Jak zabezpieczyć laptopa, aby hakowanie przez fizyczny dostęp nie było możliwe?

73

Pomieszałem swój system wcześniej, przywitałem się z czarnym ekranem podczas uruchamiania systemu Ubuntu. Kiedy uruchomiłem laptopa, wybrałem opcję odzyskiwania z menu gruba i wybrałem opcję awaryjną na terminalu głównym . Widziałem, że jestem w stanie użyć polecenia add user, dzięki czemu prawdopodobnie mógłbym użyć do stworzenia uprzywilejowanego użytkownika na moim komputerze.

Czy to nie jest problem bezpieczeństwa?

Można było ukraść mój laptop i przy starcie wybrać odzyskiwanie i dodać innego użytkownika, wtedy mam fudę. W tym moje dane.

Pomyśl o tym, nawet jeśli w jakiś sposób usuniesz ten wpis, można uruchomić komputer z płyty CD na żywo, chrooturuchomić i uruchomić, a następnie dodać innego użytkownika z odpowiednimi uprawnieniami, które pozwalają mu zobaczyć wszystkie moje dane.

Jeśli ustawię BIOS na uruchamianie tylko z dysku HD, bez USB, CD / DVD, uruchamiania sieciowego i ustawię hasło BIOS, nadal nie będzie to miało znaczenia, ponieważ nadal będziesz mieć ten wpis uruchamiania odzyskiwania systemu grub.

Jestem całkiem pewien, że ktoś z Chin, Rosji nie może zhakować mojego Ubuntu Trusty Tahr z sieci, ponieważ jest to bezpieczne. Ale jeśli ktoś ma fizyczny dostęp do mojej - waszej - maszyny, to właśnie dlatego zadaję to pytanie. Jak mogę zabezpieczyć swój komputer, aby hakowanie poprzez fizyczny dostęp nie było możliwe?


Zgłoszenie błędu:

blade19899
źródło
35
Pełne szyfrowanie dysku i błyszczące polerowanie śrub. Kto tego dzisiaj nie robi?
mondjunge
2
@ByteCommander możesz dodać użytkowników root. Wystarczy dodać innego użytkownika o identyfikatorze UID 0 do / etc / password. Właśnie dodałem fred fred:x:0:0:fred,,,:/home/fred:/bin/bashi teraz, jeśli zaloguję się jako fred i uruchomię whoami, otrzymamroot
Josef
3
@ByteCommander powinny być. Narzędzia do zarządzania kontami, takie jak adduseritp., Zwykle nie pozwalają na to, ale tylko edycja /etc/passwddziała. Bycie hakerem oznacza ignorowanie tego, co powinieneś zrobić;)
Josef
3
@ blade19899 Twój nowy błąd z pewnością zostanie odrzucony. Porównaj ten istniejący: bugs.launchpad.net/ubuntu/+bug/283662
Byte Commander
4
@ blade19899 Moja szersza uwaga jest taka, że ​​musisz myśleć w kategoriach ryzyka i kompromisów, a nie absolutów. Nie mam pojęcia, kim jesteś ani gdzie mieszkasz, ale napad na dom, prowadzący do tego, że ktoś efektywnie korzysta z twoich danych (zamiast po prostu próbować odciążyć sprzęt), parapet brzmi trochę naciągany i być może mniej niepokojący niż czas, pieniądze, a nawet utrata danych, które mogą wynikać z braku skutecznych opcji odzyskiwania. Dlatego posiadanie rezerwowego terminala root jest dobrą rzeczą. Ale oczywiście nie oznacza to, że nie powinieneś zajmować się szyfrowaniem całego dysku.
Zrelaksowany

Odpowiedzi:

86

Domyślam się, że tylko pełne szyfrowanie dysku przy użyciu silnego algorytmu i, co najważniejsze, dobre hasło jest jedyną rzeczą, która może zabezpieczyć twoje lokalnie przechowywane dane. Zapewnia to prawdopodobnie 99,99% bezpieczeństwa. Proszę zapoznać się z jednym z wielu przewodników, jak to zrobić.


Poza tym NIE jest możliwe zabezpieczenie komputera przed doświadczonym hakerem z fizycznym dostępem.

  • Hasła użytkownika / konta:
    Łatwo jest utworzyć nowego użytkownika administratora, jeśli uruchomisz się w trybie odzyskiwania, tak jak sam to opisałeś, ponieważ otrzymujesz powłokę główną bez pytania o hasło w ten sposób.
    Może to wyglądać na przypadkowy problem z bezpieczeństwem, ale jest przeznaczony dla (kto by pomyślał?) Przypadków odzyskiwania, w których np. Straciłeś hasło administratora lub pomieszałeś sudopolecenie lub inne ważne rzeczy.

  • Hasło roota:
    Ubuntu nie ustawił domyślnie żadnego hasła użytkownika root. Możesz jednak ustawić jeden i zostaniesz o to poproszony, jeśli uruchomisz system w trybie odzyskiwania. Wydaje się to dość bezpieczne, ale wciąż nie jest to ostatecznie bezpieczne rozwiązanie. Nadal możesz dodać parametr jądra single init=/bin/bashpoprzez GRUB przed uruchomieniem Ubuntu, który uruchamia go w trybie pojedynczego użytkownika - co w rzeczywistości jest również powłoką root bez hasła.

  • Zabezpieczanie menu GRUB za pomocą hasła:
    Możesz zabezpieczyć wpisy menu GRUB, aby były dostępne tylko po uwierzytelnieniu, tzn. Możesz odmówić uruchomienia trybu odzyskiwania bez hasła. Zapobiega to także manipulowaniu parametrami jądra. Aby uzyskać więcej informacji, zobacz witrynę Grub2 / Passwords na help.ubuntu.com . Można to obejść tylko wtedy, gdy uruchamiasz komputer z zewnętrznego nośnika lub podłączasz dysk twardy bezpośrednio do innego komputera.

  • Wyłącz uruchamianie z zewnętrznego nośnika w
    systemie BIOS: Możesz ustawić kolejność uruchamiania i zwykle wykluczać urządzenia z uruchamiania w wielu aktualnych wersjach BIOS / UEFI. Te ustawienia nie są jednak zabezpieczone, ponieważ każdy może wejść do menu ustawień. Tutaj również musisz ustawić hasło, ale ...

  • Hasła systemu BIOS:
    zwykle można również ominąć hasła systemu BIOS. Istnieje kilka metod:

    • Zresetuj pamięć CMOS (w której przechowywane są ustawienia BIOS), otwierając obudowę komputera i fizycznie wyjmując baterię CMOS lub tymczasowo ustawiając zworkę „Wyczyść CMOS”.
    • Zresetuj ustawienia BIOS za pomocą kombinacji klucza serwisowego. Większość producentów płyt głównych opisuje kluczowe kombinacje w swoich instrukcjach serwisowych, aby zresetować błędne ustawienia BIOS-u do wartości domyślnych, w tym hasła. Przykładem może być trzymanie ScreenUppodczas włączania zasilania, które, jeśli dobrze pamiętam, odblokowało dla mnie acerową płytę główną z AMI BIOS po tym, jak zepsułem moje ustawienia podkręcania.
    • Last but not least, istnieje zestaw domyślnych haseł BIOS, które wydają się zawsze działać, niezależnie od rzeczywistego hasła. Nie testowałem tego, ale ta strona oferuje ich listę, podzieloną na kategorie według producenta.
      Dzięki Rinzwind za te informacje i link!
  • Zablokuj obudowę komputera / odmów fizycznego dostępu do płyty głównej i dysku twardego:
    nawet jeśli wszystko inne zawiedzie, złodziej danych może nadal otworzyć laptopa / komputera, wyjąć dysk twardy i podłączyć go do własnego komputera. Montaż i uzyskiwanie dostępu do wszystkich niezaszyfrowanych plików jest od tego bułką z masłem. Musisz umieścić go w bezpiecznie zamkniętej obudowie, aby mieć pewność, że nikt nie będzie w stanie otworzyć komputera. Jest to jednak niemożliwe w przypadku laptopów i trudne w przypadku komputerów stacjonarnych. Może możesz pomyśleć o posiadaniu filmu akcji, takiego jak urządzenie samozniszczące, które wysadza w środku jakieś materiały wybuchowe, jeśli ktoś spróbuje go otworzyć? ;-) Ale upewnij się, że nigdy nie będziesz musiał otwierać go sam w celu konserwacji!

  • Szyfrowanie całego dysku:
    wiem, że zaleciłem tę metodę jako bezpieczną, ale nie jest ona również w 100% bezpieczna, jeśli zgubisz laptopa, gdy jest włączony. Istnieje tak zwany „atak zimnego rozruchu”, który umożliwia atakującemu odczytanie kluczy szyfrujących z pamięci RAM po zresetowaniu uruchomionego komputera. To zwalnia system, ale nie spłukuje zawartości pamięci RAM czasu bez zasilania jest wystarczająco krótki.
    Dzięki Kos za komentarz na temat tego ataku!
    Zacytuję również jego drugi komentarz tutaj:

    To jest stare wideo, ale dobrze wyjaśnia tę koncepcję: „Gdybyśmy nie pamiętali: ataki Cold Boot na klucze szyfrujące” na YouTube ; jeśli masz ustawione hasło BIOS, atakujący może nadal wyjąć baterię CMOS, gdy laptop jest nadal włączony, aby umożliwić spersonalizowanemu napędowi uruchomienie się bez utraty żadnej kluczowej sekundy; jest to obecnie bardziej przerażające ze względu na dyski SSD, ponieważ spreparowane dyski SSD prawdopodobnie będą w stanie zrzucić nawet 8 GB w mniej niż 1 minutę, biorąc pod uwagę prędkość zapisu ~ 150 MB / s

    Powiązane, ale wciąż nie odpowiedziano na pytanie, jak zapobiegać atakom Cold Boot: Jak włączyć Ubuntu (przy użyciu pełnego szyfrowania dysku), aby wywoływać LUKSsupend przed uśpieniem / zawieszeniem w pamięci RAM?


Podsumowując: Obecnie nic tak naprawdę nie chroni twojego laptopa przed użyciem przez kogoś, kto ma fizyczny dostęp i złośliwe zamiary. Możesz w pełni zaszyfrować wszystkie swoje dane tylko wtedy, gdy jesteś wystarczająco paranoikiem, aby zaryzykować utratę wszystkiego przez zapomnienie hasła lub awarię. Szyfrowanie sprawia, że ​​kopie zapasowe są nawet ważniejsze niż są już. Jednak powinny one również zostać zaszyfrowane i umieszczone w bardzo bezpiecznym miejscu.
Lub po prostu nie oddawaj laptopa i mam nadzieję, że go nigdy nie zgubisz. ;-)

Jeśli jednak mniej zależy Ci na swoich danych, a bardziej na sprzęcie, możesz kupić i zainstalować nadawcę GPS w swojej skrzynce, ale dotyczy to tylko prawdziwych ludzi paranoicznych lub agentów federalnych.

Bajt Dowódca
źródło
7
A mimo to pełne szyfrowanie dysku nie uchroni Cię przed atakami zimnego rozruchu, jeśli Twój laptop zostanie skradziony, gdy jest włączony!
Kos
14
Również po tym, jak Twój laptop był poza twoją kontrolą przez dłuższy czas, nie można oczekiwać, że będzie już bezpieczny. Może teraz na przykład rejestrować hasło przed uruchomieniem.
Josef,
1
Szyfrowanie danych nie powinno zwiększać ryzyka ich utraty, ponieważ masz kopie zapasowe, prawda? Dane przechowywane tylko raz nie są dużo lepsze niż dane nieistniejące. Szczególnie dyski SSD mają tendencję do nagle zawieść bez szans na wyciągnięcie z nich czegokolwiek.
Josef
3
To jest stare wideo, ale dobrze wyjaśnia tę koncepcję: youtube.com/watch?v=JDaicPIgn9U ; jeśli masz ustawione hasło BIOS, atakujący może nadal wyjąć baterię CMOS, gdy laptop jest nadal włączony, aby umożliwić spersonalizowanemu napędowi uruchomienie się bez utraty żadnej kluczowej sekundy; jest to obecnie bardziej przerażające ze względu na dyski SSD, ponieważ spreparowane dyski SSD prawdopodobnie będą w stanie zrzucić nawet 8 GB w mniej niż 1 minutę, biorąc pod uwagę prędkość zapisu ~ 150 MB / s
kosztują
2
@ByteCommander, ale dysk SSD może zawieść tak samo, a wszystkie dane zostaną utracone. Jasne, jeśli masz tendencję do zapominania haseł (cóż, zapisz je i przechowuj w sejfie), prawdopodobieństwo utraty wszystkich danych może wzrosnąć w wyniku szyfrowania, ale nie jest tak, że Twoje dane są super bezpieczne, chyba że odważysz się je zaszyfrować . Nie „ryzykujesz wszystkiego przez zapomnienie hasła lub awarii”, robisz to, nie mając kopii zapasowych.
Josef
11

Najbezpieczniejszym laptopem jest ten bez żadnych danych. Możesz skonfigurować własne środowisko chmury prywatnej, a następnie nie przechowywać niczego ważnego lokalnie.

Lub wyjmij dysk twardy i stop go za pomocą termitu. To technicznie odpowiada na pytanie, ale może nie być najbardziej praktyczne, ponieważ nie będziesz już mógł korzystać z laptopa. Ale nie zawsze będą też tacy mglisti hakerzy.

Pomijając te opcje, podwójnie zaszyfruj dysk twardy i aby podłączyć go, należy podłączyć pendrive USB. Pendrive USB zawiera jeden zestaw kluczy deszyfrujących, a BIOS zawiera drugi zestaw - oczywiście chroniony hasłem. Połącz to z procedurą automatycznego niszczenia danych, jeśli napęd USB nie jest podłączony podczas rozruchu / wznawiania po zawieszeniu. Zawsze noś przy sobie napęd USB. Ta kombinacja dotyczy również XKCD # 538 .

XKCD # 538

E. Diaz
źródło
7
Automatyczna procedura autodestrukcji z pewnością będzie przyjemną niespodzianką, gdy pamięć USB gromadzi kurz na stykach.
Dmitry Grigoryev
10

Zaszyfruj dysk. W ten sposób Twój system i Twoje dane będą bezpieczne na wypadek kradzieży laptopa. Inaczej:

  • Hasło systemu BIOS nie pomoże: złodziej może łatwo wyodrębnić dysk z komputera i umieścić go na innym komputerze, aby go uruchomić.
  • Twoje hasło użytkownika / root również nie pomoże: złodziej może łatwo zamontować dysk, jak wyjaśniono powyżej, i uzyskać dostęp do wszystkich danych.

Polecam mieć partycję LUKS, w której można skonfigurować LVM. Możesz pozostawić partycję rozruchową niezaszyfrowaną, aby hasło było potrzebne tylko raz. Oznacza to, że twój system może być łatwiej zagrożony, jeśli zostanie sfałszowany (skradziony i oddany tobie, nawet nie zauważając), ale jest to bardzo rzadki przypadek i, chyba że uważasz, że śledzi cię NSA, rząd lub jakiś inny mafia, nie powinieneś się tym martwić.

Twój instalator Ubuntu powinien dać ci możliwość instalacji z LUKS + LVM w bardzo łatwy i zautomatyzowany sposób. Nie przesyłam tu ponownie szczegółów, ponieważ w Internecie jest już mnóstwo dokumentacji. :-)

Peque
źródło
Jeśli to możliwe, czy możesz podać bardziej szczegółową odpowiedź. Jak możesz powiedzieć po moim pytaniu, nie jestem maniakiem zabezpieczeń.
blade19899,
głosowałem za punktorami, ale pamiętaj, że szyfrowanie całego dysku nie jest jedynym sposobem, ani nie jest konieczne, jeśli ograniczasz wrażliwe pliki do /home/yourName- tak jak powinieneś! - a następnie ułóż ten folder ze sterownikiem szyfrowania na poziomie pliku (takim jak ten, o którym wspominałem w OP i nie będzie ponownie spamować), bardzo realna alternatywa. Nie martwię się, że ludzie zobaczą wszystkie nudne rzeczy /usritp.
underscore_d
1
@underscore_d: Rzeczywiście martwię się o inne rzeczy na zewnątrz /home(w tym dane osobiste i profesjonalne na innych partycjach), więc łatwiej jest mi zaszyfrować wszystko, ale chyba każdy użytkownik ma swoje własne potrzeby :-). Jednak użycie ecryptfsnie jest najlepszą decyzją pod względem wydajności. Tutaj możesz znaleźć kilka punktów odniesienia . Pamiętaj, aby przeczytać strony 2-5w artykule, aby uzyskać rzeczywiste wyniki (strona 1jest tylko wstępem).
Peque
Bardzo prawda, dziękuję za link / testy porównawcze. Nie osiągnąłem jeszcze żadnych barier wydajności, ale może później to zrobię. Ponadto, zdałem sobie sprawę, prawdopodobnie będę musiał zacząć myśleć o szyfrowaniu takie rzeczy /var/log, /var/www(źródła), & /tmp, więc może szyfrowanie całych dysków zacznie wydawać się bardziej rozsądne!
underscore_d
@underscore_d: tak, a potem zaczynasz myśleć o /etcinnych katalogach najwyższego poziomu ... Na koniec szyfrowanie całego dysku jest prostym i szybkim rozwiązaniem, które pozwoli ci spać jak dziecko każdej nocy. ^^
Peque
5

Warto zwrócić uwagę na kilka rozwiązań sprzętowych.

Po pierwsze, niektóre laptopy, takie jak niektóre laptopy biznesowe Lenovo, są wyposażone w przełącznik wykrywania sabotażu, który wykrywa otwarcie obudowy. W Lenovo funkcję tę należy aktywować w systemie BIOS i ustawić hasło administratora. Jeśli zostanie wykryta sabotaż, laptop (jak sądzę) natychmiast się wyłączy, po uruchomieniu wyświetli ostrzeżenie i będzie wymagał hasła administratora oraz odpowiedniego zasilacza sieciowego. Niektóre czujniki sabotażu również uruchamiają alarm dźwiękowy i można je skonfigurować do wysyłania wiadomości e-mail.

Wykrywanie sabotażu tak naprawdę nie zapobiega sabotażowi (ale może utrudniać kradzież danych z pamięci RAM - a wykrywanie sabotażu może „zablokować” urządzenie, jeśli wykryje coś naprawdę podejrzanego, na przykład próbę wyjęcia baterii CMOS). Główną zaletą jest to, że ktoś nie może potajemnie manipulować sprzętem bez Twojej wiedzy - jeśli skonfigurowałeś silne zabezpieczenia oprogramowania, takie jak pełne szyfrowanie dysku, to tajne manipulowanie sprzętem jest zdecydowanie jednym z pozostałych wektorów ataku.

Innym fizycznym zabezpieczeniem jest to, że niektóre laptopy można zablokować w stacji dokującej. Jeśli stacja dokująca jest bezpiecznie przymocowana do stołu (za pomocą śrub, które będą pod laptopem), a laptop jest trzymany zablokowany w stacji dokującej, gdy nie jest używana, zapewnia dodatkową warstwę ochrony fizycznej. Oczywiście nie powstrzyma to zdecydowanego złodzieja, ale zdecydowanie utrudnia kradzież laptopa z domu lub firmy, a po zablokowaniu jest nadal w pełni użyteczny (i możesz podłączyć urządzenia peryferyjne, ethernet i tak dalej do stacji dokującej).

Oczywiście te cechy fizyczne nie są przydatne do zabezpieczenia laptopa, który ich nie ma. Ale jeśli jesteś świadomy bezpieczeństwa, warto rozważyć je przy zakupie laptopa.

Blake Walsh
źródło
2

Dodatkowo do szyfrowania dysku (nie obejdzie się tego): - SELinux i TRESOR. Oba wzmacniają jądro Linuksa i próbują utrudnić atakującym odczytanie rzeczy z pamięci.

Gdy jesteś przy tym: wkraczamy teraz na terytorium nie tylko strachu przed złymi przypadkowymi facetami, którzy chcą informacji o karcie debetowej (nie robią tego), ale często wystarczającej liczby agencji wywiadowczych. W takim przypadku chcesz zrobić więcej:

  • Spróbuj wyczyścić wszystko z zamkniętego źródła (także oprogramowanie układowe) z komputera. Obejmuje to UEFI / BIOS!
  • Użyj tianocore / coreboot jako nowego UEFI / BIOS
  • Użyj SecureBoot z własnymi kluczami.

Istnieje wiele innych rzeczy, które możesz zrobić, ale powinny one dać rozsądną liczbę rzeczy, które trzeba łaskotać.

I nie zapomnij o: xkcd ;-)

Larkey
źródło
Te sugestie nie są pomocne. Ani SELinux, ani TRESOR nie powstrzymują kogoś z dostępem fizycznym. Nie są przeznaczone do tego modelu zagrożeń. Zapewnią fałszywe poczucie bezpieczeństwa. Czyszczenie zamkniętego kodu źródłowego PS jest całkowicie niezwiązane z zapewnieniem bezpieczeństwa osobom fizycznym.
DW
1
@DW „TRESOR (akronim rekurencyjny dla„ TRESOR uruchamia szyfrowanie bezpiecznie poza pamięcią RAM ”) to łatka na jądro Linuksa, która zapewnia szyfrowanie oparte tylko na procesorze w celu obrony przed atakami zimnego rozruchu” - więc TRESOR zdecydowanie pomaga w takich sytuacjach. Ale to tylko punkt poboczny. Napisałem „Dodatkowo”, ponieważ te rzeczy tak naprawdę nic nie zrobią, jeśli nie zaszyfrujesz dysku (w scenariuszu dostępu fizycznego). Jednak kiedy podnosisz bezpieczeństwo fizyczne, nie powinieneś zapominać, że atakujący nadal może się po prostu uruchomić i wykonać atak cyfrowy (np. Wykorzystując błędy).
larkey,
@DW To gówno prawda, jeśli komputer jest ładnie zaszyfrowany, ale ma skłonność do eskalacji uprawnień. Właśnie dlatego - jeśli ktoś ma zabezpieczyć system od strony fizycznej - powinien także wykonać oprogramowanie do hartowania. Powiedziałem wyraźnie, że zahartowali jądro Linuksa i należy to zrobić dodatkowo . To samo dotyczy oprogramowania o zamkniętym źródle. Twój dysk może być ładnie zaszyfrowany, ale jeśli w UEFI jest keylogger z tylnymi drzwiami, nie pomoże ci to przeciwko agencjom wywiadowczym.
larkey,
Jeśli używasz pełnego szyfrowania dysku i nie pozostawiasz komputera bez nadzoru, ataki eskalacji uprawnień są nieistotne, ponieważ osoba atakująca nie zna hasła deszyfrowania. (Właściwe użycie pełnego szyfrowania dysku wymaga wyłączenia / hibernacji, gdy jest nienadzorowany.) Jeśli używasz pełnego szyfrowania dysku i nie zostawiasz komputera bez nadzoru, pełne szyfrowanie dysku można obejść dowolną liczbą metod - np. Podłączeniem USB dongle - nawet jeśli używasz TRESOR, SELinux itp. Ponownie, nie są one przeznaczone dla tego modelu zagrożeń. Ta odpowiedź nie wydaje się odzwierciedlać dokładnej analizy bezpieczeństwa.
DW
1
Dzięki słowu łasica „próbuj” wszystko się kwalifikuje - szyfrowanie rot13 może zapewnić, że exploit nie przejmie systemu. To się nie uda, ale warto to opisać jako próbę. Chodzi mi o to, że wyodrębnione przez ciebie mechanizmy obronne nie są skuteczne w powstrzymywaniu tej klasy ataków. SELinux / TRESOR nie zatrzymują zimnego rozruchu. Aby przeanalizować bezpieczeństwo, musisz zacząć od modelu zagrożenia i przeanalizować zabezpieczenia przed tym konkretnym modelem zagrożenia. Bezpieczeństwo nie polega na zasypywaniu niekończącą się listą dodatkowych ograniczeń, które brzmią dobrze. Jest w tym trochę nauki.
DW
2

Ponieważ nieco zmieniłeś pytanie, oto moja odpowiedź na zmienioną część:

Jak mogę zabezpieczyć swój komputer, aby hakowanie poprzez fizyczny dostęp nie było możliwe?

Odpowiedź: nie możesz

Istnieje wiele zaawansowanych systemów sprzętowych i programowych, takich jak wykrywanie sabotażu , szyfrowanie itp., Ale wszystko sprowadza się do tego:

Możesz chronić swoje dane, ale nie możesz chronić swojego sprzętu, gdy ktoś miał do niego dostęp. A jeśli nadal będziesz używać dowolnego sprzętu po uzyskaniu dostępu przez inną osobę, narażasz swoje dane na niebezpieczeństwo!

Używaj bezpiecznego notebooka z funkcją wykrywania manipulacji, która usuwa pamięć RAM, gdy ktoś próbuje ją otworzyć, użyj szyfrowania całego dysku, przechowuj kopie zapasowe danych zaszyfrowanych w różnych lokalizacjach. Utrudnij więc fizyczny dostęp do sprzętu. Ale jeśli uważasz, że ktoś miał dostęp do twojego sprzętu, wytrzyj go i wyrzuć.

Następnym pytaniem, które powinieneś zadać, jest: Jak zdobyć nowy sprzęt, który nie został zmodyfikowany.

Josef
źródło
1

Użyj hasła ATA dla swojego HDD / SSD

Zapobiegnie to użyciu dysku bez hasła . Oznacza to, że nie można uruchomić bez hasła, ponieważ nie można uzyskać dostępu do MBR lub ESP bez hasła. A jeśli dysk jest używany w innej maszynie, hasło jest nadal wymagane.

Możesz więc użyć tak zwanego hasła użytkownika ATA dla swojego HDD / SSD. Zazwyczaj jest to ustawiane w systemie BIOS (ale nie jest to hasło systemu BIOS).

Aby zwiększyć bezpieczeństwo, możesz także ustawić główne hasło ATA na dysku. Aby wyłączyć użycie hasła producenta.

Możesz to zrobić również na cli hdparm.

Szczególną ostrożność należy podjąć, ponieważ można stracić wszystkie swoje dane, jeśli straci hasło.

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

Uwaga: istnieją również słabości, ponieważ istnieją programy, które twierdzą, że odzyskują hasło ATA, a nawet twierdzą, że je usuwają. Dlatego też nie jest w 100% bezpieczny.

Uwaga: hasło ATA niekoniecznie pochodzi z FED (pełne szyfrowanie dysku)

przesilenie dnia z nocą
źródło