物理アクセスによるハッキングができないようにラップトップを保護するにはどうすればよいですか?


73

以前にシステムを台無しにして、Ubuntuを起動すると黒い画面が表示されました。ラップトップを起動したときに、grubメニューからリカバリオプションを選択し、ルートターミナルでフォールバックを選択しました。add userコマンドを使用できることがわかりました。これを使用すると、おそらく自分のマシンで特権ユーザーを作成できます。

それはセキュリティ上の問題ではありませんか?

ラップトップを盗まれて、起動時にリカバリを選択し、別のユーザーを追加することもできました。データを含む。

考えてみると、そのエントリを何らかの方法で削除したとしても、ライブCDから起動して起動し、chrootすべてのデータを表示できる適切な特権を持つ別のユーザーを追加できます。

HD、USB、CD / DVD、ネットワークスタートアップのみで起動するようにBIOSを設定し、BIOSパスワードを設定する場合、それは重要ではありません。

中国、ロシアの誰かがネットワークから私のUbuntu Trusty Tahrをハッキングできないことはかなり確かです。しかし、私のマシンに物理的にアクセスできるのであれば、そのため、この質問をしています。物理的なアクセスによるハッキングが不可能になるようにマシンを保護するにはどうすればよいですか?


バグレポート:


35
完全なディスク暗号化とネジのグリッターネイルポリッシュ。誰がそんなことをしないの?
mondjunge

2
@ByteCommanderは、rootユーザーを追加できます。uid 0の別のユーザーを/ etc / passwordに追加するだけです。私はフレッドを追加fred:x:0:0:fred,,,:/home/fred:/bin/bashし、私はフレッドと実行としてログインしている場合、今whoami、私が取得root
ヨーゼフ

3
@ByteCommanderのはずです。adduserなどのアカウントを管理するためのツールでは、通常それを行うことはできませんが、編集/etc/passwdするだけで機能します。ハッカーであるということは、あなたがすべきことを無視することを意味します;)
ジョセフ

3
@ blade19899新しいバグは確実に拒否されます。この既存のものを比較してください:bugs.launchpad.net/ubuntu/+bug/283662
バイトコマンダー

4
@ blade19899私のより広いポイントは、絶対的なものではなく、リスクとトレードオフの観点から考える必要があるということです。あなたが誰なのか、どこに住んでいるのかはわかりませんが、家の強盗があなたのデータを効果的に使用するようになります(ハードウェアをオフロードしようとするだけでなく)。効果的な復旧オプションの欠如から生じる可能性のあるお金やデータの損失。フォールバックルートターミナルを用意するのは良いことです。しかし、明らかに、フルディスク暗号化を検討するべきではないということではありません。
緩和

回答:


86

私の推測では、強力なアルゴリズムと最も重要なパスワードを使用した完全なディスク暗号化のみが、ローカルに保存されたデータを保護できる唯一のものです。これにより、おそらく99.99%のセキュリティが得られます。これを行う方法については、多くのガイドのいずれかを参照してください。


それ以外に、物理的なアクセスがある経験豊富なハッカーからマシンを保護することはできません

  • ユーザー/アカウントパスワード:
    自分で説明したように、この方法でパスワードを要求されることなくルートシェルを取得するため、回復モードで起動する場合、新しい管理ユーザーを作成するのは簡単です。
    これは偶発的なセキュリティ問題のように見えるかもしれませんが、管理者パスワードを紛失したり、sudoコマンドやその他の重要なものを台無しにしたりする場合のリカバリケースを想定しています。

  • rootパスワード:
    Ubuntuはデフォルトでrootユーザーのパスワードを設定していません。ただし、1つを設定することができ、リカバリモードで起動する場合は要求されます。これはかなり安全に思えますが、最終的に安全なソリューションではありません。single init=/bin/bashシングルユーザーモードで起動するUbuntuを起動する前に、GRUBを介してカーネルパラメーターを追加することができます。これは実際にはパスワードなしのルートシェルです。

  • GRUBメニューをパスワードで
    保護する GRUBメニューエントリを認証後にのみアクセスできるように保護できます。つまり、パスワードなしでリカバリモードの起動を拒否できます。これにより、カーネルパラメーターの操作も防止されます。詳細については、help.ubuntu.comのGrub2 / Passwordsサイトを参照してください。これは、外部メディアから起動するか、HDDを別のマシンに直接接続する場合にのみバイパスできます。

  • BIOSの外部メディアからの起動を無効にする:
    起動順序を設定し、通常、現在の多くのBIOS / UEFIバージョンでデバイスを起動から除外できます。ただし、すべてのユーザーがセットアップメニューに入ることができるため、これらの設定は保護されません。ここでもパスワードを設定する必要がありますが、...

  • BIOSパスワード:
    通常、BIOSパスワードもバイパスできます。いくつかの方法があります。

    • コンピューターのケースを開き、CMOSバッテリーを物理的に取り外すか、「Clear CMOS」ジャンパーを一時的に設定して、CMOSメモリー(BIOS設定が保存されている)をリセットします。
    • サービスキーの組み合わせでBIOS設定をリセットします。ほとんどのマザーボードメーカーは、めちゃくちゃになったBIOS設定をパスワードを含むデフォルト値にリセットするために、サービスマニュアルでキーの組み合わせを説明しています。例としてはScreenUp、電源を入れたままにしておくことです。覚えているなら、オーバークロック設定を台無しにした後、AMI BIOSでacerマザーボードを一度ロック解除しました。
    • 最後に大事なことを言い忘れていましたが、実際に設定されたパスワードとは無関係に、常に機能しているように見えるデフォルトのBIOSパスワードがあります。私はそれをテストしませんでしたが、このサイトでは、製造元ごとに分類されたそれらのリストを提供しています。
      この情報とリンクについては、Rinzwindに感謝します!
  • コンピューターのケースをロックする/マザーボードとハードディスクへの物理的なアクセスを拒否する:
    他のすべてが失敗しても、データ泥棒はあなたのラップトップ/コンピューターを開き、HDDを取り出して自分のコンピューターに接続することができます。マウントして、暗号化されていないすべてのファイルにアクセスすることは、そこから簡単なことです。安全にロックされたケースに入れて、だれもコンピューターを開けないようにする必要があります。しかし、これはラップトップでは不可能であり、デスクトップでは困難です。誰かがそれを開こうとすると内部に爆発物を吹き飛ばす自己破壊装置のようなアクションフィルムを所有することを考えることができますか?;-)しかし、メンテナンスのために自分で開く必要がないことを確認してください!

  • フルディスク暗号化:
    この方法は安全であるとアドバイスしたことは知っていますが、ラップトップをオンにしたまま紛失した場合も100%安全ではありません。実行中のマシンをリセットした後、攻撃者がRAMから暗号化キーを読み取ることができる、いわゆる「コールドブート攻撃」があります。これにより、システムがアンロードされますが、電力が十分に不足しない限り、RAMの内容はフラッシュされません。
    この攻撃についてコメントしてくれたkosに感謝します!
    また、ここで彼の2番目のコメントを引用します。

    これは古いビデオですが、概念をよく説明しています。「忘れないで:暗号化キーに対するコールドブート攻撃」をYouTubeで。BIOSパスワードが設定されている場合、攻撃者はラップトップの電源を入れたままCMOSバッテリーを取り外して、重要な秒を失うことなくカスタムクラフトドライブを起動できます。これは最近、SSDのせいで怖いです。カスタムクラフトのSSDは、書き込み速度が150MB / sであることを考えると、おそらく1分未満で8GBをダンプすることができるからです。

    コールドブート攻撃を防止する方法に関する関連する、まだ未回答の質問:Ubuntuを有効にして(フルディスク暗号化を使用)、RAMにスリープ/サスペンドする前にLUKSsupendを呼び出すにはどうすればよいですか?


結論として:現在のところ、物理的なアクセスと悪意を持った人がラップトップを使用するのを保護するものは何もありません。すべてのデータを完全に暗号化できるのは、パスワードを忘れたりクラッシュしたりしてすべてを失う危険性が十分にある場合のみです。そのため、暗号化により、バックアップはさらに重要になります。ただし、それらも暗号化して、非常に安全な場所に配置する必要があります。
または、ラップトップを手放さないで、決して失わないことを望みます。;-)

データをあまり気にせず、ハードウェアをもっと気にするなら、GPSセンダを購入してケースにインストールしたいかもしれませんが、それは本当の妄想的な人や連邦政府のエージェントだけです。


7
また、ラップトップがオンのときに盗まれた場合でも、フルディスク暗号化ではコールドブート攻撃からあなたを救うことはできません!
コス

14
また、ラップトップが制御不能になった後も、もはや安全であるとは期待できません。たとえば、起動前のパスワードを記録できるようになりました。
ジョセフ

1
データを暗号化しても、データを失うリスクは増やさないはずです。バックアップがあるからですよね?一度だけ保存されたデータは、存在しないデータよりも優れたものではありません。特に、SSDは、何も得る機会がなく突然突然故障する傾向があります。
ジョセフ

3
これは古いビデオですが、コンセプトをうまく説明しています:youtube.com/watch?v=JDaicPIgn9U ; BIOSパスワードが設定されている場合、攻撃者はラップトップの電源を入れたままCMOSバッテリーを取り外して、重要な秒を失うことなくカスタムクラフトドライブを起動できます。カスタムは、SSDはおそらく〜150メガバイト/秒の書き込み速度を考慮すると、1分未満でも、8ギガバイトをダンプすることができるであろう細工のように、これは、原因のSSDに、今日で恐ろしいです
KOS

2
@ByteCommanderですが、SSDは同じように失敗する可能性があり、すべてのデータが失われます。もちろん、パスワードを忘れがちな場合(書き留めてから安全な場所に保管する場合)、暗号化によってすべてのデータが失われる可能性が高くなりますが、暗号化を敢えてしない限り、データが非常に安全であるというわけではありません。「パスワードを忘れたりクラッシュしたりしてすべてを危険にさらす」のではなく、バックアップを持たないことでそれを行います。
ジョセフ

11

最も安全なラップトップは、データのないラップトップです。独自のプライベートクラウド環境をセットアップし、重要なものをローカルに保存しないでください。

または、ハードドライブを取り出してテルミットで溶かします。これは技術的には質問に答えますが、ラップトップを使用できなくなるため、最も実用的ではないかもしれません。しかし、それらのかつて不明瞭なハッカーもそうではありません。

これらのオプションがなければ、ハードドライブを二重暗号化し、USBサムドライブを接続して暗号化を解除する必要があります。USBサムドライブには、1セットの復号化キーが含まれ、BIOSにはもう1セットが含まれています-もちろん、パスワードで保護されています。一時停止からの起動/再開中にUSBサムドライブが接続されていない場合は、これを自動データ自己破壊ルーチンと組み合わせます。常にUSBサムドライブを携行してください。この組み合わせは、XKCD#538にも対応しています。

XKCD#538


7
USBサムドライブがコンタクトパッドに埃を蓄積すると、自動自己破壊ルーチンは確かに嬉しい驚きです。
ドミトリーグリゴリエフ

10

ディスクを暗号化します。これにより、ラップトップが盗まれた場合にシステムとデータが安全になります。そうでなければ:

  • BIOSパスワードは役に立たない:泥棒は簡単にコンピューターからディスクを抽出し、それを別のPCに置いてブートすることができます。
  • ユーザー/ルートパスワードも役に立たない:泥棒は上記のようにディスクを簡単にマウントし、すべてのデータにアクセスできます。

LVMをセットアップできるLUKSパーティションを作成することをお勧めします。ブートパーティションを暗号化せずに残しておくと、パスワードを1回入力するだけで済みます。これは、改ざんされるとシステムが簡単に侵害される可能性があることを意味します(盗まれ、気付かないうちにあなたに戻されます)。マフィア、これについて心配するべきではありません。

Ubuntuインストーラーは、LUKS + LVMを使用して非常に簡単で自動化された方法でインストールするオプションを提供します。インターネットにはすでに多くのドキュメントがありますので、ここに詳細を再投稿することはありません。:-)


可能であれば、より詳細な回答を提供してください。私の質問でわかるように、私はセキュリティマニアではありません。
blade19899

箇条書きに賛成しましたが、フルディスク暗号化が唯一の方法ではなく、機密ファイルを制限する場合は必要な/home/yourNameことに注意してください!-次に、このフォルダーをファイルレベルの暗号化ドライバー(OPで言及したが、再びスパムを送信しないなど)と非常に実行可能な代替手段としてスタックします。/usrなどの退屈なものを見ている人については心配していません。
underscore_d

1
@underscore_d:私は確かに外部のその他のもの/home(他のパーティションの個人データや専門データを含む)が心配なので、すべてを暗号化する方が簡単ですが、各ユーザーにはそれぞれのニーズがあると思います:-)。ただし、使用することecryptfsは、パフォーマンスに関する最善の決定ではありません。ここでいくつかのベンチマーク見つけることができます2-5実際の結果については、記事のページを必ず読んでください(ページ1は単なる紹介です)。
ペケ

リンク/ベンチマークに感謝します。まだパフォーマンスの壁にぶつかったことはありませんが、多分後になるでしょう。また、私はおそらくのようなものを暗号化することについて考え始める必要があるでしょう実現/var/log/var/www(ソース)、&/tmpので、多分、フルディスク暗号化は、より賢明なように見えるを開始します!
underscore_d

@underscore_d:ええ、そしてあなたは/etc他のトップレベルのディレクトリについて考え始めます...最後に、フルディスク暗号化は、毎晩赤ちゃんのように眠ることができるシンプルで高速なソリューションです。^^
ペケ

5

注目に値するハードウェアソリューションがいくつかあります。

まず、一部のLenovoビジネスラップトップなどの一部のラップトップには、ケースが開かれたことを検出する改ざん検出スイッチが付いています。Lenovoでは、この機能をBIOSで有効にし、管理者パスワードを設定する必要があります。改ざんが検出された場合、ラップトップはすぐにシャットダウンし、(起動すると)警告を表示し、管理パスワードと適切なACアダプターが必要です。一部の改ざん検出器も可聴アラームを作動させ、電子メールを送信するように構成できます。

改ざん検出は、改ざんを実際には防止しません(ただし、RAMからデータを盗むことを難しくする可能性があります。また、改ざん検出は、CMOSバッテリーを取り外そうとするような危険なものを検出すると、デバイスを「ブリック」する可能性があります)。主な利点は、知らないうちに誰かがハードウェアを密かに改ざんできないことです。フルディスク暗号化などの強力なソフトウェアセキュリティを設定している場合、ハードウェアの改ざんは間違いなく残りの攻撃ベクトルの1つです。

別の物理的セキュリティは、一部のラップトップをドックにロックできることです。ドックがテーブルにしっかりと取り付けられ(ラップトップの下にあるネジを介して)、使用されていないときにラップトップがドックにロックされたままになっている場合、追加の物理的保護が提供されます。もちろん、これは決意した泥棒を止めることはありませんが、自宅や職場からラップトップを盗むことは間違いなく難しくなりますが、ロックされている間は完全に使用できます(そして周辺機器、イーサネットなどをドックに接続できます)。

もちろん、これらの物理的な機能は、それらを持たないラップトップを保護するのに役立ちません。ただし、セキュリティを意識している場合は、ラップトップを購入する際に検討する価値があるかもしれません。


2

ディスクの暗号化に加えて(それを回避することはできません):-SELinuxおよびTRESOR。どちらもLinuxカーネルを強化し、攻撃者がメモリから情報を読み取ることを困難にします。

あなたがそれをしている間:私たちは今、あなたのデビットカード情報を欲しがっている邪悪なランダムな人たちの恐怖(彼らはそうしません)だけでなく、しばしば十分なintelligence報機関の領土に入ります。その場合、もっとやりたいことがあります:

  • PCからすべてのクローズドソース(ファームウェアも)をパージしてみてください。これにはUEFI / BIOSが含まれます!
  • 新しいUEFI / BIOSとしてtianocore / corebootを使用します
  • 独自のキーでSecureBootを使用します。

できることは他にもたくさんありますが、それらはくすぐるのに必要なものを合理的な量で提供すべきです。

忘れないでください: xkcd ;-)


これらの提案は役に立ちません。SELinuxとTRESORのどちらも、物理的なアクセスを持つユーザーを停止しません。これらはこの脅威モデル用に設計されていません。それらは、誤った安心感を提供します。PSクローズドソースコードの削除は、物理的なアクセスを持つユーザーに対するセキュリティの提供とはまったく関係ありません。
DW

1
@DW「TRESOR(「TRESORは暗号化をRAMの外で安全に実行する」の頭字語)は、コールドブート攻撃を防ぐためにCPUのみに基づく暗号化を提供するLinuxカーネルパッチです」-TRESORは間違いなくこのようなシナリオで役立ちます。しかし、それは単なる側面です。ディスクを暗号化しないと(物理アクセスのシナリオで)これらのことは実際には何もしないので、「追加」と書きました。ただし、物理的なセキュリティを強化する場合、攻撃者が起動してデジタル攻撃を行うこと(つまり、バグを悪用すること)を忘れないようにしてください。
larkey

@DWお使いのPCが適切に暗号化されていても、権限昇格の傾向がある場合は、かなりくだらないです。そのため、物理的な側面からシステムを保護しようとする場合、ソフトウェア側の強化も行う必要があります。彼らはLinuxカーネルを強化したので、追加するべきだとはっきりと述べた。同じことはクローズドソースソフトウェアにも当てはまります。ディスクは適切に暗号化されている可能性がありますが、UEFIにバックドアキーロガーがある場合、if報機関に対する支援にはなりません。
larkey

フルディスク暗号化を使用し、コンピューターを無人で実行しない場合、攻撃者は復号化パスワードを知らないため、権限昇格攻撃は無関係です。あなたは、フルディスク暗号化を使用している場合(フルディスク暗号化の適切な使用をする際、無人休止状態/シャットダウンする必要があります)、コンピュータが無人のままにし、その後、フルディスク暗号化は、任意の数の方法によってバイパスすることができます-例えば、USBを取り付けますドングル-TRESOR、SELinuxなどを使用している場合でも、これらはこの脅威モデル用に設計されていません。この答えは、慎重なセキュリティ分析を反映していないようです。
DW

1
イタチの言い回し「試して」で、何でも条件を満たします-rot13暗号化は、エクスプロイトがシステムを乗っ取ることができないことを保証しようとします。それはまったく価値がありませんが、試してみると説明できます。私が指摘するのは、あなたが選抜している防御は、この種の攻撃を阻止するのに効果的ではないということです。SELinux / TRESORはコールドブートを停止しません。セキュリティを分析するには、脅威モデルから始めて、その特定の脅威モデルに対する防御を分析する必要があります。セキュリティは、適切に聞こえる追加の制限の無限のリストに散らばるプロセスではありません。それにはいくつかの科学があります。
DW

2

質問を少し変更したため、変更された部分に対する私の答えは次のとおりです。

物理的なアクセスによるハッキングが不可能になるようにマシンを保護するにはどうすればよいですか?

回答:できません

改ざん検出、暗号化など、多くの高度なハードウェアおよびソフトウェアシステムがありますが、それはすべてこれになります。

データを保護することはできますが、誰かがアクセスしたハードウェアを保護することはできません。そして、他の誰かがアクセスした後もハードウェアを使い続けると、データが危険にさらされます!

誰かがそれを開こうとするとRAMをクリアし、フルディスク暗号化を使用し、暗号化されたデータのバックアップを別の場所に保存する改ざん検出機能付きの安全なノートブックを使用します。次に、ハードウェアへの物理的アクセスをできる限り難しくします。しかし、誰かがあなたのハードウェアにアクセスできたと思うなら、それを拭いて捨ててください。

次の質問次のとおりです。改ざんされていない新しいハードウェアを入手するにはどうすればよいですか。


1

HDD / SSDにATAパスワードを使用します

これにより、パスワードなしでディスクを使用できなくなります。つまり、パスワードなしではMBRまたはESPにアクセスできないため、パスワードなしでは起動できません。また、ディスクが別のマシン内で使用されている場合、パスワードは必要です。

そのため、HDD / SSDにいわゆるユーザーATAパスワードを使用できます。これは通常、BIOS内で設定されます(ただし、これはBIOSパスワードではありません)。

セキュリティを強化するために、ディスクにもマスターATAパスワードを設定できます。製造者パスワードの使用を無効にします。

cliでもこれを行うことができますhdparm

パスワードを失うとすべてのデータを失う可能性があるため、特に注意が必要です。

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

注:ATAパスワードを回復すると主張するソフトウェア、または削除することさえ主張するソフトウェアがあるため、ここにも弱点があります。そのため、100%安全でもありません。

注:ATAパスワードには必ずしもFED(Full Disk Encryption)が付属しているわけではありません

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.