Cara memicu self destruct sistem dengan kata sandi tertentu dimasukkan

46

Bagaimana cara mengkonfigurasi sistem saya untuk menghancurkan semua data pribadi ketika kata sandi tertentu dimasukkan? Motivasi di balik ini menjadi hal NSA.

Saya membayangkan ada tiga kasus penggunaan utama.

  1. Saat masuk, memasukkan kata sandi yang telah ditentukan memicu perusakan data pengguna.
  2. Saat sistem bangun. memasukkan kata sandi yang telah ditentukan memicu perusakan data pribadi.
  3. Memasukkan perintah istimewa dengan kata sandi yang telah ditentukan memicu kerusakan data pribadi.

Saya tahu sesuatu seperti itu

dd if=/dev/urandom of=/dev/$HOME

Harus memadai untuk penghancuran data. Saya tidak tahu bagaimana cara memicunya dengan kata sandi tertentu.

Poin bonus jika kemudian mengizinkan login saat data sedang dihapus.

security password Josh
sumber
9
jika Anda benar-benar ingin membuat ini berfungsi maka Anda harus mengenkripsi hard drive Anda. ini karena tanpa enkripsi Anda harus menimpa seluruh hard drive, tetapi dengan enkripsi, Anda hanya perlu menimpa header LUKS (atau apa pun).
strugee
1
Ada modul pam_python, yang mungkin akan membuat implementasi yang Anda inginkan menjadi lebih mudah: ace-host.stuart.id.au/russell/files/pam_python
ulangan
7
Jika itu adalah NSA yang Anda khawatirkan maka dd if=/dev/urandom of=/dev/$HOMEtidak akan ada gunanya. Bahkan dengan asumsi mereka cukup bodoh untuk menggunakan sistem operasi daripada menghapus disk dan membacanya secara langsung, ada perusahaan pemulihan forensik yang bisa mendapatkan data dari disk yang telah ditimpa dan dibakar secara fisik.
Stop Harming Monica
2
# 1. Jika NSA benar-benar mengejar Anda, mereka sudah secara diam-diam menggali data Anda minggu lalu. # 2. Mengenkripsi data Anda memberi NSA hak hukum untuk menyimpan data Anda selamanya, atau selama diperlukan untuk mendekripsi data itu, mana yang lebih dulu. # 3. Bukti penghancuran bukti seringkali cukup bagi pengadilan untuk membuat Anda melakukan sesuatu. Program 'secure erase' yang mengisi drive Anda dengan nol atau omong kosong acak adalah bukti bahwa Anda menghancurkan sesuatu, dan itu akan dibawa ke pengadilan.
Ryan Ries
3
Ini tidak mencakup 3 kasus Anda, tetapi lihat di sini: kali.org/how-to/emergency-self-destruction-luks-kali
faker

Jawaban:

26

Ide # 1 - OS Tersembunyi

Sebagai metode alternatif, Anda dapat menggunakan "Sistem Operasi Tersembunyi" TrueCrypt . Ini memungkinkan Anda untuk mengakses OS alternatif palsu ketika kata sandi tertentu digunakan, bukan OS utama.

kutipan

Jika partisi sistem atau drive sistem Anda dienkripsi menggunakan TrueCrypt, Anda harus memasukkan kata sandi autentikasi pra-boot di layar TrueCrypt Boot Loader setelah Anda mengaktifkan atau menyalakan kembali komputer Anda. Mungkin saja Anda dipaksa oleh seseorang untuk mendekripsi sistem operasi atau mengungkapkan kata sandi otentikasi pra-booting. Ada banyak situasi di mana Anda tidak dapat menolak untuk melakukannya (misalnya, karena pemerasan). TrueCrypt memungkinkan Anda untuk membuat sistem operasi tersembunyi yang keberadaannya tidak mungkin dibuktikan (asalkan pedoman tertentu diikuti - lihat di bawah). Dengan demikian, Anda tidak perlu mendekripsi atau mengungkapkan kata sandi untuk sistem operasi tersembunyi.

Bruce Schneier membahas kemanjuran menggunakan ini ( Deniable File Systems , jadi Anda mungkin ingin menyelidikinya lebih jauh sebelum masuk.

Seluruh ide Deniable Encryption adalah sedikit kaleng cacing, jadi kehati-hatian dalam menggunakannya dalam situasi tertentu perlu dipikirkan dengan baik sebelumnya.

Ide # 2 - Tambahkan skrip ke / etc / passwd

Anda dapat memasukkan skrip alternatif ke entri pengguna dalam /etc/passwdfile.

Contoh

# /etc/passwd
tla:TcHypr3FOlhAg:237:20:Ted L. Abel:/u/tla:/usr/local/etc/sdshell

Anda dapat mengatur akun pengguna sehingga menjalankan skrip seperti /usr/local/etc/sdshellyang akan memeriksa untuk melihat kata sandi apa yang diberikan. Jika itu adalah kata sandi magis yang memicu penghapusan, itu bisa memulai proses ini (bahkan berlatar belakang) dan baik jatuh ke shell atau melakukan sesuatu yang lain.

Jika kata sandi yang diberikan bukan kata sandi ajaib ini, maka lanjutkan menjalankan shell yang normal /bin/bash, misalnya.

Sumber: 19.6.1 Mengintegrasikan Kata Sandi Satu Kali dengan Unix

slm
sumber
2
Gagasan # 2 tidak akan berfungsi. Shell hanya akan dipanggil setelah kata sandi yang benar telah dimasukkan (sebagaimana dikonfigurasi dalam / etc / shadow). Bahkan jika itu akan berhasil, tidak akan ada cara bagi skrip untuk memeriksa kata sandi mana yang dimasukkan pada saat login.
faker
@faker - metode ini benar-benar keluar dari kata sandi sekali pakai di unix, jadi saya yakin ini akan berhasil. Ini mungkin tidak berintegrasi dengan kata sandi / etc / shadow sistem, secara langsung, tetapi bisa diterapkan.
slm
@slm dari halaman yang Anda tautkan: This puts two passwords on the account: the traditional account password followed by the one-time password.Anda tentu saja dapat memeriksa kata sandi penghancuran di skrip, tetapi hanya setelah Anda memasukkan kata sandi akun yang benar. Pada dasarnya Anda memiliki 3 kata sandi. Kata sandi akun umum, perbaiki kata sandi langkah 2 dan hancurkan kata sandi langkah kedua Tidak terlalu bagus dan sangat mencurigakan ...
faker
@faker: slm benar - Saya tidak akan mengikuti tautan langkah demi langkah, tetapi akan berhasil. Itu masih hanya tautan ke shell atau skrip yang berbeda. Saya tidak melihat alasan mengapa itu tidak benar.
Josh
@Josh berfungsi jika Anda menganggap harus mengingat 3 kata sandi sebagai OK. Kalau tidak, itu tidak akan berhasil.
faker
16

Pendekatan saya untuk ini adalah untuk memicu penghancuran diri dalam modul pam . Ada mekanisme untuk menangkap kata sandi dengan skrip, periksa apakah itu "khusus" dan mulai proses penghancuran diri.

Tulis baris di /etc/pam.d/common-authbaris pertama Anda seperti ini:

auth    optional        pam_exec.so debug expose_authtok /etc/security/suicide.sh

(atau misalnya /etc/pam.d/gdmjika Anda hanya ingin bekerja dengan otentikasi melalui gdm) expose_authtokmenyebabkan pam_exec.somodul untuk mengirimkan kata sandi melalui stdin ke skrip login yang disebut /etc/security/suicide.sh. Script ini akan dijalankan dengan hak istimewa root dan akan terlihat seperti ini:

#!/bin/bash
# read the users password from stdin (pam_exec.so gives the provided password 
# if invoked with expose_authtok)
read password

# if its an authentication and it's the user "user" and the special password
if [ "$PAM_TYPE" == "auth" ] && [ "$PAM_USER" == "user" ] && [ "$password" == "magic" ]; then
  # do whatever you want in the background and the authentication could continue
  # normally as though nothing had happened
  exit 0
else
  exit 0
fi

Ini akan berfungsi bahkan jika Anda mengubah kata sandi pengguna "normal".

kekacauan
sumber
8

Supaya Anda tahu jika ada orang dari pemerintah dll yang mengambil komputer Anda hal pertama yang akan mereka lakukan adalah menyalin bit drive untuk sedikit dan bekerja dari salinan. Hal yang sama dilakukan kapan saja seseorang melakukan forensik komputer jadi jika Anda merusak saat menganalisis drive Anda hanya merusak salinan.

Jadi katakanlah NSA yang buruk besar mengambil komputer Anda dan menempatkan ibu jari Anda di wakil untuk membuat Anda memberi tahu mereka kata sandi. Ketika Anda memberi mereka kata sandi yang salah, maka itu hanya akan menyalin dan bukan yang asli. Sekarang mereka tahu kau macam-macam dengan mereka.

Jadi setiap penggunaan kata sandi pass kill hanya akan efektif jika Anda menjalankannya sebelum ada yang memegang sistem Anda. Jadi yang harus dilakukan adalah memberi Anda cara rumit untuk mengeksekusi sesuatu yang Anda bisa alias.

Menandai
sumber
6

Jika Anda benar-benar ingin menghancurkan data Anda. Pertama-tama Anda harus memastikan bahwa tidak ada yang membuat salinan data Anda (yaitu seluruh disk) pada awalnya. Tetapi ini tidak mungkin pada level OS.

Satu-satunya cara untuk memastikan data Anda tidak jatuh ke tangan yang salah adalah menggunakan kriptografi. Enkripsi yang dapat ditolak terutama akan menjadi hal yang tepat dalam kasus Anda: Jika Anda mengetikkan kata sandi yang benar, data pribadi Anda akan muncul. Jika Anda mengetikkan kata sandi lain, beberapa data tidak berbahaya akan muncul.

michas
sumber
Saya paling khawatir dengan skenario seseorang memaksa saya untuk memasukkan kata sandi, atau mengambil komputer begitu saya memasukkan kata sandi.
Josh
3
Jika seseorang memaksa Anda untuk memasukkan kata sandi, Anda cukup memasukkan kata sandi "lain", yang membuka data yang tidak berbahaya. - Karena itu Anda dapat masuk akal menolak keberadaan data nyata. - Jika saya serius ingin mendapatkan data Anda, saya tidak akan membiarkan Anda menyentuh komputer Anda, tetapi pertama-tama buat salinan semuanya.
michas
6

Jika Anda benar-benar ingin dapat menghancurkan data Anda, untuk melindunginya dari NSA, Anda memerlukan sesuatu dengan bahan peledak, dan api yang akan melelehkan logam dalam piringan disk, dan Anda harus dapat memicunya dari jarak jauh.

Saya curiga ini tidak praktis.

Bill White
sumber
0

Nah, Anda dapat memiliki skrip untuk membuang direktori pengguna / home utama Anda (serta / var, / tmp dan semua tempat lain yang memiliki data hanya mata) jika Anda masuk dengan nama pengguna yang berbeda ... skrip akan mulai dari masuk dan kemudian secara otomatis memuat sesuatu yang menipu penonton dengan melakukan sesuatu yang dianggap berguna. Jika itu merusak sistem Anda tanpa menipu penonton, mereka mungkin akan menarik steker dan dengan demikian mencegah rencana terbaik Anda dari bekerja. Itu juga memungkinkan Anda login saat ini sedang berlangsung ... meskipun saya akan menempatkan pengguna TRASHME pada drive yang berbeda karena drive yang akan dibuang akan agak sibuk dan karenanya muslihat.

K7AAY
sumber
1
Tidak dalam batasan yang dinyatakan.
Josh
0

Hard drive yang aman, atau flash drive dalam hal ini, adalah sebuah oxymoron. Satu-satunya cara untuk mengamankan informasi Anda adalah dengan menggunakan sistem operasi virtual yang berjalan di memori dan menguap ketika Anda mematikan daya, dengan data apa pun yang perlu disimpan di media eksternal yang dapat Anda sembunyikan jika Anda inginkan. Ada sejumlah distribusi Linux "Langsung" di luar sana yang memungkinkan Anda melakukan hal itu. Dengan sedikit usaha, Anda dapat membuat ulang CD atau DVD dan menyesuaikannya agar sesuai dengan kebutuhan Anda. Perlu diketahui juga bahwa banyak informasi perilaku Anda sedang disampaikan oleh browser Anda, dan untuk setiap pencarian yang Anda yakini kompromi, Anda harus menggunakan browser yang aman seperti Tor.

pengguna55950
sumber
Bukan permintaan saya. Saya sangat sadar bahwa keamanan sempurna tidak praktis. Saya tidak meminta solusi yang sempurna.
Josh
0

Jika Anda ingin menjaga keamanan, pahamilah bahwa tidak ada keamanan sempurna dan keamanan tidak lebih dari pertukaran penerimaan setelah penilaian risiko yang akurat telah terjadi.

Sebagai permulaan, mengapa menghancurkan apa pun. Pertama-tama lihat penurunan kemudahan akses. Buat celah udara. Beli kotak bcheaap untuk barang-barang online dan apa pun yang ingin Anda kirim dari transportasi kotak utama Anda di sana melalui sneakernet. Gunakan enkripsi yang baik , seperti Scrypt. Truecrypt dan yang lainnya mengalami hari yang mulia.

Ada banyak strategi lain yang bisa Anda terapkan, dengan tidak cukup ruang untuk membahasnya di sini, dan terus terang saya tidak punya cukup waktu untuk membahasnya. Saya pikir Anda telah menemukan jalur pembelajaran yang sama sekali baru.

David Crosswell
sumber
Tidak dalam konteks yang dinyatakan.
Josh
0

Seperti yang ditunjukkan kepada saya, dan ditampilkan di Phoronix, Kali Linux menciptakan metode untuk melakukan ini juga. Melihat beberapa kode, ada kelemahan yang masih memungkinkan patch untuk dikalahkan, tetapi masih perlu waktu lama untuk memungkinkan kata sandi penghancuran diri yang efektif. Sebagai catatan, kelemahannya adalah kekhususan perangkat keras yang terkait dengan data zeroing out - alat pabrikan dapat memulihkan data zeroed, dan menimpa lokasi kunci pada media harus dilakukan dengan generator angka acak beberapa kali untuk memastikan pengacakan data.

Tautan di sini: http://www.kali.org/how-to/emergency-self-destruction-luks-kali/

Josh
sumber
0

Ya, Anda harus menghancurkan permukaan drive. Granit termit direkomendasikan (itulah yang mereka ajarkan kepada kami) Anda dapat membuat sendiri dengan starter api (blok magnesium) dan sumber pengapian ... tujuannya adalah untuk membuat api kelas D .... mustahil untuk memadamkan .

Brian Winn
sumber
Saya tidak berpikir OP berbicara tentang perusakan fisik ...
don_crissti