Est-il prudent d'utiliser un ordinateur portable d'occasion après avoir réinstallé Ubuntu?

47

J'ai acheté un ordinateur portable à quelqu'un. Ubuntu 14 était sur l'ordinateur portable, j'ai effacé tout le disque et y ai installé Ubuntu 16. Je ne veux absolument pas que le propriétaire précédent ait accès à mes données ou à la frappe de clé. La réinstallation garantit-elle ma sécurité? Si non que devrais-je rechercher?

system-installation security rivu
la source
14
Non, le BIOS peut être compromis, Intel AMT peut être configuré pour contrôler l'ordinateur, le clavier peut être associé à un enregistreur de frappe, et ainsi de suite.
Chai T. Rex
6
@ ChaiT.Rex Vous pouvez recommander de flasher le BIOS depuis le site Web du
fabricant
36
@ rivu À moins que l'ancien propriétaire ne soit votre ex-conjoint ou le NSA, je ne m'inquiéterais pas. Effacer le disque dur et installer Ubuntu 16 est une précaution suffisante sans paranoïa.
WinEunuuchs2Unix
23
@rooby: Mais pas dans sa forme actuelle. La toute première chose que demanderaient les commentateurs d' Information Security serait la même chose que celle qui aurait dû être posée ici: quel est votre modèle de menace? Qui ou quel est votre adversaire? Combien d'argent, de ressources (et de morale) ont-ils ou veulent-ils dépenser pour l'attaque? Combien d'argent et de ressources avez - vous et souhaitez-vous dépenser pour la défense? Quelle est la valeur de vos données? Dans quelle mesure vos données sont-elles sensibles au temps? À quoi ressemble l'environnement dans lequel l'ordinateur portable va fonctionner? Par exemple, si quelqu'un peut simplement kidnapper vos enfants et menacer de vous blesser…
Jörg W Mittag
7
… Eux, et vous leur donnerez quand même les données, alors cela n'a aucun sens de sécuriser l'ordinateur portable sans sécuriser également votre maison, votre femme et vos enfants: xkcd.com/538
Jörg W Mittag Le

Réponses:

49

Réponse courte

OUI

Longue réponse

Oui mais...

Un ordinateur portable avec Ubuntu 14.04 installé par le propriétaire précédent est en moyenne plus sûr qu'un ordinateur avec Windows installé. Windows était bien connu pour ses "vers", ses "virus" et ses "chevaux de Troie". De nos jours, Windows est meilleur, mais les événements historiques restent encore dans l’esprit de la plupart des gens. Cette histoire affecte naturellement la pensée de nombreux (mais pas tous) nouveaux utilisateurs de Linux / Ubuntu. Je pense qu'il est important de souligner combien les virus sont moins probables.

Certains programmes binaires Linux peuvent capturer vos frappes au clavier . Un ancien propriétaire pourrait avoir un tel programme installé et un autre programme pour transmettre vos frappes enregistrées à une adresse Internet. Le fait que vous ayez effacé le disque dur et installé Ubuntu 16.04 aurait dû l’éradiquer.

Pense à retenir:

  • Comme je l'ai mentionné dans les commentaires ci-dessous votre question, à moins qu'un ex-conjoint ou la NSA ne vous vende l'ordinateur portable usagé, vous ne devriez pas vous inquiéter autant.
  • Si un propriétaire configure la machine pour qu'il vous espionne et que vous l'ayez achetée, cela signifie que la machine est votre propriété. Toutes les données recueillies par le propriétaire précédent les rend coupables d’intrusion volontaire. La police pourrait également envisager de les inculper dans l'intention de commettre une fraude, un chantage ou un vol (via des opérations bancaires en ligne). La plupart des gens ne prendraient pas ce risque.

Points généraux sur les enregistreurs de frappe:

  • Les employeurs peuvent légalement les utiliser pour espionner des employés parce que les ordinateurs leur appartiennent
  • Les directeurs d'école ont été connus pour espionner les étudiants dans les chambres en activant à distance les webcams sur l'ordinateur portable de l'école que l'élève utilise.
  • Les bibliothèques qui demandent 12 $ pour une carte de bibliothèque annuelle ne pourraient probablement pas utiliser les enregistreurs de frappe, mais récemment, ma bibliothèque municipale a rendu les cartes de bibliothèque gratuites, alors je suppose qu'elles pourraient probablement le faire légalement.
  • Si vous vivez dans une maison partagée ou que d’autres personnes ont accès à votre ordinateur au travail, vous voudrez peut-être installer votre propre enregistreur de frappe sur votre ordinateur pour voir si d’autres personnes y accèdent en votre absence.

Dans la partie commentaire de votre question, moi-même et d’autres sommes coupables d’avoir détourné votre question en parlant de la reprogrammation du BIOS et de la puce ROM. C’est extrêmement improbable si vous n'êtes pas propriétaire d’un échange de bitcoins que la Réserve fédérale américaine ou le Trésor américain étaient désireux d’éradiquer. Cependant, cela signifierait également que vous n'achèteriez pas un ordinateur usagé en premier lieu.

WinEunuuchs2Unix
la source
11
"vous n'achèteriez pas un ordinateur usagé en premier lieu" et en acheter un nouveau ne vous aidera pas.
Talex
2
Je ne sais pas si la Réserve fédérale américaine ou le Trésor utilisent des méthodes sournoises comme celle-ci pour atteindre leur objectif. Cela ne semble pas vraiment faire partie de leur mission. Je pense qu'il est plus probable qu'ils passent par le ministère de la Justice et les tribunaux pour faire respecter leurs politiques. Mais je suis hors du sujet…
David Foerster
4
Nous parlons de logiciels malveillants qui survivent à une suppression de disque ici. Ce n’est pas parce qu’Ubuntu 14.04 était le dernier système d’exploitation de l’ordinateur que c’était le seul.
Dennis
12
OP ne mentionnant rien de Windows, votre premier paragraphe est donc une incursion hors sujet.
Gronostaj
6
La popularité de Windows donne des idées préconçues sur les problèmes de sécurité pour la plupart des gens. Il est important de les supprimer dans le monde Linux / Ubuntu.
WinEunuuchs2Unix
43

Dans un commentaire, @ JörgWMittag écrit que vous devez toujours demander "Quel est votre modèle de menace?" En d'autres termes: qui est l'adversaire et quelles informations voulez-vous lui cacher? Que vaut-il pour eux?

Si vous avez peur d'un adversaire appartenant au niveau gouvernemental et que celui-ci pense que vous en valez la peine, rien n'est à l'abri. Vous pouvez faire ce que vous voulez, ce ne sera pas en sécurité.

Toutefois, si vous êtes simplement une personne moyenne inquiète d'autres personnes, la réinstallation du système d'exploitation devrait suffire amplement.

Une inquiétude est que même si vous sécurisez le logiciel, le matériel ou le micrologiciel pourrait être compromis. Cependant, cela serait coûteux pour l’attaquant et donc hautement improbable.

Connaissez-vous le vendeur? S'ils ne sont qu'une personne aléatoire sur eBay, ils ne se soucieront pas assez de vous pour faire quoi que ce soit.

Vous pourriez vous inquiéter un peu si vous connaissez le vendeur ET qu'ils ont une rancune contre vous ET qu'ils maîtrisent bien le matériel informatique.

Si vous avez des questions plus spécifiques, ils devraient probablement aller sur Security SE.

Stig Hemmer
la source
3
C'est une bonne réponse car cela permet de garder les choses en perspective.
qwr
1
"Tu peux faire ce que tu veux, ça ne sera pas en sécurité." Je ne sais pas ... Vous devez probablement être un spécialiste au niveau Snowden, mais ce n'est pas littéralement impossible.
Cubuspl42
2
Un vendeur malveillant sur eBay peut délibérément envoyer des ordinateurs portables infectés à des fins de piratage commercial: collecter des informations pour soutenir un stratagème d'usurpation d'identité; le cryptomalware peut être préinstallé sur l'ordinateur portable pour pouvoir être activé ultérieurement; l'ordinateur portable pourrait être accompagné d'une infection par un botnet pour détruire les serveurs de jeux adverses (la motivation de Mirai). Les pirates se sont réintégrés dans la peau de boogeymen, il ne faut pas seulement espionner les entreprises et les gouvernements.
YetAnotherRandomUser
2
@YetAnotherRandomUser J'ai lu des mineurs de Bitcoin ont détourné certains jeux que les gens jouent en ligne pour exécuter des calculs qui les aident à extraire des pièces de monnaie avec l'ordinateur du joueur. Bien que cela ne soit probablement pas préjudiciable pour les données, l'utilisateur paie plus pour l'électricité et joue plus lentement.
WinEunuuchs2Unix
15

Assez bien oui , mais…

Malheureusement, un accès physique direct non supervisé à un ordinateur annule sensiblement toute sécurité car, théoriquement, un attaquant disposant d'un accès physique peut faire tout ce qu'il veut avec la machine, y compris en altérant celle-ci pour compromettre tous les logiciels qui l'exécutent à l'avenir. C'est très difficile à détecter. Cependant, il est tout aussi difficile de s’en tirer au départ et prend donc un attaquant très dévoué. Même pour ceux-là, il serait beaucoup plus simple d'essayer d'abord d'autres vecteurs d'attaque.

Conclusion: vous êtes en sécurité à moins d'attirer d'une manière ou d'une autre l'attention d'un attaquant très dévoué et débrouillard.

David Foerster
la source
Bien que la première partie soit assez précise, je ne suis pas sûre que la conclusion soit correcte. Pensez à combien de temps les rootkits génériques du fournisseur ont survécu sans être trouvés, et ils n'étaient pas tout à fait subtils. Il pourrait y avoir beaucoup d’argent criminel à gagner si on revend, disons, des milliers d’ordinateurs portables, et qu’il installe un mineur crypto dans chacun d’eux (pour voler l’électricité des victimes); au moment où ils sont découverts des mois ou des années plus tard, l'auteur est parti depuis longtemps ...
madscientist159
15

Avertissement: je vais offrir un point de vue différent à cette question

Q: Est-il prudent d'utiliser un ordinateur portable d'occasion après avoir réinstallé Ubuntu?

A: NON

Une simple réinstallation ne le rendra pas "sûr" au sens général, et ne le rendra pas non plus si vous pensez être victime d'une attaque de votre vendeur.

Quelques points à ce sujet:

  1. Confiance

Tout matériel "étranger" que vous utilisez et / ou importez d'une source "non approuvée" sur votre réseau domestique constitue un risque et ne doit pas être approuvé par défaut. Cependant, à qui faites- vous confiance? Cela dépend en grande partie de votre cible et de votre paranoïa ...

Il est difficile de faire des généralisations ici et de dire que les gros fournisseurs de matériel sont sûrs d'acheter, car le passé a montré qu'ils ne le sont pas . Voir quelques faits saillants au hasard ici:

Bien que ces nouvelles que j'ai trouvées avec googlefu rapide soient axées sur Windows, il est courant de penser à tort que Linux est à l'abri de virus / chevaux de Troie . En outre, ils peuvent tous être attribués, du moins dans une certaine mesure, à la négligence plutôt qu’à des attaques délibérées.

Plus précisément encore, nous ne savons généralement pas ce qui se cache dans les microprogrammes et les pilotes propriétaires qui n’ont pas été revus par des pairs ( et même les logiciels revus par les pairs peuvent parfois être la source de mythes et de méfiance ).

Pour citer une étude de 2015 :

Avec le micrologiciel du système, les systèmes informatiques modernes offrent une couche logicielle beaucoup plus privilégiée, même si elle est récemment devenue la cible des attaques informatiques sophistiquées. Les stratégies de compromis utilisées par les rootkits de haut niveau sont presque totalement invisibles pour les procédures judiciaires standard et ne peuvent être détectées qu'avec des mécanismes logiciels ou matériels spéciaux.

Donc, avec une attaque spécifique et ciblée en tête, il est même plausible - bien que très improbable puisqu'il existe des méthodes plus simples - que le microprogramme de votre ordinateur portable, ou le BIOS ou même le matériel lui-même ait été manipulé (avec un microcontrôleur / keylogger soudé sur la carte mère, etc).

En conclusion à ce point:

Vous ne pouvez faire confiance à AUCUN matériel - à moins de l'avoir soigneusement contrôlé, du matériel au pilote en passant par le microprogramme.

Mais qui fait ça, non? Eh bien, cela nous amène au point suivant.

  1. Risque et exposition

Quelle est la probabilité que vous soyez une cible ?

Eh bien, c’est quelque chose que vous ne pouvez déterminer que par vous-même et il n’existe pas de guide point-à-point (que j’aurais pu trouver), mais voici quelques conseils d’exposition:

  • Combien y a-t-il à te voler : Outre le numéro de sécurité sociale évident (pour les Américains) et les cartes de crédit / services bancaires (pour tous les autres), peut-être êtes-vous riche ou avez-vous récemment gagné de l'argent (héritage, primes, alt-coins, etc) ou vous possédez une entreprise?

  • Êtes-vous exposé à votre travail ? Peut-être gérez-vous des fichiers confidentiels, êtes-vous actif dans une fonction politique, travaillez- vous au DMV ou travaillez-vous pour Evil Corp ou avez-vous intérêt à vous attaquer / espionner à cause de votre travail ( gouvernement, militaire, science, etc.)

  • Êtes-vous exposé par procuration : Peut-être que ce n'est pas vous qui êtes riche, mais une famille élargie ou que vous n'avez pas d'entreprise, mais que votre conjoint en a une, etc.

  • Ennemis : Peut - être qu'il ya des gens dehors pour vous obtenir, qui ont la rancune de transactions commerciales, d' anciens employeurs ou des employés, etc. Peut - être que vous êtes actuellement dans une procédure de divorce ou la lutte contre de la garde des enfants, etc.

et le risque , qui alourdit principalement à

  • Sources douteuses : Achetez-vous un ordinateur portable dans le coffre d'une voiture d'un type que vous venez de rencontrer, il y a quelques minutes à peine, pour un sou? Des échanges darknet? De nouveaux vendeurs sur eBay ou des vendeurs qui semblent avoir utilisé des robots pour faire des commentaires?
  • Corriger : Vous vivez selon la devise " Ne touchez jamais à un système en fonctionnement " et il est peu probable que vous corrigiez votre logiciel et votre système d'exploitation.

Alors, devriez-vous commencer à payer les gens pour qu’ils examinent les micrologiciels à sources fermées, effacent tout, etc. et retirent les microphones intégrés de votre ordinateur portable?

Non, car il y a aussi

  1. Coût, ressemblance et découverte d'une attaque

À moins que vous ne soyez la cible très médiatisée d'un groupe très riche, peut-être même gouvernemental, vos attaquants feront preuve de la moindre résistance et de la vulnérabilité la plus extrême .

Parce que les kits d’outils d’exploitation hautement spécialisés «zero-day» coûtent de l’argent et que les attaques spécialisées contre les microprogrammes sont encore plus rentables. La manipulation physique de votre matériel risque de vous exposer - et ces personnes ne veulent généralement pas se faire prendre.

Le passé nous montre qu'il est beaucoup plus probable que quelqu'un essaiera simplement de voler votre ordinateur portable pour obtenir des données précieuses, plutôt que de planter un ordinateur infecté.

Vous pouvez également exploiter une vulnérabilité de sécurité connue que vous n'avez pas corrigée parce que vous n'avez pas mis à jour votre système d'exploitation et vos applications vers la dernière version ou parce qu'il n'y a actuellement pas de (bon) correctif disponible pour le moment . Piratage dans votre WiFi ou peut-être même LAN pourrait également être plus faisable.

Il est également beaucoup plus facile d’essayer d’obtenir vos identifiants de connexion pour des opérations bancaires, etc. via le phishing ou l’ingénierie sociale, plutôt que de manipuler votre ordinateur portable.

Il a récemment été rapporté que des personnes essayaient de cloner une carte SIM en s'adressant simplement à votre opérateur de téléphonie mobile et en prétendant être vous - sans que le personnel ne le défie - et en l'utilisant par la suite pour intercepter les messages TAN de votre banque afin de vider vos comptes. ( Bien que pour la vie de moi je ne trouve rien à ce sujet sur Google pour le moment )

  1. Conclusion

Enlever mon chapeau en papier d'aluminium, laissez-moi vous indiquer cette bonne entrée du wiki d'Ubuntu sur les principes de base de la sécurité pour les utilisateurs .

Robert Riedl
la source
3
Même le micrologiciel du fournisseur par défaut contient des portes dérobées pour la NSA
Suici Doga
1
@SuiciDoga, c'est pourquoi j'ai dit de ne pas faire confiance aux logiciels fermés par défaut. L'examen par les pairs peut être la première étape.
Robert Riedl
Déni de responsabilité inutile. La plupart des gens ici apprécient d'entendre l'autre côté de l'histoire même s'ils ne sont pas d'accord. +1 J'espère que ma banque suivra vos conseils, mais je ne m'inquièterai pas pour l'acheteur occasionnel d'ordinateurs portables.
WinEunuuchs2Unix
1

Sur une note pratique, si vous êtes préoccupé par la sécurité au point de ne pas faire confiance au matériel, vous devriez envisager d’emmener votre ordinateur portable dans un centre de service. Les gens là-bas seront en mesure de vous dire si votre ordinateur portable a déjà été ouvert auparavant et de repérer tout matériel modifié / inhabituel éventuellement installé. De nombreuses attaques avancées (telles que les enregistreurs de frappe physiques, qui survivront à une réinstallation du système d'exploitation) nécessiteront que le propriétaire précédent ouvre le dossier.

Vous pouvez essayer de faire l’inspection vous-même (vérifier l’état de dommages des collerettes, jantes, vis et étiquettes inviolables / scellés de garantie), mais vous aurez probablement tendance à oublier bien plus d’indices qu’un testament professionnel. Par exemple, vous verrez si une étiquette anti-altération est endommagée, mais vous pouvez en oublier une fausse ou une manquante.

Dmitry Grigoryev
la source