็นวิดีโอเก่า แต่อธิบายแนวคิดนี้ได้ดี: "เพื่อมิให้เราจำได้: การโจมตีด้วยโคลด์คีย์สำหรับคีย์เข้ารหัส" บน YouTube ; หากคุณมีรหัสผ่าน BIOS ผู้โจมตียังสามารถถอดแบตเตอรี่ CMOS ในขณะที่แล็ปท็อปยังคงเปิดใช้งานไดรฟ์ที่ออกแบบมาเองเพื่อบู๊ตโดยไม่ต้องเสียวินาทีสำคัญใด ๆ นี่เป็นเรื่องที่ไม่ค่อยน่าสนใจในปัจจุบันเนื่องจาก SSD เนื่องจาก SSD ที่สร้างขึ้นเองอาจจะสามารถถ่ายโอนข้อมูลได้แม้แต่ 8GB ในเวลาน้อยกว่า 1 นาทีโดยพิจารณาจากความเร็วในการเขียนประมาณ 150MB / s

    คำถามที่เกี่ยวข้อง แต่ยังไม่มีคำตอบเกี่ยวกับวิธีป้องกันการโจมตีด้วย Cold Boot: ฉันจะเปิดใช้งาน Ubuntu (ใช้การเข้ารหัสดิสก์เต็มรูปแบบ) เพื่อเรียกใช้ LUKSsupend ได้ก่อนนอน / หยุดพักแรมได้อย่างไร

ในการสรุป: ปัจจุบันไม่มีสิ่งใดปกป้องแล็ปท็อปของคุณจากการถูกใช้โดยผู้อื่นด้วยการเข้าถึงทางกายภาพและเจตนาร้าย คุณสามารถเข้ารหัสข้อมูลทั้งหมดของคุณได้อย่างเต็มที่หากคุณหวาดระแวงมากพอที่จะเสี่ยงต่อการสูญเสียทุกสิ่งโดยลืมรหัสผ่านหรือเกิดความผิดพลาด ดังนั้นการเข้ารหัสทำให้การสำรองข้อมูลมีความสำคัญมากกว่าที่เป็นอยู่ อย่างไรก็ตามควรเข้ารหัสด้วยและตั้งอยู่ในสถานที่ที่ปลอดภัยมาก
หรืออย่าให้แล็ปท็อปของคุณหายไปและหวังว่าคุณจะไม่สูญเสียมันไป ;-)

หากคุณสนใจข้อมูลของคุณน้อยลง แต่ต้องการฮาร์ดแวร์เพิ่มเติมคุณอาจต้องการซื้อและติดตั้งผู้ส่ง GPS ในกรณีของคุณ แต่นั่นเป็นเพียงสำหรับคนหวาดระแวงจริงหรือตัวแทนรัฐบาลกลาง

ผู้บัญชาการไบต์
แหล่งที่มา
7
และการเข้ารหัสดิสก์เต็มรูปแบบยังคงไม่ช่วยให้คุณรอดพ้นจากการโจมตีด้วยการบูตเครื่องหากแล็ปท็อปของคุณถูกขโมยในขณะที่เครื่องกำลังทำงาน!
kos
14
นอกจากนี้หลังจากแล็ปท็อปของคุณอยู่นอกการควบคุมของคุณในเวลาใด ๆ ก็ไม่สามารถคาดหวังว่าจะปลอดภัยอีกต่อไป ตอนนี้มันสามารถบันทึกรหัสผ่านของคุณ pre-boot ได้แล้ว
Josef
1
การเข้ารหัสข้อมูลของคุณไม่ควรเพิ่มความเสี่ยงในการสูญหายเนื่องจากคุณมีการสำรองข้อมูลใช่ไหม ข้อมูลที่จัดเก็บเพียงครั้งเดียวไม่ได้ดีไปกว่าข้อมูลที่ไม่มีอยู่ SSD โดยเฉพาะอย่างยิ่งมักจะล้มเหลวโดยไม่มีโอกาสที่จะได้อะไรจากพวกเขา
Josef
3
นี่เป็นวิดีโอเก่า แต่อธิบายแนวคิดได้ดี: youtube.com/watch?v=JDaicPIgn9U ; หากคุณมีรหัสผ่าน BIOS ผู้โจมตียังสามารถถอดแบตเตอรี่ CMOS ในขณะที่แล็ปท็อปยังคงเปิดใช้งานไดรฟ์ที่ออกแบบมาเองเพื่อบู๊ตโดยไม่ต้องเสียวินาทีสำคัญใด ๆ นี่เป็นสิ่งที่ไม่ค่อยน่าสนใจในปัจจุบันเนื่องจาก SSD เพราะ SSD ที่สร้างขึ้นเองอาจจะสามารถถ่ายโอนข้อมูลได้แม้แต่ 8GB ในเวลาน้อยกว่า 1 นาทีโดยพิจารณาความเร็วในการเขียนประมาณ 150MB / s
kos
2
@ ByteCommander แต่ SSD ของคุณสามารถล้มเหลวได้เหมือนกันและข้อมูลทั้งหมดของคุณจะสูญหาย แน่นอนว่าถ้าคุณมักจะลืมรหัสผ่าน (เอาล่ะจดไว้แล้วเก็บไว้ในที่ปลอดภัย) โอกาสที่จะสูญเสียข้อมูลทั้งหมดของคุณอาจเพิ่มขึ้นด้วยการเข้ารหัส แต่มันไม่เหมือนกับข้อมูลของคุณที่ปลอดภัยมากเว้นแต่คุณกล้าเข้ารหัส . คุณไม่ "เสี่ยงทุกอย่างด้วยการลืมรหัสผ่านหรือเกิดความผิดพลาด" คุณทำเช่นนั้นโดยไม่มีการสำรองข้อมูล
Josef
11

แล็ปท็อปที่ปลอดภัยที่สุดคือแล็ปท็อปที่ไม่มีข้อมูลใด ๆ คุณสามารถตั้งค่าสภาพแวดล้อมคลาวด์ส่วนตัวของคุณเองและจากนั้นไม่เก็บอะไรที่มีความสำคัญในพื้นที่

หรือนำฮาร์ดไดรฟ์ออกมาแล้วเทลงในเทอร์มีต์ แม้ว่าเทคนิคนี้จะตอบคำถาม แต่อาจไม่เป็นประโยชน์มากที่สุดเนื่องจากคุณจะไม่สามารถใช้แล็ปท็อปของคุณได้อีกต่อไป แต่แฮ็กเกอร์เหล่านั้นจะไม่คลุมเครือ

ยกเว้นตัวเลือกเหล่านั้นเข้ารหัสฮาร์ดไดรฟ์แบบคู่และต้องใช้ USB thumbdrive เพื่อเชื่อมต่อเพื่อถอดรหัส USB thumbdrive มีคีย์ถอดรหัสหนึ่งชุดและ BIOS มีชุดอื่น ๆ - มีการป้องกันด้วยรหัสผ่านแน่นอน รวมเข้ากับรูทีนการทำลายข้อมูลอัตโนมัติด้วยตนเองหาก USB thumbdrive ไม่ได้เสียบอยู่ในระหว่างการบูต / ดำเนินการต่อจากการระงับ พกพา USB thumbdrive บนตัวคุณตลอดเวลา ชุดนี้ยังเกิดขึ้นในการจัดการกับXKCD #

XKCD # 538

E. Diaz
แหล่งที่มา
7
ขั้นตอนการทำลายตัวเองโดยอัตโนมัติจะเป็นเรื่องน่าประหลาดใจเมื่อ USB thumbdrive ของคุณสะสมฝุ่นบนแผ่นสัมผัส
Dmitry Grigoryev
10

เข้ารหัสดิสก์ของคุณ วิธีนี้ระบบของคุณและข้อมูลของคุณจะปลอดภัยในกรณีที่แล็ปท็อปของคุณถูกขโมย มิฉะนั้น:

  • รหัสผ่าน BIOS จะไม่ช่วย: ขโมยสามารถดึงดิสก์จากคอมพิวเตอร์ของคุณและนำไปไว้ในพีซีเครื่องอื่นเพื่อบูตจากมันได้
  • รหัสผ่านผู้ใช้ / รูทของคุณจะไม่ช่วยอย่างใดอย่างหนึ่ง: ขโมยสามารถเมานต์ดิสก์ได้อย่างง่ายดายตามที่อธิบายไว้ข้างต้น

ฉันขอแนะนำให้คุณมีพาร์ติชัน LUKS ซึ่งคุณสามารถตั้งค่า LVM ได้ คุณสามารถปล่อยให้พาร์ติชันสำหรับเริ่มระบบของคุณไม่ได้เข้ารหัสเพื่อให้คุณต้องป้อนรหัสผ่านของคุณเพียงครั้งเดียว ซึ่งหมายความว่าระบบของคุณอาจถูกโจมตีได้ง่ายขึ้นหากถูกดัดแปลง (ถูกขโมยและคืนให้คุณโดยที่คุณไม่สังเกตเห็น) แต่นี่เป็นกรณีที่หายากมากและหากคุณคิดว่าคุณกำลังถูกติดตามโดย NSA รัฐบาลหรือรัฐบาลบางประเภท มาเฟียคุณไม่ควรกังวลเกี่ยวกับเรื่องนี้

เครื่องมือติดตั้ง Ubuntu ของคุณควรให้ตัวเลือกในการติดตั้งด้วย LUKS + LVM ในวิธีที่ง่ายและอัตโนมัติ ฉันไม่ได้โพสต์รายละเอียดอีกครั้งที่นี่เนื่องจากมีเอกสารมากมายอยู่ในอินเทอร์เน็ต :-)

Peque
แหล่งที่มา
ถ้าเป็นไปได้คุณช่วยตอบรายละเอียดเพิ่มเติมได้ไหม อย่างที่คุณสามารถบอกได้จากคำถามของฉันฉันไม่ใช่คนรักความปลอดภัย
blade19899
upvoted สำหรับสัญลักษณ์แสดงหัวข้อย่อย แต่โปรดทราบว่าการเข้ารหัสดิสก์แบบเต็มไม่ใช่วิธีเดียวและไม่จำเป็นถ้าคุณ จำกัด ไฟล์ที่มีความละเอียดอ่อนของคุณไว้/home/yourNameเท่าที่ควร! - จากนั้นสแต็กโฟลเดอร์นี้ด้วยโปรแกรมควบคุมการเข้ารหัสระดับไฟล์ (เช่นที่ฉันพูดถึงใน OP และจะไม่ทำสแปมอีก) เป็นทางเลือกที่ทำงานได้ดีมาก ฉันไม่กังวลเกี่ยวกับผู้คนที่เห็นสิ่งที่น่าเบื่อทั้งหมดใน/usrฯลฯ
underscore_d
1
@underscore_d: ฉันกังวลเกี่ยวกับสิ่งอื่น ๆ นอกบ้าน/home(รวมถึงข้อมูลส่วนบุคคลและมืออาชีพในพาร์ติชันอื่น ๆ ) ดังนั้นฉันจึงเข้ารหัสทุกอย่างได้ง่ายขึ้น แต่ฉันเดาว่าผู้ใช้แต่ละคนมีความต้องการของตนเอง :-) อย่างไรก็ตามการใช้ecryptfsไม่ใช่การตัดสินใจที่ชาญฉลาดที่สุด คุณสามารถหามาตรฐานบางอย่างที่นี่ อย่าลืมอ่านหน้า2-5ในบทความเพื่อดูผลลัพธ์ที่แท้จริง (หน้า1เป็นเพียงการแนะนำ)
Peque
จริงมากขอบคุณสำหรับลิงค์ / การวัดประสิทธิภาพ ฉันยังไม่เคยเจออุปสรรคในการแสดงใด ๆ แต่ภายหลังฉันจะ นอกจากนี้ผมรู้ว่าผมอาจจะต้องเริ่มคิดเกี่ยวกับการเข้ารหัสสิ่งที่ชอบ/var/log, /var/www(ต้นฉบับ) และ/tmpดังนั้นบางทีการเข้ารหัสเต็มรูปแบบดิสก์จะเริ่มดูเหมือนที่เหมาะสมมากขึ้น!
underscore_d
@underscore_d: ใช่แล้วคุณเริ่มคิดถึง/etcและไดเรกทอรีระดับบนสุดอื่น ๆ ... ในตอนท้ายการเข้ารหัสดิสก์เต็มรูปแบบเป็นวิธีที่ง่ายและรวดเร็วที่จะช่วยให้คุณนอนหลับเหมือนเด็กทุกคืน ^^
Peque
5

มีโซลูชั่นฮาร์ดแวร์สองสามอย่างที่ควรค่าแก่การสังเกต

ตอนแรกแล็ปท็อปบางเครื่องเช่นแล็ปท็อปธุรกิจ Lenovo บางรุ่นมาพร้อมสวิตช์ตรวจจับการงัดแงะที่ตรวจจับเมื่อเปิดเคส ใน Lenovo คุณสมบัตินี้จำเป็นต้องเปิดใช้งานใน BIOS และจำเป็นต้องตั้งรหัสผ่านผู้ดูแลระบบ หากตรวจพบการงัดแงะแล็ปท็อปจะ (ฉันเชื่อว่า) ปิดตัวลงทันทีเมื่อเริ่มต้นมันจะแสดงคำเตือนและต้องใช้รหัสผ่านของผู้ดูแลระบบและอะแดปเตอร์ AC ที่เหมาะสมเพื่อดำเนินการต่อ เครื่องตรวจจับการงัดแงะบางตัวจะตั้งปิดการเตือนด้วยเสียงและสามารถกำหนดค่าให้ส่งอีเมลได้

การตรวจจับการงัดแงะไม่ได้ป้องกันการแก้ไขดัดแปลง (แต่มันอาจทำให้การขโมยข้อมูลจาก RAM ยากขึ้นและการตรวจจับการงัดแงะอาจ "ก่ออิฐ" อุปกรณ์หากตรวจพบสิ่งที่หลบจริงๆเช่นพยายามถอดแบตเตอรี่ CMOS) ข้อได้เปรียบหลักคือคนที่ไม่สามารถเข้าไปยุ่งเกี่ยวกับฮาร์ดแวร์โดยที่คุณไม่รู้ - ถ้าคุณตั้งค่าความปลอดภัยของซอฟต์แวร์ที่แข็งแกร่งเช่นการเข้ารหัสดิสก์เต็มรูปแบบแล้วการปลอมแปลงการปลอมแปลงฮาร์ดแวร์เป็นหนึ่งในเวกเตอร์การโจมตีที่เหลืออยู่

ความปลอดภัยทางกายภาพอีกประการหนึ่งคือแล็ปท็อปบางเครื่องสามารถล็อคเข้าที่ท่าเรือ หากมีการติดตั้งแท่นวางไว้อย่างแน่นหนากับโต๊ะ (ผ่านสกรูซึ่งจะอยู่ใต้แล็ปท็อป) และแล็ปท็อปถูกล็อคไว้ที่ท่าเรือเมื่อไม่ได้ใช้งานจากนั้นจะมีชั้นป้องกันเพิ่มเติมทางกายภาพ แน่นอนว่าสิ่งนี้จะไม่หยุดขโมยที่กำหนด แต่แน่นอนว่ามันจะเป็นการยากที่จะขโมยแล็ปท็อปจากบ้านหรือธุรกิจของคุณและในขณะที่ล็อคมันยังใช้งานได้อย่างสมบูรณ์แบบ (และคุณสามารถเสียบอุปกรณ์ต่อพ่วงอีเธอร์เน็ต

แน่นอนคุณสมบัติทางกายภาพเหล่านี้ไม่ได้มีประโยชน์สำหรับการรักษาความปลอดภัยแล็ปท็อปที่ไม่มี แต่ถ้าคุณใส่ใจเรื่องความปลอดภัยคุณควรพิจารณาถึงความคุ้มค่าเมื่อซื้อแล็ปท็อป

เบลควอลช์
แหล่งที่มา
2

นอกจากนี้ในการเข้ารหัสดิสก์ของคุณ (คุณจะไม่ได้รับสิ่งนั้น): - SELinux และ TRESOR ทั้งคู่ทำให้เคอร์เนล Linux แข็งตัวขึ้นและพยายามทำให้ผู้โจมตีสามารถอ่านสิ่งต่าง ๆ จากหน่วยความจำได้ยากขึ้น

ขณะที่คุณอยู่ที่นี่: ตอนนี้เราเข้าสู่ดินแดนที่ไม่เพียง แต่กลัวความชั่วร้ายของคนสุ่มที่ต้องการข้อมูลบัตรเดบิตของคุณ (พวกเขาไม่ทำอย่างนั้น) แต่บ่อยครั้งที่หน่วยงานข่าวกรองเพียงพอ ในกรณีที่คุณต้องการทำเพิ่มเติม:

  • พยายามกำจัดสิ่งที่เป็นแหล่งกำเนิด (เช่นเฟิร์มแวร์) จากพีซี ซึ่งรวมถึง UEFI / BIOS!
  • ใช้ tianocore / coreboot เป็น UEFI / BIOS ใหม่
  • ใช้ SecureBoot ด้วยกุญแจของคุณเอง

มีความอุดมสมบูรณ์ของสิ่งอื่น ๆ ที่คุณสามารถทำได้ แต่ผู้ที่ควรให้เป็นจำนวนที่เหมาะสมของสิ่งที่พวกเขาต้องการที่จะจี้ด้วย

และอย่าลืม: xkcd ;-)

larkey
แหล่งที่มา
คำแนะนำเหล่านี้ไม่เป็นประโยชน์ ทั้ง SELinux และ TRESOR จะห้ามไม่ให้ใครบางคนเข้าถึงได้ พวกเขาไม่ได้ออกแบบมาสำหรับรูปแบบการคุกคามนี้ พวกเขาจะให้ความปลอดภัยที่ผิดพลาด PS การล้างซอร์สโค้ดแบบปิดนั้นไม่เกี่ยวข้องอย่างสมบูรณ์กับการให้ความปลอดภัยกับบุคคลที่มีการเข้าถึงทางกายภาพ
DW
1
@DW "TRESOR (ตัวย่อแบบเรียกซ้ำสำหรับ" TRESOR รันการเข้ารหัสอย่างปลอดภัยนอกแรม ") เป็นตัวแก้ไขเคอร์เนลของ Linux ซึ่งให้การเข้ารหัสที่ใช้ CPU เท่านั้นเพื่อป้องกันการโจมตีจากการโจมตีในช่วงเย็น" - ดังนั้น TRESOR จึงช่วยในสถานการณ์ดังกล่าวอย่างแน่นอน แต่นั่นเป็นเพียงจุดด้านข้าง ฉันเขียน 'เพิ่มเติม' เนื่องจากสิ่งเหล่านั้นจะไม่ทำอะไรเลยหากคุณไม่เข้ารหัสดิสก์ของคุณ (ในสถานการณ์การเข้าถึงแบบฟิสิคัล) อย่างไรก็ตามเมื่อคุณชนการรักษาความปลอดภัยทางกายภาพคุณไม่ควรลืมว่าผู้โจมตียังสามารถบู๊ตและทำการโจมตีแบบดิจิทัลได้เช่นกัน (เช่นการใช้ประโยชน์จากข้อบกพร่อง)
larkey
@DW มันช่างน่ารังเกียจถ้าพีซีของคุณได้รับการเข้ารหัสอย่างดี แต่มีแนวโน้มที่จะเพิ่มระดับสิทธิ์ นั่นเป็นเหตุผลที่ - หากมีใครกำลังจะรักษาความปลอดภัยของระบบจากด้านกายภาพ - หนึ่งควรทำด้านซอฟต์แวร์แข็ง ผมระบุไว้อย่างชัดเจนว่าพวกเขาแข็ง Linux Kernel และพวกเขาควรจะทำยัง สิ่งเดียวกันสำหรับซอฟต์แวร์โอเพนซอร์ซ ดิสก์ของคุณอาจได้รับการเข้ารหัสอย่างดี แต่ถ้ามี keylogger back-door ใน UEFI มันจะไม่ช่วยคุณจากหน่วยงานข่าวกรอง
larkey
หากคุณใช้การเข้ารหัสดิสก์เต็มรูปแบบและไม่ปล่อยให้คอมพิวเตอร์ของคุณทำงานโดยไม่มีการควบคุมการโจมตีเพิ่มระดับสิทธิ์นั้นไม่เกี่ยวข้องเนื่องจากผู้โจมตีจะไม่ทราบรหัสผ่านการถอดรหัส (. การใช้งานที่เหมาะสมของการเข้ารหัสดิสก์เต็มคุณจะต้องปิดตัวลง / hibernate เมื่อไม่ต้องใส่) ถ้าคุณใช้การเข้ารหัสดิสก์เต็มรูปแบบและทำออกจากคอมพิวเตอร์ของคุณไม่ต้องใส่แล้วเข้ารหัสดิสก์เต็มสามารถข้ามจากจำนวนการใดวิธีการ - เช่นแนบ USB ดองเกิล - แม้ว่าคุณจะใช้ TRESOR, SELinux ฯลฯ อีกครั้งสิ่งเหล่านั้นไม่ได้ถูกออกแบบมาสำหรับรูปแบบการคุกคามนี้ คำตอบนี้ดูเหมือนจะไม่สะท้อนการวิเคราะห์ความปลอดภัยอย่างระมัดระวัง
DW
1
ด้วยการใช้คำพังเพย "ลองทำ" สิ่งใดก็ตามที่มีคุณสมบัติ - การเข้ารหัส rot13 สามารถพยายามทำให้มั่นใจว่าการเอาเปรียบไม่สามารถเข้าครอบครองระบบได้ จะไม่ประสบความสำเร็จคุ้มค่ายี้ แต่ฉันสามารถอธิบายได้ว่าพยายาม ประเด็นของฉันคือการป้องกันที่คุณร้องออกมานั้นไม่มีประสิทธิภาพในการหยุดการโจมตีประเภทนี้ SELinux / TRESOR จะไม่หยุดการบูตความเย็น ในการวิเคราะห์ความปลอดภัยคุณต้องเริ่มต้นด้วยรูปแบบการคุกคามและวิเคราะห์การป้องกันจากรูปแบบการคุกคามเฉพาะนั้น ความปลอดภัยไม่ใช่กระบวนการของการโรยในรายการที่ไม่มีที่สิ้นสุดของข้อ จำกัด เพิ่มเติมที่ฟังดูดี มันมีวิทยาศาสตร์อยู่บ้าง
DW
2

เนื่องจากคุณเปลี่ยนคำถามเล็กน้อยนี่คือคำตอบของฉันในส่วนที่เปลี่ยนแปลง:

ฉันจะรักษาความปลอดภัยเครื่องของฉันเพื่อให้การแฮ็คผ่านการเข้าถึงทางกายภาพเป็นไปไม่ได้?

คำตอบ: คุณทำไม่ได้

มีฮาร์ดแวร์และซอฟต์แวร์ขั้นสูงมากมายเช่นระบบตรวจจับการงัดแงะการเข้ารหัส ฯลฯ แต่ทั้งหมดนี้มาจาก:

คุณสามารถปกป้องข้อมูลของคุณ แต่คุณไม่สามารถปกป้องฮาร์ดแวร์ของคุณได้เมื่อมีคนเข้าถึงได้ และหากคุณยังคงใช้ฮาร์ดแวร์ใด ๆ หลังจากที่บุคคลอื่นเข้าถึงได้คุณกำลังทำอันตรายต่อข้อมูลของคุณ!

ใช้โน้ตบุ๊กที่ปลอดภัยด้วยการตรวจจับการงัดแงะที่ล้าง RAM เมื่อมีคนพยายามเปิดใช้การเข้ารหัสดิสก์เต็มรูปแบบเก็บข้อมูลสำรองของข้อมูลที่เข้ารหัสในสถานที่ต่างๆ จากนั้นทำให้ยากที่สุดเท่าที่จะเป็นไปได้ในการเข้าถึงฮาร์ดแวร์ของคุณ แต่ถ้าคุณเชื่อว่ามีใครบางคนสามารถเข้าถึงฮาร์ดแวร์ของคุณให้เช็ดและทิ้งมันไป

คำถามถัดไปที่คุณควรถามคือฉันจะหาฮาร์ดแวร์ใหม่ที่ไม่ได้รับการดัดแปลงได้อย่างไร

โจเซฟ
แหล่งที่มา
1

ใช้รหัสผ่าน ATAสำหรับ HDD / SSD ของคุณ

ซึ่งจะช่วยป้องกันการใช้งานของดิสก์โดยไม่ต้องใช้รหัสผ่าน ซึ่งหมายความว่าคุณไม่สามารถบูตโดยไม่มีรหัสผ่านได้เนื่องจากคุณไม่สามารถเข้าถึงMBRหรือESPโดยไม่ต้องใช้รหัสผ่าน และหากมีการใช้ดิสก์ภายใน manchine อื่นก็ยังต้องใช้รหัสผ่าน

ดังนั้นคุณสามารถใช้รหัสผ่าน ATA ผู้ใช้ที่เรียกว่าสำหรับ HDD / SSD ของคุณ โดยปกติจะตั้งค่าไว้ภายใน BIOS (แต่นี่ไม่ใช่รหัสผ่าน BIOS)

เพื่อความปลอดภัยเป็นพิเศษคุณสามารถกำหนดรหัสผ่าน ATA หลักบนดิสก์ได้เช่นกัน เพื่อปิดการใช้งานรหัสผ่านของผู้ผลิต

คุณสามารถทำได้บน cli ด้วยhdparmเช่นกัน

ควรใช้ความระมัดระวังเป็นพิเศษเพราะคุณสามารถหลวมข้อมูลทั้งหมดของคุณหากคุณทำรหัสผ่านหลวม

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

หมายเหตุ: นอกจากนี้ยังมีจุดอ่อนที่นี่เนื่องจากมีซอฟต์แวร์ที่อ้างว่ากู้คืนรหัสผ่าน ATA หรือแม้กระทั่งเรียกร้องให้ลบมัน ดังนั้นมันจึงไม่ปลอดภัย 100% เช่นกัน

หมายเหตุ: รหัสผ่าน ATA ไม่จำเป็นต้องมาพร้อมกับ FED (การเข้ารหัสดิสก์เต็มรูปแบบ)

อายัน
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.