HaCeMei
Anmeldungsdatum: 2. August 2010
Beiträge: 2262
|
Hallo, /home und swap sind verschlüsselt. Wenn ich aus dem laufenden Betrieb in "Bereitschaft" wechsle (Suspend to RAM), bleibt natürlich beides "offen". Daher wohl auch die Empfehlung zum Shutdown, die ich irgendwo gelesen habe. Jedoch habe ich bei Resume den Screensaver mit Passwortschutz gesetzt (xscreensaver). Kann nun jemand mit lokalem Zugriff an meinen Rechner an die verschlüsselten Daten kommen? Gruß, HaCeMei
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21736
Wohnort: Lorchhausen im schönen Rheingau
|
kommt auf den grad deiner Paranoia an, wie so oft in Sicherheistfragen. Zunächst das Szenario: Dein Rechner hält die keys zu den verschlüsselten Partitionen im RAM. Wird er wieder angeschaltet, sind sie noch da, wie du richtig erkennst. Potentielle Bedrohung: Auslesen der keys bei physikalischem Zugriff. Dazu sind mir nur zwei Möglichkeiten bewusst, 1. das Speicherauslesen per Firewire (Meines Wissens nach unter Linux nicht aktiv) und 2. die bisher nur unter Laborbedingungen geglückte Cold-Boot-Attacke. Die setzt voraus, dass dein Rechner im angeschlateten Zustand mit flüssigem Stickstoff schockgefrostet wird, um hiterher woanders(tm) dem RAM auszulesen. Sollte meine Annahme zu 1. nicht stimmen, wäre das ernst. Sollte irgendwann 2. in greifbare Nähe rücken, ist es auch ein ernster Punkt. Vorher hängt das dann an der Sicherheit des Screensaver.
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7658
|
Es sind da verschiedene Angriffsszenarien denkbar, es ist schwierig einen Rechner gegen physikalischen Zugriff zu schützen. Von Bugs in xscreensaver über offene Textkonsolen und Magic SysRq bis hin zu RAM-Module einfrieren, ausbauen, auslesen... Wenn du aber getestet hast daß der Suspend-Ram zuverlässig funktioniert und der xscreensaver dann auch direkt sperrt (oder du die Sperrauslöse auch explizit ins suspend-script integrierst) dann ist es eigentlich ganz okay. Ich nutze auch ab und an Suspend to RAM, wenn ich die Kiste abstellen will aber noch irgendein Prozess läuft... die Mühe solche Prozesse in eine VM zu legen die dann unabhängig eingefrore wird habe ich mir noch nicht machen wollen... In der Praxis hast du sowieso keinen höheren Sicherheitslevel, also wenn du z.B. auch mal einkaufen gehst dann ist ja genau die gleiche Situation, die Kiste läuft weiter und ein X-Lock. Rechner abschalten wenn man weggeht ist halt in vielen Fällen einfach unpraktikabel. Es muss also reichen, sofern du keine extremen Anforderungen hast...
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
Angriffe sind grundsätzlich über jede Schnittstelle die direkt ohne viel zutun ein DMA bietet an. Populär ist dadurch die veraltete Firewire Schnittstelle geworden, aber es tut auch jede andere Schnittstelle wie z.B. PCIe oder dieses tolle Ligtning welches praktischerweise PCIe nach außen führt 😈 Dann noch die angesprochenen Laborangriffe mit dem Kältespray, eher Unhandlich für den schnellen Hack zwischendurch. Noch einfacher: Die Kiste ausschalten, den Bootloader durch einen modifizierten mit Keylogger ersetzen, und dann die Kiste klauen wenn der Typ seine Platte für mich entschlüsselt. mfg Stefan Betz
|
TheDarkRose
Anmeldungsdatum: 28. Juli 2010
Beiträge: 3459
|
Vielleicht nicht unbedingt suspenden wenn man wo anders ist, oder den Rechner verliert. Ansonsten gilt wie immer http://xkcd.com/538/
|
HaCeMei
(Themenstarter)
Anmeldungsdatum: 2. August 2010
Beiträge: 2262
|
Hallo, Danke für eure Hinweise, sehr instruktiv! redknight schrieb: 2. die bisher nur unter Laborbedingungen geglückte Cold-Boot-Attacke. Die setzt voraus, dass dein Rechner im angeschlateten Zustand mit flüssigem Stickstoff schockgefrostet wird, um hiterher woanders(tm) dem RAM auszulesen.
... Sollte irgendwann 2. in greifbare Nähe rücken, ist es auch ein ernster Punkt. Vorher hängt das dann an der Sicherheit des Screensaver.
In diesem Video http://www.youtube.com/watch?v=JDaicPIgn9U&feature=youtu.be&t= sieht es aus wie eine Kleinigkeit. Das gekühlte Bauteil mit einem Kühlspray behandelt und mit bloßen Händen umgeklippst. frostschutz schrieb: Von Bugs in xscreensaver
Klar, ist nicht auszuschließen, aber würde (hoffentlich) nicht lange verborgen bleiben.
über offene Textkonsolen
Was kannst du dort anrichten ohne Passwort?
Magic SysRq
Muss ja nicht an sein
daß der Suspend-Ram zuverlässig funktioniert und der xscreensaver dann auch direkt sperrt (oder du die Sperrauslöse auch explizit ins suspend-script integrierst)
Jupp, seit ich per Skript suspende habe ich noch nicht erlebt, dass der Screensaver nicht angeht.
In der Praxis hast du sowieso keinen höheren Sicherheitslevel, also wenn du z.B. auch mal einkaufen gehst dann ist ja genau die gleiche Situation, die Kiste läuft weiter und ein X-Lock.
Ich rechne übrigens nicht wirklich damit, dass jemand meinen Rechner gezielt stiehlt, um an meine Daten zu kommen. Viel wahrscheinlicher ist der Diebstahl aus Gelegenheit (Rechner unbeaufsichtigt, liegen gelassen). Trotzdem werde ich bei Situationen mit erhöhtem Risiko von Verlust oder Diebstahl dann wohl doch wirklich ausschalten, im Sinne des Kommentars von TheDarkRose. encbladexp schrieb: ... aber es tut auch jede andere Schnittstelle wie z.B. PCIe oder dieses tolle Ligtning welches praktischerweise PCIe nach außen führt 😈
Jede andere Schnittstelle 😲 ❓ Kann ich davon ausgehen, dass "normale" Schnittstellen dazu nicht verwendet werden können (USB, Ethernet...)?
Noch einfacher: Die Kiste ausschalten, den Bootloader durch einen modifizierten mit Keylogger ersetzen, und dann die Kiste klauen wenn der Typ seine Platte für mich entschlüsselt.
Das betrifft dann auch ausgeschaltete Rechner, und ich würde nichts davon merken? Wäre das durch Vollverschlüsselung zu verhindern?
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7658
|
HaCeMei schrieb: über offene Textkonsolen
Was kannst du dort anrichten ohne Passwort?
Mit offen meinte ich: eingeloggt und dann vergessen
Magic SysRq
Muss ja nicht an sein
ist aber praktisch 😉
Das betrifft dann auch ausgeschaltete Rechner, und ich würde nichts davon merken? Wäre das durch Vollverschlüsselung zu verhindern?
Jein; du musst darüber hinaus auch dein /boot schützen. Als USB-Stick in der Hosentasche/Schlüsselbund/Geldbeutel mit verschlüsselten Keyfiles, damit Keylogger nutzlos wird ohne Kopie des Sticks, ist schon mal deutlich besser...
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21736
Wohnort: Lorchhausen im schönen Rheingau
|
HaCeMei schrieb: http://www.youtube.com/watch?v=JDaicPIgn9U&feature=youtu.be&t= sieht es aus wie eine Kleinigkeit. Das gekühlte Bauteil mit einem Kühlspray behandelt und mit bloßen Händen umgeklippst.
Unter Laborbedingungen. Auf vergleichbare Hardware, vorher bekannter Inhalt des R%AM, etc pp. Die bedingungen verändern sich drastisch, wenn man von der Disk-Encryption nichts weiß oder nciht weiß welches system verwendet wird. Meines Erachtens würde das auch nicht funktionieren, wenn das Betriebsystem nicht auch auf der Hardware lauffähig ist, in die eingeklipst wird. Nicht, dass ich die Gefahr kleinreden will, aber von einer parktischen ausnutzung dieses problems sind wir meines Erachtens nach noch meilenweit entfernt. Die Forschungen dazu dauern ja nun deutlich länger als 2008 an und in der Praxis ist davon nichts spürbar.
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
Gegen Cold-Boot muss man schon einen Einbruchsalarm an die Tür machen und dann, wenn dieser von der Software entdeckt wird, automatisert herunterfahren lassen. Die einfachere Methode (bei einem Server) ist den Case-Open Status zu prüfen und das geht wohl auch schon mit dem Paket "lm-sensors" oder man geht halt zum CNC-Mechaniker und lässt sich besonders exotische Gehäuseschrauben (wie Torq) bauen. Das hilft zwar nicht gegen Angriffe auf physische Schnittstellen aber es verzögert den direkten physischen Zugriff. (Der Angreifer rechnet ja nicht damit.) Es erhöht also die Wahrscheinlichkeit, dass man es als Opfer mitbekommt und dann kann man immer noch die Sicherung rausschrauben oder das Steckdosensystem kurzschliessen. Je exotischer, desto besser! http://superuser.com/questions/378781/open-case-detection-aka-intrusion-alarm
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
Hi. Warum nicht einfach richtig verschlüsseln und dann suspend to disk nutzen? Da bleibt auch alles wie es ist, aber die Platte wird ordnungsgemäß "abgeschlossen".
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
Ja, theoretisch ist jede DMA fähige API/Schnittstelle dafür brauchbar wenn man diese dafür missbraucht bekommt. DMA = Direct Memory Access, und jetzt rate mal wo der Key für die Entschlüsselung liegen muss. Über USB ist mir noch nichts bekannt, aber USB bietet eben wenn erforderlich auch DMA Transfers. Die Frage ist wie einfach man das hier Exploiten kann. Diese ganzen Szenarien gehen aber alle von Problemen mit der lokalen Sicherheit aus, also das jemand an das Blech kommt. mfg Stefan Betz
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
Wenn ich mich nicht täusche ist der DMA-Bug bei Firewire ein Design-Bug. Wenn man Firewire nach Spezifikation implementieren will, dann hat man automatisch diesen Bug dabei. Bei anderen Technologien (USB) ist das nicht so, da hat man DMA nur auf die jeweiligen freigegebenen Adressbereiche (Implementationsfehler mal ausgeschlossen).
|
redknight
Moderator & Supporter
Anmeldungsdatum: 30. Oktober 2008
Beiträge: 21736
Wohnort: Lorchhausen im schönen Rheingau
|
DMA via Firewire ist meines Wissens nach kein Bug, sondern eben gewollt.
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
Ich hab mich schnell nochmal belesen. USB, hat kein DMA daher ist da auch keine Gefahr. Prinzipell ist alles gefährdet, was DMA nach außen führt (Thunderbolt, PCMCIA, ExpressCard, ...).
|
HaCeMei
(Themenstarter)
Anmeldungsdatum: 2. August 2010
Beiträge: 2262
|
Dank noch einmal an euch alle! Es geht mir vorrangig um ein Szenario, wo die "lokalen Sicherheit" nicht mehr gegeben ist (Netbook bleibt liegen; wird gestohlen). Jedenfalls ist die Verschlüsselung von /home bei geschlossenem Screensaver nicht ganz leicht zu umgehen. Insofern also besser als ohne Schutz. Noch besser ist es, herunterzufahren, noch besser voll zu verschlüsseln. (Am besten: Das Teil nicht aus den Händen zu lassen). stfischr schrieb: Warum nicht einfach richtig verschlüsseln und dann suspend to disk nutzen?
Wenn ich mal einen neuen Rechner hab - mein aktueller Mobilrechner braucht schon ohne Verschlüsselung ewig für suspend to disk.
|