Wstęp
pokaż spoiler jak dla kogoś "TR", to można tę sekcję "DR"
TrueCrypta, mam nadzieję, nikomu nie muszę przedstawiać. Szyfrowanie pojedynczych archiwów, partycji czy całych dysków w dobie permanentnej inwigilacji to niemal konieczność (a dla niektórych nawet nie "niemal").
W połączeniu z regularnymi backupami (oczywiście na szyfrowanych dyskach) otrzymujemy świetne bezpieczeństwo danych, ale nadal pozostaje problem bezpieczeństwa sprzętu. Twórcy narzędzia
Prey przychodzą z pomocą, dając szerokie możliwości śledzenia zagubionego laptopa (czy tableta, smartfonu). W telegraficznym skrócie: zgubiony/skradziony komputer można (o ile oczywiście znalazca/złodziej podłączy maszynę do internetu - a Prey sam z siebie próbuje nawiązać połączenia z widocznymi sieciami bezprzewodowymi) zdalnie monitorować namierzając jego lokalizację po IP/punktach WiFi/GPS, robić "nowemu właścicielowi" zdjęcia kamerką czy screenshoty albo komunikować się z nim.
Problem pojawia się, gdy chcemy z obu tych funkcjonalności skorzystać naraz. Bo jeśli uczciwy znalazca nie może zalogować się do systemu, nie może dostać naszej wiadomości; natomiast złodziej, który napotyka się jedynie na Prey'a ma dostęp do wszystkich naszych wrażliwych danych.
Metoda
Zasadnicza koncepcja mojego rozwiązania polega na zainstalowaniu dwóch systemów (w moim przypadku Windows 7 i Ubuntu 12.04) w taki sposób, żeby pierwszy był zaszyfrowany z możliwością pominięcia autentykacji i uruchomienia drugiego, nad którym po cichu czuwa Prey. Dodatkowo, starałem się by połączenie było jak najprostsze (tj. żeby potencjalny znalazca miał jak najkrótszą drogę do zalogowania się do Ubuntu) - finalnie nie pojawiają się żadne ekrany wyboru systemu, ba: ktoś patrzący z boku nie ma nawet świadomości, że komputer zawiera dwa systemy operacyjne (oczywiście dopóki nie dobierze się bezpośrednio do zawartości dysku twardego).
pokaż spoiler Podam tylko schemat konstrukcji; nie chciałem robić tutaj tutorialu, a opisać swój pomysł na tyle czytelnie, by można było go łatwo skopiować (chętnym mogę rozwinąć szczegóły).
Moja maszyna zawiera 5 partycji:
* partycja systemowa, Windows 7 (wraz z
bootloaderem!),
* partycja NTFS pod Windowsa (lubię instalować programy osobno),
* partycja NTFS pod Windowsa (magazyn plików),
* partycja główna Ubuntu (system operacyjny oraz bootloader),
* partycja /home/ Ubuntu (ale nie trzeba jej robić).
pokaż spoiler Minimalnie potrzebne są dwie partycje: na Windę i Ubuntu.
Jak wiadomo, Windows 7 podczas instalacji tworzy sobie przed zadaną partycją tzw. partycję rozruchową, na której umieszcza bootloader i narzędzia odzyskiwania, a której zaszyfrowanie TrueCryptem jest niemożliwe. Ja jednak z niej zrezygnowałem, by bootloader umieścić na zaszyfrowanej partycji systemowej (ma to bardzo dużą zaletę, którą przedstawię dalej). Dlatego też sugerowałbym zacząć od nowej instalacji Windowsa, bo o wiele prościej jest zainstalować go bez tej partycji, niż usuwać ją na już istniejącym systemie.
pokaż spoiler Jest to możliwe, ale zgadnijcie, na czym rozsypałem poprzednią instalację
Partycja Windowsa jest w całości zaszyfrowana przy użyciu TC metodą dla komputerów z wieloma systemami operacyjnymi. Jest to proces odrobinę bardziej skomplikowany niż zwykle, ale jak się przeczyta jakiś tutorial i uważa na każdym kroku, to nie powinno być problemów.
Przy okazji małe pytanie do ekspertów: czy ważne jest, by przed rozpoczęciem szyfrowania Ubuntu był już zainstalowany? Ja wolałem mieć i wszystko śmiga, zastanawia mnie jedynie, czy można drugiego OSa doinstalować potem.
Po zaszyfrowaniu należy, w ustawieniach ("System Encryption Settings") zezwolić na pamiętanie wprowadzonego hasła i na pominięcie autentykacji; można też wyłączyć pokazywanie defaultowego ekranu startowego TrueCrypta, a zamiast tego wyświetlić swój własny komunikat. Ja podałem "Press ESC to start..." (czemu - dalej).
Następne dwie partycje są również zaszyfrowane; co ważne, używając identycznego hasła co systemowa. Jest to o tyle istotne, że pozwala na automatyczne ładowanie tych partycji ze startem systemu, a więc można zrobić zupełnie gładkie połączenie (z perspektywy użytkownika nie widać żadnej różnicy względem czystego systemu). W TC nazywa się to "System Favorite Volumes".
Uwaga: w takiej sytuacji, po zaszyfrowaniu dysku i uruchomieniu zobaczymy następujący układ partycji:
C (Windows),
D ("surowa" partycja, zaszyfrowana - więc zawierająca pozornie losowe bity; Windows zasugerowałby jej sformatowanie),
E (jak D),
F (zamontowana przez TC zawartość D - możliwy odczyt i zapis),
G (zamontowana E) - a więc niepotrzebny bałagan. Można sobie z tym poradzić usuwając litery dysków przypisane do partycji D i E, dzięki czemu TrueCrypt będzie mógł następnym razem zamontować pod te litery właściwe wolumeny.
Partycje Ubuntu są u mnie bardzo małe, na ok. 500GB dysku przypisałem im ok. 10GB, ale mają mi służyć tylko okazjonalnie (no i do Prey'a). Bardzo istotne jest, by przy instalacji drugiego systemu umieścić jego bootloader w odpowiednim miejscu (tj. w moim przypadku na czwartej partycji). Gdy zaszyfrujemy pierwszą partycję TrueCryptem, na sektorze rozruchowym dysku twardego (MBR) wpisany zostanie jego bootloader, który - po wpisaniu hasła - załaduje loader Windowsa, a po pominięciu autoryzacji znajdzie zapisany dalej loader Ubuntu. Gdybyśmy przy instalacji drugiego systemu nie wybrali lokalizacji jego bootloadera, zostałby nadpisany loader TC (w MBR), a więc utracony zostałby dostęp do zaszyfrowanego systemu (w takich sytuacjach ratujemy się TrueCryptowym Rescue Diskiem).
pokaż spoiler Istotne jest też to, by logowanie do Ubuntu nie było zabezpieczane żadnym hasłem - ale to raczej oczywiste ;)
W Ubuntu jest jeszcze jedna ważna rzecz do zrobienia: konfiguracja loadera GRUB. Normalnie po pominięciu autentykacji TrueCrypta pojawiłby się (w opisywanej konfiguracji) menedżer rozruchu Ubuntu, dając różne opcje uruchamiania systemu. Ja postanowiłem go jednak nie wyświetlać (z obawy o trudność uruchomienia dla "osoby trzeciej"). W tym celu w
konfiguracji GRUB'a należy ustawić GRUB_TIMEOUT na zero.
Jak to wygląda ostatecznie?
W spojlerach techniczne szczegóły, niewidoczne dla końcowego użytkownika.
Po włączeniu komputera
pokaż spoiler BIOS ładuje z MBR bootloader TrueCrypta, który wyświetla jedynie
komunikat: "Press ESC to start...".
pokaż spoiler Poza tym maszyna jest pozornie nieresponsywna, wprowadzanie znaków nie powoduje żadnej reakcji.
Podanie poprawnego hasła powoduje
pokaż spoiler odszyfrowanie bootloadera Windowsa z partycji systemowej, zamontowanie dwóch dodatkowych partycji i
start systemu.
Podanie błędnego hasła nie daje żadnego efektu (resetuje pole do wprowadzania).
Pominięcie autentykacji przez wciśnięcie Escape powoduje
pokaż spoiler w sytuacji klasycznej wyświetlenie boot managera TC (który pozwala na wybór systemu do załadowania w przypadku bardziej rozbudowanych konfiguracji). W naszym przypadku menedżer ten znajdzie na dysku tylko jeden bootloader: należący do Ubuntu, tj. GRUB (windowsowy jest zaszyfrowany, bo nie mamy partycji rozruchowej!); a skoro nie ma z czego wybierać, odpali go bezpośrednio. Ten natomiast skonfigurowaliśmy, by uruchamiał swój docelowy system również bezpośrednio. W efekcie dostajemy więc eleganckie łańcuchowe
uruchomienie Ubuntu.
Jak widać, dzieje się to bez żadnych widocznych szwów - "końcowy użytkownik", widząc komputer (o ile go włączy) nie reagujący na żaden klawisz i komunikat "Press ESC", prawdopodobnie wciśnie ten klawisz (chyba, że jest profesjonalnym złodziejem i od razu zrobi format - ale na tak fatalistyczne scenariusze raczej się nie przygotujemy), a następny obraz, jaki zobaczy, to ekran startowy Ubuntu. A potem, o ile ma dostęp do internetu, dostanie od nas sygnał :)
Więcej w celu odzyskania maszyny nie zrobimy - a to wszystko przy gwarancji bezpieczeństwa danych znajdujących się na HDD!
Komentarze (127)
najlepsze
@deus-rex:
Prewencyjnie złożyłem donos o posiadanie pornografii zwierzęcej
Prewencyjnie złożyłem donos o posiadanie pornografii dziecięcej.
Nielegalnego nie było, ale jako że miałem kopię tych dysków miałem j%@$ne co sobie z nimi zrobią.
Męczyli mnie 3 lata abym podał hasło, do dziś dyski leżą nie odszyfrowane
@teleimpact: czy można w takim przypadku ubiegać się o odszkodowanie od Skarbu Państwa, że przez tyle lat byłeś pozbawiony ważnych danych i szacujesz straty firmy na np. 100000zł ?
Art jest adresowany przez geeka do geeków. Dzielę się pomysłem mimo, że dla znawców może będzie on oczywisty.
bez sęsu.
żaden zuodziej nie będzie korzystał z ubuntu - pewnie szybko go wywali (albo da komuś) i zainstaluje pirackiego windowsa, wtedy zobaczy tablice partycji, wyczyści ją i cały misterny plan na nic.
o wiele leepiej działałoby ubuntu szyfrowany LUKS, windows czysty z prey na podpuchę. poza tym ubuntu lepsze do pracy na co dzień
Ja bym zrobił inaczej:
- jakaś tajemnicza kombinacja klawiszy uruchamia właściwy system z którego korzystam na codzień. Wszystko zaszyfrowane, zahasłowane i zabezpieczone.
- jeżeli nie zrobię nic, otwiera się specjalnie spreparowany Windows XP albo 7, praktycznie goły (aby nie korcić
http://preyproject.com/
Takie rozwiązanie przydałoby się gdy nie chce się wpisywać za każdym razem długiego hasła do TrueCrypta przy bootowaniu, a jednak zachowując duże bezpieczeństwo (nikt nie musi wiedzieć, że PD działa jako klucz, więc rozwiązanie jak dostać się do
Złodziej albo od ręki walnie formata, albo od razu wymieni cały twardy dysk.
Był czas, gdy miałem p$@####ca na temat zabezpieczania swoich danych w laptopach - przeszło mi w momencie postawienia NASa w domu i trzymania w nim newralgicznych danych. Na lapkach mam jedynie bzdury, wszystko co stanowi dla mnie jakąś wartość jest na dyskach w RAIDzie na NASie i jedyne czego mogę się obawiać po
@Radbard: Linkowałem gdzieś wyżej do historii o odzyskiwaniu maszyn zabezpieczonej Prey'em. Zawsze to jakaś szansa, że trafisz na głupka, bądź okazjonalnego złodziejaszka.
Ewentualnie też względnie mocne obciążanie komputera: 80+ zakładek w firefoxie (z flashem)?
2. Czy możesz "usypiać" komputer, czy konieczne są kompletne restarty? (Wiem że usypianie jest niebezpieczne, bo można próbować mroźić RAM i robić temu podobne ataki, ale bez przesady). Generalnie chodzi mi o to, że często usypiam laptopa i wtedy "wstaje do życia" przez około minutę; a normalny