Verhindern des Diebstahls von Daten auf remote bereitgestellten Servern, die physischem Zugriff ausgesetzt sind [geschlossen]

13

Ich versuche, einen Weg zu finden, um Linux-Server zu schützen, die physischem Zugriff ausgesetzt sind. Meine spezielle Plattform sind Linux-Server mit kleinem Formfaktor auf einem PC Engines- Motherboard der Marke alix2d13 . Die geringe Größe birgt ein zusätzliches Risiko, dass ein Angreifer die Räumlichkeiten verlässt.

Angenommen, es besteht physischer Zugriff auf den Server:

1) ROOT-PASSWORD: Sie verbinden ein Konsolenkabel mit dem Server und werden aufgefordert, ein Passwort einzugeben. Wenn Sie das Kennwort nicht kennen, können Sie den Computer im Einzelbenutzermodus neu starten und das Kennwort zurücksetzen. Voilà, Sie erhalten Root-Zugriff.

Um dies zu gewährleisten, geben Sie ein Passwort in das GRUB- Menü ein. Wenn der Server neu gestartet wird, um in den Einzelbenutzermodus zu wechseln, müssen Sie das GRUB-Passwort eingeben.

2) GRUB_PASSWORD. Wenn Sie den Computer herunterfahren, die Festplatte /bootherausnehmen und auf einer anderen Arbeitsstation bereitstellen, können Sie das Verzeichnis durchsuchen, in dem sich die Datei grub.cfg befindet, in der sich das GRUB-Kennwort befindet. Sie können das GRUB-Passwort entweder ändern oder löschen.

Wenn es sich um große Produktionsmaschinen handelt, wird es wahrscheinlich keinen physischen Zugriff geben, und ansonsten wird der Server nicht heruntergefahren, selbst wenn jemand physischen Zugriff auf den Server erhält.

Was sind mögliche Lösungen, um Datendiebstahl auf Servern zu verhindern, die physisch leicht zu stehlen sind?

So wie ich es sehe, kann man auf die eine oder andere Weise auf die enthaltenen Daten zugreifen.

linux security Giomanda
quelle
3
Sie können nicht viel tun, es sei denn, Sie möchten bei jedem Start ein Entschlüsselungskennwort eingeben. Die Entschlüsselung kann durch Kommunikation mit einem Netzwerkdienst erfolgen, der nur verfügbar ist, solange er sich im richtigen Netzwerk befindet. Das ist nicht sehr sicher, aber ausreichend, um den Fall abzudecken, dass der Dieb vor Ort nicht versucht, auf die Daten zuzugreifen. Ein gezielter Angreifer könnte die Maschine sogar stehlen, ohne sie auszuschalten. Ich nehme an, es würde nicht viel Batteriekapazität erfordern, um es für ein paar Minuten mit Strom zu versorgen.
Kasperd
12
Begrabe es in Beton. Das wird sicherlich Diebstahl verhindern!
Michael Hampton
14
Es ist nicht ganz klar, um welches Bedrohungsmodell es sich handelt. Sie möchten ein Gerät, das keinen physischen Kompromissen ausgesetzt ist? Das wird sehr komplex und teuer. Computer sind keine Tresore. Wenn Sie einen Tresor wollen, brauchen Sie einen Tresor.
David Schwartz
3
@BlueCompute Die Frage kann sich auch in einem professionellen Umfeld stellen, daher sollte es hier bleiben.
Nils
3
@giomanda Und es ist „threa t - Modell“. Dazu gehört auch, dass Sie genau verstehen müssen, was Sie sichern und woraus Sie es sichern. Sie können SEAL Team Six verwenden, um Fort Knox vor Al-Qaida zu verteidigen, aber nicht, um Ihren neuen Plasma-Fernseher vor Nachbarschaftsdieben zu verteidigen.
David Schwartz

Antworten:

18

Die Regel, nach der ich immer gearbeitet habe, ist, dass ein Angreifer, sobald er physischen Zugriff auf Ihren Host hat, in diesen eindringen kann - es sei denn, wie kasperd sagt, Sie verwenden eine starke All-Disk-Verschlüsselung mit einem Startkennwort und sind dazu bereit Dort können Sie es jedes Mal eingeben, wenn der Host startet.

Andrew Schulman
quelle
14
Und selbst dann könnte jemand mit physischem Zugriff die Tastatur ersetzen, die zur Eingabe des Startkennworts verwendet wurde, und so das Kennwort lernen ...
Hagen von Eitzen,
2
@HagenvonEitzen Lösung: Tragen Sie Ihre eigene Tastatur mit sich und manipulationssicher den physischen USB (oder PS / 2) -Anschluss auf der Box.
Jules
10
@JulesMazur Counterattack: Evil Maid aktualisiert die Onboard-Firmware erneut.
ein Lebenslauf
1
@ MichaelKjörling Verteidigung: Firmware-Passwort, physikalisch fest verschlossene Server-Box.
Jules
6
@ MichaelKjörling Sie können nie zu sicher sein mit herumstreunenden Banden von bösen Mädchen, die die Tastatur und / oder Firmware entführen
Jules
10

Die mir bekannte Lösung besteht darin, die Festplatte zu verschlüsseln und ein TPM: Trusted Platform Module zu verwenden

Auf diese Weise können Sie die Festplatte jetzt wie folgt entschlüsseln:

Anwendungen für die vollständige Festplattenverschlüsselung [...] können diese Technologie [TPM] verwenden, um die zum Verschlüsseln der Festplatten des Computers verwendeten Schlüssel zu schützen und die Integritätsauthentifizierung für einen vertrauenswürdigen Startpfad (z. B. BIOS, Startsektor usw.) bereitzustellen Full Disk Encryption-Produkte von Drittanbietern unterstützen auch TPM. TrueCrypt hat sich jedoch entschieden, es nicht zu verwenden. - Wikipedia

Natürlich könnte ich mich irren und das TPM kann leicht geknackt werden oder ich könnte keine anderen Lösungen kennen.

ColOfAbRiX
quelle
Das ist richtig. Mit einem TPM, einem verschlüsselten Laufwerk und einer UEFI-Signatur ist es für einen Außenstehenden unmöglich, das Laufwerk zu lesen oder den Bootloader so zu ändern, dass die Verschlüsselung umgangen wird.
Longneck
Es wäre interessant zu wissen, ob ein USB-Stift mit einem TPM vorhanden ist, um diese Funktion jedem Computer hinzuzufügen.
ColOfAbRiX
1
Nein, denn das BIOS muss die tpm verwalten.
Longneck
3
Mit physischem Zugriff kann auch das TPM nicht viel bewirken. Sie können die Daten vom TPM-Chip während des Startvorgangs einfach abrufen oder auf den gesamten Arbeitsspeicher des Computers zugreifen, ohne dass der Computer dies bemerkt (und das TPM wird "entsiegelt" "der Schlüssel ist in Ordnung).
2
TPM fällt an ein PCI-Gerät am Bus, das nicht auf die PCI-Aufzählung reagiert, sondern das Betriebssystem später per DMA überschreibt.
Joshudson
7

Die vollständige Festplattenverschlüsselung ist eine gute Idee für Laptops und kleine Heimserver.

Für die vollständige Festplattenverschlüsselung ist kein TPM erforderlich. Und selbst ein TPM kann Sie nicht vor einem raffinierten Angriff böser Dienstmädchen schützen . Um Ihren kleinen Linux-Heimserver (oder ein Rechenzentrum) wirklich zu schützen, benötigen Sie geeignete andere physische Gegenmaßnahmen.

Für den Heimgebrauch reicht es möglicherweise aus, kreative DIY-Hardware zu installieren, die:

  1. ermöglicht es Ihnen, jedes physische Eindringen zu erkennen, wenn Sie zurückkommen und
  2. Unterbricht die Stromversorgung Ihres Computers bei jedem physischen Angriffsversuch.

Für Journalisten und Whistleblower, die mit einigen großen Unternehmen oder mächtigen Regierungsbehörden als Feinden konfrontiert sind, ist dies wahrscheinlich immer noch nicht sicher genug. Diese drei Briefagenturen verfügen möglicherweise über die forensische Ausrüstung, die erforderlich ist, um Klartext auch Minuten nach dem Ausschalten aus dem RAM zu retten .

pefu
quelle
7

Hier ist eine einfache Lösung: Erstellen Sie den Kernel ohne Einzelbenutzermodus neu!

Passender ausgedrückt, bearbeiten Sie den von Ihnen verwendeten Linux-Kernel so, dass der Modus S dem Standardmodus (3,4,5) zugeordnet wird. Auf diese Weise wird das System bei jedem Versuch, im Einzelbenutzermodus zu starten, normal gestartet. Sie könnten wahrscheinlich dasselbe in den Init-Skripten tun. Auf diese Weise gäbe es keine besonderen Möglichkeiten, das System zu betreten, ohne das Passwort zu kennen.

Arkain
quelle
Wenn ich immer noch Zugriff auf die Grub-Eingabeaufforderung bekomme, kann ich die Kernel-Parameter weiterhin auf ändern init=/bin/bash. Dies bootet Sie in eine Root-Bash-Shell, in die Sie dann einbinden können /.
Jens Timmerman
Grub kann immer so konfiguriert werden, dass kein Zugriff auf seine Shell möglich ist.
Arkain
Wie bereits in anderen Antworten auf diese Frage ausgeführt wurde: Wenn ein erfahrener Angreifer physischen Zugriff auf den Computer erhält, ist Ihr wiederhergestellter Kernel nichts anderes als ein altes Spinnennetz auf dem Weg ins Grab, das Ihre wertvollen geheimen Datenjuwelen enthält. :-)
pefu
3

Gehen Sie vorbei und fragen Sie auf der Electronics-Website. Ich bin mir ziemlich sicher, dass es eingebettete SOC-Designs gibt, die alles verschlüsseln, und wenn Sie es erst einmal verschmelzen, ist ein Reverse Engineering "unmöglich".

Trotzdem war ich auf einer DefCon-Präsentation, bei der das Team genau zeigte, wie es auseinander genommen wurde. In vielen Fällen waren die Chips nicht zusammengeschmolzen oder das Chipdesign enthielt einen nicht verbundenen Debug-Port. Bei anderen entfernten sie die Chipschichten chemisch und lasen den Chip mit einem Elektronenmikroskop ab. Sie werden nie vor wirklich engagierten Hackern sicher sein.

Zan Lynx
quelle
1

Ich würde gerne einen anderen Ansatz anbieten, wenn Sie bereit sind, destruktive Präventionsmaßnahmen in Betracht zu ziehen. Erwägen Sie, einen Kondensator mit großer Kapazität an Ihre Festplatte und Ihren RAM anzulöten, der bei Manipulationserkennung (Sie entscheiden, welche Methode / welche Sensoren) zerstörende Daten entlädt.

Dies "verhindert" den Zugriff in dem Sinne, dass niemand danach auf das System zugreifen kann. So beantwortet es die Frage wörtlich, während es möglicherweise Ihre Absicht völlig verfehlt.

Ein Kondensator ist nur ein Beispiel. Andere Möglichkeiten bestehen. Das Problem ist, dass die Zerstörung des Geräts durch Witterungseinflüsse (oder zumindest die darin enthaltenen Daten) akzeptabel ist.

Timer-basierte Lösungen sind ebenfalls möglich - es sei denn, das Gerät pingt alle paar Minuten / Stunden nach Hause / ... es zerstört sich selbst. Viele verschiedene Möglichkeiten entlang dieses Themas.

Dani_l
quelle
Zumindest bei einer rotierenden Festplatte können die Platten auf ein anderes Laufwerk des gleichen Modells übertragen werden, und sie können auch dann einwandfrei gelesen werden, wenn die Platine vollständig zerstört wurde. (Bei SSDs bin ich mir nicht sicher, aber ich würde nicht damit rechnen, dass es so viel schwieriger wird.) Dies tun Datenrettungsunternehmen die ganze Zeit. Wenn Sie so etwas mit angemessener Sicherheit tun wollen (obwohl noch keineswegs sicher!), Setzen Sie einen kleinen Sprengstoff in die Eingeweide des Laufwerks. Funktioniert aus Gründen, die nichts mit der beabsichtigten Zerstörungskraft zu tun haben, besser mit SSDs als mit rotierenden HDDs.
ein Lebenslauf
@ MichaelKjörling Thermit ist der richtige Weg. Sprengstoffe in einer Festplatte erfordern eine relativ große Explosion, um die Daten tatsächlich zu zerstören. Sie zerstören die obere Platte, wenn sich der Sprengstoff tatsächlich im Laufwerk befindet, aber die Laufwerksplatten sind ziemlich schwer. Sie werden nicht einfach ohne eine ziemlich unsichere Menge Sprengstoff verbrennen. Thermit brennt zwar ganz schön durch Metall.
Slicedtoad
1

Eine mögliche Lösung wäre, die vollständige Festplattenverschlüsselung zu verwenden, den Schlüssel auf einen USB-Stick / eine Speicherkarte zu stecken und den Computer zusammen mit einigen Umgebungssensoren in eine Metallbox mit einer einzigen Tür mit Öffnungsschalter zu stecken.

Um das Gerät zu booten, stecken Sie das USB-Laufwerk in den Anschluss (an der Außenseite des "Tresors") und es liest den FDE-Schlüssel von dort und bootet das System. Wird der "Tresor" jemals geöffnet, setzt der Öffnungsschalter das System zurück und löscht den Schlüssel aus dem Speicher.

Wenn die Umgebung dies zulässt, können Sie weitere Sensoren wie Temperatur, Beschleunigung, Luftfeuchtigkeit usw. hinzufügen. Wenn eine plötzliche Änderung der gemeldeten Werte festgestellt wird, wird das System zurückgesetzt. Wenn also ein Dieb nur versucht, das System zu ergreifen und zu platzieren in seiner Tasche wird es bereits zurückgesetzt, bevor er es überhaupt von allen Kabeln trennt.


quelle