Sziasztok!
Tegnap megérkezett az új Dell notebookom, és azon tűnődök épp, hogy ha kizárólag Linuxot fogok futtatni rajta kisvállalati környezetben, akkor vajon van-e bármi gyakorlati haszna a hardver által nyújtott biztonsági technológiák használatának?Konkrétan ezekre gondolok:
- TPM: mint tudjuk, Windows-vonalon a BitLocker képes a TPM chipben tárolni a lemeztitkosításhoz használatos kulcsot. Linux környezetben LUKS-szal megoldható valami hasonló, de fogalmam sincs, hogy ez valóban ad-e bármi pluszt, illetve mivel work-in-progress megoldás, ezért a stabil működés sem feltétlenül biztosított. Bár az ötlet tetszik, de azért vannak aggályaim. Talán a legtriviálisabb, hogy ha elszáll a TPM chip a gépben, akkor buktam az adataimat (igen, tudom, erre a rendszeres backup a megoldás :), illetve mi garantálja, hogy az itt tárolt kulcsokhoz valóban csak én férhetek hozzá (és mondjuk nincsenek beépített backdoor-ok valahol az implementációban)? A lemeztitkosításon kívül talán még az SSH-kulcsok biztonságos tárolása lehet egy lehetséges felhasználási terület, bár nem tudom, ez mennyire elterjedt dolog, és hogy mik a gyakorlati tapasztalatok vele. Ti tudtok más felhasználási területről Linux környezetben? Mondjuk Wifi/VPN/weboldal jelszavakat lehet tárolni benne? Ha igen, mik a tapasztalatok ezzel? Vannak már stabil, csomagból telepíthető megoldások?
- EFI/UEFI: ahogy olvasgatom a neten, eléggé megosztó technológia. Sokan csak egy újabb támadási felületet látnak benne (megjegyzem, nem alaptalanul), mások meg ebben látják a jövőt, a fejlődést, mindent, ami szép és jó. Nem másztam bele nagyon a témába, de ha jól sejtem, ez is inkább nagyvállalati környezetben lehet igazából hasznos, ahol gépek százait/ezreit kell (távolról) menedzselni. Vagy tévednék?
- Secure Boot: azt hiszem, ezt senkinek nem kell bemutatni, a kezdeti felháborodás ellenére mostanra már szinte az összes nagyobb Linux disztribúcióval működik, de azt már nem tudom, mennyire reális az a veszély, hogy Linuxon a boot kódot, firmware-t manipuláló malware-ek kezdenek terjedni?
- Computrace: nem teljesen jött le, hogy ez pontosan mire is való. Illetve, ha jól értem, ez egy klasszikus agent-server konfigurációban működő, eszközök nyomon követésére használható szolgáltatás, így önmagában nem sok haszna van, fel kell húzni egy szervert is hozzá. Van linuxos agent is hozzá, de sajnos nincs vele semmi tapasztalatom, ezért nem tudom eldönteni, hogy használjam-e vagy sem.
Összegezve: szerintetek van értelme a fenti, hardveres/hardver-közeli biztonsági technológiákat használni általában, illetve Linux környezetben vagy mindez csak parasztvakítás, és - demagóg leszek - csak a márkás gépek jobb (nagyvállalati) eladhatóságát célozzák, vagy ennél is meredekebb dolgokat (pl. NSA-féle adatgyűjtés segítése)?
- 2561 megtekintés
Hozzászólások
Semmi komment? :(
- A hozzászóláshoz be kell jelentkezni
azt nem mondtad meg el, hogy kb. ki/mi ellen is akarsz vedekezni? Meg az nsa ellen is?
--
"what is mostly works", "mods that I describe is choosed" (hrgy84 "nem vagyok anyanyelvi angolos")
- A hozzászóláshoz be kell jelentkezni
Akár még az NSA ellen is, de nem is ez érdekel igazán, hanem az, hogy adnak-e bármi pluszt a gyakorlatban ezek a technológiák vagy csak nagyvállalati IT manager-eket lenyűgöző, és ezáltal pénzzé tehető újításoknak szánták őket?
- A hozzászóláshoz be kell jelentkezni
- A Computrace-hez nem neked kell felhúzni egy szervert, azt az Absolute nyújtja mint szolgáltatást.
- A szolgáltatás keretében kapsz tőlük egy webes felületet, amin keresztül kezelheted az licenceidet, agentjeidet, nyomkövetésen túl küldhetsz nekik utasítást hogy amikor az agent kapcsolódik mit hajtson végre, milyen infót küldjön be, ha valamennyi ideig nem kapcsolódott mit tegyen.
- A nyomkövetést IP mellet GPRS infó alapján és GPRS kapcsolaton keresztül is tudja (ha van a notiban SIM).
- A kliens licenceket évente kell megújítani, nem olcsó. Az elhalálozott gépekre figyelni kell, mert a licence levételhez a gép firmwarében is ki kellene tudni kapcsolni a szolgáltatást.
- Még az agentek "persistent" telepítése lehet érdekes, ha meg van a megfelelő hardveres BIOS/firmware támogatás, van net elérés a gépen és az adott OS támogatott, akkor az agent képes automatikusan "visszamászni" diszk csere utáni frissen telepített OS-re is, ha más OS kerül rá akkor az OS-nek megfelelő agent megy fel.
- Van olyan szolgáltatás/antitheft csomagjuk, hogy (bár kell hozzá az ügyfél is, de) ők mennek utána az eltünt notebooknak, a helyi rendőrségekkel felveszik a kapcsolatot a saját rendszerükből adva nekik a szükséges infókat a megfelelő formában.
- Néhány éve egy bemutató során pár Win7-es demo notival találkoztam amin volt ilyen agent. A nyomkövetést próbáltuk, ha volt GSM cella infó az sokat jelentett.
- Ha bővebb/pontosabb infó kell a tulajdonságokról vagy a szolgáltatás igénybevételétről akkor a notebook gyártója, az Absolute vagy egy Absolute viszonteladó tud adni. - https://www.absolute.com/
- Ha nem titok a notebook típusát megírhatnád.
--
Légy derűs, tégy mindent örömmel!
- A hozzászóláshoz be kell jelentkezni
Az én N5110-es Dell gépemben is van ilyen funkció. Köszi az infókat!
-------------
No commit - no comment.
DevMeme, fejlesztői pillanatok...
- A hozzászóláshoz be kell jelentkezni
Köszönöm a részletes infókat!
Egy Latitude E5440-es notebook-ról van szó konkrétan, tesztüzemben használom pár napja, és eddig nagyon elégedett vagyok vele. Az egyetlen dolog, ami szúrja a szemem, hogy nem tudom rendesen használni az (optimus-os) NVIDIA GPU-t... a legfrissebb hivatalos (proprietary) NVIDIA driver-rel próbáltam, kis ügyködés után sikerült is működésre bírni, de borzalamas képminőséget ad jelen állapotában (eltűnő egérkurzor, renderelési hibák, tearing effekt stb), így gyakorlatilag használhatatlan. :(
- A hozzászóláshoz be kell jelentkezni
TPM:
Ezt valahogy ugy kell elkepzelni, mint egy smartcard, csak ra van forrasztva az alaplapra. Amikor inicializalod (take ownership), general egy rsa kulcspart, aminek a privat resze a TPM-ben marad, ezzel tudsz dolgokat titkositani, es megadhatod, hogy ezeket milyen feltetelek teljesulese eseten legyen hajlando visszafejteni (ez persze egy kicsit bonyolultabb, mert tobb kulcsod is lehet hierarchiaba szervezve, ami hozza van kotve az SRK-hoz, de ez most mindegy).
A TPM sima smartcardhoz kepest annyibol tud tobbet, hogy a CPU trusted bootnal el tudja kuldeni az epp betoltott kod (bootloader, kernel, stb.) hash-et a TPM-nek, amit o hozzahash-el egy belso regiszterenek (PCR) ertekehez, igy a vegen a regiszterek erteke jellemzo lesz a boot chainre (ez az SRTM, a masik a DRTM, amikor a mar futo, untrusted kornyezetben tudsz measured VM-et inditani). A TPM-nek igy megmondhatod, hogy a titkositott adatokat csak a PCR-ek egy adott ertekenel fejtse vissza (ez a sealing), vagy ha jo PIN-t adtal meg, vagy mindketto.
A TPM-rol azt erdemes meg tudni, hogy maga a TPM chip tamperproof-ra van tervezve, viszont az LPC busz, amin a TPM altalaban kommunikal, nem. Ez azt jelenti, hogy egy jobbfajta TPM-bol a kulcsot kiszedni meglehetosen maceras (kell hozza egy FIB munkaallomas, es hetek-honapok munkaja, plusz nagyon konnyu veletlenul megsutni a chipet), viszont ha mar a TPM visszafejtette a titkot, akkor csak az LPC buszt kell tamadni, ami sokkal-sokkal egyszerubb.
"ha elszáll a TPM chip a gépben, akkor buktam az adataimat"
Ez igy van, tessek backupolni.
"illetve mi garantálja, hogy az itt tárolt kulcsokhoz valóban csak én férhetek hozzá (és mondjuk nincsenek beépített backdoor-ok valahol az implementációban)"
A vilagon semmi sem garantalja, de ez nem mond sokat, tekintve hogy egyetlen mas szoftveres vagy hardveres komponense sincs a gepednek, ahol beszelhetnenk barmilyen biztonsagi garanciarol. Realisztikusan a TPM azt tudja, hogy akkor fejti vissza a pl. lemeztitkosito kulcsot, ha a BIOS/bootloader/kernel megegyezik azzal, amivel seal-elted, es opcionalisan jo PIN-t adtal meg. Ez szoftver oldalrol (pl. perzisztens rootkit, vagy csak USB-rol bebootolas) eleg jo vedelem. Fizikai hozzaferessel mar kevesbe jo a helyzet, ha a kulcs csak a PCR-ekhez van kotve (ergo bekapcsolod es bebootol, csak be kell jelentkezni), akkor az LPC buszt low-cost modszerekkel lehallgathatod, vagy a mar futo gepen reset-elheted a TPM-et, es utana olyan PCR-eket allitasz be, amilyeneket akarsz. Ha PIN is be van allitva, akkor viszont fizikai hozzaferessel a TPM-et kell tamadni, ami nehez.
TL;DR: ha a diszk titkositasra hasznalt jelmondatod nagyon eros, es/vagy kulcslemezt hasznalsz, amit mindig magadnal tartasz, akkor ezt nem erdemes TPM-re lecserelni (viszont ekkor is hasznalhatod a TPM-et arra, hogy meggyozodj rola, hogy a geped szoft/firmware-en nem modositottak, lasd anti-evil-maid par sorral lejjebb). Ha viszont csak valami egyszeru jelszavad van, akkor jobban jarsz a PIN-es TPM-el. PIN nelkul diszk titkositasra kerulendo.
"Ti tudtok más felhasználási területről Linux környezetben?"
A Qubes csinal vele anti-evil-maid vedelmet, ez kb. azt jelenti, hogy boot-kor kolcsonosen authentikaljatok egymast a geppel. :) Erdemes megnezni, nagyon jopofa.
"Mondjuk Wifi/VPN/weboldal jelszavakat lehet tárolni benne? Ha igen, mik a tapasztalatok ezzel? Vannak már stabil, csomagból telepíthető megoldások?"
Nem tudok rola, de lib-ek vannak hozza. Azt erdemes meg meggondolni, hogy mennyit nyernel ezzel, mert ha kompromittalodik a geped, akkor a tamado abban a pillanatban hozzafer a jelszavadhoz, ahogy hasznalni szeretned.
--
"You're NOT paranoid, we really are out to get you!"
- A hozzászóláshoz be kell jelentkezni
Köszi a részletes infókat a TPM-ről.
Ugyanakkor szerintem szinte biztos, hogy van benne backdoor, csak még nem derült ki. Pedig nem vagyok egy chemtrailes őrült.
- A hozzászóláshoz be kell jelentkezni
Köszi az infókat!
A TPM-nél a PIN mit takar? Ez olyan mint pl. egy SIM kártya PIN-kódja, vagy lehet akár egy tetszőleges hosszúságú, alfanumerikus szöveg is?
- A hozzászóláshoz be kell jelentkezni
BitLocker csak számot enged, azt tudom. Azt szűrtem le, hogy ez azért kellően biztonságos, mert a TPM hardver véd a bruteforce ellen.
- A hozzászóláshoz be kell jelentkezni