LINUX.ORG.RU

Используете ли Вы пароли на BIOS и есть ли от них польза?

 ,


0

2

Интересно, насколько далеко в своей паранойе Вы зашли?
Я вот использую на десктопах и ноутбуках. На серверах не использую для простого ребута. Полное шифрование диска тоже использую.

☆☆☆

Последнее исправление: ktulhu666 (всего исправлений: 1)

разве что чтобы одноклассники с флэшки не залезли, для остального смысла нет. да, для моей цели вроде как больше годится шифрование фс, но мне лень, да и незачем.

f1u77y ★★★★
()
Ответ на: комментарий от KivApple

Что касается того, что любые аппаратные вмешательства требуют времени - вы так уверены, что никогда в принципе не расстаётесь со своим компьютером больше, чем на 5 минут?

Очень будет интересно посмотреть, как мой макбук разберут, достанут minipci-e ssd, подменят initrd и всё соберут на место. Причём так, чтобы вообще ничего не было видно... Ах да: у меня же мак постоянно в суспенде, поэтому незаметно не получится.

ktulhu666 ☆☆☆
() автор топика

Пароль на UEFI BIOS не использую - опасаюсь забыть, не осилить сбросить, и получить кирпич вместо ноутбука. Вместо этого полное шифрование диска. Незаметно загрузиться и что-то подменить в /boot вряд ли получится, ибо я его не выключаю. Но на всякий случай хотелось бы заиметь себе сервис, который бы автоматически обновлял в каком-нибудь файле контрольные суммы четырёх файлов из /boot. Если что-то заподозрил - загрузился с флешки, проверил. Впрочем, может это и не лучшая идея.

fludardes ★★
()
Ответ на: комментарий от spichka

У нас все офисные компы с амбарными замками на корпусах.
Удачи в съёме паролей.

Goury ★★★★★
()
Ответ на: комментарий от sup9999

На ентерпрайзных железках с аппаратным шифрованием сброс этого пароля равнозначен сбросу всех данных со всех носителей в этой железке.

Goury ★★★★★
()
Ответ на: комментарий от spichka

Прочти уже то из-за чего ты тут щёки раздуваешь - не будь дебилом.

Что я должен прочесть, чтобы не быть дебилом? Ты где-то дал пруфлинк? А чего тогда выпендривался, если летать не умеешь?

anonymous
()
Ответ на: комментарий от anonymous

Зачем так долго винт таскать?
Там же всего два коннектора перецепить.
Столько времени оно занимает только на проприетарных баребонах, из которых чтобы винт вынуть надо весь корпус разбирать. Но такие баребоны всегда имеют какую-нибудь защиту от вынимания винта.

Goury ★★★★★
()
Ответ на: комментарий от anonymous

А чего там видеть-то? Ставишь на стол свой недобук с выведенным заранее sata коннектором, снимаешь крышку с его корпуса, отдёргиваешь его sata коннектор, прицепляешь свой, включаешь оба компа, профит.

Goury ★★★★★
()
Ответ на: комментарий от anonymous

А шуроповёрт нахера?
Винтики отвёрткой откручиваются быстрее чем ты шуруповёрт поднести успеешь. Там крутить-то 2-6 винтов в зависимости от модели.

Goury ★★★★★
()
Ответ на: комментарий от anonymous

Любой ноутбук очень легко отдаёт свой НЖМД

Goury ★★★★★
()
Ответ на: комментарий от DeadEye

Это плохой вариант, шпионская флешка может скопировать его с твоей, если будет оставлена злоумышленником.
И тут-то он получит все твои ключи для загрузки.

Goury ★★★★★
()
Ответ на: комментарий от KivApple

вытаскивания батарейки

На нормальных компах оно с 1998 года не работает. Если кто-то закупил китайский ширпотреб для компов с важными данными — ССЗБ.

новомодный UEFI с мышевозным управлением

Здрасти, приехали. Новомодным оно было десять лет назад, сейчас это уже протухший баян.

при настоящей целевой атаке

При настоящей целевой защите от настоящих целевых атак пароль является обязательным рубежом обороны. И не стоит забывать, что решётки на окнах не отменяют необходимости запирать дверь и не защищают от подкопа.

извлечь жёсткий диск, совершить над ним все манипуляции

Давай, соверши манипуляции над шифрованным диском

хранение initrd и загрузчика на флешке

ССЗБ

сделав абсолютно невозможным восстановление данных

Это проще делается

Goury ★★★★★
()
Ответ на: комментарий от Goury

Как? Можно заменить, допустим, initrd, на содержащий что-то зловредное так, чтобы его, допустим, md5sum, не изменилась?

fludardes ★★
()
Ответ на: комментарий от Goury

Любой ноутбук очень легко отдаёт свой НЖМД

И Вы здравствуйте, Евгений Ваганович.

А зачем системник доставать из под стола? Пусть там и стоит.

Затем, что их обычно держат не под кухонным столом, где у тебя место для слона останется. Пока ты его не вытащишь из специального отделения, ты едва ли крышку с него снимешь.

anonymous
()
Ответ на: комментарий от Goury

В суспенде твой ssd отмонтируется, так что элементарно получается

Синхронизируется, но не отмонтируется.

ktulhu666 ☆☆☆
() автор топика

Помнится, раньше на award точно были универсальные пароли. В 21 веке больше не практикуется?

l0stparadise ★★★★★
()
Последнее исправление: l0stparadise (всего исправлений: 1)
Ответ на: комментарий от anonymous

Специальные отделения для системников это свидетельство бредового подхода к организации рабочего места. А в таком случае наверняка найдётся не мало косяков, через которые можно получить доступ и не разбирая корпус вообще.

Не хочешь чтобы крышку снимали — замок нацепи.

Goury ★★★★★
()
Ответ на: комментарий от ktulhu666

Отмонтируется, не ссы. Питание на него поступать перестаёт и можно просто вынуть его из разъёма без последствий.

Goury ★★★★★
()
Ответ на: комментарий от DeadEye

Шпионские флешки маскируются хорошо. А ещё она может быть оставлена внутри корпуса, если там есть к чему зацепиться.

Goury ★★★★★
()
Ответ на: комментарий от ktulhu666

Ты сначала изучи что это такое и зачем оно нужно и как работает, а потом такую чушь на лоре пиши.

Goury ★★★★★
()
Ответ на: комментарий от Goury

свидетельство бредового подхода к организации рабочего места

Это использование кухонных столов для работы.

anonymous
()
Ответ на: комментарий от Goury

Давай, соверши манипуляции над шифрованным диском

BIOS/UEFI ничего в шифровании не понимает, поэтому boot-раздел придётся делать нешифрованным. Вот именно над ним манипуляции совершать и надо (добавить троян в initrd, который активируется, когда юзер уже введёт пароль для расшифровки).

ССЗБ

Так это как раз и есть самый безопасный вариант - весь диск зашифрован, а нешифрованный /boot храниться на флешке, с которой владелец никогда и не при каких обстоятельствах не расстаётся.

KivApple ★★★★★
()
Ответ на: комментарий от ktulhu666

Какая разница, что там сбрасывается, а что нет? Ты действительно считаешь, что нельзя внести изменения в примонтированную ФС? Да, будут проблемы, если изменить то, что успела закешировать ОС. Однако к initrd никаких обращений в ходе работы не происходит, его читает только загрузчик, когда кеширование ещё не работает. И если пользователь не ставил обновлений (который изменят initrd из-под рабочей ОС), то его можно свободно читать-писать. А кеши записи любая нормальная ОС таки перед засыпанием любого вида сбрасывает, ибо нет никаких гарантий, что компьютер проснётся, а не будет включен с нуля (пропадание электричества в случае s2ram, сбой загрузки образа при s2disk).

Даже при suspend to ram SSD будет обесточен и его будет возможно незаметно извлечь и поставить на место. В случае suspend to disk всё ещё проще - компьютер мало отличается от полностью отключенного, а при загрузке будет активирован сразу же новый initrd с нашим трояном, ибо загрузка до какого-то момента происходит с нуля, а лишь потом загружается образ ОЗУ из свапа. Однако suspend to ram крайне не рекомендуется, ибо при его использовании ключи шифрования вообще в ОЗУ лежать будут и их будет возможно извлечь определённым техническими средствами (разумеется, потребуется разборка корпуса, чтобы подключиться неким девайсом в шине памяти, с другой стороны мы получим сразу все данные, включая шифрованные, так что незаметность может оказаться уже не так уж важна - троян ставить и возвращать ноутбук хозяину не обязательно).

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 3)
Ответ на: комментарий от KivApple

добавить троян в initrd

Для этого надо получить доступ к венику.
А для этого надо как минимум разобрать корпус.
А на нём замок висит.

BIOS/UEFI ничего в шифровании не понимает

Нормальные ентерпрайзный биос прекрасно шифрует аппаратно нужные веники. И, в отличие от программного шифрования, оно не снижает производительность в десять раз.

не расстаётся

Пока такой буратина вставит свою флешку в свой запароленный системник со шпионом, любезно воткнутым хоть в любой свободный порт, хоть внутрь мыши или клавиатуры, хоть куда ещё.

Goury ★★★★★
()
Последнее исправление: Goury (всего исправлений: 1)
Ответ на: комментарий от KivApple

(разумеется, потребуется разборка корпуса, чтобы подключиться неким девайсом в шине памяти

Если ECC нет, то coldboot ребут и дамп снимает. Тема уже обсасана.

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от Goury

Пока такой буратина вставит свою флешку в свой запароленный системник со шпионом

Вы сейчас говорите про USB-разъём от АНБ со встроенным перехватчиком? Это потребует работы паяльником. Или Вы о чём?

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

Я думаю он имеет ввиду вставить свою загрузочную флешку и поднять приоритет загрузки для неё. Загрузчик на флешке не должен никак себя проявлять, а запустить ОС со следующего по списку загрузочного девайса (которым уже окажется флешка жертвы с boot-разделом). При этом загрузчик до того как отдаст управление должен установить перехват клавиатуры и сохранить всё, что вводит пользователь, включая пароль.

Тут есть два варианта:

1) Пропатчить загрузчик. Для этого надо точно знать, что именно с точностью до байта лежит на секретной флешке.

2) Использовать вещи типа System Managment Mode.

Не знаю насколько это реально технически.

KivApple ★★★★★
()

На нетбуке использую вынужденно, т.к. без него нельзя отключать SB и, ЕМНИП, UEFI вообще. А так не нужно

sudopacman ★★★★★
()
Последнее исправление: sudopacman (всего исправлений: 1)
Ответ на: комментарий от KivApple

Второе реально, АНБшники уже делали лет десять назад.

ktulhu666 ☆☆☆
() автор топика

Ставлю пасс на биос, винт и шифрую винт, загрузчик на флешке. Пусть че хотят, то и делают

anonymous
()

Стоит на ноуте. Хотя особого толку не вижу т.к. редко выключаю.

ashot ★★★★
()
Ответ на: комментарий от Deleted

Ну как же - без винтов корпус даже кот вскроет, а тут отвертку надо :)

yars068 ★★★★
()
Ответ на: комментарий от darkenshvein

а от кого-то спасут вообще?

да наверное ни от кого практически, если машина в распоряжении десяти минут.

andregin
()

Ставлю пасс на винт - оно как-то помогает. А на BIOS - от того, чтобы вошли в BIOS. У меня ноут. По-крайней мере, потрахаться придётся.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.