Комментарии 32
Для Windows:
BitLocker с использованием связки TPM+PIN+StartupKey. Для успешной расшифровки нужны все три фактора одновременно. TPM - гарантирует, что злоумышленнику будет недостаточно вытащить накопитель и сделать его копию, понадобится ещё время на вытаскивание ключа из TPM. StartupKey - ключевой файл на флешке, которую вы носите с собой. PIN - на случай если у вас банально украдут и флешку, и ноутбук.
Укрепить BitLocker политиками:
разрешить улучшенный PIN (допускаются не только цифры, максимальная длина увеличивается до 20)
запретить использование устройств DMA, которые были подключены, пока сеанс заблокирован
включить привязку к большему числу регистров TPM, чем используется по умолчанию. В частности, к регистру, который меняет своё значение при изменении настроек прошивки, а также к регистру, который меняется при изменинии самой прошивки.
Естетственно, пароль на вход в настройки прошивки, выставить локальному накопителю приоритет выше, чем у сменных (если вам надо загрузиться со сменного, поменяете приоритет разово, да и многие прошивки имеют горячую клавишу, позволяющую принудительно разово выбрать загрузочное устройство).
По возможности выключать устройство вместо отправки в сон. Из тех соображений, что экран ввода пароля BitLocker атаковать сложнее, чем экран входа в Windows - к этому моменту уже много сервисов запущено и атакующий может это творчески использовать. Чем больше поверхность атаки, тем ему выгоднее.
Вскрытие корпуса отлично показывает небольшая капля лака с блестками, которую можно нанести на винты так, чтобы при попытке их открутить лак точно пострадал, и блестки повредились.
На маках с М-чипами нет BIOS/UEFI, и все этапы начальной загрузки проверяются последовательно, используя не только статический (цифровые подписи), но и динамический (аттестация) корень доверия.
Ну и, конечно, лучший совет - ноутбук в номере не оставлять, как и любые другие ценные вещи, документы и т.п. Рюкзак - лучший друг параноика.
Плюсик в карму, хороший комментарий.
Можно ещё использовать хорошие стикеры для детектирования вскрытия.
Ну или специальные наклейки, примеры можно погуглить по запросу tamper-evident seal.
При желании, наклейки можно использовать и для детектирования открытия крышки ноутбука. Это для максимального уровня паранойи.
Вот от наклеек отговорю, потому что для них уже давно разработаны методы неразрушающего отклеивания, доступные не только хорошо оплачиваемому атакующему, но и любому ремонтнику в подворотне.
Вы мне напомнили, как мы в компьютерном клубе диски вынимали. Для этого надо было снять гарантийные пломбы. Мамин фен в помощь, или в крайнем случае дуть на паяльник :)
Тут нужно выбирать «хороший» лак :) умельцы и такое научились подделывать. Нужен сложный паттерн + приложение для сравнения
Спасибо @inkelyadза хорошие рефы
Статья хоть и имеет некоторый технический смысл, но практический смысл нулевой. Если у вас есть что-то важное на машине (ключи, рабочие репы, дискриминационные материалы, фин.отчетность и проч) - то не надо его оставлять в свободном доступе. Как говорил Мышъх: если к машине есть физической доступ - все имеющиеся способы защиты бесполезны.
Опытный злоумышленник заметит лак, прервёт свой преступный умысел и следующий раз вернётся со своим пузырьком лака :) Кроме того, даже заядлый параноик быстро устанет каждый раз визуально осматривать винты.
Тут бы что-то снаружи незаметное, но прямо сигнализирующее о вскрытии хозяину. Какую-нибудь разъединяемую / соединяемую и не возвращающуюся в исходное состояние после закрытия (засвечиваемую?), но малозаметную перемычку, состояние которой проверяется софтом (к чему бы это подключить на обычном ноуте, чтобы так можно было...) при загрузке, после чего отправляется уведомление в почту/телегу/куда угодно.
Поэтому я и пишу про лак с блестками, а не просто какой-то случайный. Восстановить его, конечно, можно, но на практическую evil maid атаку не должно уходить больше часа реального времени, а тут придется постараться, чтобы стало реально незаметно.
Усталость чинится выработкой привычки, т.е. постоянным повторением этого действия и постоянными же учениями по повторению этого действия. Месяц каждый день посверяете винты с фотографией - и действие станет таким же автоматическим, как мытье рук и чистка зубов.
На некоторых профессиональных ноутбуках предусматривают датчик открытия задней крышки, и прошивка EC (который всегда запитан от дежурного напряжения, и потому на состояние остальной машины ему пофиг, лишь бы батарея в ноль не села) может реагировать на него разными способами (видел даже сирену кастомную однажды), но это все электроника, которую можно вырубить, к примеру, мощным генератором ЭМИ.
Понятно, что если сильно захотеть - можно в космос полететь, и придумать себе противоугонку как у ядерного чемодана, но пока что для простых параноиков без собственного карманного завода по производству ноутбуков, рюкзак - самое верное решение.
Опытный злоумышленник заметит лак, прервёт свой преступный умысел и следующий раз вернётся со своим пузырьком лака :)
Относящаяся к делу статья, где разные способы, включая этот, рассматриваются. Там не только пузырек с лаком и не просто осмотр. Но да, параноить придется.
Вас удалось НАКАЗАТЬ горничную?)
В большинстве мест, где ноутбуку что то угрожает, может не быть постоянно подключенного интернета. Вайфая может вовсе не быть, он может быть закрыт авторизацией. Ну и будь я злоумышленником я бы прежде чем что то делать, отключил бы роутер. Так, на всякий случай.
Хотя настоящий параноик конечно всегда носит с собой мобильный роутер)
Можно ещё использовать клетку фарадея, чтобы изолировать устройство от внешних сетей. Тогда, останется только локальная запись и логи.
В этом случае, нужно будет открывать крышку ноутбука или вскрывать корпус. Потом, чистить логи внутри ОС.
как насчёт проверки массы устройства до и после потенциальной атаки?
Есть у этого какая-то польза, или наоборот - это довольно эффективно?
Мне пока не приходилось оставлять в ненадежных местах ноуты с чувствительной инфой, но если бы пришлось... Для начала закрою ноут в алюминиевый кейс с замком. Пусть горничная тащит с собой пилу. Чтобы понять, что к кейсу притрагивались, просто положу волосок и запомню/сфоткаю его расположение. Чтобы блестящий кейс не привлекал к себе внимания, его надо замаскировать в более обывательскую обёртку — например, обтянуть тканью и обклеить легкомысленными наклейками а-ля "привет с черного моря", "i ❤ Vasyuki".
обклеить легкомысленными наклейками а-ля "привет с черного моря", "i ❤ Vasyuki".
А это идея для мелкого стартапа - tamper evident наклейки не со скучными "Void if broken" а вот с этим всем. И да, разумеется с голографическими блесками неоновых расцветок.
Более доступный вариант, чем кейс — обмотать корабельной цепью с замком (конечно, так, чтобы не снять как носок). Положение цепи также может служить детектором, что ноут "лапали".
Если интересно, что делать, если вторжение все-таки произошло, то ставьте лайк или пишите об этом в комментах, эту тему я оставлю для следующей статьи.
Вот тут, кстати, есть один часто встречающийся на практике сценарий. Ноут был изъят при обыске, потом возвращён, но пробыл длительное время в руках товарищей, мотивированных из него информацию извлечь. Диск, естественно, зашифрован, ключи/пароли не выдавались. Я в таких ситуациях обычно рекомендую ноут выкинуть/продать, а для работы использовать новый (тем паче, новый так и так куплен и настроен, не ждать же месяцами возврата изъятого). Но вот если есть достаточно надёжный алгоритм проверки на предмет, не появились ли в устройстве программные (на уровне firmware) / аппаратные закладки, - было бы любопытно почитать.
Но вот если есть достаточно надёжный алгоритм проверки на предмет, не появились ли в устройстве программные (на уровне firmware) / аппаратные закладки
Вариантов то не так много. Внедрить прогу на диск, если он зашифрован - не получится. Но для верности можно форматнуть.
На случай если перепрошили UEFI-BIOS - можно самому перепрошить оригинальной прошивкой с сайта производителя. Если уж совсем задаться целью - то программатором.
Если добавили некие новые периферийные девайсы типа к USB -подключили (внутри корпуса) - то только полная разборка и осмотр.
Что еще могут? Перепрошить WiFi-модуль? Ну тут не знаю, наверное просто заменить этот модуль на новый.
Purism обещает такую фичу в виде внешнего токена.
Ну и дополнительное - не хранить информацию на ноутбуке.
Использовать его только как терминал.
Использовать его только как терминал.
А где хранить то?
А где хранить то?
В сберегательной кассе. (с)
Там, где стоит ваш сервер, к примеру. Но точно не на том устройстве, к которому могут получить физический доступ в ваше отсутствие. Как вариант - можно вынимать диск и уносить с собой, но это точно не про мак.
Хранить данные на флэшке, которую с собой носишь, тоже можно, но здесь другие риски появляются. Вида "отобрать флэшку и получить пароль методом ректального криптоанализа".
Вот да, зашёл написать примерно такой комментарий. При нынешнем развитии интернета и стоимости аренды сервера / VPS — не обязательно хранить чувствительную информацию на носимом устройстве, доступ к которому мы полностью не контролируем (особенно это касается пересечения границ в некоторых юрисдикциях).
Или использовать ноутбук как терминал / тонкий клиент (как Вы написали); или загружать документы для рабочей сессии (параноики могут использовать RAM диск), работать с ними и выгружать по окончанию работы (с удалением локально).
Если нужен максимальный уровень паранойи, то вам понадобится вакуумный пакет + сложно повторяемый паттерн (разноцветный рис или песочк) + приложение для визуального сравнения.
А если просто спрятать автономную камеру в номере, чтобы на место хранения вещей смотрела? При возвращении быстро просмотреть запись.
Про это есть что-то по ссылках в том документе, на который я ссылался.
Но там что-то сложнее, чем просто камера - я не разбирался, что именно там делают.
мне знаете что во всем это обидно... иногда на то чтобы что прошить, заменить а то и просто с софтом разобраться, требуется куча времени и возни. а тут, выходит, какая то горничная перешила с флешки bios и ниче даже не окирпичилось
Кто трогал мой mac? Ловим горничную или evil maid detection