Qual è un modo corretto di distruggere i dati da remoto?

3

Dopo aver guardato un Defcon parlare di distruzione dei dati , mi sono interessato all'argomento di come andrei in giro Distruggere da remoto tutti i miei dati su tutti i miei sistemi.

Sono arrivato a un punto in cui ho capito come organizzare tutto in modo che uno script potesse essere eseguito da un SMS. Il problema è che non so quale dovrebbe essere la sceneggiatura.

Dettagli tecnici:

  • Tutti i miei server eseguono qualcosa Debian-ish (Mostly Ubuntu).
  • Non tutti i miei sistemi sono crittografati (questo significa che la rimozione della chiave di crittografia non è una cosa su cui posso fare affidamento).
  • Non ho accesso fisico a tutti i miei server.
  • Mi piacerebbe che fosse in grado di fermare criminali altamente motivati (come il governo degli Stati Uniti)
  • I davvero non voglio usare esplosivi.
  • Non riesco a stabilire una connessione con le macchine da nessuna parte. Sono limitato da un SMS (per il trigger, non per l'impostazione).

C'è qualcosa che posso fare per qualcosa di simile?

    
posta Slava Knyazev 08.08.2016 - 05:23
fonte

2 risposte

2

È semplice: Cripta tutti i tuoi sistemi

Se si dispone di dischi rigidi, è possibile eliminarli in modo sicuro scrivendo dati casuali in ogni posizione. Potrebbe esserci un'area di ricambio che viene utilizzata per sostituire settori difettosi, ma non così tanto e i settori sostituiti sono comunque difettosi, quindi questo dovrebbe essere abbastanza sicuro per voi. Ma per il tuo scenario, questo non sembra essere così adeguato. Se si dispone di un disco da 4 TB, è necessario circa 3,7 ore per sovrascriverlo, presupponendo una velocità costante di 300 MB / s. Se ricevi le informazioni che il governo sta cercando nella tua casa, pensi che attenderebbero alcune ore per consentirti di eliminare i tuoi dati?

Se possiedi SSD, è anche peggio. non puoi eliminarli in modo affidabile . Gli SSD hanno più spazio di quello pubblicizzato sul sistema. Lo usano per overprovisioning per sostituire celle difettose, come cache veloce e livellamento dell'usura. Non esiste un modo affidabile per eliminare tutti i dati. L'SSD potrebbe apparire vuoto o pieno di dati casuali dopo averlo "pulito", ma qualcuno che legge i chip flash all'interno otterrà comunque parti dei tuoi dati.

Ci sono nuovi SSD che possono essere cancellati in modo sicuro. Funzionano con sempre crittografando tutti i dati sull'SSD. Se non si imposta una chiave, la chiave di crittografia viene semplicemente memorizzata. Se si desidera cancellare i dati, questa chiave viene cancellata, tutto sull'SSD diventa inutile.

Quindi non esiste una soluzione, ma la crittografia per te. Se hai nuovi SSD e ti fidi dei produttori, puoi semplicemente cancellarli con un comando. Di solito è il comando cancellazione sicura , ma devi assicurarti che il tuo SSD usi davvero la crittografia hardware prima , altrimenti non cancellerà tutti i dati (o per alcune unità in realtà non cancella le celle flash, le contrassegna solo vuote nel controller).

Il modo più sicuro è utilizzare gli strumenti di crittografia del sistema operativo.

Per il tuo caso d'uso, puoi configurare i server per sbloccare automaticamente le unità crittografate conservando la chiave in chiaro. Hai solo bisogno di un modo per eliminare rapidamente questa chiave velocemente. Il modo più sicuro sarebbe utilizzare una smartcard, ma dovrebbe anche essere memorizzata su un HDD. (NON un SSD, a meno che non sia possibile cancellare in modo sicuro l'intero SSD)

    
risposta data 08.08.2016 - 09:21
fonte
0

Poiché il tuo trigger dovrebbe essere SMS, devi prima impostare un modo per dire a tutte quelle macchine che hai inviato un SMS. Un'opzione potrebbe essere quella di dare a tutti loro un modem cellulare, una SIM e un numero di telefono, e quindi basta scrivere ognuno di loro con la parola chiave. Ciò sarebbe impossibile dato che non hai accesso fisico a loro, per non parlare che sarebbe un problema da mantenere.

La seconda soluzione sarebbe quella di impostare una singola macchina affidabile con un modem da qualche parte in una posizione sicura con un buon segnale cellulare, e avere quel SSH della macchina negli altri server ed eseguire i comandi di cancellazione una volta che riceve la parola di attivazione su cellulare .

Devi anche considerare che l'ID del mittente SMS può essere falsificato e che gli SMS possono essere intercettati e modificati in transito dal vettore o da un utente malintenzionato (compromettendo l'infrastruttura del corriere che è un disastro da quello che ho visto , o facendo eseguire il downgrade del modem per criptare la crittografia e poi far crashare quella cripta nell'aria). Il minimo che dovresti fare è far sì che la parola trigger sia una stringa casuale che dovrebbe funzionare come una chiave e che la stringa non dovrebbe mai essere inviata prima, così il corriere e gli attaccanti non saranno in grado di conoscerlo in anticipo (per testare l'uso una chiave diversa).

Per lo script kill effettivo che è necessario eseguire sui server, è possibile tentare di rimontare il file system di root come di sola lettura (molto probabile che non riesca poiché la maggior parte dei programmi in esecuzione dovrebbe avere handle di file in lettura-scrittura aperti), oppure riavviare i server in un sistema operativo specifico che avrebbe l'unico compito di cancellare le unità.

A seconda del tuo sistema operativo, dovresti creare un ramdisk iniziale contenente i moduli del kernel richiesti per poter scrivere sulle unità di archiviazione, oltre al binario effettivo che cancellerebbe i dischi e tutte le librerie da cui dipende . shred è uno strumento progettato esattamente per questo: gli dai il nodo dispositivo del tuo disco e lo sovrascrive tre volte con dati casuali. Assicurati che il filesystem non sia montato in lettura-scrittura, altrimenti le scritture bufferizzate contenenti dati riservati potrebbero essere risciacquate sul disco dopo che è stato cancellato.

Dai un'occhiata a una risposta simile .

    
risposta data 08.08.2016 - 12:50
fonte

Leggi altre domande sui tag