Comment sécuriser mon ordinateur portable afin que le piratage par accès physique ne soit pas possible?

73

Je me suis trompé mon système plus tôt, j'ai été accueilli avec un écran noir, lors du démarrage à Ubuntu. Lorsque j'ai démarré mon ordinateur portable, j'ai sélectionné l'option de récupération dans le menu contextuel, puis l'option de repli au terminal racine . J'ai vu que je pouvais utiliser la commande add user, avec laquelle je pourrais probablement utiliser pour créer un utilisateur privilégié sur ma machine.

N'est-ce pas un problème de sécurité?

On aurait pu voler mon ordinateur portable et au démarrage choisir la récupération et ajouter un autre utilisateur, je suis falsifié alors. Y compris mes données.

À bien y penser, même si vous supprimez cette entrée d’une manière ou d’une autre, vous pouvez démarrer à partir d’un live-CD, l’utiliser chrootet en ajouter un autre, avec les privilèges adéquats lui permettant de voir toutes mes données.

Si je configure le BIOS de manière à ce qu'il ne démarre que sur mon disque dur, sans USB, CD / DVD, démarrage réseau, ni mot de passe BIOS, cela n'a pas d'importance, car vous disposeriez toujours de cette entrée de démarrage pour la récupération grub.

Je suis à peu près sûr que quelqu'un de Chine ou de Russie ne peut pas pirater mon réseau Ubuntu Trusty Tahr, car il est sécurisé comme ça. Mais si quelqu'un a un accès physique à ma - votre - machine, alors, eh bien, c'est pourquoi je pose cette question. Comment puis-je sécuriser ma machine afin que le piratage par accès physique ne soit pas possible?

Rapport d'erreur:

14.04 grub2 security encryption lame19899
la source
35
Cryptage complet du disque et glitternailpolish pour vos vis. Qui ne fait pas ça aujourd'hui?
Mondjunge
2
@ByteCommander vous pouvez ajouter des utilisateurs root. Ajoutez simplement un autre utilisateur avec l'identifiant utilisateur 0 à / etc / password. Je viens d'ajouter fred fred:x:0:0:fred,,,:/home/fred:/bin/bashet maintenant, si je me connecte en tant que fred et que whoamije cours , je reçoisroot
Josef
3
@ByteCommander ils devraient être. Les outils permettant de gérer des comptes tels que adduseretc. ne vous permettent généralement pas de le faire, vous pouvez simplement éditer /etc/passwd. Être un hacker, c'est ignorer ce qu'il faut faire;)
Josef
3
@ blade19899 Votre nouveau bug sera sûrement refusé. Comparez celui-ci: bugs.launchpad.net/ubuntu/+bug/283662
Byte Commander
4
@ blade19899 Mon point plus général est qu'il faut penser en termes de risques et de compromis, et non en absolus. Je n'ai aucune idée de qui vous êtes ni de l'endroit où vous vivez, mais un cambriolage conduisant à une personne utilisant efficacement vos données (au lieu d'essayer simplement de décharger le matériel) peut sembler un peu exagéré et peut-être moins préoccupante que l'heure, perte d’argent ou même de données qui pourrait résulter de l’absence d’options de récupération efficaces. C'est pourquoi il est bon d'avoir un terminal racine de secours. Mais, évidemment, cela ne veut pas dire que vous ne devriez pas vous intéresser au chiffrement intégral du disque.
Détente

Réponses:

86

Je suppose que seul le chiffrement intégral du disque utilisant un algorithme puissant et, ce qui est le plus important, un bon mot de passe est la seule chose qui peut sécuriser vos données stockées localement. Cela vous donne probablement 99,99% de sécurité. Veuillez vous référer à l’un des nombreux guides pour savoir comment procéder.

De plus, il n'est PAS possible de sécuriser votre ordinateur contre un pirate informatique expérimenté disposant d'un accès physique.

  • Mots de passe utilisateur / compte:
    il est facile de créer un nouvel utilisateur administrateur si vous démarrez en mode de récupération, comme vous l'avez décrit vous-même, car vous obtenez un shell root sans que les mots de passe ne soient demandés.
    Cela pourrait ressembler à un problème de sécurité accidentel, mais est destiné aux ((qui l'auraient pensé)?) Les cas de récupération, où vous avez par exemple perdu votre mot de passe administrateur ou foiré la sudocommande ou d'autres choses vitales.

  • mot de passe root:
    Ubuntu n'a pas défini de mot de passe d'utilisateur root par défaut. Cependant, vous pouvez en définir un et il vous sera demandé si vous démarrez en mode de récupération. Cela semble assez sécurisé, mais n’est toujours pas une solution finalement sécurisée. Vous pouvez toujours ajouter le paramètre de noyau single init=/bin/bashvia GRUB avant de démarrer Ubuntu qui le démarre en mode mono-utilisateur - qui est en fait un shell root sans mot de passe également.

  • Sécurisation du menu GRUB avec un mot de passe:
    Vous pouvez sécuriser les entrées de votre menu GRUB pour qu’elles ne soient accessibles qu’après l’authentification, c’est-à-dire que vous pouvez refuser d’amorcer le mode de récupération sans mot de passe. Cela empêche également de manipuler les paramètres du noyau. Pour plus d'informations, consultez le site Grub2 / Passwords sur help.ubuntu.com . Cela ne peut être contourné que si vous démarrez depuis un support externe ou si vous connectez directement le disque dur à une autre machine.

  • Désactiver le démarrage à partir d'un support externe dans le BIOS:
    vous pouvez définir l'ordre de démarrage et généralement exclure des périphériques du démarrage dans de nombreuses versions actuelles du BIOS / UEFI. Ces paramètres ne sont toutefois pas sécurisés, car tout le monde peut accéder au menu de configuration. Vous devez également définir un mot de passe ici, mais ...

  • Mots de passe du BIOS:
    Vous pouvez généralement contourner également les mots de passe du BIOS. Il y a plusieurs méthodes:

    • Réinitialisez la mémoire CMOS (où les paramètres du BIOS sont stockés) en ouvrant le boîtier de l'ordinateur et en retirant physiquement la pile CMOS ou en définissant temporairement un cavalier "Clear CMOS".
    • Réinitialiser les paramètres du BIOS avec une combinaison de touches de service. La plupart des fabricants de cartes mères décrivent les combinaisons de touches dans leurs manuels de maintenance pour réinitialiser les paramètres du BIOS perturbés aux valeurs par défaut, y compris le mot de passe. Un exemple serait de tenir ScreenUpen mettant sous tension, ce qui, si je me souviens bien, a déverrouillé une carte mère acer avec le BIOS AMI une fois pour moi après que je me suis trompé dans les paramètres d’overclocking.
    • Dernier point mais non le moindre, il existe un ensemble de mots de passe BIOS par défaut qui semblent toujours fonctionner, indépendamment du mot de passe réel défini. Je ne l'ai pas testé, mais ce site propose une liste d'entre eux, classée par fabricant.
      Merci à Rinzwind pour cette information et ce lien!

  • Verrouillez le boîtier de l'ordinateur / refusez l'accès physique à la carte mère et au disque dur:
    même si tout le reste échoue, un voleur de données peut toujours ouvrir votre ordinateur portable, extraire le disque dur et le connecter à son propre ordinateur. Le monter et accéder à tous les fichiers non cryptés est un jeu d'enfant. Vous devez le placer dans un boîtier bien verrouillé où vous pouvez être sûr que personne ne pourra ouvrir l'ordinateur. Ceci est cependant impossible pour les ordinateurs portables et difficile pour les ordinateurs de bureau. Peut-être pouvez-vous penser à posséder un film d'action comme un dispositif autodestructeur qui fait exploser des explosifs à l'intérieur si quelqu'un tente de l'ouvrir? ;-) Mais assurez-vous que vous n'aurez jamais à l'ouvrir vous-même pour la maintenance!

  • Cryptage intégral du disque:
    Je sais que cette méthode est sécurisée, mais elle n’est pas sûre à 100% si vous perdez votre ordinateur portable pendant qu’il est allumé. Il existe une soi-disant "attaque de démarrage à froid" qui permet à l'attaquant de lire les clés de cryptage à partir de votre RAM après avoir réinitialisé la machine en cours d'exécution. Cela décharge le système, mais ne vide pas le contenu de la RAM du temps sans alimentation est assez courte.
    Merci à kos pour son commentaire à propos de cette attaque!
    Je vais aussi citer son deuxième commentaire ici:

    Ceci est une vieille vidéo, mais explique bien le concept: "N'oublions pas que nous nous attaquons au froid: attaques de démarrage à froid sur des clés de cryptage" sur YouTube ; Si vous avez défini un mot de passe BIOS, l'attaquant peut toujours retirer la batterie CMOS pendant que l'ordinateur portable est toujours allumé pour permettre au lecteur conçu de manière personnalisée de démarrer sans perdre une seconde cruciale. de nos jours, cela est plus effrayant à cause des disques SSD, puisqu'un disque SSD spécialement conçu sera capable de décharger même 8 Go en moins d'une minute, avec une vitesse d'écriture de ~ 150 Mo / s

    Question connexe, mais toujours sans réponse, sur la manière de prévenir les attaques de démarrage à froid: Comment puis-je activer Ubuntu (en utilisant le chiffrement intégral du disque) pour appeler LUKSsupend avant de mettre en veille / de suspendre dans la RAM?

Pour conclure: à l'heure actuelle, rien ne protège réellement votre ordinateur portable de son utilisation par une personne ayant un accès physique et une intention malveillante. Vous ne pouvez entièrement chiffrer toutes vos données que si vous êtes suffisamment paranoïaque pour risquer de tout perdre en oubliant votre mot de passe ou en bloquant votre compte. Le cryptage rend donc les sauvegardes encore plus importantes qu'elles ne le sont déjà. Cependant, ils devraient également être cryptés et situés dans un endroit très sûr.
Ou alors, ne donnez pas votre ordinateur portable en espérant que vous ne le perdrez jamais. ;-)

Si vous vous souciez moins de vos données que de votre matériel, vous voudrez peut-être acheter et installer un émetteur GPS dans votre cas, mais cela ne concerne que les vrais paranoïaques ou les agents fédéraux.

Byte Commander
la source
7
Et malgré cela, le cryptage intégral du disque ne vous éviterait pas les attaques de démarrage à froid, si votre ordinateur portable est volé pendant qu'il est allumé!
kos
14
De plus, une fois que votre ordinateur portable a échappé à votre contrôle, vous ne pouvez plus vous attendre à ce qu'il soit en sécurité. Il pourrait maintenant enregistrer votre mot de passe de pré-démarrage, par exemple.
Josef
1
Crypter vos données ne devrait pas augmenter le risque de les perdre, car vous avez des sauvegardes, n'est-ce pas? Les données stockées une seule fois ne valent guère mieux que les données inexistantes. Les disques SSD, en particulier, ont tendance à échouer soudainement sans aucune chance de les obtenir.
Josef
3
Ceci est une vieille vidéo, mais explique bien le concept: youtube.com/watch?v=JDaicPIgn9U ; Si vous avez défini un mot de passe BIOS, l'attaquant peut toujours retirer la batterie CMOS pendant que l'ordinateur portable est toujours allumé pour permettre au lecteur conçu de manière personnalisée de démarrer sans perdre une seconde cruciale. de nos jours, cela est plus effrayant à cause des disques SSD, puisqu'un disque SSD fabriqué sur mesure sera probablement capable de décharger même 8 Go en moins d'une minute, avec une vitesse d'écriture de ~ 150 Mo / s
kos
2
@ ByteCommander mais votre SSD peut échouer de la même manière et toutes vos données sont perdues. Bien sûr, si vous avez tendance à oublier les mots de passe (eh bien, écrivez-les et mettez-les dans votre coffre-fort), la probabilité de perdre toutes vos données pourrait augmenter avec le cryptage, mais ce n'est pas comme si vos données étaient super sûres à moins que vous n'osiez les chiffrer. . Vous ne "risquez pas tout en oubliant votre mot de passe ou un crash", vous ne le faites pas sans sauvegarde.
Josef
11

L'ordinateur portable le plus sécurisé est celui qui ne contient aucune donnée. Vous pouvez configurer votre propre environnement de cloud privé et ne rien stocker d’important localement.

Ou sortez le disque dur et faites-le fondre avec de la thermite. Bien que cela réponde techniquement à la question, il se peut que ce ne soit pas la solution la plus pratique car vous ne pourrez plus utiliser votre ordinateur portable. Mais ces pirates toujours aussi nébuleux ne le seront pas non plus.

Si ces options ne sont pas disponibles, double-chiffrez le disque dur et utilisez une clé USB pour le déchiffrer. La clé USB contient un jeu de clés de déchiffrement et le BIOS contient l'autre jeu - protégé par mot de passe, bien sûr. Combinez cela avec une routine d'autodestruction automatique des données si la clé USB n'est pas connectée pendant le démarrage / la reprise après une suspension. Portez la clé USB sur vous en tout temps. Cette combinaison concerne également XKCD # 538 .

XKCD # 538

E. Diaz
la source
7
La routine d’autodestruction automatique sera certainement une agréable surprise une fois que votre clé USB aura accumulé de la poussière sur les pastilles de contact.
Dmitry Grigoryev
10

Cryptez votre disque. De cette façon, votre système et vos données seront en sécurité en cas de vol de votre ordinateur portable. Autrement:

  • Le mot de passe du BIOS ne vous aidera pas: le voleur peut facilement extraire le disque de votre ordinateur et le placer sur un autre PC pour le démarrer.
  • Votre mot de passe utilisateur / racine ne vous aidera pas non plus: le voleur peut facilement monter le disque comme expliqué ci-dessus et accéder à toutes vos données.

Je vous recommanderais d'avoir une partition LUKS dans laquelle vous pourriez configurer un LVM. Vous pouvez laisser votre partition de démarrage non chiffrée afin de ne devoir entrer votre mot de passe qu'une fois. Cela signifie que votre système pourrait être plus facilement compromis s'il était altéré (volé et rendu sans que vous le remarquiez), mais il s'agit d'un cas très rare et, à moins que vous ne pensiez être suivi par la NSA, un gouvernement ou une sorte de mafia, vous ne devriez pas vous inquiéter à ce sujet.

Votre installateur Ubuntu devrait vous permettre d’installer LUKS + LVM de manière très simple et automatisée. Je ne ré-affiche pas les détails ici, car il y a déjà beaucoup de documentation sur Internet. :-)

Peque
la source
Si possible, pourriez-vous donner une réponse plus détaillée? Comme vous pouvez le constater par ma question, je ne suis pas un féru de sécurité.
blade19899
voté pour les points de la balle, mais notez que le chiffrement de disque complet n'est pas le seul moyen, ni nécessaire si vous limitez vos fichiers sensibles à /home/yourName- comme vous devriez! - puis empilez ce dossier avec un pilote de chiffrement au niveau du fichier (tel que celui que j'ai mentionné à l'OP et qui ne spamme plus), une alternative très viable. Je ne m'inquiète pas pour les gens qui voient toutes ces choses ennuyeuses /usr, etc.
underscore_d
1
@underscore_d: Je suis en effet préoccupé par d'autres choses à l'extérieur /home(y compris des données personnelles et professionnelles dans d'autres partitions), il est donc plus facile pour moi de tout chiffrer, mais je suppose que chaque utilisateur a ses propres besoins :-). Cependant, l'utilisation ecryptfsn'est pas la meilleure décision en termes de performances. Vous pouvez trouver quelques repères ici . Assurez-vous de lire les pages 2-5de l'article pour obtenir les résultats réels (la page 1n'est qu'une introduction).
Peque
Très vrai, merci pour le lien / benchmarks. Je n'ai encore rencontré aucun obstacle au niveau des performances, mais je le ferai peut-être plus tard. En outre, je me suis rendu compte que je devrais probablement commencer à penser au chiffrement de choses telles que /var/log, /var/www(source), & /tmp, alors peut-être que le chiffrement intégral du disque commencera à sembler plus judicieux!
underscore_d
@underscore_d: Oui, et ensuite vous commencez à penser à d' /etcautres répertoires de premier niveau ... À la fin, le cryptage intégral du disque est une solution simple et rapide qui vous permettra de dormir comme un bébé chaque nuit. ^^
Peque
5

Il convient de noter quelques solutions matérielles.

Tout d’abord, certains ordinateurs portables, tels que certains ordinateurs portables professionnels Lenovo, sont livrés avec un commutateur de détection d’altération qui détecte l’ouverture du boîtier. Sur Lenovo, cette fonctionnalité doit être activée dans le BIOS et un mot de passe administrateur doit être défini. Si une altération est détectée, l'ordinateur portable (je crois) s'éteindra immédiatement. Au démarrage, il affichera un avertissement et demandera le mot de passe de l'administrateur et l'adaptateur secteur approprié pour continuer. Certains détecteurs de violation déclenchent également une alarme sonore et peuvent être configurés pour envoyer un courrier électronique.

La détection de sabotage n'empêche pas vraiment le sabotage (mais cela peut rendre plus difficile le vol de données dans la RAM - et la détection de sabotage peut "masquer" le périphérique s'il détecte quelque chose de vraiment louche, comme essayer de retirer la batterie CMOS). Le principal avantage est que personne ne peut modifier secrètement le matériel sans que vous le sachiez - si vous avez configuré une sécurité logicielle renforcée telle que le cryptage intégral du disque, la falsification secrète du matériel est définitivement l'un des vecteurs d'attaque restants.

Une autre sécurité physique est que certains ordinateurs portables peuvent être verrouillés à un quai. Si le dock est solidement monté sur une table (via des vis qui seront sous l'ordinateur) et que l'ordinateur reste verrouillé sur le dock lorsqu'il n'est pas utilisé, il fournit alors une couche supplémentaire de protection physique. Bien sûr, cela n'arrêtera pas un voleur déterminé, mais cela rendra plus difficile le vol de l'ordinateur portable de votre domicile ou de votre entreprise, et bien verrouillé, il reste parfaitement utilisable (et vous pouvez brancher des périphériques, Ethernet, etc. sur le dock).

Bien entendu, ces fonctionnalités physiques ne sont pas utiles pour sécuriser un ordinateur portable qui ne les possède pas. Mais si vous êtes soucieux de la sécurité, il peut être intéressant de les prendre en compte lors de l'achat d'un ordinateur portable.

Blake Walsh
la source
2

En plus de chiffrer votre disque (vous ne vous en tirerez pas): - SELinux et TRESOR. Les deux durcissent le noyau Linux et tentent d’empêcher les attaquants de lire des choses en mémoire.

Pendant que vous y êtes: nous entrons maintenant sur le territoire de la peur des mauvais types malhonnêtes qui veulent des informations sur votre carte de débit (ils ne le font pas), mais souvent des agences de renseignement. Dans ce cas, vous voulez faire plus:

  • Essayez de purger le PC de toutes les sources fermées (y compris les microprogrammes). Cela inclut UEFI / BIOS!
  • Utiliser tianocore / coreboot en tant que nouveau UEFI / BIOS
  • Utilisez SecureBoot avec vos propres clés.

Il y a beaucoup d'autres choses que vous pouvez faire mais celles-ci devraient donner une quantité raisonnable de choses dont elles ont besoin pour chatouiller.

Et n'oubliez pas: xkcd ;-)

larkey
la source
Ces suggestions ne sont pas utiles. Ni SELinux ni TRESOR n’arrêtent une personne ayant un accès physique. Ils ne sont pas conçus pour ce modèle de menace. Ils fourniront un faux sentiment de sécurité. PS Purger le code source fermé n’a absolument aucun rapport avec la sécurisation des accès physiques.
DW
1
@DW "TRESOR (acronyme récursif de" TRESOR exécute le cryptage de manière sécurisée en dehors de la RAM ") est un correctif de noyau Linux qui fournit un cryptage basé sur le CPU uniquement pour se défendre contre les attaques de démarrage à froid" - TRESOR aide donc dans de tels scénarios. Mais ce n'est qu'un point secondaire. J'ai écrit «De plus», car ces choses ne feront vraiment rien si vous ne chiffrez pas votre disque (dans un scénario d'accès physique). Cependant, lorsque vous renforcez la sécurité physique, vous ne devez pas oublier que l'attaquant peut toujours simplement démarrer et effectuer une attaque numérique (exploitant des bogues, par exemple).
larkey
@DW C'est assez merdique si votre PC est bien crypté mais est sujet à une élévation de privilèges. C'est pourquoi, si vous êtes sur le point de sécuriser le système d'un point de vue physique, vous devez également procéder au renforcement du côté logiciel. J'ai explicitement déclaré qu'ils durcissaient le noyau Linux et qu'ils devraient l'être en plus . La même chose vaut pour les logiciels à source fermée. Votre disque est peut-être bien crypté, mais s'il y a un enregistreur de frappe indirect dans l'UEFI, il ne vous aidera pas contre les agences de renseignement.
larkey
Si vous utilisez le chiffrement intégral du disque et que vous ne laissez pas votre ordinateur fonctionner sans surveillance, les attaques par élévation de privilèges sont sans importance, car l'attaquant ne connaît pas le mot de passe de déchiffrement. (. L' utilisation correcte du chiffrement complet du disque vous oblige à fermer / mise en veille prolongée sans surveillance) Si vous utilisez le chiffrement complet du disque et ne laissez pas votre ordinateur sans surveillance, puis le chiffrement intégral du disque peut être contournée par un certain nombre de méthodes - par exemple, la fixation d' un USB dongle - même si vous utilisez TRESOR, SELinux, etc. Là encore, ceux-ci ne sont pas conçus pour ce modèle de menace. Cette réponse ne semble pas refléter une analyse de sécurité minutieuse.
DW
1
Avec le libellé "essayer de", tout est qualifié - le cryptage rot13 peut tenter d'empêcher qu'un exploit ne prenne le contrôle du système. Cela ne marchera pas, mais je peux dire que c'est difficile. Mon point est que les défenses que vous choisissez ne sont pas efficaces pour arrêter cette classe d'attaques. SELinux / TRESOR n'arrête pas le démarrage à froid. Pour analyser la sécurité, vous devez commencer par un modèle de menace et analyser les défenses contre ce modèle de menace spécifique. La sécurité ne consiste pas à ajouter une liste infinie de restrictions supplémentaires qui sonnent bien. Il y a de la science à cela.
DW
2

Parce que vous avez un peu changé la question, voici ma réponse à la partie modifiée:

Comment puis-je sécuriser ma machine afin que le piratage par accès physique ne soit pas possible?

Réponse: tu ne peux pas

Il existe de nombreux systèmes matériels et logiciels avancés tels que la détection de sabotage , le cryptage, etc., mais tout se résume à ceci:

Vous pouvez protéger vos données, mais vous ne pouvez pas protéger votre matériel une fois que quelqu'un y a eu accès. Et si vous continuez à utiliser du matériel après que quelqu'un d'autre y ait eu accès, vous mettez vos données en danger!

Utilisez un bloc-notes sécurisé avec détection de sabotage qui efface la RAM lorsque quelqu'un tente de l'ouvrir, utilisez le chiffrement intégral du disque, stockez des sauvegardes de vos données chiffrées à différents endroits. Ensuite, rendez le plus difficile possible l’accès physique à votre matériel. Mais si vous pensez que quelqu'un a eu accès à votre matériel, nettoyez-le et jetez-le.

La question suivante que vous devriez vous poser est la suivante: comment puis-je acquérir un nouveau matériel qui n’a pas été falsifié?

Josef
la source
1

Utilisez un mot de passe ATA pour votre disque dur / SSD

Cela empêchera l'utilisation du disque sans le mot de passe . Cela signifie que vous ne pouvez pas démarrer sans mot de passe car vous ne pouvez pas accéder au MBR ou à l' ESP sans le mot de passe. Et si le disque est utilisé à l'intérieur d'une autre machine, le mot de passe est toujours requis.

Vous pouvez donc utiliser un mot de passe utilisateur ATA pour votre disque dur / SSD. Ceci est généralement défini dans le BIOS (mais ce n'est pas un mot de passe du BIOS).

Pour plus de sécurité, vous pouvez également définir un mot de passe ATA principal sur le disque. Pour désactiver l'utilisation du mot de passe du fabricant.

Vous pouvez le faire sur la CLI avec hdparmaussi.

Des précautions supplémentaires doivent être prises, car vous pouvez perdre toutes vos données si vous perdez le mot de passe.

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

Remarque: il existe également des faiblesses dans la mesure où certains logiciels prétendent récupérer le mot de passe ATA, voire prétendent le supprimer. Donc, ce n'est pas sûr à 100% non plus.

Remarque: le mot de passe ATA ne vient pas nécessairement avec FED (Full Disk Encryption).

solstice
la source