Prevención del robo de datos en servidores desplegados de forma remota expuestos al acceso físico [cerrado]

13

Estoy tratando de pensar en una forma de proteger los servidores Linux que están expuestos al acceso físico. Mi plataforma específica son servidores Linux de factor de forma pequeño en una placa madre alix2d13 de PC Engines . El tamaño pequeño presenta un riesgo adicional de ser removido de las instalaciones por un atacante.

Suponiendo que haya acceso físico al servidor:

1) CONTRASEÑA RAÍZ: conecta un cable de consola al servidor y recibe una solicitud de contraseña. Si no conoce la contraseña, puede reiniciar la máquina en modo de usuario único y restablecer la contraseña. Voilà, obtienes acceso de root.

Para asegurar lo anterior, inserte una contraseña en el menú de GRUB , de modo que cuando se reinicie el servidor para ingresar al modo de usuario único, debe proporcionar la contraseña de GRUB.

2) GRUB_PASSWORD. Si apaga la máquina, saque el disco duro y móntelo en otra estación de trabajo, podrá explorar el /bootdirectorio que contiene el archivo grub.cfg dentro del cual puede encontrar la contraseña de GRUB. Puede cambiar la contraseña de GRUB o eliminarla.

Obviamente, cuando hablamos de grandes máquinas de producción, probablemente no habrá ningún acceso físico y, aparte de eso, incluso si alguien tiene acceso físico al servidor, no lo cerrará.

¿Cuáles son las posibles soluciones para evitar el robo de datos en servidores que son físicamente fáciles de robar?

A mi modo de ver, se puede obtener acceso de una forma u otra a los datos contenidos.

linux security giomanda
fuente
3
A menos que desee estar cerca para ingresar una contraseña de descifrado cada vez que se inicia, no hay mucho que pueda hacer. El descifrado se puede realizar comunicándose con un servicio de red que solo está disponible mientras esté en la red adecuada. Eso no es muy seguro, pero es suficiente para cubrir el caso donde el ladrón no intenta acceder a los datos mientras está en el sitio. Pero un atacante objetivo podría incluso robar la máquina sin apagarla. Supongo que no se necesitaría mucha capacidad de batería para mantenerlo encendido durante unos minutos.
Kasperd
12
Enterrarlo en concreto. ¡Eso sin duda evitará el robo!
Michael Hampton
14
No está realmente claro cuál es el modelo de amenaza. ¿Quieres un dispositivo que sea invulnerable al compromiso físico? Eso va a ser muy complejo y costoso. Las computadoras no son bóvedas. Si desea una bóveda, necesita una bóveda.
David Schwartz
3
@BlueCompute La pregunta también puede surgir en un entorno profesional, por lo que debería quedarse aquí.
Nils
3
@giomanda Y de que "threa t modelo". Y parte de lo que significa es que debe comprender a fondo lo que está asegurando y de qué lo está protegiendo. Puede usar SEAL Team Six para defender Fort Knox de Al Qaeda, pero no para defender su nuevo televisor de plasma de los ladrones del vecindario.
David Schwartz

Respuestas:

18

La regla con la que siempre he trabajado es que una vez que un atacante tiene acceso físico a su host, eventualmente puede entrar en él, a menos que, como dice kasperd, use un cifrado fuerte en todos los discos con una contraseña de arranque, y esté dispuesto a ser allí para ingresar cada vez que se inicia el host.

Andrew Schulman
fuente
14
E incluso entonces, alguien con acceso físico podría reemplazar el teclado utilizado para ingresar la contraseña de arranque y así aprender la contraseña ...
Hagen von Eitzen
2
Solución @HagenvonEitzen: lleve consigo su propio teclado y proteja el puerto USB (o PS / 2) físico de la caja.
Julio
10
Contraataque de @JulesMazur: Evil Maid vuelve a flashear el firmware incorporado.
un CVn
1
@ MichaelKjörling Defense: contraseña de firmware, físicamente, caja de servidor fuertemente bloqueada.
Julio
66
@ MichaelKjörling nunca puedes estar demasiado seguro con bandas itinerantes de criadas malvadas secuestrando el teclado y / o firmware
Julio
10

La solución que conozco es cifrar el disco y usar un TPM: Trusted Platform Module

De esta manera, ahora hay que descifrar el disco duro como:

Las aplicaciones de cifrado de disco completo [...] pueden usar esta tecnología [TPM] para proteger las claves utilizadas para cifrar los discos duros de la computadora y proporcionar autenticación de integridad para una ruta de arranque confiable (por ejemplo, BIOS, sector de arranque, etc.) los productos de cifrado de disco completo de terceros también son compatibles con TPM. Sin embargo, TrueCrypt decidió no usarlo. - Wikipedia

Por supuesto, podría estar equivocado y el TPM se puede descifrar fácilmente o podría no conocer otras soluciones.

ColOfAbRiX
fuente
Esto es correcto. Con un TPM, una unidad cifrada y la firma UEFI, es imposible que un extraño lea la unidad o modifique el gestor de arranque para eludir el cifrado.
longneck
Sería interesante saber si existe un lápiz USB con un TPM para agregar esta función a cualquier computadora.
ColOfAbRiX
1
No, porque la BIOS tiene que gestionar el tpm.
longneck
3
Con el acceso físico, incluso el TPM no hará mucho ... puede oler fácilmente los datos del chip TPM cuando la máquina se está iniciando, o tener acceso a toda la memoria de la computadora sin que la computadora lo note (y por lo tanto, el TPM "se abrirá" "La clave está bien).
2
TPM recaerá en un dispositivo PCI en el bus que no responde a la enumeración PCI pero que sobrescribe el sistema operativo a través de DMA más adelante.
joshudson
7

El cifrado de disco completo es una buena idea para computadoras portátiles y servidores domésticos pequeños.

El cifrado de disco completo no requiere un TPM. E incluso un TPM no puede protegerte contra un sofisticado ataque de sirvienta malvada . Entonces, para proteger realmente su pequeño servidor Linux doméstico (o un centro de datos), necesita otras medidas físicas adecuadas.

Para su caso de uso doméstico, podría ser suficiente instalar un hardware creativo de bricolaje que:

  1. le permite reconocer cualquier intrusión física cuando regrese y
  2. interrumpe la fuente de alimentación de su computadora en cualquier intento de intrusión física.

Para los periodistas y los denunciantes que enfrentan a grandes empresas o agencias gubernamentales poderosas como sus enemigos, esto probablemente todavía no sea lo suficientemente seguro. Estas tres agencias de cartas podrían tener el equipo forense necesario para recuperar el texto claro de la RAM incluso minutos después del apagado .

pefu
fuente
7

Aquí hay una solución simple: ¡reconstruya el núcleo sin el modo de usuario único!

Dicho de manera más adecuada, edite el kernel de Linux que está utilizando para que el modo S se reasigne a cualquiera que sea su modo predeterminado (3,4,5). De esa manera, cualquier intento de iniciar en modo de usuario único inicia el sistema normalmente. Probablemente podría hacer lo mismo en los guiones de inicio. De esa manera no habría medios especiales para ingresar al sistema sin conocer la contraseña.

Arkain
fuente
Si todavía puedo obtener acceso al indicador de grub, todavía puedo cambiar los parámetros del kernel a init=/bin/bash. Esto lo iniciará en un shell bash de raíz, donde luego podrá montarlo /.
Jens Timmerman
Grub siempre se puede configurar para no permitir el acceso a su shell.
Arkain
Como ya se ha señalado en otras respuestas a esta pregunta: si un atacante experto tiene acceso físico a la computadora, su núcleo de reconstrucción no es más que una vieja telaraña en el camino hacia la tumba que contiene sus preciosas joyas de datos secretos. :-)
pefu
3

Vaya y pregunte en el sitio de Electrónica. Estoy bastante seguro de que hay diseños SOC integrados que cifran todo y una vez que lo fusionas, es "imposible" realizar ingeniería inversa.

Dicho esto, estaba en una presentación de DefCon donde el equipo mostró exactamente cómo lo desarmaron. En muchos casos, los chips no se habían fusionado, o el diseño del chip incluía tontamente un puerto de depuración desconectado. En otros, eliminaron las capas de chips químicamente y leyeron el chip con un escáner de microscopio electrónico. Nunca estarás a salvo de hackers realmente dedicados.

Zan Lynx
fuente
1

Me gustaría ofrecer un enfoque diferente, si está dispuesto a considerar medidas preventivas destructivas. Considere soldar un condensador de gran capacidad a su disco duro y ram, que en la detección de manipulación (usted decide el método / sensores) descarga la destrucción de datos.

Esto "impide" el acceso en el sentido vacío de que nadie puede acceder al sistema después. Por lo tanto, responde la pregunta al pie de la letra, mientras que posiblemente pierde completamente su intención.

Un condensador es solo un ejemplo. Existen otras posibilidades. El problema es la destrucción climática del dispositivo (o al menos los datos que contiene) es aceptable.

La solución basada en temporizador también es posible, a menos que el dispositivo pueda hacer ping a casa cada pocos minutos / horas / ... se autodestruye. Muchas posibilidades diferentes a lo largo de este tema.

Dani_l
fuente
Al menos un HDD rotativo puede trasplantar sus platos a otro disco del mismo modelo, y leerán bien incluso si el PCB se destruyó por completo. (No estoy seguro acerca de los SSD, pero no contaría con que sea mucho más difícil). Esto es algo que las compañías de recuperación de datos hacen todo el tiempo. Si va a hacer algo como esto con un grado razonable de certeza (¡aunque de ninguna manera es seguro!), Coloque un pequeño explosivo dentro de las entrañas del disco. Funciona mejor con SSD que con HDD rotacionales por razones no relacionadas con la fuerza destructiva prevista.
un CVn
@ MichaelKjörling Thermite es el camino a seguir. Los explosivos en un disco duro requieren una explosión relativamente grande para destruir los datos. Destruirás el plato superior si el explosivo está realmente en el disco, pero los platos del disco son bastante pesados, no van a incinerar sin una cantidad bastante peligrosa de explosivo. Sin embargo, la termita se quema a través del metal.
DanielST
1

Una posible solución sería utilizar el cifrado de disco completo, colocar la llave en una memoria USB / tarjeta de memoria y colocar la computadora en una caja de metal con una sola puerta que tenga un interruptor de apertura, junto con algunos sensores ambientales.

Para arrancar el dispositivo una vez que coloca la unidad USB en el puerto (en el exterior de la "bóveda") y lee la clave FDE desde allí y arranca el sistema. Si alguna vez se abre la "bóveda", el interruptor de apertura restablecerá el sistema, borrando la llave de la memoria.

Si el entorno lo permite, puede agregar más sensores como temperatura, aceleración, humedad, etc. Si se detecta un cambio repentino en los valores informados, el sistema se reinicia, por lo que si un ladrón solo está tratando de tomar el sistema y colocarlo en su bolsillo ya se reiniciará antes de que incluso lo desconecte de todos sus cables.


fuente