[linux] Beveiligen tegen fysieke toegang?*

Het is bewezen dat crypto-loop ook niet 100% veilig is.
Als je zoiets wil gebruiken moet je in ieder geval gaan voor dmcrypt ipv cryptoloop.
Een eigen linux distro zeg je... Dus jij gaat persoonlijk voor de security updates/patches zorgen voor die honderden packages?

[ Voor 19% gewijzigd door Verwijderd op 14-12-2005 12:11 ]

Wat voor soort veiligheid heb je het hier over? Je lijkt het te hebben over physical security. Zit het ding ook aan een netwerk, of is dat juist niet de bedoeling?

Kortom je zult iets specifieker moeten zijn over wat voor soort "veiligheid" we het hier hebben

Aan fysieke security kan je zowiezo weinig doen hé.
Als het echt kritiek is kan je de server in een kamertje zetten zonder ramen, en de deur op slot doen, als je echt zo ver wil gaan
Maar dmcrypt gaat je ook niet redden als een inbreker je pc meeneemt hé.

Fysieke security bestaat eigenlijk niet hoor.
Als iemand fysiek aan je pc kan, dan kan eigenlijk niets je nog redden
Booten met single-user, paswoord veranderen, en huppakee.
Of anders gewoon hdd in een andere pc stoppen...

Verwijderd schreef op woensdag 14 december 2005 @ 12:25:
Fysieke security bestaat eigenlijk niet hoor.
Als iemand fysiek aan je pc kan, dan kan eigenlijk niets je nog redden
Booten met single-user, paswoord veranderen, en huppakee.
Of anders gewoon hdd in een andere pc stoppen...

Dat is dus niet per se waar.

Je zou een PC kunnen beveiligen (fysiek) door wanneer er met de kast wordt geklooid de HD te wissen, bijvoorbeeld (ik noem maar iets). En als alle filesystems encrypted zijn is het heel leuk als jij met een bootdisk opstart, maar zonder de private key (of het wachtwoord daarvan) kun je tamelijk weinig met het systeem.

Over dit soort dingen moet het topic dus gaan als ik 't goed begrijp

Hoe je dit praktisch doet: encrypt alleen /home, daar staat meestal de data die er toe doet. Dat iemand je programma's kan zien, boeiend? Je zult dan bij het opstarten (en mounten van /home) een wachtwoord moeten intikken voordat het mounten plaats kan vinden. Zonder dat wachtwoord, kom je niet in /home maar is de rest van het systeem tenminste nog bruikbaar.

Dat is praktisch gezien waarschijnlijk de makkelijkste oplossing?

Een andere oplossing is idd de key op een USB-key zetten (of andere removable hardware). Dus zo, dat de key er in ieder geval tijdens het opstarten in moet zitten.

[ Voor 7% gewijzigd door Wilke op 14-12-2005 12:37 ]

Ik ben zo vrij geweest even de topictitel te veranderen naar het onderwerp dat je bedoelt

Verwijderd schreef op woensdag 14 december 2005 @ 12:40:
[...]


idd


[...]


Dat iemand mijn programma's kan gebruiken vind ik wel een probleem.
Of ben ik nu extreem paranoia?

Verder heb je precies verwoord wat ik tracht te doen.

edit:
bedankt blaataaps

Iemand kan "jouw programma's" zowiezo gebruiken als ze zelf een willekeurige linux distro downloaden van het internet.
Ik ben zelfs op DIT moment "jouw programma's" aan het gebruiken! (ik neem aan dat je wel eens firefox en/of gaim gebruikt )

Verwijderd schreef op woensdag 14 december 2005 @ 12:40:
Dat iemand mijn programma's kan gebruiken vind ik wel een probleem.
Of ben ik nu extreem paranoia?

Ik zou zeggen ja, maar in dat geval, encrypt ook /usr? Zolang je progs als 'mount' e.d. nog maar kunt bereiken, en startup scripts etc. (maar die staan in /etc/ en /sbin enzo dus moet kunnen)...

En uiteraard, laat dan geen configfiles van die programma's rondslingeren buiten /usr/ of /home, het is net hoever je hierin wilt gaan....

(als dit gaat over thuiscomputers is het paranoia-level wat mij betreft wel wat erg hoog, maar ik kan me voorstellen dat je op een laptop /home wilt encrypten als daar bedrijfskritische of persoonlijke informatie op staat. Bij een laptop is een USB-key dan wel makkelijk, dat die er gewoon in moet zitten. Mocht je laptop dan gejat worden, kunnen ze tenminste niks met je files...en dat ze weten dat Firefox en Openoffice geinstalleerd zijn, tsja...)

Programma's zijn maar programm's. Het gaat toch om de data? Dat iemand je teksteditor kan openen boeit niet, dat hij ~/GeheimDagboek kan lezen, dát wil je voorkomen.

En verder snap ik niet waarom je een compleet nieuwe distro wil bouwen ipv een goede bestaande te pakken, en daar de zwakke punten verbetert. Overal waar je het wiel opnieuw uitvindt, ga je fouten maken die anderen allang hebben gemaakt én opgelost.
Pak gewoon debian + task-harden oid, of OpenBSD (gezien je nick )

Verwijderd schreef op woensdag 14 december 2005 @ 12:40:
Dat iemand mijn programma's kan gebruiken vind ik wel een probleem.
Of ben ik nu extreem paranoia?

Als je het hebt over de standaard tools van linux (ls etc.) dan denk ik dat je iets te paranoia bent. Als je een eigen applicatie gebruikt kan ik me er nog iets bij voorstellen.

Maar beide is op te lossen. Als je het hebt over je eigen applicatie dan zou je er voor kunnen kiezen om die te installeren in (bijvoorbeeld) /opt. /opt maak je een aparte schijf/partitie die je vervolgens (net als /home) encrypt.

Als je je hele systeem geencrypt wilt hebben moet dat volgens mij ook kunnen (al ben ik niet helemaal zeker of je je /boot ook kan encrypten) maar je / moet lukken. Nadeel hieraan is dat je de machine niet remote kan rebooten aangezien je tijdens de boot een wachtwoord op de console moet typen om de / te mounten.
Verder zou je natuurlijk /boot op een floppy/usb kunnen zetten zodat die ook niet fysiek bij de machine liggen.

Wat maakt het jou uit dat een eventuele inbreker toegang heeft tot gcc en vim?
Als hij eenmaal fysieke toegang heeft tot je pc, dan maakt het niet meer veel uit of hij een rootkit installeert of niet

[ Voor 44% gewijzigd door Verwijderd op 14-12-2005 13:39 ]

Encrypt je /home, en draai je OS vanop een CD-R Perfecte veiligheid

Verwijderd schreef op woensdag 14 december 2005 @ 13:40:
De beschikbaarheid van gcc stelt de inbreker in staat een app te schrijven die de sleutel mirrorred naar een stukje unencypted filesystem. De afwezigheid van een compiler, en de mogelijkheid het netwerk te benaderen maakt dit een stuk minder aannemelijk.

Natuurlijk moet je dan ook het nut van de aanwezigheid van cp en mv ter discussie stellen want die maken het mogelijk een prefab app van bijv. floppy naar hd te moven.


[...]

Dit is dus precies het probleem waar ik een oplossing voor zoek.

Er vanuit gaan dat je files heilig zijn moet er met de huidige technieken toch wel een manier zijn om ze redelijk te beschermen?

Ga je dan ook je USB poorten dichtlijmen met hot-glue zodat de inbreker niet vanaf zijn eigen 2.5" hdd kan booten? Wat een onzin allemaal. Tenzij je een hardwarematige oplossing hebt, adviseer ik de versleuteling te beperken tot /home

Ik begin me echt af te vragen wat voor geheimen er op je pc staan, die zo'n vergevorderde paranoia kunnen veroorzaken

Stel we houden het heel simpel, en je vraagt je af hoe je de volgende methode gaat afweren:

Inbreker plukt jouw HDD uit laptop en hangt deze in eigen systeem. De enige defensielinie die dan overblijft is het encrypten van je fs. Als jij kan leven met een enorme performance-drop dan is het een goede optie.

[ Voor 200% gewijzigd door sphere op 14-12-2005 14:05 ]

Ik denk dat je de waarde van je private info een beetje overschat ten opzichte van derden.
Anyway, zoals sphere al zegt, zijn er bij fysieke toegang vele omwegen te bedenken die een "inbreker" kan gebruiken om toch aan je data te komen.
De beste manier is dus om niemand fysieke toegang tot je pc te geven, en zowiezo je private data te encrypten met bijvoorbeeld dmcrypt.

[ Voor 12% gewijzigd door Verwijderd op 14-12-2005 14:06 ]

Er vanuit gaan dat je files heilig zijn moet er met de huidige technieken toch wel een manier zijn om ze redelijk te beschermen?

Als men bij je PC kan komen dan is het toch wel lastig hoor. Het ligt er natuurlijk ook aan of je alleen wil weten dat men (misschien) bij je bestanden is gekomen (je PC staat er niet meer) of dat je ook echt wil voorkomen dat ze de bestanden krijgen. Je kan het natuurlijk zo gek verzinnen als je zelf wil. Biometrische toegangssystemen, automatische kernexplosies die heel Nederland van de kaart vegen als de slechterik niet iedere 30 seconden een bepaalde sequence met de oogleden knippert naar de verborgen camera etc.

Maar dat is allemaal wel een beetje overdreven denk ik. Zelfs de AIVD zet staatsgeheimen op rondslingerende floppies (denk ik, ik heb de TV uitzending niet gezien, dus ik weet niet of het gecrypt was) en officieren van justitie zetten gevoelige informatie op een "normale" PC die bij het grof vuil wordt gezet

Je kan op alles wat jij verzint wel een actie verzinnen die er om heen stuurt (mits er genoeg tijd en geld wordt ingestopt).
Jij encrypt het besturingssysteem -> men installeert een keyboard met ingebouwde keylogger -> jij neemt altijd je eigen toetsenbord mee en verliest die geen moment uit het oog.
Men vervangt de keyboard-port op het motherboard en zet daar een keylogger aan -> Jij last je computerkast dicht zodat men er niet bij kan komen.
Men installeert een camera in het plafond die je toestaanslagen opneemt -> jij plakt een stuk aluminiumfolie aan de bovenkant van de monitor en gooit het andere uiteinde over je hoofd zodat de camera niets op kan nemen.

etc etc

Voor de huis-tuin-en-keuken mensen is een wachtwoord meer dan genoeg ("oh, zijn er floppies waar je mee kan booten en het wachtwoord resetten?"), voor andere mensen niet. Waar de grens ligt moet je denk ik zelf bepalen (en niet de werkwijze van de AIVD nemen).

Gooi je daadwerkelijke linux install in een UML en encrypt de image ?

dan kan je op het host systeem alles doen maar zonder de usb-key kan je met geen mogelijkheid iets van de UML machine lezen...

http://user-mode-linux.sourceforge.net/

No13 schreef op woensdag 14 december 2005 @ 14:19:
Gooi je daadwerkelijke linux install in een UML en encrypt de image ?

dan kan je op het host systeem alles doen maar zonder de usb-key kan je met geen mogelijkheid iets van de UML machine lezen...
http://user-mode-linux.sourceforge.net/

Ja die methode wil ik zelf ook nog een keer uitproberen. Alleen zou ik zelf de voorkeur geven aan xen als virtualisatietechniek. Maar om dit op een desktop systeem toe te passen is dan weer enigzins lastig lijkt me? Omdat je dan met grafische output zit en met VNC moet gaan werken?

Ooit heeft er in de CT een artikel over gestaan, dat heb ik toen wel getest maar met magere resultaten. De snelle algoritmes waren te makkelijk te kraken en de goede namen te veel cpu tijd in beslag. Maar ik had toen een P3-800, dus geen idee of je er met een modern systeem wat van zou merken.

Voor alles: Fysieke security heb je alleen als je geen pc hebt, of deze ingiet in epoxy hars zonder enige verbinding naar buiten. Iedereen die anders beweert is een dwaas.

Om ff een paar "sploits" te geven op verschillende methodes die hierboven genoemd zijn:
- alleen /home encrypten: Het is triviaal voor een attacker om datasnooping toe te passen hierop. Daar er op een bepaald punt de data unencrypted zichtbaar is voor de gebruiker (in memory) is het voor de attacker net zo eenvoudig. (ter voorbeeld: hang voor de grap maar eens strace aan je sshd proces en log in...). Tevens moet je je key dan wel off-machine bewaren, want anders is het uberhaupt een btje nutteloos. Als er ergens in de crypto chain data unencrypted is, dan kun je op dat punt een attack verwachten.
- Gebruik maken van een usb stick met je privkey en een variant op rootplug: Iets veiliger, maar te spoofen door een device aan te bieden met hetzelfde id. Tevens, zodra je je stick kwijt bent, ben je ook je data kwijt.
- Je wilt paranoia beveiliging maar je draait wel linux

Als je zo paranoia bent dat je over dit soort dingen denk (been there, done that, got the t-shirt), gebruik dan geen computer cq andere media en verhuis naar een toendra/woestijn/berggebied en leef als een kluizenaar. Zie ook m'n allereerste regel uit deze post. Mocht deze oplossing niet acceptabel zijn, get over it, en accepteer dat fysieke security een mythe is en ga verder met je leven. Dit is zo'n verspilling van tijd imho.

Ben je echt paranoide? Dan ben je natuurlijk niet tevreden met encryptie alleen.

Stel je voor dat de NSA jouw top-secret documenten (huiswerk enzo) wil inzien, maar bij jouw PC aangekomen zien ze dat jij je home-drive hebt ge-encrypt met 1024-bit AES.

Wat doet de NSA, die verschepen je naar een landje waar ze het niet zo nauw nemen met de mensenrechten om je daar je vingernagels uit te laten rukken tot jij zegt waar de usbstick met de key is. Dat je die usbstick kwijt bent gelooft natuurlijk niemand, dus het martelen gaat door tot je een geloofwaardige reactie op hun vriendelijke verzoek hebt.

Wat je nodig hebt is "plausible deniability". B.v. je hebt je /home ge-encrypt met een systeem dat afhankelijk van de aangeboden key twee verschillende views op de gedecrypte data geeft. Een key geeft alleen de iets minder geheime info prijs die ze best mogen weten mocht je onder druk komen te staan, de andere key geeft je grootste geheim prijs: je grootmoeders recept voor erwtensoep!

Dit soort systemen bestaan en ze hebben vaak extra features om de deniability nog plausibiler te maken. B.v. als je geencrypte image 1 gig groot is en jij geeft ze een key die em decrypt tot een jpegje van Britney Spears, dan gelooft natuurlijk niemand dat dat alles is, behalve als het inherent aan het gebruikte systeem is dat de gebruiker random rotzooi aan de gegenereerde image kan toevoegen.

Anyway, ik meen dat één van de filesystems die op FUSE werken plausible deniability biedt, maar er zijn er nog meer in OSS.

Verwijderd schreef op woensdag 14 december 2005 @ 17:24:
Als je zo paranoia bent dat je over dit soort dingen denk (been there, done that, got the t-shirt), gebruik dan geen computer cq andere media en verhuis naar een toendra/woestijn/berggebied en leef als een kluizenaar. Zie ook m'n allereerste regel uit deze post. Mocht deze oplossing niet acceptabel zijn, get over it, en accepteer dat fysieke security een mythe is en ga verder met je leven. Dit is zo'n verspilling van tijd imho.

Niks mis met interesse in dat soort dingen denk ik, maar je moet het wel gezond houden inderdaad. Een redelijk niveau van beveiliging (vooral in draagbare computers zoals laptops) biedt het encrypten van /home denk ik wel en is ook niet per se overdreven. Helemaal als je een USB-key gebruikt als sleutel hoef je er bovendien weinig last van te hebben, en zal degene die je gegevens steelt toch van redelijk goede huize moeten komen om alles te achterhalen.

Natuurlijk, je kunt er omheen als je dat echt wilt. Maar laat ik het zo zeggen, als die n00bs van de AIVD met hun unencrypted diskettes met persoonlijke gegevens over hoogeplaatste politici en mensen als officier van justitie Tonino iets dergelijks zouden hebben gebruikt, dan had iemand als Peter R. de Vries niks met die informatie gekund, end of story.

(hoewel zo'n idioot dan waarschijnlijk de key er op een briefje bij zou hebben geplakt, de USB-key ook in dezelfde lease-auto had laten liggen etc. - security is slechts zo sterk als de "weakest link).

je kan altijd een semi-werkend systeempje opzetten dat je Read-Only mount by boot. Altijd single user is (weet ik veel, je kernel laten faken dat er een error zit op je disks). en dan middels een combo van USB-key + PW + encypted volume je echte systeem starten (op een zelfde manier als dat je bv een LFS bouwt).

andere optie is om je belangrijke info op 2 encypted USB sticks te zetten die alleen al een RAID-0 device te mounten zijn, bij voorkeur in combo met een key op je laptop of PC.
hierdoor moet een attacker ten alle tijde beide USB-sticks + je HD hebben.

maargoed zoals al eerder gezegd, alles is kraakbaar, als je niets hebt dat boeiend genoeg is om te kraken dan zal men ook de moeite niet nemen om je ROT-13 encryptie te gaan hacken.

Laatste optie:
al je bestanden in TinyDisk zetten. desnoods encrypted...
SUCCES!