Comment déclencher une auto-destruction du système avec un certain mot de passe est entré

46

Comment configurer mon système pour détruire toutes les données personnelles lorsqu'un certain mot de passe est entré? La motivation derrière ceci étant des trucs de la NSA.

J'imagine qu'il y a trois cas d'utilisation principaux.

  1. Lors de la connexion, la saisie d'un mot de passe prédéterminé déclenche la destruction des données de l'utilisateur.
  2. Au réveil du système. la saisie d'un mot de passe prédéterminé déclenche la destruction des données personnelles.
  3. La saisie de toute commande privilégiée avec un mot de passe prédéterminé déclenche la destruction des données personnelles.

Je sais que quelque chose comme

dd if=/dev/urandom of=/dev/$HOME

Devrait convenir à la destruction des données. Cependant, je ne sais pas comment déclencher cela avec un certain mot de passe.

Points bonus si cela permet ensuite une connexion pendant la suppression des données.

Josh
la source
9
Si vous voulez vraiment que cela fonctionne, vous devez alors chiffrer votre disque dur. En effet, en l'absence de cryptage, vous devrez écraser le disque dur entier, mais avec l'encryptage, vous ne devrez écraser que l'en-tête de LUKS (ou autre).
Strugee
1
Il existe un module pam_python qui faciliterait probablement la mise en oeuvre de ce que vous voulez: ace-host.stuart.id.au/russell/files/pam_python
rejouer le
7
Si vous craignez que ce soit la NSA, cela dd if=/dev/urandom of=/dev/$HOMEne fera pas beaucoup de bien. Même en supposant qu'ils soient assez stupides pour utiliser le système d'exploitation au lieu de retirer le disque et de le lire directement, il existe des sociétés de récupération judiciaire qui peuvent obtenir les données d'un disque qui a été écrasé et physiquement gravé.
Cessez de nuire à Monica le
2
#1. Si la NSA vous recherchait vraiment, elle avait déjà exfiltré vos données en silence il y a plusieurs semaines. # 2. Le cryptage de vos données donne à la NSA le droit légal de conserver vos données pour toujours, ou le temps nécessaire pour les déchiffrer, selon la première éventualité. # 3. Les preuves de la destruction d'éléments de preuve suffisent souvent au tribunal pour vous convaincre de quelque chose. Ces programmes «d'effacement sécurisé» qui remplissent votre lecteur de zéros ou de charabia aléatoires sont la preuve que vous avez détruit quelque chose et que cela serait évoqué devant un tribunal.
Ryan Ries
3
Il ne couvre pas la totalité de vos 3 cas, mais jetez un coup d'œil ici: kali.org/how-to/emergency-self-destruction-luks-kali
faker

Réponses:

26

Idée n ° 1 - OS caché

Vous pouvez également utiliser le "système d'exploitation caché" de TrueCrypt . Cela vous permet d'accéder à un faux système d'exploitation alternatif lorsqu'un certain mot de passe est utilisé, plutôt qu'au système d'exploitation principal.

extrait

Si votre partition système ou votre lecteur système est chiffré à l'aide de TrueCrypt, vous devez entrer votre mot de passe d'authentification préalable à l'amorçage dans l'écran du chargeur de démarrage TrueCrypt après avoir allumé ou redémarré votre ordinateur. Il peut arriver que quelqu'un vous oblige à déchiffrer le système d'exploitation ou à révéler le mot de passe d'authentification préalable au démarrage. Il existe de nombreuses situations dans lesquelles vous ne pouvez pas refuser de le faire (par exemple, en raison d'une extorsion de fonds). TrueCrypt vous permet de créer un système d'exploitation caché dont l'existence devrait être impossible à prouver (à condition de respecter certaines règles - voir ci-dessous). Ainsi, vous n'aurez pas à déchiffrer ou à révéler le mot de passe du système d'exploitation masqué.

Bruce Schneier couvre l’efficacité de l’utilisation de ces derniers ( Deniable File Systems ). Vous voudrez peut-être donc l’étudier plus en profondeur avant de plonger.

L'idée même de Deniable Encryption est un peu comme une boîte de Pandore, il est donc prudent de l'utiliser avec prudence dans certaines situations.

Idée n ° 2 - Ajouter un script à / etc / passwd

Vous pouvez insérer d'autres scripts dans l'entrée d'un utilisateur dans le /etc/passwdfichier.

Exemple

# /etc/passwd
tla:TcHypr3FOlhAg:237:20:Ted L. Abel:/u/tla:/usr/local/etc/sdshell

Vous pouvez configurer le compte d'un utilisateur pour qu'il exécute un script /usr/local/etc/sdshellpermettant par exemple de vérifier le mot de passe fourni. Si c'est le mot de passe magique qui déclenche l'effacement, il peut commencer ce processus (même en arrière-plan) et basculer dans un shell ou faire autre chose.

Si le mot de passe fourni n'est pas ce mot de passe magique, continuez par exemple à exécuter un shell normal /bin/bash.

Source: 19.6.1 Intégration de mots de passe à usage unique avec Unix

slm
la source
2
L'idée n ° 2 ne fonctionnera pas. Le shell ne sera appelé que lorsque le mot de passe correct aura été entré (comme configuré dans / etc / shadow). Même si cela fonctionnait, le script n'aurait aucun moyen de vérifier le mot de passe saisi au moment de la connexion.
Faker
@ Faker - cette méthode est juste à la sortie des mots de passe à usage unique sous Unix, donc je crois que cela fonctionnera. Il peut ne pas intégrer directement le mot de passe / etc / shadow du système, mais il est réalisable.
slm
@slm à partir de la page vers laquelle vous avez accédé: This puts two passwords on the account: the traditional account password followed by the one-time password.Vous pouvez bien sûr, dans le script, rechercher un mot de passe de destruction, mais uniquement après avoir entré le mot de passe du compte correct. Essentiellement, vous avez alors 3 mots de passe. Mot de passe du compte commun, mot de passe 2e étape correct et mot de passe 2e étape auto-destructif Pas très gentil et assez méfiant ...
Faker
@faker: slm a raison - je ne suivrais pas le lien étape par étape, mais cela fonctionnerait. Il ne s'agirait toujours que d'un lien vers un shell ou un script différent. Je ne vois aucune raison pour laquelle c'est incorrect.
Josh
@ Josh, cela fonctionne si vous considérez avoir à retenir 3 mots de passe pour être OK. Sinon ça ne marche pas.
Faker
16

Mon approche pour cela serait de déclencher l'autodestruction dans un module pam . Il existe des mécanismes pour attraper le mot de passe avec un script, vérifier s'il s'agit du mot "spécial" et lancer le processus d'autodestruction.

Écrivez une ligne dans votre /etc/pam.d/common-authpremière ligne comme ceci:

auth    optional        pam_exec.so debug expose_authtok /etc/security/suicide.sh

(ou par exemple /etc/pam.d/gdmsi vous voulez simplement que cela fonctionne avec une authentification via gdm) expose_authtok, le pam_exec.somodule transmet le mot de passe via stdin au script de connexion appelé /etc/security/suicide.sh. Ce script serait exécuté avec les privilèges root et ressemblerait par exemple à ceci:

#!/bin/bash
# read the users password from stdin (pam_exec.so gives the provided password 
# if invoked with expose_authtok)
read password

# if its an authentication and it's the user "user" and the special password
if [ "$PAM_TYPE" == "auth" ] && [ "$PAM_USER" == "user" ] && [ "$password" == "magic" ]; then
  # do whatever you want in the background and the authentication could continue
  # normally as though nothing had happened
  exit 0
else
  exit 0
fi

Cela fonctionnerait même si vous changiez le mot de passe de l'utilisateur "normal".

le chaos
la source
8

Pour que vous sachiez que si un membre du gouvernement, etc. saisit votre ordinateur, la première chose qu’ils vont faire est de copier le lecteur un à un et de travailler sur la copie. La même chose est faite chaque fois que quelqu'un fait de l'informatique judiciaire, donc si vous endommagez lors de l'analyse d'un lecteur, vous endommagez uniquement la copie.

Alors disons que la grande méchante NSA prend votre ordinateur et met vos pouces dans un étau pour vous amener à leur dire le mot de passe. Lorsque vous leur donnez le mauvais mot de passe, il ne vous reste plus qu'à copier et non à l'original. Maintenant, ils savent que vous vous amusez avec eux.

Ainsi, toute utilisation d'un mot de passe "kill" ne sera efficace que si vous l'exécutez avant que quelqu'un ne s'empare de votre système. Donc, tout ce que cela ferait serait de vous donner une manière compliquée d'exécuter quelque chose que vous pourriez alias.

marque
la source
6

Si vous voulez vraiment détruire vos données. Vous devez d’abord vous assurer que personne ne copie vos données (c’est-à-dire l’ensemble du disque) au début. Mais ce n'est pas possible au niveau de l'OS.

Utilisez la cryptographie pour vous assurer que vos données ne tomberont pas entre de mauvaises mains. Dans votre cas, un cryptage particulièrement déniable serait la bonne chose: si vous tapez le bon mot de passe, vos données personnelles seront affichées . Si vous tapez l'autre mot de passe, des données inoffensives apparaissent.

michas
la source
Je suis très inquiet pour le scénario, quelqu'un me force à entrer un mot de passe ou s'empare de l'ordinateur une fois que j'ai entré un mot de passe.
Josh
3
Si quelqu'un vous oblige à entrer un mot de passe, il vous suffit d'entrer le mot de passe "autre", qui déverrouille les données inoffensives. - Par conséquent, vous pouvez nier l’existence de données réelles. - Si je suis sérieux au sujet de vos données, je ne vous laisserai pas toucher votre ordinateur, mais tout d’abord faire une copie de tout.
michas
6

Si vous voulez vraiment pouvoir détruire vos données, pour les protéger de la NSA, vous avez besoin de quelque chose avec des explosifs et un feu qui fera fondre le métal dans les plateaux de disque, et vous devez pouvoir le déclencher à distance.

Je soupçonne que ce n'est pas pratique.

Bill White
la source
0

Eh bien, vous pourriez avoir un script pour supprimer le répertoire / home de votre utilisateur principal (ainsi que / var, / tmp et tous les autres endroits où vous avez uniquement des données yeux) si vous vous connectez avec un nom d'utilisateur différent ... le script commencerait à connectez-vous puis chargez automatiquement quelque chose qui trompe le spectateur en faisant quelque chose de potentiellement utile. Si votre système est détruit sans tromper le spectateur, il se peut qu’il débranche et que, de ce fait, votre plan le mieux préparé ne fonctionne pas. Cela vous permet également de vous connecter en cours de route ... bien que je mette l’utilisateur TRASHME sur un lecteur différent, car le lecteur mis à la corbeille sera plutôt occupé et donc pokey.

K7AAY
la source
1
Pas dans les limites indiquées.
Josh
0

Un disque dur sécurisé, ou un lecteur flash, est un oxymoron. Le seul moyen de sécuriser vos informations consiste à utiliser un système d’exploitation virtuel qui s’exécute en mémoire et s’évapore lorsque vous mettez l’appareil hors tension, avec toutes les données devant être enregistrées sur un support externe que vous pouvez masquer si vous le souhaitez. Il existe un certain nombre de distributions Linux "Live" qui vous permettent de faire exactement cela. Avec un minimum d'effort, vous pouvez remasteriser le CD ou le DVD et le personnaliser pour répondre au mieux à vos besoins. Sachez également qu'une grande partie de vos informations comportementales est relayée par votre navigateur. Pour toutes les recherches qui, selon vous, compromettent, vous devez utiliser un navigateur sécurisé, tel que Tor.

utilisateur55950
la source
Ce n'est pas ma demande Je suis parfaitement conscient que la sécurité parfaite n'est pas pratique. Je ne demande pas une solution parfaite.
Josh
0

Si vous souhaitez sécuriser vos activités, sachez qu’une sécurité parfaite n’existe pas et que la sécurité n’est rien de plus qu’un compromis entre les produits acceptables et une évaluation précise des risques.

Pour commencer, pourquoi détruire quoi que ce soit. Regardez tout d'abord la facilité d'accès décroissante. Créer un entrefer. Achetez une boîte pour vos achats en ligne et tout ce que vous souhaitez envoyer depuis votre transport de boîte principale en guise de baskets. Utilisez un bon cryptage, comme Scrypt. Truecrypt et d'autres ont eu leur jour vénérable.

Il existe de nombreuses autres stratégies que vous pouvez employer, avec pas assez d’espace pour les aborder ici, et franchement, je n’ai pas le temps de les aborder. Je pense que vous avez découvert un tout nouveau chemin d'apprentissage.

David Crosswell
la source
Pas dans le contexte indiqué.
Josh
0

Comme cela m’a été signalé et présenté sur Phoronix, Kali Linux a également créé une méthode pour le faire. En regardant une partie du code, il y a une faiblesse qui permet toujours de vaincre le correctif, mais cela permet de permettre un mot de passe d'autodestruction efficace. Il convient de noter que la faiblesse est une particularité matérielle liée à la remise à zéro des données - les outils du fabricant peuvent récupérer les données mises à zéro et le remplacement des emplacements de clé sur un support doit être effectué plusieurs fois avec un générateur de nombres aléatoires pour assurer le brouillage des données.

Lien ici: http://www.kali.org/how-to/emergency-self-destruction-luks-kali/

Josh
la source
0

Oui, vous devez détruire la surface du lecteur. Une grenade thermite est recommandée (c’est ce qu’ils nous ont appris). Vous pouvez fabriquer le vôtre avec un allume-feu (bloc de magnésium) et une source d’allumage ... l’objectif est de créer un feu de classe D ... impossible à éteindre .

Brian Winn
la source
Je ne pense pas que OP parlait de destruction physique ...
don_crissti