Comment sécuriser mon ordinateur portable afin que le piratage par accès physique ne soit pas possible?
Je me suis trompé mon système plus tôt, j'ai été accueilli avec un écran noir, lors du démarrage à Ubuntu. Lorsque j'ai démarré mon ordinateur portable, j'ai sélectionné l'option de récupération dans le menu grub, puis l'option de repli au terminal root . J'ai vu que je pouvais utiliser la commande add user, avec laquelle je pourrais probablement utiliser pour créer un utilisateur privilégié sur ma machine.
N'est-ce pas un problème de sécurité?
On aurait pu voler mon ordinateur portable et au démarrage choisir la récupération et ajouter un autre utilisateur, je suis falsifié alors. Y compris mes données.
À bien y penser, même si vous supprimez cette entrée, vous pouvez démarrer à partir d’un live-CD, obtenir un chroot opérationnel puis ajouter un autre utilisateur, avec les privilèges appropriés lui permettant de visualiser toutes mes données.
Si je configure le BIOS de manière à ce qu'il ne démarre que sur mon disque dur, sans USB, CD/DVD, démarrage réseau, ni mot de passe BIOS, cela n'a pas d'importance, car vous disposeriez toujours de cette entrée de démarrage pour la récupération grub.
Je suis à peu près sûr que quelqu'un de Chine ou de Russie ne peut pas pirater mon réseau Ubuntu Trusty Tahr, car il est sécurisé comme ça. Mais si quelqu'un a un accès physique à ma - votre - machine, alors, eh bien, c'est pourquoi je pose cette question. Comment puis-je sécuriser ma machine afin que le piratage par accès physique ne soit pas possible?
Rapport d'erreur:
Je suppose que seul le chiffrement intégral du disque utilisant un algorithme puissant et, ce qui est le plus important, un bon mot de passe est la seule chose qui peut sécuriser vos données stockées localement. Cela vous donne probablement 99,99% de sécurité. Veuillez vous référer à l’un des nombreux guides pour savoir comment procéder.
En dehors de cela, il est NON possible de sécuriser votre ordinateur contre un pirate informatique expérimenté disposant d'un accès physique.
Mots de passe utilisateur/compte:
Il est facile de créer un nouvel utilisateur administrateur si vous démarrez en mode de récupération, comme vous l'avez décrit vous-même, car vous obtenez un shell racine sans avoir à demander de mot de passe de cette façon.
Cela pourrait ressembler à un problème de sécurité accidentel, mais est destiné aux ((qui l'auraient pensé)?) Les cas de récupération, où vous par exemple. perdu votre mot de passe administrateur ou foiré la commandeSudoou d'autres choses vitales.mot de passe root:
Ubuntu n'a pas défini de mot de passe d'utilisateur root par défaut. Cependant, vous pouvez en définir un et il vous sera demandé si vous démarrez en mode de récupération. Cela semble assez sécurisé, mais n’est toujours pas une solution finalement sécurisée. Vous pouvez toujours ajouter le paramètre de noyausingle init=/bin/bashthrough GRUB avant de démarrer Ubuntu qui le démarre en mode mono-utilisateur - qui est en fait un shell racine sans mot de passe également.Sécurisation du menu GRUB avec un mot de passe:
Vous pouvez sécuriser vos entrées de menu GRUB pour qu’elles ne soient accessibles qu’après authentification, c’est-à-dire que vous pouvez refuser d’initialiser le mode de récupération sans mot de passe. Cela empêche également de manipuler les paramètres du noyau. Pour plus d'informations, voir le site Grub2/Passwords sur help.ubuntu.com . Cela ne peut être contourné que si vous démarrez à partir d'un support externe ou connectez directement le disque dur à une autre machine.Désactivez le démarrage à partir d'un support externe dans le BIOS:
Vous pouvez définir l'ordre de démarrage et généralement exclure les périphériques du démarrage dans de nombreuses versions actuelles du BIOS/UEFI. Ces paramètres ne sont toutefois pas sécurisés, car tout le monde peut accéder au menu de configuration. Vous devez également définir un mot de passe ici, mais ...Mots de passe du BIOS:
Vous pouvez généralement contourner également les mots de passe du BIOS. Il y a plusieurs méthodes:- Réinitialisez la mémoire CMOS (où les paramètres du BIOS sont stockés) en ouvrant le boîtier de l'ordinateur et en retirant physiquement la batterie CMOS ou en configurant temporairement un cavalier "Clear CMOS".
- Réinitialiser les paramètres du BIOS avec une combinaison de touches de service. La plupart des fabricants de cartes mères décrivent les combinaisons de touches dans leurs manuels d'entretien pour réinitialiser les paramètres du BIOS perturbés aux valeurs par défaut, y compris le mot de passe. Un exemple serait de tenir ScreenUp tout en mettant sous tension, ce qui, si je me souviens bien, a déverrouillé une carte mère Acer avec le BIOS AMI une fois pour moi après avoir bousillé mes paramètres d'overclocking.
- Dernier point mais non le moindre, il existe un ensemble de mots de passe BIOS par défaut qui semblent toujours fonctionner, indépendamment du mot de passe réel défini. Je ne l'ai pas testé, mais ce site en propose une liste, classée par fabricant.
Merci à Rinzwind pour cette information et ce lien!
Verrouillez le boîtier de l'ordinateur/refusez l'accès physique à la carte mère et au disque dur:
Même si tout le reste échoue, un voleur de données peut toujours ouvrir votre ordinateur portable, extraire le disque dur et le connecter à son propre ordinateur. Le monter et accéder à tous les fichiers non cryptés est un jeu d'enfant. Vous devez le placer dans un boîtier bien verrouillé où vous pouvez être sûr que personne ne pourra ouvrir l'ordinateur. Ceci est cependant impossible pour les ordinateurs portables et difficile pour les ordinateurs de bureau. Peut-être pouvez-vous penser à posséder un film d'action comme un dispositif autodestructeur qui fait exploser des explosifs à l'intérieur si quelqu'un tente de l'ouvrir? ;-) Mais assurez-vous que vous n'aurez jamais à l'ouvrir vous-même pour la maintenance!Chiffrement intégral du disque:
Je sais que j'ai recommandé cette méthode comme étant sécurisée, mais elle n'est pas non plus sûre à 100% si vous perdez votre ordinateur portable lorsqu'il est allumé. Il existe une soi-disant "attaque de démarrage à froid" qui permet à l'attaquant de lire les clés de cryptage à partir de votre RAM après la réinitialisation de la machine en cours d'exécution. Ceci décharge le système, mais ne vide pas le contenu de la RAM sans alimentation suffisamment courte.
Merci à kos pour son commentaire sur cette attaque!
Je vais également citer son deuxième commentaire ici:Ceci est une vieille vidéo, mais explique bien le concept: "N'oublions pas: attaques par démarrage à froid sur des clés de cryptage" sur YouTube ; Si vous avez défini un mot de passe BIOS, l’attaquant peut toujours supprimer la batterie CMOS pendant que l’ordinateur portable est toujours allumé, afin de permettre au lecteur conçu de manière personnalisée de démarrer sans perdre une seconde cruciale. De nos jours, cela est plus effrayant à cause des disques SSD, puisqu'un disque SSD spécialement conçu sera capable de décharger même 8 Go en moins d'une minute, en considérant une vitesse d'écriture d'environ 150 Mo/s.
Question connexe, mais toujours sans réponse, sur la manière de prévenir les attaques de démarrage à froid: Comment puis-je activer Ubuntu (à l'aide du chiffrement de disque complet) d'appeler LUKSsupend avant de passer en mode veille/en veille dans la RAM?
Pour conclure: à l'heure actuelle, rien ne protège réellement votre ordinateur portable de son utilisation par une personne ayant un accès physique et une intention malveillante. Vous ne pouvez entièrement chiffrer toutes vos données que si vous êtes suffisamment paranoïaque pour risquer de tout perdre en oubliant votre mot de passe ou en bloquant votre compte. Le cryptage rend donc les sauvegardes encore plus importantes qu’elles ne le sont déjà. Cependant, ils devraient également être cryptés et situés dans un endroit très sûr.
Ou simplement, ne donnez pas votre ordinateur portable en espérant que vous ne le perdrez jamais. ;-)
Si vous vous souciez moins de vos données que de votre matériel, vous voudrez peut-être acheter et installer un émetteur GPS dans votre cas, mais cela ne concerne que les vrais paranoïaques ou les agents fédéraux.
L'ordinateur portable le plus sécurisé est celui qui ne contient aucune donnée. Vous pouvez configurer votre propre environnement de cloud privé et ne rien stocker d’important localement.
Ou sortez le disque dur et faites-le fondre avec de la thermite. Bien que cela réponde techniquement à la question, il se peut que ce ne soit pas la solution la plus pratique car vous ne pourrez plus utiliser votre ordinateur portable. Mais ces pirates toujours aussi nébuleux ne le seront pas non plus.
Si ces options ne sont pas disponibles, double-chiffrer le disque dur et utiliser une clé USB pour le déchiffrer. La clé USB contient un ensemble de clés de déchiffrement et le BIOS contient l'autre ensemble - protégé par mot de passe, bien sûr. Combinez cela avec une routine d'autodestruction automatique des données si la clé USB n'est pas connectée pendant le démarrage/la reprise après une suspension. Portez la clé USB sur vous en tout temps. Il arrive également que cette combinaison traite XKCD # 538 .
Cryptez votre disque. De cette façon, votre système et vos données seront en sécurité en cas de vol de votre ordinateur portable. Autrement:
- Le mot de passe du BIOS ne vous aidera pas: le voleur peut facilement extraire le disque de votre ordinateur et le placer sur un autre PC pour le démarrer.
- Votre mot de passe utilisateur/racine ne vous aidera pas non plus: le voleur peut facilement monter le disque comme expliqué ci-dessus et accéder à toutes vos données.
Je vous recommanderais d'avoir une partition LUKS dans laquelle vous pourriez configurer un LVM. Vous pouvez laisser votre partition de démarrage non chiffrée afin de ne devoir entrer votre mot de passe qu'une seule fois. Cela signifie que votre système pourrait être plus facilement compromis s'il était altéré (volé et rendu sans que vous le remarquiez), mais il s'agit d'un cas très rare et, à moins que vous ne pensiez être suivi par la NSA, un gouvernement ou une sorte de mafia, vous ne devriez pas vous inquiéter à ce sujet.
Votre programme d'installation Ubuntu devrait vous permettre d'installer LUKS + LVM de manière très simple et automatisée. Je ne ré-affiche pas les détails ici, car il y a déjà beaucoup de documentation sur Internet. :-)
Il convient de noter quelques solutions matérielles.
Tout d’abord, certains ordinateurs portables, tels que certains ordinateurs portables professionnels Lenovo, sont livrés avec un commutateur de détection d’altération qui détecte l’ouverture du boîtier. Sur Lenovo, cette fonctionnalité doit être activée dans le BIOS et un mot de passe administrateur doit être défini. Si une altération est détectée, l'ordinateur portable (je crois) s'éteint immédiatement, puis, au démarrage, il affiche un avertissement et requiert le mot de passe de l'administrateur et l'adaptateur secteur approprié pour continuer. Certains détecteurs de violation déclenchent également une alarme sonore et peuvent être configurés pour envoyer un courrier électronique.
La détection de sabotage n'empêche pas vraiment le sabotage (mais cela peut rendre plus difficile le vol de données de la RAM - et la détection de sabotage peut "masquer" le périphérique s'il détecte quelque chose de vraiment louche, comme essayer de retirer le CMOS batterie). Le principal avantage est que personne ne peut altérer secrètement le matériel sans que vous le sachiez - si vous avez configuré une sécurité logicielle solide telle que le cryptage intégral du disque, l'altération secrète du matériel est définitivement l'un des vecteurs d'attaque restants.
Une autre sécurité physique est que certains ordinateurs portables peuvent être verrouillés à un quai. Si le dock est solidement monté sur une table (via des vis qui seront sous l'ordinateur) et que l'ordinateur reste verrouillé sur le dock lorsqu'il n'est pas utilisé, il fournit alors une couche supplémentaire de protection physique. Bien sûr, cela n'arrêtera pas un voleur déterminé, mais cela rendra plus difficile le vol de l'ordinateur portable de votre domicile ou de votre entreprise et, même s'il est verrouillé, il reste parfaitement utilisable (et vous pouvez brancher des périphériques, Ethernet, etc. sur le dock).
Bien entendu, ces fonctionnalités physiques ne sont pas utiles pour sécuriser un ordinateur portable qui ne les possède pas. Mais si vous êtes soucieux de la sécurité, il peut être intéressant de les prendre en compte lors de l’achat d’un ordinateur portable.
En plus de chiffrer votre disque (vous ne vous en tirerez pas): - SELinux et TRESOR. Les deux durcissent le noyau Linux et empêchent les attaquants de lire des choses en mémoire.
Pendant que vous y êtes: nous entrons maintenant sur le territoire de la peur des mauvais types malhonnêtes souhaitant obtenir des informations sur votre carte de débit (ils ne le font pas), mais souvent des agences de renseignement. Dans ce cas, vous souhaitez en faire davantage:
- Essayez de purger le PC de toutes les sources fermées (y compris les microprogrammes). Cela inclut UEFI/BIOS!
- Utiliser tianocore/coreboot comme nouveau UEFI/BIOS
- Utilisez SecureBoot avec vos propres clés.
Il y a beaucoup de choses que vous pouvez faire mais celles-ci devraient donner une quantité raisonnable de choses dont elles ont besoin pour chatouiller.
Et n'oubliez pas: xkcd ;-)
Parce que vous avez un peu changé la question, voici ma réponse à la partie modifiée:
Comment puis-je sécuriser ma machine afin que le piratage par accès physique ne soit pas possible?
Réponse: Vous ne pouvez pas
Il existe de nombreux systèmes matériels et logiciels avancés tels que la détection de sabotage , le cryptage, etc., mais tout cela se résume à ceci:
Vous pouvez protéger vos données, mais vous ne pouvez pas protéger votre matériel une fois que quelqu'un y a eu accès. Et si vous continuez à utiliser du matériel après que quelqu'un d'autre y ait eu accès, vous mettez vos données en danger!
Utilisez un bloc-notes sécurisé avec détection de sabotage qui efface le RAM lorsque quelqu'un tente de l'ouvrir, utilisez le chiffrement intégral du disque, stockez des sauvegardes de vos données chiffrées à différents emplacements. Ensuite, rendez le plus difficile possible l’accès physique à votre matériel. Mais si vous pensez que quelqu'un a eu accès à votre matériel, nettoyez-le et jetez-le.
La question suivante vous devriez demander est: Comment puis-je acquérir un nouveau matériel qui n'a pas été falsifié?.
Utilisez un mot de passe ATA pour votre disque dur/SSD
Cela empêchera l'utilisation du disque sans le mot de passe . Cela signifie que vous ne pouvez pas démarrer sans le mot de passe car vous ne pouvez pas accéder à MBR ou le ESP sans le mot de passe. Et si le disque est utilisé à l'intérieur d'une autre machine, le mot de passe est toujours requis.
Ainsi, vous pouvez utiliser un soi-disant mot de passe utilisateur ATA pour votre disque dur/SSD. Ceci est généralement défini dans le BIOS (mais ce n'est pas un mot de passe du BIOS).
Pour plus de sécurité, vous pouvez également définir un mot de passe ATA principal sur le disque. Pour désactiver l'utilisation du mot de passe du fabricant.
Vous pouvez également le faire sur le cli avec hdparm.
Une attention particulière doit être prise car vous pouvez perdre toutes vos données si vous perdez le mot de passe.
Remarque: il existe également des faiblesses dans la mesure où certains logiciels prétendent récupérer le mot de passe ATA, voire prétendent le supprimer. Donc, ce n'est pas sûr à 100% non plus.
Remarque: le mot de passe ATA ne vient pas nécessairement avec FED (Full Disk Encryption).