¿Cómo asegurar mi computadora portátil para que no sea posible piratear mediante acceso físico?

69

He estropeado mi sistema antes, me recibieron con una pantalla en negro cuando arranqué en Ubuntu. Cuando inicié mi computadora portátil, seleccioné la opción de recuperación en el menú de grub y elegí la opción de recuperación en la terminal raíz . Vi que podía usar el comando agregar usuario, con él, probablemente podría usarlo para crear un usuario con privilegios en mi máquina.

¿No es un problema de seguridad?

Se podría haber robado mi computadora portátil y al inicio elegir la recuperación y agregar otro usuario, entonces estoy chapuceado. Incluyendo mis datos.

Ahora que lo pienso, incluso si de alguna manera eliminas esa entrada, puedes arrancar desde un CD en vivo, obtener un chroot en funcionamiento y luego agregar otro usuario, con los privilegios correctos que le permiten ver todo mis datos.

Si configuro el BIOS para que arranque solo en mi HD, sin USB, CD / DVD, inicio de red y establezco una contraseña del BIOS, aún no tendría importancia, porque aún tendría esa entrada de inicio de recuperación de grub.

Estoy bastante seguro de que alguien de China, Rusia no puede hackear mi Ubuntu Trusty Tahr, de la red, porque es seguro así. Pero, si uno tiene acceso físico a mi-tu-máquina, entonces, bueno, es por eso que estoy haciendo esta pregunta. ¿Cómo puedo proteger mi máquina para que no sea posible piratear a través del acceso físico?

Informe de error:

pregunta blade19899 21.09.2015 - 09:51

7 respuestas

83

Supongo que solo el cifrado completo del disco con un algoritmo fuerte y, lo más importante, una buena contraseña es lo único que puede proteger los datos almacenados localmente. Esto le da probablemente un 99.99% de seguridad. Consulte una de las muchas guías sobre cómo hacer esto.

Además de eso, NO es posible proteger su máquina de un pirata informático experimentado con acceso físico.

  • Contraseñas de usuario / cuenta:
    Es fácil crear un nuevo usuario administrador si arranca en modo de recuperación, tal como se describió a sí mismo, porque obtiene un shell raíz sin que se le pidan contraseñas de esta manera.
    Eso podría parecer un problema de seguridad accidental, pero está destinado a (¿quién lo hubiera pensado?) Casos de recuperación, donde, por ejemplo, perdió su contraseña de administrador o dañó el comando sudo u otras cosas vitales.

  • contraseña de root:
    Ubuntu no ha configurado ninguna contraseña de usuario raíz de forma predeterminada. Sin embargo, puede configurar uno y se le solicitará si inicia en modo de recuperación. Esto parece bastante seguro, pero todavía no es una solución segura en última instancia. Todavía puede agregar el parámetro kernel single init=/bin/bash a GRUB antes de iniciar Ubuntu que lo inicie en modo de usuario único, que en realidad es un shell raíz sin contraseña también.

  • Proteger el menú de GRUB con una contraseña:
    Puede asegurar que las entradas del menú de GRUB solo sean accesibles después de la autenticación, es decir, puede denegar el inicio del modo de recuperación sin contraseña. Esto también evita manipular los parámetros del kernel. Para obtener más información, consulte el sitio Grub2 / Passwords en help.ubuntu.com . Esto solo se puede pasar por alto si arranca desde un medio externo o conecta el HDD a otra máquina directamente.

  • Desactivar el arranque desde un medio externo en el BIOS:
    Puede establecer el orden de arranque y, por lo general, excluir dispositivos de arranque en muchas versiones actuales de BIOS / UEFI. Sin embargo, esos ajustes no son seguros, ya que todos pueden ingresar al menú de configuración. También debe establecer una contraseña aquí, pero ...

  • Contraseñas de BIOS:
    Por lo general, también puede omitir las contraseñas de BIOS. Hay varios métodos:

    • Restablezca la memoria CMOS (donde se almacenan las configuraciones de BIOS) abriendo la carcasa de la computadora y retirando físicamente la batería CMOS o configurando temporalmente un puente "Borrar CMOS".
    • Restablezca la configuración del BIOS con una combinación de teclas de servicio. La mayoría de los fabricantes de placas madre describen las combinaciones de teclas en sus manuales de servicio para restablecer la configuración del BIOS en mal estado a los valores predeterminados, incluida la contraseña. Un ejemplo sería mantener ScreenUp mientras enciendo la alimentación, que, si mal no recuerdo, desbloqueó una placa base Acer con AMI BIOS una vez para mí después de que estropeé mi configuración de overclocking.
    • Por último, pero no menos importante, hay un conjunto de contraseñas predeterminadas del BIOS que parecen funcionar siempre, independientemente de la contraseña del conjunto real. No lo probé, pero este sitio ofrece una lista de ellos, categorizados por fabricante.
      ¡Gracias a Rinzwind por esta información y enlace!
  • Bloquea la carcasa de la computadora / niega el acceso físico a la placa base y el disco duro:
    Incluso si todo lo demás falla, un ladrón de datos aún puede abrir su computadora portátil / computadora, sacar la unidad de disco duro y conectarla a su propia computadora. Montarlo y acceder a todos los archivos no encriptados es pan comido. Debe colocarlo en un estuche seguro con seguro donde pueda estar seguro de que nadie podrá abrir la computadora. Sin embargo, esto es imposible para computadoras portátiles y difícil para computadoras de escritorio. ¿Quizás puedas pensar en tener una película de acción como un dispositivo de autodestrucción que haga explotar algunos explosivos si alguien intenta abrirla? ;-) ¡Pero asegúrese de que nunca más tendrá que abrirlo usted mismo para realizar tareas de mantenimiento!

  • Cifrado de disco completo:
    Sé que aconsejé este método como seguro, pero tampoco es 100% seguro si pierde su computadora portátil mientras está encendida. Existe un llamado "ataque de arranque en frío" que permite al atacante leer las claves de cifrado de su RAM después de restablecer la máquina en ejecución. Esto descarga el sistema, pero no vacía el contenido de la memoria RAM del tiempo sin que la potencia sea lo suficientemente corta.
    ¡Gracias a kos por su comentario sobre este ataque!
    También voy a citar su segundo comentario aquí:

      

    Este es un video antiguo, pero explica bien el concepto: " No lo olvidemos: ataques de arranque en frío en las claves de cifrado "en YouTube ; si tiene una contraseña del BIOS configurada, el atacante aún puede quitar la batería CMOS mientras la computadora portátil está encendida para habilitar la función personalizada diseñado para arrancar sin perder un segundo crucial, esto es más aterrador hoy en día debido a los SSD, ya que un SSD personalizado será capaz de volcar incluso 8GB en menos de 1 minuto, considerando una velocidad de escritura de ~ 150MB / s

    Pregunta relacionada, pero aún sin respuesta, sobre cómo prevenir los ataques de arranque en frío: ¿Cómo habilito Ubuntu (usando el cifrado de disco completo) para llamar a LUKSsupend antes de suspender / suspender a RAM?

Para concluir: actualmente, nada realmente protege su computadora portátil de ser utilizada por alguien con acceso físico e intención maliciosa. Solo puede encriptar completamente todos sus datos si es lo suficientemente paranoico como para arriesgarse a perderlo todo al olvidar su contraseña o un bloqueo. Entonces, el cifrado hace que las copias de seguridad sean incluso más importantes de lo que ya son. Sin embargo, también deben encriptarse y ubicarse en un lugar muy seguro.
O simplemente no entregue su computadora portátil y espere que nunca la perderá. ; -)

Si le importan menos sus datos pero más sobre su hardware, es posible que desee comprar e instalar un remitente de GPS en su caso, pero eso es solo para personas reales paranoicas o agentes federales.

    
respondido por el Byte Commander 21.09.2015 - 10:15
10

Encripta tu disco. De esta forma, su sistema y sus datos estarán seguros en caso de que le roben su computadora portátil. De lo contrario:

  • La contraseña del BIOS no ayudará: el ladrón puede extraer fácilmente el disco de su computadora y ponerlo en otra PC para arrancar desde allí.
  • Su contraseña de usuario / raíz tampoco ayudará: el ladrón puede montar fácilmente el disco como se explicó anteriormente y acceder a todos sus datos.

Te recomendaría tener una partición LUKS en la que puedas configurar un LVM. Puede dejar su partición de arranque sin encriptar para que solo tenga que ingresar su contraseña una vez. Esto significa que su sistema podría verse más fácilmente comprometido si se lo manipula (roba y devuelve sin que usted lo note), pero este es un caso muy raro y, a menos que piense que la NSA está siguiendo, un gobierno o algún tipo de mafia, no deberías estar preocupado por esto.

Su instalador de Ubuntu debería darle la opción de instalar con LUKS + LVM de una manera muy fácil y automática. No estoy volviendo a publicar los detalles aquí, ya que hay mucha documentación disponible en Internet. : -)

    
respondido por el Peque 21.09.2015 - 09:53
10

La computadora portátil más segura es la que no tiene datos. Puede configurar su propio entorno de nube privada y luego no almacenar nada de importancia localmente.

O saca el disco duro y derrítalo con termita. Si bien esto técnicamente responde a la pregunta, puede que no sea lo más práctico ya que ya no podrá usar su computadora portátil. Pero tampoco lo harán esos hackers siempre nebulosos.

Salvo esas opciones, cifre dos veces el disco duro y solicite que se enchufa una memoria USB para descifrarlo. El disco USB contiene un juego de claves de descifrado y el BIOS contiene el otro conjunto: contraseña protegida, por supuesto. Combine eso con una rutina de autodestrucción de datos automática si la unidad USB no está enchufada durante el arranque / reanudación desde la suspensión. Lleve la memoria USB a su persona en todo momento. Esta combinación también trata de XKCD # 538 .

    
respondido por el E. Diaz 21.09.2015 - 22:20
5

Hay un par de soluciones de hardware que vale la pena mencionar.

En primer lugar, algunas computadoras portátiles, como algunas portátiles empresariales de Lenovo, vienen con un interruptor de detección de manipulación que detecta cuándo se abre la carcasa. En Lenovo, esta función debe activarse en el BIOS y se debe configurar una contraseña de administrador. Si se detecta la manipulación, la computadora portátil (creo) se apagará inmediatamente, al encenderse mostrará una advertencia y requerirá la contraseña de administrador y el adaptador de CA adecuado para continuar. Algunos detectores de tamper también activarán una alarma sonora y se pueden configurar para enviar un correo electrónico.

La detección de sabotaje en realidad no impide la manipulación (pero puede dificultar el robo de datos de la RAM) y la detección de falsificación puede "bloquear" el dispositivo si detecta algo realmente dudoso, como intentar quitar la batería CMOS). La principal ventaja es que alguien no puede alterar el hardware de forma encubierta sin que usted lo sepa: si ha configurado una seguridad de software sólida como el cifrado total del disco, la manipulación oculta del hardware es definitivamente uno de los vectores de ataque restantes.

Otra seguridad física es que algunas computadoras portátiles se pueden bloquear en un muelle. Si la base está montada de forma segura en una mesa (a través de tornillos que estarán debajo de la computadora portátil) y la computadora portátil se mantiene bloqueada en la base cuando no esté en uso, entonces proporciona una capa adicional de protección física. Por supuesto, esto no detendrá a un ladrón determinado, pero definitivamente hace que sea más difícil robar la computadora portátil de tu casa o negocio, y mientras está bloqueada sigue siendo perfectamente utilizable (y puedes conectar periféricos, ethernet, etc. al muelle).

Por supuesto, estas características físicas no son útiles para asegurar una computadora portátil que no las tiene. Pero si eres consciente de la seguridad, puede valer la pena considerarlos al comprar una computadora portátil.

    
respondido por el Blake Walsh 21.09.2015 - 15:34
2

Además de encriptar tu disco (no lo solucionarás): - SELinux y TRESOR. Ambos endurecen el kernel de Linux e intentan dificultar que los atacantes lean cosas de la memoria.

Mientras lo hace: Ahora entramos en el territorio no solo del miedo al mal, chicos al azar que desean su información de tarjeta de débito (no lo hacen), sino a menudo de agencias de inteligencia. En ese caso, quiere que haga más:

  • Intenta purgar todo el código cerrado (también firmware) desde la PC. ¡Esto incluye UEFI / BIOS!
  • Utiliza tianocore / coreboot como nuevo UEFI / BIOS
  • Usa SecureBoot con tus propias llaves.

Hay suficientes de otras cosas que puede hacer, pero esas deberían dar una cantidad razonable de cosas que necesitan hacer cosquillas.

Y no te olvides de: xkcd ; -)

    
respondido por el larkey 21.09.2015 - 12:56
2

Porque cambiaste la pregunta un poco, aquí está mi respuesta a la parte modificada:

  

¿Cómo puedo proteger mi máquina para que no sea posible piratear a través del acceso físico?

Respuesta: No puede

Existen muchos sistemas avanzados de hardware y software como la detección de manipulación , el cifrado, etc., pero todo se reduce a esto:

Puede proteger sus datos, pero no puede proteger su hardware una vez que alguien haya tenido acceso a él. ¡Y si continúa utilizando cualquier hardware después de que otra persona tuviera acceso, está poniendo en peligro sus datos!

Use una computadora portátil segura con detección de manipulación que borre la memoria RAM cuando alguien intente abrirla, utilice el cifrado de disco completo, almacene copias de seguridad de sus datos encriptados en diferentes ubicaciones. Luego, haga lo más difícil posible para obtener acceso físico a su hardware. Pero si crees que alguien tuvo acceso a tu hardware, límpialo y tíralo.

La siguiente pregunta debes preguntar es: ¿Cómo puedo adquirir un nuevo hardware que no ha sido manipulado?

    
respondido por el Josef 24.09.2015 - 11:35
1

Utilice una contraseña ATA para su HDD / SSD

Esto evitará el uso del disco sin la contraseña . Esto significa que no puede iniciar sin la contraseña porque no puede acceder al MBR o al ESP sin la contraseña. Y si el disco se usa dentro de otra manchine, la contraseña aún es necesaria.

Por lo tanto, puede usar la llamada contraseña de usuario de ATA para su HDD / SSD. Esto generalmente se establece dentro del BIOS (pero esta no es una contraseña del BIOS).

Para mayor seguridad, también puede configurar una contraseña maestra ATA en el disco. Para desactivar el uso de la contraseña del fabricante.

Puedes hacer esto en la cli con hdparm también.

Cuidados adicionales se deben tomar porque puede perder todos sus datos si pierde la contraseña.

enlace

Nota: También hay debilidades aquí ya que hay programas que dicen recuperar la contraseña de ATA, o incluso reclaman eliminarla. Por lo tanto, tampoco es 100% seguro.

Nota: La contraseña ATA no viene necesariamente con FED (Full Disk Encryption)

    
respondido por el solsTiCe 16.10.2016 - 23:08

Lea otras preguntas en las etiquetas