Como proteger meu laptop para que hacking por acesso físico não seja possível?

68

Eu estraguei meu sistema mais cedo, fui recebido com uma tela preta, ao iniciar o Ubuntu. Quando inicializei meu laptop, selecionei a opção de recuperação no menu do grub e escolhi o fallback no terminal root . Eu vi que eu era capaz de usar o comando add user, com ele, eu provavelmente poderia usar para criar um usuário privilegiado na minha máquina.

Isso não é um problema de segurança?

Alguém poderia ter roubado meu laptop e, na inicialização, escolheu a recuperação e adicionou outro usuário, então eu fui falsificado. Incluindo meus dados.

Pensando nisso, mesmo que de alguma forma você remova essa entrada, pode-se inicializar a partir de um CD ao vivo, obter um chroot instalado e depois adicionar outro usuário, com os privilégios certos que permitem ver todos meus dados.

Se eu definir o BIOS para inicializar somente em meu HD, sem USB, CD / DVD, inicialização de rede e definir uma senha de BIOS, ainda não importaria, porque você ainda teria essa entrada de inicialização de recuperação do grub.

Tenho quase certeza de que alguém da China, Rússia, não pode hackear meu Ubuntu Trusty Tahr da rede, porque é seguro assim. Mas, se alguém tem acesso físico à minha máquina, então, bem, é por isso que estou fazendo essa pergunta. Como posso proteger minha máquina para que o hacking através do acesso físico não seja possível?

Relatório de erros:

por blade19899 21.09.2015 / 09:51

7 respostas

81

Meu palpite é que somente a criptografia completa do disco usando um algoritmo strong e, mais importante, uma boa senha é a única coisa que pode proteger seus dados armazenados localmente. Isso dá a você provavelmente 99,99% de segurança. Por favor, consulte um dos muitos guias sobre como fazer isso.

Além disso, NÃO é possível proteger sua máquina de um hacker experiente com acesso físico.

  • Senhas de usuário / conta:
    É fácil criar um novo usuário admin se você inicializar no modo de recuperação, como você mesmo descreveu, porque você obtém um shell de root sem ser solicitado por senhas dessa maneira.
    Isso pode parecer um problema de segurança acidental, mas destina-se a (quem teria pensado isso?) Casos de recuperação, em que você, por exemplo, perdeu sua senha de administrador ou bagunçou o comando sudo ou outras coisas vitais.

  • senha de root :
    O Ubuntu não definiu nenhuma senha de usuário root por padrão. No entanto, você pode definir um e será perguntado se você inicializar no modo de recuperação. Isso parece bastante seguro, mas ainda não é uma solução segura. Você ainda pode adicionar o parâmetro de kernel single init=/bin/bash através do GRUB antes de inicializar o Ubuntu que o inicia no modo de usuário único - que é na verdade um shell de root sem senha também.

  • Protegendo o menu do GRUB com uma senha:
    Você pode proteger as entradas do menu do GRUB para que sejam acessíveis somente após a autenticação, ou seja, você pode negar a inicialização do modo de recuperação sem a senha. Isso também impede a manipulação dos parâmetros do kernel. Para mais informações, consulte o site Grub2 / Passwords em help.ubuntu.com . Isso só pode ser ignorado se você inicializar a partir de um meio externo ou conectar o HDD diretamente a outra máquina.

  • Desativar a inicialização de mídia externa no BIOS:
    Você pode definir a ordem de inicialização e, geralmente, excluir dispositivos da inicialização em muitas versões atuais do BIOS / UEFI. Essas configurações não estão garantidas, pois todos podem entrar no menu de configuração. Você também precisa definir uma senha aqui, mas ...

  • Senhas do BIOS:
    Você geralmente pode ignorar as senhas do BIOS também. Existem vários métodos:

    • Redefina a memória CMOS (onde as configurações do BIOS são armazenadas) abrindo a caixa do computador e removendo fisicamente a bateria do CMOS ou configurando temporariamente um jumper "Clear CMOS".
    • Redefina as configurações do BIOS com uma combinação de teclas de serviço. A maioria dos fabricantes de placas-mãe descreve combinações de teclas em seus manuais de serviço para redefinir as configurações desordenadas do BIOS para os valores padrão, incluindo a senha. Um exemplo seria segurar ScreenUp enquanto ligava a energia, que, se bem me lembro, destranquei uma placa-mãe Acer com BIOS AMI uma vez para mim depois que eu estraguei minhas configurações de overclock.
    • Por último, mas não menos importante, há um conjunto de senhas padrão do BIOS que parecem sempre funcionar, independentemente da senha real definida. Não testei, mas este site oferece uma lista deles, categorizada pelo fabricante.
      Obrigado ao Rinzwind por esta informação e link!
  • Bloqueie o gabinete do computador / negue o acesso físico à placa-mãe e ao disco rígido:
    Mesmo se tudo o mais falhar, um ladrão de dados ainda pode abrir seu laptop / computador, tirar o HDD e conectá-lo ao seu próprio computador. Montá-lo e acessar todos os arquivos não criptografados é um pedaço de bolo a partir daí. Você tem que colocá-lo em um caso com segurança, onde você pode ter certeza de que ninguém é capaz de abrir o computador. Isso, no entanto, é impossível para laptops e difícil para desktops. Talvez você possa pensar em possuir um filme de ação como um dispositivo de auto-destruição que explode alguns explosivos dentro se alguém tentar abri-lo? ;-) Mas certifique-se de nunca mais precisar abri-lo para manutenção!

  • Criptografia total de disco:
    Eu sei que eu recomendei este método como seguro, mas também não é 100% seguro se você perder seu laptop enquanto ele estiver ligado. Há um chamado "ataque de inicialização a frio" que permite que o invasor leia as chaves de criptografia da sua RAM depois de redefinir a máquina em execução. Isso descarrega o sistema, mas não libera o conteúdo de RAM do tempo sem energia é curto o suficiente.
    Obrigado ao kos por seu comentário sobre esse ataque!
    Também vou citar seu segundo comentário aqui:

      

    Este é um vídeo antigo, mas explica bem o conceito: " Para que não nos lembremos de: Ataques de inicialização a frio em chaves de criptografia "no YouTube ; se você tiver uma senha de BIOS definida, o invasor ainda poderá remover a bateria CMOS enquanto o laptop ainda estiver ligado para ativar trabalhada unidade para arrancar sem perder qualquer segundo crucial, o que é mais assustador hoje em dia devido a SSDs, como um SSD personalizado será provavelmente capaz de despejar até 8GB em menos de 1 minuto, considerando uma velocidade de gravação de ~ 150MB / s

    Relacionada, mas ainda sem resposta pergunta sobre como evitar ataques Cold Boot: por Byte Commander 21.09.2015 / 10:15

10

Criptografe seu disco. Desta forma, o seu sistema e os seus dados estarão seguros caso o seu laptop seja roubado. Caso contrário:

  • A senha do BIOS não ajuda: o ladrão pode extrair facilmente o disco do computador e colocá-lo em outro computador para inicializá-lo.
  • Sua senha de usuário / root não ajudará: o ladrão pode facilmente montar o disco como explicado acima e acessar todos os seus dados.

Eu recomendo que você tenha uma partição LUKS na qual você possa configurar um LVM. Você pode deixar sua partição de boot descriptografada para que você só precise digitar sua senha uma vez. Isso significa que seu sistema pode ser mais facilmente comprometido se adulterado (roubado e devolvido a você sem que você perceba), mas esse é um caso muito raro e, a menos que você ache que está sendo seguido pela NSA, um governo ou algum tipo de mafia, você não deve se preocupar com isso.

Seu instalador do Ubuntu deve dar a você a opção de instalar o LUKS + LVM de uma maneira muito fácil e automatizada. Eu não estou re-postando os detalhes aqui, como já existe muita documentação por aí na internet. : -)

    
por Peque 21.09.2015 / 09:53
10

O laptop mais seguro é aquele sem nenhum dado nele. Você pode configurar seu próprio ambiente de nuvem privada e, em seguida, não armazenar nada de importância localmente.

Ou tire o disco rígido e derreta-o com termite. Embora isso tecnicamente responda à pergunta, pode não ser o mais prático, já que você não poderá mais usar seu laptop. Mas nem esses hackers sempre nebulosos.

Bloqueie essas opções, criptografe duplamente o disco rígido e solicite um pendrive USB para conectá-lo para descriptografá-lo. O thumbdrive USB contém um conjunto de chaves de descriptografia e o BIOS contém o outro conjunto - protegido por senha, é claro. Combine isso com uma rotina de autodestruição automática de dados se o thumbdrive USB não estiver conectado durante a inicialização / retomada da suspensão. Carregue o pendrive USB em sua pessoa o tempo todo. Essa combinação também acontece com o XKCD # 538 .

    
por E. Diaz 21.09.2015 / 22:20
5

Existem algumas soluções de hardware dignas de nota.

Em primeiro lugar, alguns laptops, como alguns laptops corporativos da Lenovo, vêm com um interruptor de detecção de violação que detecta quando o gabinete é aberto. Na Lenovo, esse recurso precisa ser ativado no BIOS e uma senha de administrador precisa ser definida. Se a violação for detectada, o laptop (imediatamente) será desligado; na inicialização, ele exibirá uma advertência e exigirá que a senha do administrador e o adaptador de CA adequado continuem. Alguns detectores de tamper também disparam um alarme sonoro e podem ser configurados para enviar um e-mail.

A detecção de adulteração não impede realmente a adulteração (mas pode dificultar roubar dados da RAM - e a detecção de adulterações pode "bloquear" o dispositivo se detectar algo realmente desonesto, como tentar remover a bateria do CMOS). A principal vantagem é que alguém não pode adulterar o hardware secretamente sem que você saiba - se você configurou uma segurança de software strong, como a criptografia de disco completo, a adulteração encoberta de hardware é definitivamente um dos vetores de ataque restantes.

Outra segurança física é que alguns laptops podem ser bloqueados em uma doca. Se o encaixe estiver firmemente montado em uma mesa (por meio de parafusos que ficarão sob o laptop) e o laptop ficar travado no encaixe quando não estiver em uso, ele fornecerá uma camada adicional de proteção física. É claro que isso não impedirá um ladrão determinado, mas torna mais difícil roubar o laptop de sua casa ou empresa e, enquanto bloqueado, ele ainda é perfeitamente utilizável (e você pode conectar periféricos, ethernet, etc.).

Naturalmente, esses recursos físicos não são úteis para proteger um laptop que não os possui. Mas se você é consciente da segurança, pode valer a pena considerá-los ao comprar um laptop.

    
por Blake Walsh 21.09.2015 / 15:34
2

Além disso, para criptografar seu disco (você não vai se livrar disso): - SELinux e TRESOR. Ambos endurecem o kernel do Linux e tentam dificultar que os invasores leiam coisas da memória.

Enquanto você está nisso: Nós agora entramos no território de não apenas medo de caras aleatórios do mal que querem informações do seu cartão de débito (eles não fazem isso), mas com freqüência suficiente de agências de inteligência. Nesse caso, você deseja fazer mais:

  • Tente limpar o evrything de fonte fechada (também firmware) do PC. Isso inclui UEFI / BIOS!
  • Use o tianocore / coreboot como novo UEFI / BIOS
  • Use o SecureBoot com suas próprias chaves.

Existem muitas de outras coisas que você pode fazer, mas devem dar uma quantidade razoável de coisas que precisam agradar.

E não se esqueça: xkcd ; -)

    
por larkey 21.09.2015 / 12:56
2

Como você mudou um pouco a questão, aqui está minha resposta para a parte alterada:

  

Como posso proteger minha máquina para que o hacking através do acesso físico não seja possível?

Resposta: Você não pode

Existem muitos sistemas avançados de hardware e software, como adulteração detecção , criptografia, etc., mas tudo se resume a isso:

Você pode proteger seus dados, mas não pode proteger seu hardware quando alguém tiver acesso a ele. E se você continuar usando qualquer hardware depois que alguém tiver acesso, você está colocando seus dados em risco!

Use um notebook seguro com detecção de adulteração que limpe a RAM quando alguém tentar abri-la, usar a criptografia de disco completo, armazenar backups de seus dados criptografados em locais diferentes. Em seguida, torne-o o mais difícil possível para obter acesso físico ao seu hardware. Mas se você acredita que alguém teve acesso ao seu hardware, limpe-o e jogue-o fora.

A próxima pergunta você deve perguntar é: Como posso adquirir um novo hardware que não tenha sido adulterado.

    
por Josef 24.09.2015 / 11:35
1

Use uma senha ATA para o seu HDD / SSD

Isso impedirá o uso do disco sem a senha . Isto significa que você não pode inicializar sem a senha porque você não pode acessar o MBR ou o ESP sem a senha. E se o disco é usado dentro de outro manchine, a senha ainda é necessária.

Assim, você pode usar a chamada senha ATA do usuário para o seu HDD / SSD. Isso geralmente é definido dentro do BIOS (mas isso não é uma senha do BIOS).

Para segurança extra, você também pode definir uma senha ATA mestre no disco. Para desativar o uso da senha do fabricante.

Você pode fazer isso no cli com hdparm também.

Cuidado extra deve ser tomado porque você pode perder todos os seus dados se perder a senha.

link

Nota: Também há pontos fracos, pois existem softwares que reivindicam a recuperação da senha do ATA ou até mesmo afirmam que ela foi removida. Então não é 100% seguro também.

Nota: A senha ATA não vem necessariamente com FED (Full Disk Encryption)

    
por solsTiCe 16.10.2016 / 23:08