The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Простое устройство для защиты данных в случае кражи ноутбука
Майкл Олтфилт (Michael Altfield) предложил простое и эффективное устройство
для блокирования доступа к конфиденциальным данным в случае кражи ноутбука с
активным пользовательским сеансом. Суть метода в контроле за подключением к
ноутбуку определённого USB-устройства, прикреплённого к владельцу (аналогично в
качестве признака можно использовать достижимость Bluetooth смартфона владельца
или метку RFID).


Во время работы в общественном месте или парке на ноутбуке активируется
специальное правило UDEV, которое контролирует активность подключения к
USB-устройству. В случае отсоединения USB-устройства (когда злоумышленник
выхватил ноутбук) UDEV-правило выполняет скрипт для завершения сеанса, удаления
каталога с конфиденциальными данными, шифрования данных или отмонтирования
шифрованного раздела.

Пример udev-правила для блокировки экрана при извлечении любого USB-устройства:

   sudo vi /etc/udev/rules.d/busKill.rules

   ACTION=="remove", SUBSYSTEM=="usb", RUN+="DISPLAY=:0 xscreensaver-command -lock"

   sudo udevadm control --reload


Для привязки к определённому USB-устройству необходимо узнать его идентификатор
(нужно подключить устройство, запустить udevadm monitor и извлечь устройство):
  
   udevadm monitor --environment --udev

   ACTION=remove
   ID_MODEL="Micromax_A74"
   SUBSYSTEM=usb

Модифицируем правило /etc/udev/rules.d/busKill.rules

   ACTION=="remove", SUBSYSTEM=="usb", ENV{ID_MODEL}=="Micromax_A74", RUN+="DISPLAY=:0 xscreensaver-command -lock"





Как вариант предложено дополнительно использовать магнитный разъединитель
USB-кабеля, подключённый до брелока с ключами шифрования данных. Далее брелок
подсоединяется цепочкой к одежде или руке владельца. При выдёргивании ноутбука
во время работы брелок с ключами шифрования остаётся у владельца, а UDEV-скрипт
экстренно выключает устройство.


   ACTION=="remove", SUBSYSTEM=="usb", ENV{ID_MODEL}=="Micromax_A74", RUN+="shutdown -h now"

Активировать правило блокировки можно автоматически при подключении
USB-устройства, добавив UDEV-правило с обработчиком ACTION=="bind"

   ACTION=="bind", SUBSYSTEM=="usb", ENV{ID_MODEL}=="Micromax_A74", RUN+="/root/killcord_on.sh"

/root/killcord_on.sh

   cat << EOF | tee /etc/udev/rules.d/busKill.rules
   ACTION=="remove", SUBSYSTEM=="usb", ENV{ID_MODEL}=="Micromax_A74", RUN+="shutdown -h now"
   EOF
   udevadm control --reload
 
03.01.2020 , Источник: https://tech.michaelaltfield.net/20...
Ключи: udev, usb, block, linux / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Шифрование, PGP

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Аноним (1), 15:52, 03/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кому это надо?
    я просто видел подобное - никому это нафиг не нужно.
    Старый добрый Паяльник в одном месте все откроет...
     
     
  • 2.3, Crazy Alex (??), 21:23, 03/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это об обычных ворах/грабителях, при чём тут паяльник?
     
     
  • 3.17, обычный вор (?), 10:33, 10/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да нахрена мне вообще твоя коллекция cp ? Чтоб пойти не на два года условно, а на пяток с разрывом очка, если с твоим помойным ноутом примут? Я на взрослых др..чу!

    А ноут твой продам даже не открывая. (нет, покупателю тоже нахрен не сдалась, он винду себе поставил сразу)

     
     
  • 4.30, Michael Shigorin (ok), 15:18, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Чтоб пойти не на два года условно, а на пяток с разрывом очка

    Это вот так вот во Флориде можно демократично пострадать?

    // хоть один заглянул в резюме по ссылке, ага

     
  • 4.41, anonymous (??), 09:31, 04/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А некоторые люди работают с весьма чувствительной информацией. И внедряют в свою жизнь культуру безопасности.
     
     
  • 5.42, MegaShIzoID (?), 05:48, 05/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    они обычно не работают с такой инфой в общественных местах, так поступать могут только альтернативно одаренные
     
  • 2.5, Аноним (5), 03:42, 04/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Кому это надо?
    > я просто видел подобное - никому это нафиг не нужно.
    > Старый добрый Паяльник в одном месте все откроет...

    Не откроет если большая часть длинного пароля хранится на бумажке, которую ты сжег\съел.

     
     
  • 3.6, ya (??), 09:17, 04/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И ты пожалеешь о своих вкусовых пристрастиях, когда у дознавателей кончатся бутылки и они перейдут к черенкам от лопат.
     
     
  • 4.20, Аноним (20), 10:58, 11/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как будто вас после раскрытия ваших коллекций цп погладят по головке. Вас так и так посадят - либо за отказ содействия, либо за то, что вы открыли. Из двух зол, как говорится...
     
  • 4.25, Аноним (25), 12:30, 16/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ни себе, ни людям! Что за народ пошел!
     
  • 3.27, Аноним (25), 12:35, 16/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну зато паяльника попробует. В следующий раз не будет жрать, что не следует.
     
  • 2.8, Сейд (ok), 19:28, 04/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Например, Россу Ульбрихту.
     
     
  • 3.10, Аноним (10), 13:35, 07/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вот ему-то ничего бы не помогло. его сначала нашли, потом установили за ним персональную слежку, потом выхватили ноут. Если бы они увидели у него такую фиговину, то сначала бы просто его вырубили ударом по голове или шокером, а потом и ничего выхватывать не надо. И опасаться исков не надо. Во-первых государевы люди при исполнении неподсудны. Во-вторых у обычных людей таких фиговин нет, и так видно, что с большой вероятностью их пациент. В-третьих, даже если бы заблокировал, можно было бы получить судебное предписание разблокировать и держать в сизо до тех пор, пока не разблокирует. В четвёртых, даже если бы разблокировал, и оказалось, что обознались, то ничего не стоит подкинуть что-нибудь, чтобы дать минимальный срок, но снять с себя любую ответственность за насилие.
     
     
  • 4.12, Сейд (ok), 18:49, 07/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пожизненно в СИЗО держать, пока не умрёт?
     
     
  • 5.13, Аноним (10), 21:51, 07/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    именно так и делают. не по закону, а по постановлению судьи. либо пока не умрёт, либо пока доступ не предоставит.
     
     
  • 6.14, Сейд (ok), 00:01, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Его приговорили к 2 пожизненным плюс 40 лет. Так зачем бы ему было предоставлять доступ?
     
     
  • 7.26, Аноним (25), 12:32, 16/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не предоставил доступ - это причина. А приговорили к 2 пожизненным плюс 40 лет - это следствие. Не надо путать.
     
     
  • 8.28, Сейд (ok), 21:05, 16/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А какая для него разница ... текст свёрнут, показать
     
  • 2.35, Аноним (35), 18:20, 22/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    иллюзия безопасности залог спокойной жизни
     
  • 2.37, А (??), 10:07, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >  Кому это надо?

    Это надо, если в кафе нашёлся стритовый бегун-акробат, схвативший со столика чужой ноут за 200тыр и побежавший в сторону скупщика краденного.

    В метро на эту тему висят агитки.

     
  • 2.46, AKTEON (?), 11:37, 12/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Против паяльника есть КвартираМавроди(tm) которую 4 часа вскрывали., что бедным ментам пришлось потом паспортт подбрасывать ....
     

  • 1.2, Pofigis (?), 17:04, 03/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Судя по всему чувак не в курсе про электронные ключи типа eTocken/RuTocken и прочих, коих легион...

    И да - закрытый ключ останется на токене ежель что...

     
     
  • 2.4, Аноним (5), 03:41, 04/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тут речь про автоматическое блокирование\шифрование на случай маски шоу.
    Сам механизм шифрование выбираете как хотите, хоть свой рутокен.
     

  • 1.7, Сейд (ok), 14:09, 04/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    pam_usb-ng
     
  • 1.9, Аноним (9), 02:56, 05/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    и придёт баба маня и протрет пыль на столе и отключит на минутку ентот кабель. и начнтся автоэпиляция на заднице у хозяина, когда он вернётся назад испив кофея
     
     
  • 2.21, Аноним (20), 11:04, 11/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > и придёт баба маня и протрет пыль на столе и отключит на
    > минутку ентот кабель. и начнтся автоэпиляция на заднице у хозяина, когда
    > он вернётся назад испив кофея

    Хозяин - дебил, если пользуется подобными ключами и оставляет их без присмотра какой-то бабе мане. Ключ должен быть всегда с собой, иначе в чём его смысол? Ради удобства можно отмонтировать шифрованый раздел на ноуте и примонтировать его только при подключении ключа. Либо загружать систему в такой экстренный режим когда надо, а когда неудобно - загружаться в другом режиме.

     
  • 2.38, А (??), 10:12, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > и придёт баба маня и протрет пыль на столе и отключит на
    > минутку ентот кабель. и начнтся автоэпиляция на заднице у хозяина, когда
    > он вернётся назад испив кофея

    Так и было. Прихожу из сортира на рабочее место, а инженегр инсталлирует новый телефон на столе, вынув из комп-а ... та-да-аам! ... шнур network витую пару с консолями SSH в кластера.

    Важное в Скрине запускается, конечно. Но сам подход. ))) Впрочем, их там магически по одному уходят некоторое время тому назад.

     

  • 1.11, суминонА (?), 17:17, 07/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проще простого!
    xset dpms 60 80 80
    xss-lock -n /usr/share/doc/xss-lock/dim-screen.sh -- slock
     
  • 1.15, Аноним (15), 06:22, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какая-то странная многоходовочка с udev-правилами. udev-правило, которое создает udev-правило, которое создает udev-правило...
     
     
  • 2.18, пох. (?), 10:36, 10/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Какая-то странная многоходовочка с udev-правилами. udev-правило, которое создает udev-правило,
    > которое создает udev-правило...

    забавно что никто из пользователей "нового стандарта" не обратил внимания на DISPLAY=:0 - видимо, уже давно забыли, что это значит.

    Сесурити у владельца супер-защищенного ноута - что надо!

     
     
  • 3.19, Аноним (19), 22:41, 10/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты намекаешь на то, что любой с локалхоста может подключиться или на что?
     
     
  • 4.24, пох. (?), 11:02, 13/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну да, то есть xauth у него выключен давно и надежно.

    любой nobody, видимо, может влезть ему в сессию. Удобно, чо. Но даже я при всем своем пофигизме к тому что внутри периметра, как-то нервничал бы с такого сетапа.

     
     
  • 5.36, Аноним (36), 20:56, 22/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Может, у него не всем разрешено, а только
    xhost +SI:localuser:root
     
  • 5.39, А (??), 10:20, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ну да, то есть xauth у него выключен давно и надежно.
    > любой nobody, видимо, может влезть ему в сессию. Удобно, чо. Но даже
    > я при всем своем пофигизме к тому что внутри периметра, как-то
    > нервничал бы с такого сетапа.

    В статье про другие цели. Это когда никому не нужен со своей почтой и каким-то содержимым диска, а нужны ключи и пароли в продуктив для людей снаружи периметра. Для использования которых ещё понадобится время на развитие атаки. Для такого расклада может быть шифрован диск, а скрипт вызывает жёсткий poweroff, следом звонок в офис с сообщением о факте, аннулируют ключи-пароли и можно спокойно не торопиться.

     

  • 1.16, InuYasha (?), 13:28, 08/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Давно пользуюсь BLE-брелками, которые от батарейки работают годами. Не скахал бы, что они дешёвые (зато хорошие), но работают со всеми смартами от андроида 4.4. Могу отсыпать кому надо по цене производителя.
     
     
  • 2.22, Kuromi (ok), 20:03, 12/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А поподробнее?
     
     
  • 3.23, InuYasha (?), 20:33, 12/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что именно? В брелок зашивается (к сожалению, только своей проприетарью) нужный протокол (можно одновременно несколько), настраиваешь частоту и мощность пингов и маячишь себе сколько влезит. )
    Можно на ключи повесить, на сумку, чемодан, и т.д. и т.п. С андроидом работает "из коробки".
     
     
  • 4.29, Аноним (29), 14:00, 17/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    как шьётся? по воздуху, или там JTAG/UART есть? а что за проприетарь? название или ссылку можно?
    заранее спасибо! :)
     
     
  • 5.32, InuYasha (?), 14:42, 20/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    По воздуху, специальной прогой с андроида. Ссылку нельзя потому что там всё равно закрытый доступ. Эти штуки на порядок лучше того что я находил на Али. Если есть желание обзавестись - go >> msk, есть несколько лишних.
     
     
  • 6.43, Аноним (43), 21:06, 06/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А как они андроид шифруют?
     
     
  • 7.44, InuYasha (?), 22:37, 06/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А как они андроид шифруют?

    что o_O
    Кстати, вспомнил прогу: Beacon Set плюс.

     

  • 1.31, Аноним (31), 12:48, 19/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это каким надо быть дебилом, чтобы с такими ценными данными на ноуте по паркам разгуливать?
     
     
  • 2.40, А (??), 10:24, 29/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Это каким надо быть дебилом, чтобы с такими ценными данными на ноуте
    > по паркам разгуливать?

    Самое ценное, на ноуте приватные/закрытые по контракту данные заказчика.

    У дебилов таких ноутов нет. А недебилы хорошо зарабатывают при помощи ноута. Поэтому рабочие инструменты дорогие, зарплата хорошая.

     

  • 1.33, odity (ok), 17:12, 20/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я год наазад писал pam модуль по работе с rutocken и по такому принципу блокировал экран. Чувак не открыл мир.
     
     
  • 2.34, Аноним (34), 14:01, 21/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Он открыл свою идею. А ты нет.
     
     
  • 3.45, Аноним (45), 06:11, 08/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да куда ему -если чел юзает рутокен-он юзает говно!

    Ну и на территории рф шифровать свои данные рутокеном надо быть полным ку-ку !

     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру