Seberapa amankah mengunci layar?

19

Jadi, baik windows dan linux memiliki fitur yang cukup berguna yang memungkinkan Anda untuk membiarkan semuanya berjalan pada PC sementara juga menjauhkan penjajah dengan mengunci layar. Pertanyaan saya adalah:
Katakan saya meninggalkan laptop saya dengan layar terkunci sementara saya pergi mengambil donnut, dan kemudian dicuri. Dengan asumsi pencuri memiliki akses ke perangkat lunak apa pun yang dia butuhkan, seberapa mudah / sulit baginya untuk mengakses akun saya (yang saat ini masuk)?

Sekarang biarkan saya jelas. Saya tidak bertanya apakah dia dapat mengakses data di harddisk. Saya tahu dia bisa, dan masalah itu akan masuk dalam enkripsi data, yang bukan pertanyaan saya di sini. Saya fokus pada seberapa sulit untuk menyiasati layar "Masukkan Kata Sandi", dan memiliki akses penuh ke akun saya.

Saya mencari jawaban mengenai kedua OS; tetapi, jika perlu, asumsikan Ubuntu.

Terima kasih.

Malabarba
sumber
23
Anda mungkin harus menyimpan bahan penggorengan dan donat yang sempurna di meja Anda.
mindless.panda
2
Itu bukan linux yang mengunci layar Anda, itu adalah Sistem X Window.
mpez0
TIDAK ! Di Ubuntu 12,04 LTS saya sedang mencoba yang berikut: ketika di layar kanan saya ada kotak input yang menanyakan kata sandi saya, di layar kiri saya, saya bisa berinteraksi dengan banyak aplikasi. Beberapa tindakan tampaknya tidak berpengaruh tetapi saya dapat misalnya membuka atau menutup aplikasi, memindahkan file, dan berkonsultasi dengan surel saya (Gmail). Meskipun mungkin terkait dengan dukungan buruk dari kartu grafis saya, bagaimana ini dapat memungkinkan saya untuk berinteraksi dengan elemen yang seharusnya "di bawah" sesi yang terkunci ?? Jadi, pasti TIDAK, saya tidak akan menganggap cara penguncian layar Ubuntu (& mungkin orang lain) "cukup aman".
Pierre

Jawaban:

12

Jawabannya mungkin "cukup aman" dan saya akan lebih khawatir tentang menjadi tanpa laptop saya dan harus membeli yang baru daripada data saya dicuri.

Kedua sistem operasi sedang menunggu kata sandi untuk diketik dan, sejauh yang saya tahu, tidak ada cara untuk mengotomatiskan proses ini. Karena itu Anda kembali ke praktik kata sandi aman normal - jadi jangan masukkan kata sandi pada catatan tempel yang terlampir di layar laptop.

Juga pertimbangkan siapa yang akan mencuri laptop. Apakah Anda seorang pegawai pemerintah mega-penting dengan informasi yang sangat penting bahwa pemerintah asing akan membayar jutaan untuk dan menggunakan tim mata-mata yang sangat terlatih untuk mendapatkannya, atau apakah laptop Anda akan dicuri oleh seorang anak yang mencari sedikit bir (atau uang lain yang memabukkan)?

Begitu seseorang melihat prompt kata sandi, saya akan membayangkan bahwa kemungkinannya mereka hanya akan menginstal salinan Windows bajakan di atas barang-barang Anda - itu akan jauh lebih mudah dan lebih cepat daripada kesulitan memecahkan kata sandi.

Neal
sumber
Memang, saya tidak berharap laptop saya dicuri oleh agen intelijen super rahasia. Itu sebabnya saya ingin tahu betapa mudahnya, untuk memahami apa peluang seorang pencuri laptop khusus mengetahui prosedurnya.
Malabarba
9
Agensi Intel kemungkinan tidak akan mencuri laptop Anda. Jika Anda adalah target pengumpulan, mereka akan mengirim agen rahasia untuk mendapatkan kepercayaan diri Anda (ya, dia akan sangat mirip dengan Jennifer Garner) dan setelah sebulan atau lebih ketika Anda memberinya kata sandi Anda (ingat, dia terlihat seperti banyak seperti Jennifer Garner) dia akan menanam semua jenis barang di laptop Anda. Kemudian satu atau dua minggu kemudian dia akan memberi tahu Anda bagaimana "kucingnya mati" dan dia "perlu waktu" dan Anda akan berpikir bahwa itu baik selama itu berlangsung. Jadi jika Anda didekati oleh seseorang yang sangat mirip dengan Jennifer Garner saat membeli donat ...
Joe Internet
Jika Anda tidak puas dengan screensaver X default, Anda bisa meminta orang lain atau menulis sendiri. Anda dapat membuat unlocking serumit (atau sesederhana) seperti yang Anda inginkan, dan seaman yang bisa Anda programkan. Tentu saja, dengan akses fisik ke mesin, Anda tidak akan dapat mencegah reboot. Tetapi Anda menyebutkan hal itu dalam pertanyaan.
mpez0
@ Joel Internet: Hahaha, bagus. Tapi itu akan agak diperdebatkan dalam kasus saya. Pacar lama saya tidak tahu kartu akses ke laptop saya, dan saya kira dia tidak akan tahu. Saya tahu miliknya, karena saya terlalu banyak mendukung laptopnya untuk memintanya memasukkan kata sandi setiap waktu.
Greg
@Reg - Saya yakin Anda akan memberi tahu Jennifer Garner ;-)
Joe Taylor
9

Siapa pun yang memiliki akses ke komputer dapat memecahkan file kata sandi, tetapi bahkan lebih menakutkan dari itu. Jika pencuri terbiasa dengan serangan boot dingin , bahkan data yang dienkripsi pada disk tidak aman, karena isi RAM dapat dibaca (termasuk kunci dekripsi dalam memori) - bahkan setelah RAM dihapus secara fisik dari mesin dan dipasang di komputer yang berbeda.

Secara teoritis, pencuri bisa mendapatkan memori dump dan gambar hard drive Anda, kemudian memuat keduanya ke mesin lain yang identik dan melihat apa yang sedang Anda kerjakan di belakang layar yang terkunci - dan Anda bahkan tidak akan tahu karena komputer Anda masih akan berada di Anda meja tulis.

Tetapi, seperti yang disebutkan Neal, Anda mungkin aman, karena kebanyakan orang dengan akses fisik ke komputer Anda tidak memiliki pengetahuan atau tidak tertarik dengan apa yang ada di komputer Anda.

rampok
sumber
Ya, saya tahu bahkan enkripsi tidak gagal aman. Tetapi saya ingin tahu apakah mungkin untuk memecahkan kata sandi windows atau ubuntu saya yang biasa tanpa mematikan PC (dan dengan demikian mengakhiri sesi saya).
Malabarba
@rob - Yah, seseorang mungkin akan mencurigai sesuatu jika mereka kembali ke meja mereka dan mendapati komputer mereka dibongkar dan memori & hard drive hilang ...
Joe Internet
1
@ Jo: untuk memperjelas, pencuri data akan memasang kembali PC setelah menyalin isi RAM dan hard drive. Satu hal yang saya tidak pikirkan adalah fakta bahwa komputer harus di-reboot setelah dipasang kembali (karena CPU tidak dapat disimpan dalam keadaan "desktop terkunci"), tetapi pencuri itu dapat menutupi jejaknya dengan menukar baterai mati dan mencabut kabel listrik dari bagian belakang laptop cukup untuk Mr Connors berpikir laptop hanya dicabut secara tidak sengaja dan sudah berjalan dengan baterai sebelum ia pergi untuk mendapatkan donatnya.
merampok
1
Tidak mungkin, amigo ... Tn. Connors, sebagai pengguna laptop yang cerdas, kemungkinan besar telah menempatkan remah-remah donat tersembunyi di laptop untuk menunjukkan apakah itu dirusak. Solusi terbaik di sini adalah mengeringkan secangkir kopi sebagai alat penghancur diri. Kecuali, tentu saja, pencuri suka kopi ...
Joe Internet
4

Saya percaya jika saya mencolokkan penerima nirkabel saya untuk KB / Mouse saya, itu secara otomatis memuat driver untuk membuat KB / Mouse saya berfungsi, bahkan ketika layar saya terkunci. Jadi secara teoritis, seseorang dapat mencolokkan perangkat USB yang mengemulasi mengetik pada keyboard dan mencoba serangan brute force pada perangkat tersebut. Tapi itu hanya bergantung pada keamanan kata sandi Anda.

Roy Rico
sumber
Saya agak ingat versi Windows yang lebih lama mengalami masalah ini, dengan autorun dan CD.
balikkan
Saya pikir OS modern apa pun akan menilai upaya pembatasan kata sandi - yaitu akan membuat Anda menunggu sebentar di antara upaya kata sandi, dan menunggu mungkin akan lebih lama jika Anda terus mencoba kata sandi yang salah. Jadi kekuatan brutal tidak dapat benar-benar mencoba sebanyak itu.
Hamish Downer
Dua kata: Buffer Overflow
Chad Harrison
3

Jika hard drive dapat diakses, itu berarti file kata sandi / toko dapat diakses. Paling tidak seorang penyerang bisa dengan paksa memaksanya menggunakan file kata sandi dan cracker. Mungkin orang lain dapat memberikan informasi tentang kerentanan spesifik OS dalam skenario ini.

mindless.panda
sumber
3
Atau bisa reboot menggunakan livecd dan masukkan hash yang dikenal dari kata sandi ke file / etc / passwd atau chroot dan ubah kata sandi root ..
warren
2
@warren: reboot akan menyiratkan mengakhiri sesi yang sedang berjalan. Pertanyaan sebenarnya adalah tentang seseorang yang mengakses sesi yang saya buka terbuka.
Malabarba
2

Dalam hal masuk ke akun Anda, itu benar-benar tidak ada bedanya dengan keluar / mematikan. Satu-satunya perbedaan adalah bahwa untuk memaksa masuk, mereka hanya perlu kata sandi Anda, daripada kombo nama pengguna + kata sandi, sehingga secara teknis lebih mudah untuk dibobol.

Teman saya
sumber
Bagaimana cara Anda memaksa dari layar login? Anda harus memiliki program yang dapat berjalan secara otomatis, kemudian mencoba melakukan kekerasan (atau melakukannya secara manual yang tampaknya tidak efisien.
Kravlin
Dalam istilah dasar yang saya maksud adalah secara manual (seperti rekan kerja yang mengenal Anda dengan baik dan mungkin dapat menebak kata sandi Anda). Dalam hal peretasan berteknologi tinggi dengan lebih banyak waktu untuk membunuh, kita dapat berbicara tentang menggunakan live CD untuk mem-boot dan menggunakan berbagai aplikasi untuk memaksa. Khususnya dalam kasus ini, saya berbicara tentang yang pertama, karena OP secara khusus mengatakan 'ketika saya kehabisan donat'.
th3dude
Mencari tahu nama pengguna tidak sulitC:\Users\HereItIs
dbkk101
2

Sejauh yang saya tahu, tidak ada cara untuk menyiasati layar yang terkunci di Ubuntu atau Windows 7.

Namun, yang harus mereka lakukan adalah mematikan komputer, mengeluarkan hard drive dan menghubungkannya ke komputer mereka, mengganti file kata sandi, memasukkan kembali hard drive, menyalakan komputer, dan masuk dengan kata sandi baru (atau gunakan live CD untuk melakukan hal yang sama). Bahkan tidak ada kekerasan yang diperlukan bahkan.

Untuk mendapatkan akses ke sesi pada saat penguncian, saya tidak berpikir itu mudah.

Zifre
sumber
2

Setidaknya di Linux, jika seorang penyerang bisa mendapatkan akses shell di komputer, baik di bawah akun pengguna Anda atau akun root, ia dapat mematikan proses screensaver, yang akan membuka kunci desktop. Tentu saja, itu masih mengharuskan penyerang untuk menebak kredensial login Anda, jadi itu tidak terlalu mengurangi keamanan. Hanya saja, jangan biarkan diri Anda masuk pada terminal virtual. (Tentu saja, jika penyerang dapat mengeksploitasi beberapa bug perangkat lunak untuk mendapatkan akses shell itu tanpa benar-benar masuk, Anda tahu apa yang terjadi ...)

David Z
sumber
2

Jika dia menjalankan Windows XP maka ya, jika dia memiliki port firewire, seorang penyerang bisa mendapatkan akses langsung ke sistem ini sementara itu tetap di atas meja tanpa memerlukan akun login atau kata sandi. Saya mengerti ini diperbaiki dalam paket layanan yang terlambat dan Win 7 tidak rentan, namun saya tidak dapat mengonfirmasi hal itu.

Pada dasarnya firewire dirancang untuk memiliki akses memori langsung, dan keamanan tidak benar-benar dipertimbangkan :-)

Ketika seorang penyerang mencuri laptop itu sendiri, Anda cukup banyak di tangan penyerang. Jika Anda bekerja untuk perusahaan, dan mereka adalah pencuri biasa yang mencari uang cepat mungkin ada nilainya saat menjual laptop ke kelompok kriminal, yang mungkin termotivasi untuk menerobos masuk. Ini sepertinya sederhana, dan sebagai mesin sudah aktif, Anda tidak memiliki perlindungan enkripsi disk lengkap apa pun yang mungkin telah Anda instal.

Jadi itu bermuara pada motivasi penyerang.

Saran saya - kunci kryptonite (untuk memperlambatnya), keamanan fisik (kunci, keamanan di meja depan) atau jika Anda tidak memilikinya, bawa saja laptop Anda.

Rory Alsop
sumber
1

Penyerang dapat meninjau kode sumber untuk berbagai driver perangkat input Anda dan mengeksploitasi bug dengan menghubungkan perangkat. Misalnya, mungkin ada urutan bit tertentu yang akan menyebabkan buffer overrun pada driver port paralel, maka penyerang dapat menghubungkan ke port itu dan mengirim bit tersebut, diikuti oleh bit untuk membunuh screensaver Anda. Ini tidak mungkin atau tidak mudah, tetapi itu mungkin.

Atau mereka bisa menghubungkan perangkat ke ps / 2 atau usb untuk mengirim kata sandi. seperti kata Roy. Ini tidak akan berfungsi untuk serangan pada pc windows bergabung ke domain, karena ia harus me-reboot komputer setelah mengunci akun (jika domain memiliki kebijakan itu). Tetapi untuk Ubuntu akan dimungkinkan di bawah konfigurasi default.

Segfault
sumber