Как защитить данные при краже ноута?

Тред как раз про то, что полнодискового шифрования мало.

В моем сценарии это инвариантно. Т.е. в моем сценарии у вас пароль от хомяка совпадает с паролем Линукс логина.

Напомнило анекдот:

- Доктор, когда я вот вот так вот делаю у меня болит..

- А вы вот вот так вот не делайте 

Так что для начала надо разные пароли завести. Ну хотя бы один пароль - какая-нибудь хитрая модификация другого, чтобы легко воспроизвести было, но трудно догадаться.

Но вообще, если есть возможность украсть на время включенный ноутбук, то мало что поможет, если за дело спецы возьмутся. Одно время были атаки на RAM через usb-порт, вроде их прикрыли, но как-то не факт, что надежно. А могут и жучка какого вставить внутрь.

Тред как раз про то, что полнодискового шифрования мало.

http://forum.rutoken.ru/post/14859/#p14859

http://forum.rutoken.ru/post/14860/#p14860

http://forum.rutoken.ru/topic/3254

USBkill: простой скрипт. В скрипте можно указать белый список ваших USB-устройств, а постоянно запущенный процесс следит за портами USB и если встречает неизвесное устройство - выключает, перезагружает, либо переводит в спящий режим ваш компьютер (на выбор, задаётся в скрипте).

На выбор три скрипта:

https://github.com/hephaest0s/usbkill

https://github.com/NateBrune/silk-guardian

https://github.com/trpt/usbdeath

Выбирай любой.

И? Невнятные стенания.

Из современных внешних интерфейсов DMA есть в Thunderbolt, потому там авторизация устройств. Недокументированные баги контроллера USB — ну такое, так можно и вообще всего бояться, например недокументированных багов сетевухи.

В ЭМИ от/до ключа приватного ключа быть не должно, максимум cleartext. Включи вебку или встань в трех метрах от всего — вот и вся защита, чай не PS/2 с его высоким напряжением и длинными линиями.

Купи макбук.

И? Невнятные стенания.

Что ты имел ввиду?

Из современных внешних интерфейсов DMA есть в Thunderbolt,

Зачем здесь DMA ?

Недокументированные баги контроллера USB — ну такое, так можно и вообще всего бояться, например недокументированных багов сетевухи.

Причем тут БАГи? Ты читал вообще по ссылкам? Там речь об утечках, а не багах.

злоумышленник узнает ваш логин/пароль от аккаунта Линукс

В таком случае только физические ключи.

Я что-то не понял, зачем одинаковый пароль от люкса и юзверя? Вопрос из серии:«как держать дверь открытой, но чтобы никто не вошел?»

Все рекомендации, типа usb ключа и пр. смысла не имеют, так? Ведь задача в том, чтобы был пароль и обязательно одинаковый. Решение - нанять охранника.

Читал, к сведенью принял, прокомментировал. А вот ты что сказать этим хотел?

Читал, к сведенью принял, прокомментировал. А вот ты что сказать этим хотел?

Что ты сделал вид, что ничего не понял из написанного от слова СОВСЕМ.

Обычный тролль.

злоумышленник получает доступ к закрытым ключам ssh, т.к. пароль доступа к ним такой же, как к Линукс логину;

Злоумышленник не получает доступ к закрытым ключам (зачем тебе их несколько?) если они хранятся там откуда их невозможно украсть, ie смарт-карта.

Какие есть способы защиты от такой атаки кроме рекомендации использовать всюду разные пароли и выключать лэптоп на каждый чих?

Смарт карта или USB ключ. Настроить автоматическую блокировку при отключении ключа и ключ брать с собой.

У меня есть usb-ключ. Он, разумеется, всегда воткнут, чтоб не потерялся.

Он, разумеется, всегда воткнут, чтоб не потерялся.

ССЗБ.

чтоб не потерялся.

Тем кто всё теряет нельзя доверять важные данные.

злоумышленник крадёт ваш лэптоп;

лэптоп в это время, разумеется, не выключен и находится в режиме сна;

Использую нормальную гибернацию и шифруй свап.

ССЗБ.

Кто бы сомневался. А где эту херовинку с ноготь величиной носить, в дырке в зубе?

Тем кто всё теряет нельзя доверять важные данные.

А как отличить того, кто всё теряет от того, кто теряет только половину всего?

Приятно было познакомиться.

Александр.

А где эту херовинку с ноготь величиной носить, в дырке в зубе?

Там же где и ключи, на шее.

То-то и оно. Специалисты по всему они такие - занимаются стратегией, а тактика это не их. Кстати, странно что ленина в треде до сих пор нет.

Разблокировка экрана стандартным способом (нажатием enter или кнопки unlock) приводит к выключению компа.

В моем сценарии это инвариантно. Т.е. в моем сценарии у вас пароль от хомяка совпадает с паролем Линукс логина.

Меняй сценарий, пароль для каждого кейса должен быть уникален. В худшем случае, он должен иметь уникальную часть.

лэптоп в это время, разумеется, не выключен и находится в режиме сна;

Какие есть способы защиты от такой атаки кроме рекомендации использовать всюду разные пароли и выключать лэптоп на каждый чих? Желательно, чтобы работали из коробки на Ubuntu или Fedora…

Это кажись требование аж уровня B3. А ты про федорку и бубунту изкаробки… Нормальный, в плане безопасности, дистр GNU/Linux возьми.

А кто хранит на личном ноутбуке коммерческую или тем более государственную тайну?

Ахаха. Тут один генерал проепал явки от входа в конфу по стратегическому военному планированию. Подкоючившегося велика выгнали и пугнули трибуналом. Ахах.

И после этого у кого-то сомнения, что есть люди пролюбивающие гос тайну со своего компа?) Ахах.

Уверен, что таких дохрена. Спасибо ссыкливым админам.

Не давать злоумышленнику пароль от учётной записи.

Ахаха, автоматную рожу, пиджака, сапога ещё спрашивать думаешь будут?)))

т.к. все файлы после монтирования LUKS разделов открыты для пользователя, злоумышленник также получает доступ к вашим личным файлам.

Ты чё рак, а где доп защита для рабочих файлов?

Напоминаю, рак, все пароли разные.

Там же где и ключи, на шее.

Раб можно получить вольную, но он навсегда останется рабом.

Это кажись требование аж уровня B3. А ты про федорку и бубунту изкаробки… Нормальный, в плане безопасности, дистр GNU/Linux возьми.

«Нормальный» - это какой? Ставил я тут Дебиан 11, подготовил ему вторую флешку с нон-фре фирмваре, так она ему не понравилась, хотя читалась нормально в Линуксе. В итоге поставил без проприетарщины. Загружаюсь, обои в Гноме красивые. Только Линукс не видит ни вай-фай, ни контроллер езернет. И при том, что инсталлер езернет сеть видел! Крутая система.

Специалисты по всему они такие - занимаются стратегией, а тактика это не их.

Всяко лучше чем уходить оставляя ключи. Зачем они вообще нужны, если они всё время подключены к устройству.

«Нормальный» - это какой? Ставил я тут Дебиан 11, подготовил ему вторую флешку с нон-фре фирмваре, так она ему не понравилась, хотя читалась нормально в Линуксе. В итоге поставил без проприетарщины. Загружаюсь, обои в Гноме красивые. Только Линукс не видит ни вай-фай, ни контроллер езернет. И при том, что инсталлер езернет сеть видел! Крутая система.

Это же прекрасно, что таких как ты дебиан посылает. Такие кучкуются на убунте и форум у них замечательный есть: https://forum.ubuntu.ru/ Тебя там точно оценят местные интеллектуалы.

Ананий

Вот и я про то же. Незачем. Значит, способ негодный.

На лоре примерно каждый первый - как сын маминой подруги, который и бэкапы всего делает, и не теряет ничего, и пароли у него везде разные и криптостойкие, и мышки ёжиками у него легко становятся.

Но ТС-то описывает не воображаемый манямирок. В реальном мире люди решают реальные проблемы. В том мире, где пользователи - в большей или меньшей степени раздолбаи, где пароли написаны на стикерах, а ноутбуки продалбываются. Где постоянное повышение защищённости ноутбука - мягко говоря, не главное дело в жизни. И если система в этом мире задачу не решает, а работает только в стране розовых пони - эта система говно.

Вы у машины тоже ключи в замке зажигания оставляете когда идёте в магазин?

По моему как раз вашу раздолбайскую систему уже ничего не спасёт.

Безопасность это повышенные неудобства и потраченные деньги. Готов расстаться с ними и тратить их?

вашу раздолбайскую систему уже ничего не спасёт

А вашу идеальную и спасать не надо, потому что применять её негде.

Вы у машины тоже ключи в замке зажигания оставляете

Нет. Ключ от машины удобен для ношения в кармане. А вот эту фигульку где носить? Она же явно не предполагает извлечения, её не имея ногтей и вытащить-то непросто. Был бы у машины такой ключ - оставлял бы.

А вот эту фигульку где носить?

Для мобилки как раз.

А вот эту фигульку где носить?

В таком магнитном соединителе.

WUT??? Что это и зачем?

В этом ключе нет ничего магнитного.

NFC-метка в кольце на пальце. приемник nfc в ноуте.
при пробуждении требовать NFC.

более крутой вариант NFC-метка, вживленная под кожу.

После этой штуки будет. Можно будет легко отсоединять и носить с собой.

Это переходник USB-C на магнитный соединитель.

Нормальный, в плане безопасности, дистр GNU/Linux возьми.

«Нормальный» - это какой?

Как минимум без сыстемды.

Тебе необходимо иметь шифрованный своп. При засыпании содержимое оперативки должно записываться в шифрованный своп и ноут должен полностью выключатся, чтобы данные в оперативнее исчезли. При включении, бутатся, но вместо загрузки восстанавливать свою работу с дампа оперативки с зашифрованного своп.

Подожди травить, Ананий. Езернет заработал. С какого-то бодуна я решил, что на том ноуте встроенный езернет, хотя при установке использовал усб адаптер… Так что надеюсь и вайфай настроить.

Тебе необходимо иметь шифрованный своп. При засыпании содержимое оперативки должно записываться в шифрованный своп и ноут должен полностью выключатся, чтобы данные в оперативнее исчезли.

да, вот эту фичу я всегда хотел в Убунте (полноценный хибернейт), но ЕМНИП от нее отказались «потому что нестабильно».

Может быть суспенд-седейшн в Дебиане заработает… https://wiki.debian.org/SystemdSuspendSedation

NFC-метка в кольце на пальце. приемник nfc в ноуте. при пробуждении требовать NFC.

Ну, допустим, ноут с NFC я себе позволить смогу. Но метка в кольце на пальце - это что-то из арсенала Джеймса Бонда. Проще с USB токеном. К тому же NFC подвержен прослушке в большей степени, чем передача по USB. NFC больше про проверку пенсионных отчислений из дома. Даже оплату труселей версачи эппл пеем в илитном магазине я бы не стал доверять NFC.

проснись чувак, каменный век прошол давно… :) nfc-кольцами и прочими приблудами даже алишка завалена.
просрать усб токен очень возможно, да и стырить вполне.
ибо он не привязан к тебе и живет жизнью отдельной вешщицы.
плюс кольца в том, что оно постоянно надето на палец, его не забудешь где-то случайно…

прослушать nfc можно с очень маленького расстояния. метр-два максимум, с большой антенной и т.д.
и насколь помню мощность излучения регулируется настрйоками.

Тебе я здесь уже третий раз повторяю: для безопасности ТОЛЬКО гибернация на шифрованный диск!

https://www.kernel.org/doc/Documentation/power/swsusp.txt

https://www.mayrhofer.eu.org/post/encrypted-suspend-to-disk/

https://www.linuxquestions.org/questions/linux-kernel-70/suspend-to-disk-encrypted-partition-4175552650/

https://blog.hackeriet.no/lvm-in-luks-with-encrypted-boot-partition-and-suspend-to-disk/

Спасибо за ссылки. Буду читать, думать, пробовать.

6. Со злоумышленником связываются вежливые люди и просят, чтобы он отдал ноут.

Ну, это даже в аэропорту, напичканном камерами, не всегда можно оперативно пресечь. Например, работают три чела: первый заходит в туалет, второй отвлекает клиента, третий берет ноут и передает его в туалете первому, а потом сам переодевается, прежде чем выйти. Пока они там по видеозаписи сообразят, кто в какой одежде и с каким чемоданом в туалет входил и выходил, чел уже улетит куда-нибудь в Джакарту, а данные скопирует в полете, комфортно сидя в первом классе аэробуса, попивая самолетный кофеек. И на выходе из самолета в Джакарте ты хрен докажешь, что именно ты украл ноут (его можно тупо оставить в туалете самолета).

А всякую ерунду вроде GPS жучков можно глушить локально.

2FA, pam умеет, не знаю смогут ли DMы.

А за второй фактор что брать? Отпечаток пальца? На некоторых ноутах есть. Опять вопрос драйверов под Linux.

Сканер отпечатков пальцев в компе к какой шине цепляется? Как себя ведет после пробуждения с саспенд-то-диск режима?

Используй Hibernate с зашифрованным swap.