LINUX.ORG.RU
ФорумSecurity

Как защитить данные при краже ноута?

 ,


1

1

Исходные данные такие:

  1. ваш лэптоп с некоей коммерческой/государственной тайной и личными файлами;
  2. из важных данных на лэптопе: ключи gpg и ssh, личные документы;
  3. все разделы зашифрованы (LUKS).

Сценарий атаки такой:

  1. злоумышленник узнает ваш логин/пароль от аккаунта Линукс, но не знает пароля для LUKS;
  2. злоумышленник крадёт ваш лэптоп;
  3. лэптоп в это время, разумеется, не выключен и находится в режиме сна;
  4. злоумышленник получает доступ к закрытым ключам ssh, т.к. пароль доступа к ним такой же, как к Линукс логину;
  5. т.к. все файлы после монтирования LUKS разделов открыты для пользователя, злоумышленник также получает доступ к вашим личным файлам.

Какие есть способы защиты от такой атаки кроме рекомендации использовать всюду разные пароли и выключать лэптоп на каждый чих? Желательно, чтобы работали из коробки на Ubuntu или Fedora, или с минимальным допилом (а не так, чтобы "а теперь откиньтесь на спинку кресла, и напишите драйвер вон для того USB токена).

★★★★★
DPT=17217
LUKS on LVM or LVM on LUKS
1 2 3
Ответ на: комментарий от anonymous

В общем случае, много чего.

  1. блокировать экран
  2. не переиспользовать пароли
  3. не разглашать никому пароли

И это без защиты от evil maiden, просто чтобы в FDE был хоть грамм смысла. ТС очень наглядно демонстрирует в своём мысленном эксперименте, как это все очевидно важно.

t184256 ★★★★★
()
Ответ на: комментарий от t184256

1, 2, 3

Об этом ещё и говорить надо, лол? Я правильно понимаю, что если не вдаваться в подобный маразм, то полнодискового шифрования всё же хватит?

anonymous
()
Ответ на: комментарий от sergej

за второй фактор что брать?

телефон с totp приложением например

Не нравится мне. Если украли пароль, то украсть общий секрет, еще проще. https://en.m.wikipedia.org/wiki/Time-based_One-Time_Password Зависит от второго девайса, мобилу, для входа в локальный комп вообще не хочется.

Проголосую за использование сканера отпечатка пальцев, для второго фактора.

anonymous
()
Ответ на: комментарий от gremlin_the_red

будем шифровать bash и dd с помощью LUKS.

И /boot тоже будем шифровать.

anonymous
()

государственной тайной

Да ну нафиг хранить это на лэптопе.

Решается так: берёшь макбук, включаешь шифрование, пароль для разлочивания реже используешь (=> злоумышленнику сложнее его узнать).

Если хочется линукс — запусти его в виртуалке на макбуке, на м1 это всё равно быстрее чем нативный линукс на 90% x86-ноутов.

Желательно, чтобы работали из коробки на Ubuntu или Fedora, или с минимальным допилом

https://wiki.archlinux.org/title/Google_Authenticator#Desktop_logins будет работать на убунте и федоре. Никаких драйверов, только мобильник.

x3al ★★★★★
()
Ответ на: комментарий от x3al

государственной тайной

Да ну нафиг хранить это на лэптопе.

Решается так: берёшь макбук

Шутники.

anonymous
()

все разделы зашифрованы (LUKS).

Как уже писали, своп тоже должен быть зашифрован. И «режим сна» должен быть с сохранением на диск и выключением. Чтобы при просыпании LUKS спрашивал пароль.

И тогда это не проблема.

А иначе:

лэптоп в это время, разумеется, не выключен и находится в режиме сна;

Этого условия достаточно.

Даже при вЫключенном компьютере из памяти можно достать данные: https://www.youtube.com/watch?v=JDaicPIgn9U А при включенном и подавно.

Если ОС загружена, и физический доступ не ограничен — остальное не важно.

Не нужны ни пароли, ни аккаунты.

С нужными инструментами можно изменить оперативную память, чтобы запустился специально подготовленный код, и выгрузил любые данные куда угодно.

Из простых примеров: https://en.wikipedia.org/wiki/DMA_attack

anonymous
()
Ответ на: комментарий от anonymous

Тебе я здесь уже третий раз повторяю: для безопасности ТОЛЬКО гибернация на шифрованный диск!

https://www.kernel.org/doc/Documentation/power/swsusp.txt

https://www.mayrhofer.eu.org/post/encrypted-suspend-to-disk/

https://www.linuxquestions.org/questions/linux-kernel-70/suspend-to-disk-encr...

https://blog.hackeriet.no/lvm-in-luks-with-encrypted-boot-partition-and-suspe...

Из этих ссылок по-настоящему интересна только последняя.

Правда, в ней на диске в открытом виде лежит EFI-загрузчик... Лучше сделать иначе.

Лучше вынести загрузчик на флешку. Тогда на ноуте будут только зашифрованные разделы. А флешку втыкаешь один раз, при включении, грузишь ОС, и вынимаешь.

Это защитит ещё от одного вектора атаки — когда в твоё отсутствие загрузчик на ноуте пропатчили и вставили в него троян.

anonymous
()
Ответ на: комментарий от anonymous

Спасибо анониму за два предыдущих комментария.

seiken ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Даже при вЫключенном компьютере из памяти можно достать данные: https://www.youtube.com/watch?v=JDaicPIgn9U А при включенном и подавно.

Для справки. На видео описаны два вида атаки:

  1. быстрое вынимание чипа памяти с предварительной обработкой каким-то криоагентом и анализом содержимого в стороннем устройстве;

  2. сброс системы по питанию с последующей загрузкой со стороннего USB носителя и анализа содержимого памяти.

Если для предотвращения п.2) достаточно выключить загрузку с USB в BIOS, то для предотвращения п.1) по идее достаточно после сброса данных в своп и перед выключением затирать (всю) RAM.

seiken ★★★★★
() автор топика

При краже ноута его скорее всего переформатируют и продадут на авито. Если же пришли за бабками, то тебя посадят в машину (с ноутом или без) и будут возить по нужным местам до получения желаемого. Возможно даже налом ))

vasily_pupkin ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2 3
DPT=17217
Security
LUKS on LVM or LVM on LUKS