ラップトップを泥棒にとって役に立たなくすることは可能ですか?
強盗にあった...
これには、私のLinuxノートブックと私の会社のノートブックが含まれていました。どちらも暗号化されています。カーネルがUEFIによって開始されると、鉱山はLVM over LUKSで暗号化され、パスフレーズを使用してハードドライブのロックが解除されます。ただし、マシンでセキュアブートが無効になっています。
同社は、Bitlockerを透過操作モードで使用しています。彼らは、ハードウェア構成が変更されるとコンピューターが起動しないと主張し、それはHPノートブックであり、特別なセキュリティが追加されています。
しかし、データにあまり興味がない泥棒にとって、これはあまり心配されていません。私のセットアップでは、OSを含むシンプルなUSBスティックを使用すると、ドライブにOSを再インストールしてノートブックを販売できます。セキュアブートをアクティブにして、BIOSでパスワードを設定した場合は、さらに複雑になった可能性があります。しかし、不可能ではありません。セキュリティ層が何であれ、CMOSバッテリーをBIOS設定をリセットするのに十分な時間プラグを抜くだけで、余分な層がすべてなくなります。
会社のコンピュータはもう少し安全だと思うかもしれませんが、 Microsoftによるパッチの最近の問題実際にはBIOSのリセットがまだ可能であることを示しています にアクセスするコンピュータ(必ずしもデータではない)。
私の新しいラップトップには、セキュアブートとTPMが搭載されています(問題がある場合はASUS UX433ですが、私の質問はより一般的です)。 UEFIとTPMを構成して、構成を改ざんすることで、必要な(回復)シークレットを持たないコンピューターに実際にコンピューターをロックすることはできますか?
(完全なコンポーネントのはんだ付け解除や交換などの本当に複雑な操作は範囲外であるという質問について考えてみましょう。ここでの問題は、むしろ 実際にはCMOSをリセットするのは簡単です です。デスクトップコンピュータ上で、それはさらに悪いことです:ブート時にジャンパーを動かすだけで十分です、そしてそれはマニュアルに十分に文書化されています!)
まず初めに、あなたの損失に対する私の哀悼の意!よろしくお願いします。
私が正しく理解した場合、あなたの一般的な懸念は、犯罪者によるデバイスのさらなる盗難(および/または販売)を完全に防ぐ方法です。
この場合、マシンが物理的に到達できなくなったときは、それ以上の損傷がないことを確認する唯一の方法は 軌道からそれをnuke することであるため、この質問には適切な経年変化の答えはありません。
そして、いずれの場合でも、Appleの "Find My Mac" サービスを使用しても(またはWindows 10の "Find My Device" 機能を使用しても)、間違いなくノートパソコンを分解してコンポーネントをスペアパーツとして販売することを防ぐことができます。
Macbooksのように、再販が難しいと見なされたラップトップは、高価なスペアパーツ用に分解して販売するのが簡単であることが知られていることに注意してください。したがって、ここではMacbookに特定の利点はありません。 (Appleは常にデバイスを製造しています 修正と修復がますます難しくなっています ですから、私が言ったように、この答えはあまり古くなりません。)
それとは別に、特定のラップトップモデルとハードウェア構成に応じて、(信頼性のレベルが異なる) brick デバイスまたはそのコンポーネント。一般的に、これらの問題は、組み込みデバイスの一部を再フラッシュすることと共通しています。あなたが本当に心配しているなら、あなたはソフトウェアで殺すのが簡単なラップトップを選ぶことさえ試みるかもしれません。一般的に、ググリングはここであなたを助けるかもしれません。
デバイスをbrickに簡単にするためのラップトップベンダーによるイニシアチブはほとんどありません。
物理的なアクセスと損傷に対してデバイスを持続可能にすることは、非常にコストがかかり、事実上終わりのないarms race として- [〜#〜] drm [〜#〜] イニシアチブは私たちを非常に明確に示しています。
それは、この戦いで実際にはあまり稼げないラップトップベンダーのインセンティブではないようです(実際には、おそらく逆もまた同様です)。
泥棒と任意のラップトップの場合にデバイスをbrickする最も簡単な方法は、黄色いポストイットをラップトップに何かを付けてラップトップに接続することですその上にpassword: 123の行があり、the不正なパスワードが入力されたときにブリックスクリプトを実行します。これは信頼できませんし、何もありませんが、これはおそらくほとんどの場合に機能します。
申し訳ありません。バックアップが最新であることを願っています。
このルートに行く前にここで熟考すべきことがいくつかあります。
最初の1つは、あなたが本当にラップトップを泥棒のために機能するように見せかけるのとは対照的に(それは機密情報へのアクセスを許可しない)、しかし電話が家に帰るような方法でそれをブリックしたいかどうかについての議論ですそして、ハードウェアを回復させる可能性があります(ヒント:一部のラップトップには、SIMカード用の内部スロットがあります)。
2つ目は、システムが奪われたと誤って判断した場合に、システムを回復するために快適に行える複雑な操作の量です。おそらく、従業員が会社のラップトップを盗まれたと報告しているため、そのデバイスのクアンタムキルスイッチをトリガーすると、内部コンポーネントがすべて溶けてしまいます。翌日、彼は彼の車の「盗まれた」ラップトップを見つけます。ユーザーに過失がない場合でも、willがランダムに誤検出されます。さらに、少なくとも1回はブリックをテストする必要があります。
あなたはおそらくそれのためにいくつかのラップトップのコストを使いたくないので、あなたは気をつけるべきです。これは、攻撃者にとって事態を困難にすることと、それを自分で乗り越えることとの間の古いトレードオフです。そして、攻撃者が無許可のデータにアクセスすることと、自分のデータにアクセスできなくなることの間のリスク。あなたがNSAであれば、ブリックのオプションは明確ですが、多くの場合、そのハードウェア(意図的にブリックしていたもの)を再度作成したいという願望があります。
あなたはまだ煉瓦道に行きたいですか?良い。一部の製造元は、TPMチップにハードウェアをブリックできる構成があるソリューションを持っている可能性があります。ここでは、はるかに単純なソリューションを提供していますが、それは誰でも利用できるはずです。
私たちの目標は、ブート保護が無効になっている場合にシステムをブリックすることです。したがって、私は単純に、ブートプロセスの早い段階で(GRUB module?)として)、BIOSが改ざんされていないかどうかを確認し、そのような場合はLUKSヘッダーをワイプして「更新」することを提案しますファームウェアを効果的にブロックするコードを備えたファームウェアであり、修正するために「複雑な操作」が必要です。
BIOSをリセットして、その設定をすばやく入力することは可能かもしれませんが、多くの場合、このような初期のブートコードwould runです。
CMOS=がリセットされたかどうかを検出する方法は?どの実装でも使用できる本当に簡単な方法は、現在の時刻チェックです。日付時刻が初期のエポックにリセットされると、それをインストールしたときの既知の日付より前(たとえば、2020年以前)に、時間が逆行していることを検出し、それが改ざんの試みであると想定して、コンピューターをブリックします。
より高度なチェック-そしておそらくUEFIファームウェアに固有-は、メモリからいくつかのパラメーターを読み取り、それらを構成する必要がある既知のパラメーターと比較することです。未使用の部分に実際にキーを保存するとボーナス。検証コードは、「キー」(リセット時に失われる)を知る必要さえなく、そのハッシュだけを知っている必要があることに注意してください(ほとんどの場合とは異なり、ここではすばやく計算する必要があることに注意してください)。