¿El software de seguridad para apagar la PC a menos que se trate de un enfoque específico? [cerrado]

0

Para futuras referencias :
A la luz de las respuestas y la crítica, mi pregunta debería haber sido:
1. ¿Cómo se asegura que un atacante físico con acceso a una PC FDE bloqueada pero activada falla en su intento de clonar los discos duros de alguna manera provocando el apagado de una computadora? Pero, a la luz de las respuestas, se hizo más claro que el cierre "tripwire" no es esencial en el objetivo de defender el FDE.

Estoy buscando y rezando por un software que apague la computadora si no se aborda correctamente. Un ejemplo de funcionalidad ideal: la computadora está bloqueada, pero si se mueve el mouse o cualquier tecla, por ejemplo. se presiona "s", la computadora forzará el apagado.

editar: hay claramente un mercado para esto, ¿no? Una computadora sin monedero y con alimentación significa, obviamente, que se elimina el cifrado de disco completo. La más poderosa de las defensas puestas de rodillas, sin nada más que una contraseña de Windows para hackear salvajemente.

edit2: (falta la repetición para comentar) el apagado si X falla los intentos de paso es bueno, pero si el atacante va directamente a leer los discos duros con hardware externo, solo moverá el mouse para verificar el estado de la PC. Para aclarar, no estoy seguro, pero asumo que hay herramientas para clonar discos duros con una presencia FÍSICA de una computadora con alimentación, a pesar de estar bloqueada, si esto es imposible, corríjame.

Editar: 3 Creo que una reformulación está en orden. ¿Cómo me protegería de un atacante físico con herramientas de clonación de disco duro?

Jeff , ¿cómo puede un clon ser un clon con una PC cifrada activada / desactivada (= descifrada / cifrada)? ¿O no he entendido bien cómo funciona la clonación con FDE? Supongo que para clonar con éxito una PC con FDE debe ser alimentada y desencriptada, si está desactivada / encriptada, obviamente, los datos de la clonación serán confusos.

Karalga , TPM fue un buen aviso, nunca había oído hablar de eso antes, pero tiene mucho sentido. En cuanto a la protección contra los fanáticos de Van Eck y demás, me llevo mi sombrero de papel de aluminio a quienquiera que llegue tan lejos.

    
pregunta Manumit 22.05.2015 - 16:12
fuente

5 respuestas

1

Está bien, he estado dando vueltas sobre esto durante el tiempo suficiente para darme cuenta de lo que creo que el OP está preguntando.

Seguridad de Tripwire

Clasificaría la funcionalidad "apagar a menos que el usuario haga una cosa muy específica" como un cable trampa bastante convencional. Una aplicación para la mayoría de los sistemas operativos sería trivial (pero única) para un código como este: en el evento presione la tecla "d" desarmar; más en caso de que el mouse mueva | keypress shutdown. Esto protege contra una cosa: cualquiera que intente iniciar sesión que no sepa sobre el cable trampa. La seguridad por la oscuridad como esta se considera, en el mejor de los casos, delgada. Tan pronto como se difunda el conocimiento sobre eludir su cable, será inútil. Se maneja mejor con un token significativo y fácil de cambiar, también conocido como contraseña.

Herramientas de clonación

Una herramienta de clonación debe ejecutarse como un ejecutable confiable en el sistema operativo host para obtener acceso descifrado al disco duro en una situación de FDE. Esto significaría que el atacante tendría que usar credenciales válidas de inicio de sesión de administrador o una o más vulnerabilidades que otorguen acceso de nivel de administrador en el sistema operativo. Puede protegerse contra esto manteniendo los parches actualizados, listas blancas ejecutables, autenticación mediante tarjeta inteligente o 2FA, y cualquier otro número de medidas de endurecimiento tradicionales, que se aplican mejor en capas para crear una defensa en profundidad. Ninguna herramienta de clonación de hardware sería útil ya que se conectan directamente y los datos en el disco aún están encriptados incluso cuando la máquina está encendida. Es de esperar que no haya claves de descifrado en la unidad con los datos cifrados, de lo contrario el estado de energía es irrelevante y el cifrado también podría ser un cifrado César.

    
respondido por el Jeff Meden 22.05.2015 - 19:10
fuente
2

La clonación de un disco FDE genera otro disco FDE. Será encriptado, por lo que no hay muchas preocupaciones allí.

El escenario en el que se roba una copia de todos los datos sin cifrar de un disco FDE (probablemente es lo que realmente desea conocer) debe realizarse a través del sistema operativo o con la clave de descifrado.

Los sistemas operativos son generalmente seguros, pero no son perfectos. Sin embargo, un sistema operativo bloqueado que no está siendo utilizado por un usuario autorizado tiende a ser muy difícil de romper.

Hay algunas debilidades potenciales con FDE y TPM, en términos de vulnerabilidad a los ataques de arranque en frío, etc. donde un atacante con acceso físico sin obstáculos podría intentar robar la clave de descifrado.

Así que aquí hay algunos consejos:

1) Realmente hace que sea más difícil para un atacante obtener acceso físico sin obstáculos: A) elimine, bloquee y asegure (epoxi) todos los puertos de datos, asegúrese de que no se pueda introducir ningún dispositivo nuevo. B) eliminar todas las unidades de CD, disquetes, etc. C) asegure físicamente la computadora en un gabinete de seguridad con cerradura y bloquee el chasis. D) asegúrese de que no se pueda acceder a los cables a los periféricos; de lo contrario, alguien puede cortar el cable y conectar los cables a su propio dispositivo USB. E) contrata personas con armas de fuego que defenderán tus cosas.

2) Asegure la configuración de la computadora: A) asegurar el BIOS con una contraseña. B) no permitir el arranque desde cualquier dispositivo que no sea el disco duro principal. C) comprende la diferencia entre la autorización previa al inicio y el modo de operación transparente para tu implementación de FDE y asegúrate de elegir la que te deje menos vulnerable a que te secuestren la clave de descifrado. a algunas personas les gusta la seguridad de mantener la clave de descifrado separada de la computadora. otros quieren que permanezca en (dentro) de la computadora (a través del chip TPM) para que no tenga una exposición externa potencial.

Finalmente, hay una falla fundamental en su pensamiento acerca de llegar al 'apagado' para proteger su sistema FDE. La memoria RAM puede ser volátil, pero no es tan volátil como podría pensarse. La clave de descifrado de sus unidades, que utiliza una técnica criogénica en su RAM, puede recuperarse potencialmente durante horas después del cierre del sistema. Aparte de las recomendaciones anteriores, puede buscar la adquisición de una computadora que implemente una mezcla de memoria para ayudar a vencer los ataques de arranque en frío (al parecer, algunos de los procesadores Intel tienen esto como una característica).

    
respondido por el David Lin 24.05.2015 - 10:20
fuente
1

No sé qué sistema operativo está utilizando, pero si está tan preocupado por la seguridad, supongo que bloquea su computadora antes de dejarla. Por lo tanto, para conectarse, uno debe probar algunas contraseñas.

Se deben registrar las conexiones fallidas, y tiene un montón de software de monitoreo de registros que ofrece una respuesta activa en los eventos de registro. Con dicho software, puede, por ejemplo, decidir que después de tres intentos fallidos de conexión, el sistema intentará automáticamente enviarle un correo electrónico / SMS antes de cerrarse.

    
respondido por el WhiteWinterWolf 22.05.2015 - 16:30
fuente
1

Sumergiendo mis dedos aquí por un segundo.

A veces, un mouse puede mover una cantidad minúscula por sí mismo debido a los alrededores (fantasmas, horno / soplador de aire acondicionado, ruido sordo en el exterior o, en el peor de los casos, un mouse real).

Con frecuencia encuentro mi PC encendida después de tenerla en modo de suspensión durante la noche y sé que no había nadie en ella porque vivo solo.

Un ligero movimiento por cualquier motivo puede "despertar" a la PC cuando se mueve el mouse. Eso sería una exageración forzarlo a apagarse SOLO porque el mouse se activó. También puede apagar cada vez que termine con su computadora.

    
respondido por el Valhalla_33 22.05.2015 - 17:18
fuente
0

Nunca hay una necesidad de este tipo de comportamiento. El acceso físico a una máquina se puede regular con una caja fuerte. y la máquina misma se puede construir con el soporte de teclado desactivado. (¿Por qué necesitarías eso en una máquina de 'servicio' de todos modos)? Todo lo que queda es el acceso a la red y se puede controlar por otros medios.  (SSH con certificados / Firewall / Lista blanca de IP / Certificados SSL del lado del cliente)

En resumen, esto no es necesario nunca.

    
respondido por el LvB 22.05.2015 - 16:31
fuente

Lea otras preguntas en las etiquetas