Destruksi sendiri: hapus sendiri semua data pada kartu SD menggunakan shred, dd atau metode lain

11

Saya akan menggunakan Raspberry Pi sebagai komputer berpola udara untuk melakukan transaksi terenkripsi yang aman di Ethereum BlockChain.

Sekali waktu saya ingin memperbarui perangkat lunak yang saya gunakan yang berarti mengeluarkan kartu SD dari Pi dan memasukkannya ke komputer laptop yang terhubung ke Internet. Saya ingin menggunakan beberapa program atau utilitas baris perintah pada Pi untuk menghapus segala sesuatu pada kartu SD dengan aman sebelum melepaskannya karena ini akan menghilangkan semua kemungkinan informasi sensitif dibaca dari kartu SD oleh aktor jahat yang mungkin telah membahayakan laptop saya.

Perintah berikut yang diketikkan di terminal pi menyampaikan gagasan tentang apa yang ingin saya capai: 

shred --verbose *.*
sd-card security John Shearing
sumber
5
Dalam beberapa hal, Anda mengunci pintu gudang setelah kuda melarikan diri. Anda perlu menggunakan gambar disk yang tersedia dari internet untuk membakar kartu SSD. Seorang penyerang bisa (seperti yang telah dilakukan sebelumnya) membuat kerentanan dan memasukkannya ke dalam gambar yang dapat diunduh. Kerentanan dapat mengeksploitasi pemanen mata uang Anda sejak hari pertama. Untuk benar-benar airgap komputer itu tidak akan pernah bisa berbagi jaringan atau disk. Agaknya, pemanen Anda juga akan mengakses internet untuk mengakses beban kerja dan mengembalikan hasil, lagi memungkinkan eksploitasi jauh sebelum Anda memutakhirkan perangkat lunak.
Steve Robillard
3
Untuk keamanan sejati, seluruh rantai dari pasokan hingga kehancuran perlu dilindungi.
Steve Robillard
4
Bagaimana komputer "airgapped" mengakses rantai blok?
Paŭlo Ebermann
2
Setelah perangkat lunak dimuat, pi tidak pernah melihat apa pun dari Internet lagi. Nomor-nomor akun diteruskan ke pi ber-udara menggunakan Kode QR dan diverifikasi dengan menggunakan blokir . Instruksi transaksi terenkripsi diteruskan ke blockchain dengan mengambil gambar QR-Code yang ditampilkan pada layar sentuh pi dengan ponsel pintar. Jadi tidak ada peluang bagi aktor jahat untuk memegang kunci pada kartu SD kecuali jika saya terhubung ke Internet setelah mereka dimasukkan. Lebih baik hancurkan SD dan dapatkan yang lain saat memutakhirkan perangkat lunak. Kemudian masukkan kembali kunci
John Shearing
2
@ JohnShearing Apakah mengingat kata sandi di kepala Anda bukan pilihan?
flakeshake

Jawaban:

17

Karena kartu SD konsumen menggunakan Lapisan Penerjemahan Flash yang sangat rahasia dan sebenarnya memiliki kapasitas lebih besar daripada yang diiklankan untuk memetakan ulang blok yang buruk atau untuk leveling keausan umum, ini tidak mungkin dilakukan melalui shred. Tulisan ke file mungkin tidak berakhir di tempat yang sama dengan saat ini ada pada disk sama sekali.

Anda memiliki empat pilihan:

  • 1) Kerusakan fisik.
  • 2) Rusak file tunggal dan panggil sehari
  • 3) Gunakan dd if = / dev / zero of = / dev / mmcblk0 dan beri nama sehari (Ini akan cukup aman untuk memutar harddrives ...)
  • 4) Hancurkan semuanya / semua ruang kosong (mis. Seluruh perangkat seperti / dev / mmcblk0). Ini bodoh dan berisiko, karena kartu SD konsumen cenderung masuk ke mode hanya-baca perangkat keras ketika kapasitas berlebih mereka habis dan semua file menjadi tidak terhapus.

Agar masalah seperti itu tidak muncul lagi, selalu selalu gunakan enkripsi disk penuh sejak hari pertama di SSD, kartu SD, dan pendrives . Karena Anda tidak tahu apa yang dilakukan produsen perangkat keras saya sarankan menggunakan perangkat lunak sumber terbuka (LUKS, VeraCrypt) untuk itu.

serpih
sumber
1
Hai flakeshake, Terima kasih atas pendidikannya. Mengingat apa yang Anda jelaskan - saya akan pergi dengan sederhana. Saya kira cara terbaik untuk tetap setia pada gagasan sederhana bahwa "informasi sensitif tidak akan pernah bisa menyentuh mesin yang terhubung ke Internet" adalah dengan menghancurkan kartu SD saya saat ini dan membeli yang baru ketika upgrade ke perangkat lunak diperlukan. Ini akan memastikan bahwa data hanya mengalir turun dari Internet dan tidak sampai ke sana. Terima kasih banyak atas bantuan Anda.
John Shearing
2
Seperti yang dikatakan, pertimbangkan untuk menggunakan enkripsi disk penuh sejak hari pertama. Bahkan memutar harddisk mungkin menggunakan overprovisioning hari ini.
flakeshake
5
Besar +1 untuk enkripsi disk lengkap - saya pikir itulah cara beberapa hard drive "aman" menerapkan "penghapusan aman", mereka selalu menggunakan enkripsi perangkat keras jadi buang saja kuncinya.
Xen2050
@ JohnShearing Saya tidak melihat bagaimana peningkatan mengharuskan merobek-robek sebelumnya. Pokoknya, Raspbian / Debian APT (apt-get) telah dirancang pada zaman CD untuk pembaruan - alur kerja ini harus tetap tersedia jika Anda benar-benar ingin memiliki data yang mengalir dalam satu arah saja
flakeshake
Hai flakeshake, saya menggunakan pi udara-gapped untuk menahan kunci pribadi dan membuat instruksi terenkripsi aman untuk memindahkan cryptocurrency. Instruksi terenkripsi diteruskan ke Internet menggunakan QR-Code. Jika saya mengambil kartu SD dari pi dan memasukkannya ke komputer lain yang terhubung ke Internet maka saya tidak akan berhak untuk mengklaim perangkat saya ada air-gapped. Masih saya bertekad untuk mengikuti saran Anda dan menyelidiki apakah LUK akan bekerja pada pi hanya memetikan seseorang mencuri pi dan membawa kartu SD ke laboratorium untuk tujuan mendapatkan kunci keluar dari pi. Terima kasih untuk idenya.
John Shearing