Prevenzione del furto di dati su server distribuiti in remoto esposti ad accesso fisico [chiuso]

13

Sto cercando di pensare a un modo per proteggere i server Linux esposti all'accesso fisico. La mia piattaforma specifica sono i server Linux con fattore di forma ridotto su una scheda madre alix2d13 con marchio PC Engines . Le dimensioni ridotte presentano un ulteriore rischio di rimozione dai locali da parte di un aggressore.

Supponendo che vi sia un accesso fisico al server:

1) ROOT-PASSWORD: si collega un cavo console al server e viene richiesta una password. Se non si conosce la password, è possibile riavviare la macchina in modalità utente singolo e reimpostare la password. Voilà, ottieni l'accesso root.

Per proteggere quanto sopra, inserisci una password nel menu di GRUB, quindi quando il server viene riavviato per accedere alla modalità utente singolo devi fornire la password di GRUB.

2) GRUB_PASSWORD. Se si spegne la macchina, estrarre il disco rigido e montarlo su un'altra workstation, sarà possibile sfogliare la /bootdirectory che contiene il file grub.cfg all'interno del quale è possibile trovare la password di GRUB. Puoi cambiare la password di GRUB o eliminarla.

Ovviamente quando parliamo di grandi macchine di produzione molto probabilmente non ci sarà alcun accesso fisico e, a parte questo, anche se qualcuno ottiene l'accesso fisico al server, non lo spegnerà.

Quali sono le possibili soluzioni per prevenire il furto di dati su server fisicamente facili da rubare?

Per come la vedo io, in un modo o nell'altro è possibile ottenere l'accesso ai dati contenuti.

linux security

— giomanda
fonte

3

A meno che tu non voglia essere in giro per inserire una password di decrittazione ogni volta che si avvia, non c'è molto che puoi fare. La decrittografia può essere effettuata comunicando con un servizio di rete che è disponibile solo finché si trova sulla rete corretta. Non è molto sicuro, ma sufficiente a coprire il caso in cui il ladro non tenta di accedere ai dati mentre si trova sul sito. Ma un attaccante mirato potrebbe persino rubare la macchina senza spegnerla. Suppongo che non ci vorrebbe molta capacità della batteria per mantenerlo alimentato per alcuni minuti.

— Kasperd,

12

Seppellirlo nel cemento. Ciò impedirà sicuramente il furto!

— Michael Hampton

14

Non è davvero chiaro quale sia il modello di minaccia. Vuoi un dispositivo invulnerabile al compromesso fisico? Sarà molto complesso e costoso. I computer non sono depositi. Se si desidera un deposito, è necessario un deposito.

— David Schwartz,

3

@BlueCompute La domanda può sorgere anche in un ambiente professionale, quindi dovrebbe rimanere qui.

— Nils,

3

@giomanda Ed è " modello threa t ". E parte di ciò che significa è che devi capire a fondo cosa stai proteggendo e da cosa lo stai proteggendo. Potresti usare SEAL Team Six per difendere Fort Knox da Al Qaeda, ma non per difendere la tua nuova TV al plasma dai ladri di quartiere.

— David Schwartz,

18

La regola da cui ho sempre lavorato è che una volta che un utente malintenzionato ha accesso fisico al tuo host, alla fine può violarlo - a meno che, come dice Kasperd, usi una crittografia su tutto il disco forte con una password di avvio e sei disposto a essere lì per inserirlo ogni volta che l'host si avvia.

— Andrew Schulman
fonte

14

E anche allora, un dispositivo con accesso fisico potrebbe sostituire la tastiera utilizzata per inserire la password di avvio e quindi imparare la password ...

— Hagen von Eitzen,

2

Soluzione @HagenvonEitzen: porta con te la tua tastiera e manomette la porta USB fisica (o PS / 2) sulla scatola.

— Jules,

10

@JulesMazur Counterattack: Evil Maid re-flashing del firmware di bordo.

— un CVn

1

@ MichaelKjörling Difesa: password del firmware, scatola del server fisicamente bloccata.

— Jules,

6

@ MichaelKjörling non puoi mai essere troppo al sicuro con bande vaganti di cameriere malvagie che dirottano la tastiera e / o il firmware

— Jules

10

La soluzione di cui sono a conoscenza è crittografare il disco e utilizzare un TPM: Trusted Platform Module

In questo modo ora è possibile decodificare il disco rigido come:

Le applicazioni di crittografia del disco completo [...] possono utilizzare questa tecnologia [TPM] per proteggere le chiavi utilizzate per crittografare i dischi rigidi del computer e fornire l'autenticazione dell'integrità per un percorso di avvio affidabile (ad esempio BIOS, settore di avvio, ecc.). i prodotti di crittografia full disk di terze parti supportano anche TPM. Tuttavia, TrueCrypt ha deciso di non usarlo. - Wikipedia

Naturalmente potrei sbagliarmi e il TPM può essere facilmente risolto o potrei non conoscere altre soluzioni.

— ColOfAbRiX
fonte

Questo è corretto. Con un TPM, un'unità crittografata e la firma UEFI, è impossibile per un estraneo leggere l'unità o modificare il bootloader per aggirare la crittografia.

— collo lungo,

Sarebbe interessante sapere se esiste una penna USB con un TPM per aggiungere questa funzione a qualsiasi computer.

— ColOfAbRiX

1

No, perché il bios deve gestire il tpm.

— longneck

3

Con l'accesso fisico anche il TPM non farà molto ... puoi facilmente annusare i dati dal chip TPM all'avvio della macchina o avere accesso a tutta la memoria del computer senza che il computer se ne accorga (e quindi il TPM "annulla" "la chiave va bene).

2

Il TPM cadrà su un dispositivo PCI sul bus che non risponde all'enumerazione PCI ma sovrascrive il sistema operativo tramite DMA in un secondo momento.

— joshudson,

7

La crittografia completa del disco è una buona idea per laptop e piccoli server domestici.

La crittografia del disco completo non richiede un TPM. E anche un TPM non è in grado di proteggerti da un sofisticato attacco da cameriera cattiva . Quindi, al fine di proteggere davvero il tuo piccolo server Linux domestico (o un data center) hai bisogno di altre misure fisiche adeguate.

Per il tuo caso di uso domestico potrebbe essere sufficiente installare un hardware creativo fai-da-te che:

ti permette di riconoscere qualsiasi intrusione fisica quando torni e
interrompe l'alimentazione del computer in qualsiasi tentativo di intrusione fisica.

Per i giornalisti e gli informatori che affrontano alcune grandi compagnie o potenti agenzie governative come loro nemici, questo probabilmente non è ancora abbastanza sicuro. Queste agenzie di tre lettere potrebbero avere le attrezzature forensi necessarie per recuperare testi chiari dalla RAM anche pochi minuti dopo lo spegnimento .

— pefu
fonte

7

Ecco una soluzione semplice: ricostruire il kernel senza modalità utente singolo!

Più precisamente, modifica il kernel di Linux che stai usando in modo che la modalità S sia rimappata a qualunque sia la tua modalità predefinita (3,4,5). In questo modo, qualsiasi tentativo di avvio in modalità utente singolo avvia normalmente il sistema. Probabilmente potresti fare la stessa cosa negli script init. In questo modo non ci sarebbero mezzi speciali per accedere al sistema senza conoscere la password.

— Arkain
fonte

Se riesco ancora ad accedere al prompt di grub, posso ancora modificare i parametri del kernel in init=/bin/bash. Questo ti avvierà in una shell bash root, dove potrai quindi montare /.

— Jens Timmerman,

Grub può sempre essere configurato per non consentire l'accesso alla sua shell.

— Arkain,

Come già indicato in altre risposte a questa domanda: se un abile attaccante ottiene l'accesso fisico al computer, il tuo kernel di ricostruzione non è altro che una vecchia ragnatela sulla strada nella tomba contenente i tuoi preziosi gioielli di dati segreti. :-)

— pefu

3

Vai e chiedi sul sito di elettronica. Sono abbastanza sicuro che ci siano progetti SOC incorporati che crittografano tutto e una volta che lo si fonde, è "impossibile" decodificare.

Detto questo, ero a una presentazione DefCon in cui il team ha mostrato esattamente come l'hanno smontato. In molti casi i chip non erano stati fusi, o il design del chip includeva stupidamente una porta di debug non collegata. Su altri hanno rimosso chimicamente gli strati di chip e hanno letto il chip con una scansione al microscopio elettronico. Non sarai mai al sicuro da hacker davvero dedicati.

— Zan Lynx
fonte

1

Vorrei offrire un approccio diverso, se sei disposto a prendere in considerazione misure preventive distruttive. Prendi in considerazione la possibilità di saldare un condensatore di grande capacità sul tuo hdd e ram, che al rilevamento di manomissioni (decidi metodo / sensori) scarica la distruzione dei dati.

Questo "impedisce" l'accesso nel senso vuoto di nessuno dopo può accedere al sistema. Quindi risponde alla domanda alla lettera, mentre probabilmente manca completamente il tuo intento.

Un condensatore è solo un esempio. Esistono altre possibilità. Il problema è che la distruzione meteorologica del dispositivo (o almeno dei dati in esso contenuti) è accettabile.

Sono anche possibili soluzioni basate su timer - a meno che il dispositivo non riesca a eseguire il ping a casa ogni pochi minuti / ore / ... si autodistrugge. Molte diverse possibilità lungo questo tema.

— Dani_l
fonte

Almeno un HDD rotazionale può avere i suoi piatti trapiantati su un'altra unità dello stesso modello e leggeranno bene anche se il PCB è stato completamente distrutto. (Non sono sicuro degli SSD, ma non vorrei contare sul fatto che sia molto più difficile.) Questo è qualcosa che le aziende di recupero dati fanno sempre. Se hai intenzione di fare qualcosa del genere con un ragionevole grado di certezza (anche se ancora non certo!), Metti un piccolo esplosivo nelle viscere del disco. Funziona meglio con gli SSD che con gli HDD rotazionali per ragioni non correlate alla forza distruttiva prevista.

— un CVn

@ MichaelKjörling Thermite è la strada da percorrere. Gli esplosivi in un hdd richiedono un'esplosione relativamente grande per distruggere effettivamente i dati. Distruggerai il piatto superiore se l'esplosivo è effettivamente nell'unità , ma i piatti dell'unità sono piuttosto pesanti, non si inceneriranno senza una quantità piuttosto esplosiva di esplosivo. La termite brucia attraverso il metallo abbastanza bene però.

— DanielST

1

Una potenziale soluzione sarebbe quella di utilizzare la crittografia del disco completo, mettere la chiave su una chiavetta USB / scheda di memoria e mettere il computer in una scatola di metallo con una sola porta che ha un interruttore di apertura, insieme ad alcuni sensori ambientali.

Per avviare il dispositivo dopo aver inserito l'unità USB nella porta (all'esterno del "vault") e da lì legge la chiave FDE e avvia il sistema. Se il "vault" viene mai aperto, l'interruttore di apertura ripristina il sistema, cancellando la chiave dalla memoria.

Se l'ambiente lo consente, è possibile aggiungere più sensori come temperatura, accelerazione, umidità, ecc. Se viene rilevato un cambiamento improvviso nei valori riportati, il sistema si reimposta, quindi se un ladro sta solo cercando di prendere il sistema e metterlo in tasca verrà già ripristinato prima ancora che lo scolleghi da tutti i suoi cavi.