Dizüstü bilgisayarımı nasıl güvenli bir şekilde bağlayabilirim ki fiziksel erişimle uğraşmak mümkün olmaz?

73

Daha önce sistemimi bozdum, Ubuntu’ya taşırken siyah bir ekranla karşılaştım. Dizüstü bilgisayarımı başlattığımda, grub menüsünden kurtarma seçeneğini seçtim ve root terminalinde geri dönüşü seçtim . Add user komutunu kullanabildiğimi gördüm, bununla birlikte, makinemde ayrıcalıklı bir kullanıcı oluşturmak için kullanabileceğimi gördüm.

Bu bir güvenlik sorunu değil mi?

Biri dizüstü bilgisayarımı çaldı ve başlangıçta kurtarmayı seçip başka bir kullanıcı ekleyebilirdi, o zaman fudged. Verilerim dahil

Bir düşünün, o girişi bir şekilde kaldırsanız bile, bir kişi canlı bir CD'den önyüklenebilir, chrootçalışmaya başlar ve çalışır ve ardından tüm verilerimi görmesine izin veren doğru haklara sahip başka bir kullanıcı ekler.

BIOS'u yalnızca HD'mde önyükleme yapacak, USB, CD / DVD, Ağ başlatma ve bir BIOS şifresi ayarlamayacak olursam, yine de önemli değil çünkü o grubun kurtarma başlangıç ​​girdisine sahip olacaktınız.

Çin’den birisinin, Rusya’nın Ubuntu Trusty Tahr’i ağdan kesemeyeceğinden eminim çünkü o kadar güvenli. Ancak, biri makinenize - fiziksel olarak erişebiliyorsa, o zaman, bu yüzden bu soruyu soruyorum. Makinemi fiziksel erişim yoluyla kesmek mümkün olmayacak şekilde nasıl koruyabilirim?

Hata raporu:

14.04  grub2  security  encryption 
blade19899
kaynak
35
Vidalarınız için tam disk şifrelemesi ve parıltı parlatıcısı. Bugünlerde bunu kim yapmıyor?
mondjunge 21:15
2
@ByteCommander size kök kullanıcı ekleyebilirsiniz. Sadece /id / to / etc / password kimliği olan başka bir kullanıcı ekleyin. Az önce fred ekledim fred:x:0:0:fred,,,:/home/fred:/bin/bashve şimdi fred ve run olarak giriş whoamiyaparsam, anlıyorumroot
Josef
3
@ByteCommander onlar olmalıdır . adduserVb gibi hesapları yönetmek için kullanılan araçlar genellikle bunu yapmanıza izin vermez, ancak yalnızca /etc/passwdişleri düzenler . Hacker olmak ne yapmanız gerektiğini görmezden gelmek demektir ;)
Josef
3
@ blade19899 Yeni hatanız kesinlikle reddedilecek. Bu mevcut olanı karşılaştırın: bugs.launchpad.net/ubuntu/+bug/283662
Byte Commander
4
@ blade19899 Daha geniş noktam, riskler ve takaslar açısından mutlak değil düşünmeniz gerekir. Kim olduğunuzu veya nerede yaşadığınız hakkında hiçbir fikrim yok, ancak verilerinizi etkili bir şekilde kullanan bir kimseye yol açan bir ev soygunu (sadece donanımı boşaltmaya çalışmak yerine), zamandan biraz daha fazla ve muhtemelen daha az endişe duyan sesler, etkili kurtarma seçeneklerinin olmamasından kaynaklanabilecek para veya hatta veri kaybı. Bu yüzden bir geri dönüş kök terminaline sahip olmak iyi bir şeydir. Fakat açıkçası bu, tam disk şifrelemesine bakmamanız gerektiği anlamına gelmiyor.
Rahat,

Yanıtlar:

86

Tahminime göre, sadece güçlü bir algoritma kullanan tam disk şifrelemesi ve en önemlisi, iyi şifreniz yerel olarak depolanan verilerinizi güvence altına alabilecek tek şey. Bu, muhtemelen% 99,99 güvenlik sağlar. Lütfen bunun nasıl yapılacağına dair kılavuzlardan birine bakın.

Bunun yanı sıra , makinenizi fiziksel erişimi olan deneyimli bir bilgisayar korsanlarından korumak mümkün DEĞİLDİR .

  • Kullanıcı / hesap şifreleri:
    Kendini tanımladığın gibi kurtarma moduna geçersen yeni bir yönetici kullanıcısı oluşturmak kolaydır, çünkü şifreler sorulmadan bir kök kabuğu alırsın.
    Bu, yanlışlıkla yapılan bir güvenlik sorununa benzeyebilir, ancak örneğin yönetici şifrenizi kaybettiğiniz veya sudoemri ya da diğer önemli şeyleri bertaraf ettiğiniz (kim bunu düşünebilir?) Kurtarma durumları için tasarlanmıştır .

  • root şifresi:
    Ubuntu varsayılan olarak root kullanıcı şifresi belirlememiştir. Ancak, bir tane ayarlayabilirsiniz ve kurtarma modunda önyükleme yaparsanız sizden istenecektir. Bu oldukça güvenli görünüyor, ancak sonuçta güvenli bir çözüm değil. Çekirdek parametresini single init=/bin/bashGRUB aracılığıyla tek kullanıcı modunda başlatan Ubuntu'yu başlatmadan önce ekleyebilirsiniz - ki bu da aslında parolasız bir kök kabuktur.

  • GRUB menüsünün bir şifreyle
    güvence altına alınması: GRUB menü girişlerinizi ancak onaylamadan sonra erişilebilir olacak şekilde güvence altına alabilirsiniz, yani kurtarma modunu şifre olmadan açmayı reddedebilirsiniz. Bu aynı zamanda çekirdek parametrelerinin değiştirilmesini de önler. Daha fazla bilgi için help.ubuntu.com adresindeki Grub2 / Parolalar sitesine bakın . Bu yalnızca harici bir ortamdan önyükleme yaparsanız veya HDD'yi doğrudan başka bir makineye bağlarsanız atlanabilir.

  • BIOS'ta harici medyadan önyüklemeyi devre dışı bırakma:
    Önyükleme sırasını ayarlayabilir ve genellikle birçok geçerli BIOS / UEFI sürümünde cihazları önyükleme dışında bırakabilirsiniz. Herkes ayarlar menüsüne girebildiği için bu ayarlar güvenli değildir. Burada da bir şifre belirlemelisin, ama ...

  • BIOS şifreleri:
    Genellikle BIOS şifrelerini de atlayabilirsiniz. Birkaç yöntem var:

    • Bilgisayar kasasını açarak ve CMOS pili fiziksel olarak çıkararak ya da geçici olarak "Clear CMOS" atlama teli ayarlayarak CMOS belleği sıfırlayın (BIOS ayarlarının saklandığı yer).
    • Bir servis tuşu kombinasyonu ile BIOS ayarlarını sıfırlayın. Çoğu anakart üreticisi, şifreli BIOS ayarlarını, şifre de dahil olmak üzere varsayılan değerlere sıfırlamak için servis kılavuzlarındaki tuş kombinasyonlarını açıklar. ScreenUpGücü açarken tutmak için bir örnek , eğer doğru hatırlarsam, overclock ayarlarımı bozduktan sonra AMI BIOS ile bir ana anakartın kilidini açtım.
    • Son fakat en az değil, gerçek set şifresinden bağımsız olarak her zaman işe yarayan bir dizi varsayılan BIOS şifresi vardır. Test etmedim, ancak bu site üretici tarafından kategorize edilmiş bir liste sunuyor.
      Bu bilgi ve bağlantı için Rinzwind'a teşekkürler!

  • Bilgisayar kasasını kilitleyin / ana kart ve sabit diske fiziksel erişimi engelleyin:
    Her şey başarısız olsa da, bir veri hırsızı dizüstü bilgisayarınızı / bilgisayarınızı açabilir, HDD'yi çıkarın ve kendi bilgisayarına bağlayın. Monte etmek ve şifrelenmemiş tüm dosyalara erişmek, ondan bir parça kek. Bilgisayarı kimsenin açamayacağından emin olabileceğiniz, güvenli bir şekilde kilitli bir kasanın içine koymanız gerekir. Ancak bu, dizüstü bilgisayarlar için imkansızdır ve masaüstü bilgisayarlar için zordur. Belki birileri açmaya kalkarsa, içerideki bazı patlayıcıları patlatan kendine zarar veren cihaz gibi bir aksiyon filmi çekmeyi düşünebilirsiniz? ;-) Fakat bakım için asla kendin açmak zorunda kalmayacağından emin ol!

  • Tam disk şifreleme:
    Bu yöntemi güvenli olarak önerdiğimi biliyorum, ancak dizüstü bilgisayar açıkken kaybederseniz de% 100 güvenli değildir. Çalışan makineyi sıfırladıktan sonra saldırganın şifreleme anahtarlarını RAM'inizden okumasını sağlayan "soğuk önyükleme saldırısı" adı verilir. Bu sistemi boşaltır, ancak zamanın RAM içeriğini yeteri kadar kısa olmadan temizlemez.
    Bu saldırı hakkındaki yorumu için kos'a teşekkürler!
    Ayrıca ikinci yorumu burada alıntılayacağım:

    Bu eski bir video, ancak konsepti iyi açıklıyor: YouTube'da "Hatırlayabileceğimiz Lest: Şifreleme Anahtarlarına Soğuk Önyükleme Saldırıları" ; ayarlanmış bir BIOS şifresi varsa, dizüstü bilgisayar açık durumdayken özel hazırlanmış sürücünün önemli bir saniyeyi kaybetmeden açılmasını sağlamak için saldırgan hala CMOS pili çıkarabilir; Bu, günümüzde SSD'ler nedeniyle daha korkutucu, çünkü özel hazırlanmış bir SSD, ~ 150MB / s'lik bir yazma hızı düşünüldüğünde büyük olasılıkla 1 dakikadan daha az bir sürede 8GB'lık boşaltma yapabiliyor olacak

    Cold Boot Attack’lerin nasıl önlenebileceği ile ilgili ancak yine de cevaplanmamış bir soru: RAMunt’a uyumadan / askıya alınmadan önce Ubuntu’nun (tam disk şifrelemesi kullanarak) LUKSsupend’i aramasını nasıl sağlayabilirim?

Sonuç olarak: Şu anda hiçbir şey dizüstü bilgisayarınızı fiziksel erişimi ve zararlı niyetli bir kişi tarafından kullanılmasını önleyemez. Parolanızı veya bir çökme durumunuzu unutup her şeyi kaybetme riskini taşıyacak paranoyaksanız, tüm verilerinizi tamamen şifreleyebilirsiniz. Bu nedenle şifreleme, yedeklemeleri olduğundan daha önemli hale getirir. Ancak, onlar da şifrelenmeli ve çok güvenli bir yere yerleştirilmelidir.
Ya da sadece dizüstü bilgisayarınızı vermeyin ve asla kaybetmeyeceğinizi umuyoruz. ;-)

Verilerinizi daha az, donanımınızı daha fazla önemsiyorsanız, durumunuza bir GPS göndereni satın almak ve kurmak isteyebilirsiniz, ancak bu yalnızca gerçek paranoyak insanlar veya federal ajanlar içindir.

Bayt Komutanı
kaynak
7
Ve hala tam disk şifrelemesi, dizüstü bilgisayarınız açıkken çalınması durumunda sizi soğuk başlatma saldırılarından kurtarmaz!
kos
14
Ayrıca dizüstü bilgisayarınız herhangi bir süre sizin kontrolünüzün dışında kaldıktan sonra, artık güvenli olması beklenemez. Şimdi önyükleme öncesi parolanızı kaydedebilir.
Josef
1
Verilerinizi şifrelemek, kaybetme riskinizi artırmamalıdır, çünkü yedekleriniz var, değil mi? Yalnızca bir kez depolanan veriler, mevcut olmayan verilerden daha iyi değil. Özellikle SSD'ler, herhangi bir şeyden kurtulma şansı olmadan aniden başarısız olma eğilimindedir.
Josef
3
Bu eski bir videodur, ancak konsepti iyi açıklar: youtube.com/watch?v=JDaicPIgn9U ; ayarlanmış bir BIOS şifresi varsa, dizüstü bilgisayar açık durumdayken özel hazırlanmış sürücünün önemli bir saniyeyi kaybetmeden açılmasını sağlamak için saldırgan hala CMOS pili çıkarabilir; Bu, günümüzde SSD'ler nedeniyle daha korkutucu, çünkü özel hazırlanmış bir SSD, ~ 150MB / s
kos
2
@ByteCommander ancak SSD'niz tamamen aynı şekilde başarısız olabilir ve tüm verileriniz kaybolur. Şifreleri unutmaya meyilliyse (elbette, bir yere yaz ve sonra kasanıza koy), şifreleme ile tüm verilerinizi kaybetme ihtimaliniz şifrelemeyle artabilir, ancak şifrelemeye cesaret edemediğiniz sürece verilerinizin süper güvenli olması gibi değildir. . "Parolanızı veya bir çökmenizi unutarak her şeyi riske atmazsınız", bunu yedeklemeyerek yapmazsınız.
Josef
11

En güvenli dizüstü bilgisayar, veri içermeyen dizüstü bilgisayardır. Kendi özel bulut ortamınızı oluşturabilir ve ardından yerel olarak önemli bir şeyi saklamayın.

Veya sabit sürücüyü çıkarın ve termit ile eritin. Bu teknik olarak soruyu cevaplarken, dizüstü bilgisayarınızı artık kullanamayacağınız için en pratik olmayabilir. Ama o da habersiz bilgisayar korsanları olmayacak.

Bu seçenekleri engellemek, sabit sürücüyü çift şifrelemek ve şifresini çözmek için bir USB flaş sürücü takılmasını gerektirir. USB flaş sürücü bir şifre çözme tuşu seti içerir ve BIOS elbette korunan diğer şifre ayarını içerir. USB flaş sürücü önyükleme / devam etme sırasında askıya alınma sırasında takılı değilse, otomatik veri otomatik imha rutini ile birleştirin. USB flaş belleği her zaman kişinize taşıyın. Bu kombinasyon ayrıca XKCD # 538 ile de ilgilidir .

XKCD # 538

E. Diaz
kaynak
7
Otomatik flaş imha rutini, USB flaş sürücünüz temas yüzeylerinde biraz toz biriktirdiğinde kesinlikle hoş bir sürpriz olacaktır.
Dmitry Grigoryev
10

Diski şifreleyin. Bu sayede dizüstü bilgisayarınız çalındığında sisteminiz ve verileriniz güvende olacaktır. Aksi takdirde:

  • BIOS şifresi işe yaramaz: hırsız, diski bilgisayarınızdan kolayca çıkarabilir ve önyüklemek için başka bir bilgisayara yerleştirebilir.
  • Kullanıcı / root şifreniz her ikisine de yardımcı olmaz: hırsız, diski yukarıda açıklandığı şekilde kolayca monte edebilir ve tüm verilerinize erişebilir.

LVM ayarlayabileceğiniz bir LUKS bölümüne sahip olmanızı tavsiye ederim. Önyükleme bölümünüzü şifrelenmemiş halde bırakarak şifrenizi yalnızca bir kez girmeniz gerekebilir. Bu, tahrif edildiğinde sisteminizin daha kolay tehlikeye girebileceği (fark edilmeden çalınması ve size geri verilmesi) anlamına gelir, ancak bu çok nadir bir durumdur ve NSA tarafından takip edilmediğinizi düşünmüyorsanız, bir hükümet veya bir tür Mafya, bu konuda endişelenmemelisin.

Ubuntu kurulumcunuz, LUKS + LVM ile çok kolay ve otomatik bir şekilde kurulum yapma seçeneği sunmalıdır. İnternette çok fazla dokümantasyon olduğundan, buradaki detayları burada tekrar göndermiyorum. :-)

Peque
kaynak
Mümkünse, daha ayrıntılı bir cevap verebilir misiniz? Soruma göre söyleyebilirim ki ben güvenlik tutkunu değilim.
blade19899
Madde işaretleri için artırıldı, ancak tam disk şifrelemenin tek yol olmadığını, hassas dosyalarınızı sınırlandırmanız gerektiğinde de gerekli olmadığını unutmayın /home/yourName! - o zaman bu klasörü dosya düzeyinde bir şifreleme sürücüsüyle (OP'de bahsettiğim ve bir daha spam yapamayacağınız gibi), çok uygun bir alternatif olarak istifleyin. İnsanların tüm sıkıcı şeyleri gördüğü /usr, vb. İçin endişelenmiyorum .
underscore_d
1
@underscore_d: Dışardaki diğer şeyler için gerçekten endişeliyim /home(diğer bölümlerdeki kişisel ve profesyonel veriler dahil), bu yüzden her şeyi şifrelemek benim için daha kolay, ancak her kullanıcının kendi gereksinimlerine sahip olduğunu tahmin ediyorum :-). Ancak, ecryptfsperformans açısından en iyi karar kullanılması değildir. Sen edebilirsiniz Burada bazı kriterler bulmak . 2-5Fiili sonuçlar için makaledeki sayfaları okuduğunuzdan emin olun (sayfa 1sadece bir tanıtımdır).
Peque
Çok doğru, link / kıyaslamalar için teşekkürler. Henüz herhangi bir performans engeline ulaşmadım ama belki daha sonra anlarım. Ayrıca, ben muhtemelen böyle şeyler şifreleyerek düşünmeye başlamak gerekecek fark /var/log, /var/www&, (kaynak) /tmpbelki tam disk şifreleme daha mantıklı görünmeye başlayacak!
underscore_d
@underscore_d: evet, ve sonra düşünmeye başlarsın /etcve diğer üst düzey dizinleri düşünmeye başlarsın ... Sonunda tam disk şifrelemesi, her gece bebek gibi uyumanı sağlayacak basit ve hızlı bir çözümdür. ^^
Peque
5

Kayda değer birkaç donanım çözümü var.

İlk olarak, bazı Lenovo iş dizüstü bilgisayarları gibi bazı dizüstü bilgisayarlar, kasanın ne zaman açıldığını algılayan bir kurcalama algılama anahtarıyla birlikte gelir. Lenovo'da bu özelliğin BIOS'ta etkinleştirilmesi ve yönetici şifresinin ayarlanması gerekir. Kurcalama algılanırsa, dizüstü bilgisayar derhal kapanacak (inanıyorum), başlangıçta bir uyarı gösterecek ve devam etmesi için yönetici şifresini ve uygun AC adaptörünü gerektirecektir. Bazı kurcalama dedektörleri de sesli bir alarm verecektir ve bir e-posta göndermek üzere yapılandırılabilir.

Kurcalama algılaması, kurcalamayı gerçekten engellemez (ancak RAM'den veri çalmayı zorlaştırır - ve kurcalama algılaması, CMOS pili çıkarmaya çalışmak gibi tehlikeli bir şey algılarsa aygıtı "tuğlalayabilir"). Asıl avantajı, birisinin sizin bilmeden donanımın üzerine gizlice müdahale edememesidir - tam disk şifrelemesi gibi güçlü bir yazılım güvenliği kurduysanız, donanımın gizlenmesini gizlemek kesinlikle geri kalan saldırı vektörlerinden biridir.

Diğer bir fiziksel güvenlik, bazı dizüstü bilgisayarların bir iskeleye kilitlenebilmesidir. Dock bir masaya güvenli bir şekilde monte edilmişse (dizüstü bilgisayarın altında olacak vidalar aracılığıyla) ve dizüstü bilgisayar kullanılmadığında dock'a kilitli tutulursa, ek bir fiziksel koruma katmanı sağlar. Tabii ki bu kararlı bir hırsızı durdurmayacak ama kesinlikle dizüstü bilgisayarı evinizden veya işyerinizden çalmanızı kesinlikle zorlaştırıyor ve kilitliyken hala mükemmel bir şekilde kullanılabilir (ve çevre birimleri, ethernet vb. Takabilirsiniz).

Tabii ki, bu fiziksel özellikler, onlara sahip olmayan bir dizüstü bilgisayarı korumak için kullanışlı değildir. Ancak güvenlik konusunda bilinçliysen, bir dizüstü bilgisayar alırken bunları göz önünde bulundurmak faydalı olabilir.

Blake Walsh
kaynak
2

Ek olarak, diskinizi şifrelemek (bunu çözemezsiniz): - SELinux ve TRESOR. Her ikisi de Linux çekirdeğini sertleştiriyor ve saldırganların bellekten bir şeyler okumasını zorlaştırmaya çalışıyor.

Siz onun yanındayken: Şimdi sadece banka kartı bilgilerinizi isteyen (ancak bunu yapmazlar) ama rastgele istihbarat ajanslarından isteyen kötü rastgele adamlardan korkma bölgesine giriyoruz. Bu durumda daha fazlasını yapmak istersiniz :

  • Evrything kapalı kaynaklı (ayrıca donanım yazılımı) PC'den temizlemeye çalışın. Bu, UEFI / BIOS'u içerir!
  • Yeni UEFI / BIOS olarak tianocore / coreboot kullanın
  • SecureBoot'u kendi anahtarlarınızla kullanın.

Yapabileceğiniz birçok şey var ama bunlar gıdıklamak için makul miktarda şey vermeli.

Ve unutma: xkcd ;-)

larkey
kaynak
Bu öneriler yardımcı değil. Ne SELinux ne de TRESOR fiziksel erişimi olan birini durdurmaz. Bu tehdit modeli için tasarlanmamışlar. Sahte bir güvenlik hissi sağlayacaklar. PS Purging kapalı kaynak kodunun fiziksel erişime sahip birine karşı güvenlik sağlama ile tamamen ilgisi yoktur.
DW
1
@DW "TRESOR (" TRESOR Şifrelemeyi RAM Dışında Çalıştırır "için özyinel kısaltması), Linux'un soğuk önyükleme saldırılarına karşı savunmak için sadece CPU tabanlı şifreleme sağlayan bir çekirdek yamasıdır - bu nedenle TRESOR kesinlikle bu tür senaryolarda yardımcı olur. Ama bu sadece bir yan nokta. Diskinizi şifrelememeniz durumunda (fiziksel erişim senaryosunda) bu şeyler gerçekten bir şey yapmayacağı için 'Ayrıca' yazdım. Bununla birlikte, fiziksel güvenliği artırdığınızda, saldırganın hala sadece önyükleme yapabileceğini ve dijital bir saldırı yapabileceğini de unutmamalısınız (ör. Böcekleri istismar etmek).
larkey
@DW PC'niz güzel bir şekilde şifrelenmiş ancak tırmanma ayrıcalığına eğilimli ise oldukça boktan bir durumdur. Bu yüzden - eğer biri sistemi fiziksel bir taraftan korumak üzereyse - biri biraz sertleştirme yazılımı da yapmalıdır. Ben açıkça onlar Linux çekirdeğinin sertleştirilmiş ve onların yapılması gerektiğini belirtti ilaveten . Aynı şey kapalı kaynaklı yazılım için de geçerli. Diskiniz güzel bir şekilde şifrelenmiş olabilir, ancak UEFI'de bir arka kapı keylogger varsa, istihbarat ajanslarına karşı size yardımcı olmaz.
larkey
Tam disk şifrelemesi kullanıyorsanız ve bilgisayarınızı katılımsız çalıştırmıyorsanız, saldırgan şifre çözme şifresini bilmeyeceğinden, ayrıcalık yükselme saldırıları önemsizdir. (. Tam disk şifreleme uygun kullanımı kapatmaya gerektirir zaman gözetimsiz / hazırda bekletme) Eğer tam disk şifrelemesi kullanır ve varsa yapmak USB takılarak örneğin - kompütörünüzü bırakın, daha sonra tam disk şifreleme yöntemlerinden herhangi sayısına göre atlanabilir dongle - TRESOR, SELinux vb. kullanıyorsanız bile. Yine, bu tehdit modeli için tasarlanmadı. Bu cevap, dikkatli bir güvenlik analizini yansıtmıyor gibi görünüyor.
DW
1
Gelincik ifadeleriyle "dene" ifadesiyle her şey nitelendirilebilir - rot13 şifrelemesi, bir istismarın sistemi ele geçirememesini sağlamaya çalışabilir. Bu lanetlenmeye değer bir şey olmayacak, ama denemek olarak tanımlayabilirim. Demek istediğim şu ki, dışa vurduğun savunmaların bu saldırı sınıfını durdurmada etkili olmadığı. SELinux / TRESOR soğuk başlatma işlemini durdurmaz. Güvenliği analiz etmek için bir tehdit modeli ile başlamanız ve bu tehdit modeline karşı savunmaları analiz etmeniz gerekir. Güvenlik, kulağa hoş gelen sayısız kısıtlama listesine serpme işlemi değildir. Bunun için bazı bilim var.
DW
2

Soruyu biraz değiştirdiğiniz için, değiştirilen kısma cevabım:

Makinemi fiziksel erişim yoluyla kesmek mümkün olmayacak şekilde nasıl koruyabilirim?

Cevap: yapamazsın

Dış müdahale algılama , şifreleme vb. Birçok gelişmiş donanım ve yazılım sistemi vardır , ancak hepsi şu şekildedir :

Verilerinizi koruyabilirsiniz, ancak birisi erişime girdiğinde donanımınızı koruyamazsınız. Bir başkasının erişimi olduktan sonra herhangi bir donanım kullanmaya devam ederseniz, verilerinizi tehlikeye atarsınız!

Birisi açmaya çalıştığında RAM'i temizleyen kurcalama algılamalı güvenli bir dizüstü bilgisayar kullanın, tam disk şifrelemesi kullanın, farklı konumlarda şifrelenmiş verilerinizin yedeklerini saklayın. Ardından, donanımınıza fiziksel erişim elde etmeyi mümkün olduğunca zorlaştırın. Ancak birisinin donanıma erişebildiğini düşünüyorsanız, silin ve atın.

Sormanız gereken bir sonraki soru şudur: Tahrif edilmemiş yeni donanımı nasıl alabilirim.

Josef
kaynak
1

HDD / SSD'niz için bir ATA şifresi kullanın

Bu, diskin parola olmadan kullanılmasını önler . Bu demektir can çizme Erişemediğiniz çünkü şifre olmadan MBR veya ESP şifre olmadan. Eğer disk başka bir mankenin içinde kullanılıyorsa, şifre hala gereklidir.

Böylece, HDD / SSD'niz için kullanıcı ATA şifresi kullanabilirsiniz . Bu genellikle BIOS'un içinde ayarlanır (ancak bu bir BIOS şifresi değildir).

Ekstra güvenlik için, diskte bir de ana ATA şifresi belirleyebilirsiniz . Üretici şifresinin kullanımını devre dışı bırakmak için.

Bunu kayalıkta hdparmda yapabilirsiniz.

Şifreyi kaybederseniz tüm verilerinizi kaybedebileceğiniz için ekstra özen gösterilmelidir .

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

Not: Burada ATA şifresini kurtarmayı, hatta onu kaldırmayı talep ettiğini gösteren yazılımlar olduğu için zayıflıklar da vardır. Yani% 100 güvenli de değil.

Not: ATA şifresi mutlaka FED (Tam Disk Şifreleme) ile gelmez

gündönümü
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.