Un computer con più SO in diverse unità

3

Uso il mio personal computer sia per il lavoro di programmazione che per i giochi nel mio tempo libero (ea volte per i test di penetrazione) in tutti questi sistemi operativi.  Il problema è che non mi fido molto della sicurezza di Windows (che sarà usata per i giochi). Così ho trovato una soluzione per avere 3 dischi diversi, 1 per Windows e altri 2 per i miei SO Linux. Per quanto riguarda la sicurezza, tutti e tre i sistemi verranno crittografati utilizzando TrueCrypt e le altre unità disconnesse quando un sistema è in uso. Ma questo lascia ancora un vettore di attacco ... l'hardware stesso.

È possibile utilizzare un sistema e quindi eseguire l'avvio in un secondo sistema con lo stesso hardware, ma la precedente unità di sistema rimossa può essere un vettore di attacco? E se sì quali sono alcuni modi possibili per prevenirlo?

    
posta user36976 15.04.2014 - 18:52
fonte

4 risposte

2

Se una macchina viene dirottata da un'entità nemica, l'utente malintenzionato può ottenere pieno accesso all'hardware, incluse tutte le unità che sono attualmente collegate alla macchina. Se le unità Linux sono crittografate con una chiave che il sistema Windows non vede mai (il che significa che se vuoi copiare file da Linux a Windows, devi farlo da Linux, non da Windows), allora un tale attaccante dovrebbe non essere in grado di leggere i tuoi file Linux. Tuttavia, può comunque causare notevoli disagi.

Inoltre, un disco di avvio non è mai completamente crittografato, poiché almeno il codice di decifrazione verrà memorizzato "così com'è". Un attaccante industrioso, che ha acquisito il controllo della tua macchina Windows, potrebbe impiantare un codice ostile nel settore di avvio del sistema Linux, in modo che acquisisca una copia della tua passphrase TrueCrypt la prossima volta che avvii Linux. Ovviamente stiamo parlando di un aggressore competente qui, ma tali persone esistono.

Oltre ai dischi, il BIOS è comunemente un chip ridisabile e quindi può fungere da vettore per il codice ostile. Esistono virus BIOS . Altri componenti hardware hanno anche un firmware, che deve essere eseguito dalla CPU principale o anche dalla CPU specifica dell'hardware, e tale firmware può anche essere infetto (questo è stato dimostrato in condizioni di laboratorio, non è sicuro che sia stato individuato "in the wild"). Se una macchina è compromessa, il compromesso può andare in profondità ... Ma poi, l'aggressore è davvero bravo, e ti odia davvero, personalmente.

Una soluzione "completa" sarebbe virtualizzazione - il livello VM offre solo hardware virtuale al sistema operativo potenzialmente infetto, mantenendo pulito il resto della macchina. Tuttavia, questo è relativo a quanto bene l'hypervisor può contenere codice ostile; si verificano errori di hypervisor (non spesso, ma ancora ...). Un problema più grande sarà che i giochi avranno bisogno di un accesso piuttosto diretto alla tua GPU. Potrebbe non funzionare affatto o implicare pesanti sovraccarichi; può anche fornire una via di fuga per l'attaccante. Dopo tutto, la GPU può eseguire il codice e ha accesso privilegiato al bus di memoria principale.

In pratica, isolare il sistema operativo Windows in una VM non fornirà la sicurezza assoluta, ma dovrebbe bloccare gli aggressori non-così-buoni (ad esempio malware senza scrupoli) e potrebbe rallentare i migliori aggressori. Tuttavia, non sono sicuro della compatibilità dei giochi con la GPU virtualizzata.

Un'alternativa molto più economica, che non fa nulla sugli hacker BIOS / firmware, ma proteggerà i tuoi dischi, è per renderti dischi Linux esterni . Basta scollegarli prima di avviare Windows. Se non sono nella macchina, rimarranno al sicuro.

    
risposta data 15.04.2014 - 19:38
fonte
0

Quindi la risposta rapida allo scherzo della tua domanda è sì, avere più partizionati separatamente di un sistema operativo è tecnicamente più sicuro. Tuttavia, non sei immune da alcun mezzo! Esistono innumerevoli attacchi e virus / minacce informatiche rivolti al firmware / bios / etc del computer stesso - ben oltre / prima dell'avvio del sistema operativo. Inoltre, anche con il malware FDE (full disk encryption) il malware può ancora accedere all'unità in cui si sta operando e quindi potenzialmente infettare il livello di avvio dell'hardware stesso.

Sei molto più protetto rispetto all'utente medio, ma se vuoi la massima protezione, usa un "firewall vuoto" dove separi fisicamente i due sistemi.

Ecco alcuni esempi di attacchi hardware:

risposta data 15.04.2014 - 19:28
fonte
0

È meglio fare roba di prova con penna in un computer separato e avere la massima sicurezza per proteggerlo. Un hacker può ottenere l'accesso a tutti i dischi rigidi collegati al sistema operativo che si utilizza per il test della penna.

    
risposta data 19.04.2014 - 19:08
fonte
0

Sì, esistono collegamenti potenzialmente deboli: BIOS, cache, memoria, router (firmware) e? Come sempre, i computer separati / dedicati sono considerati migliori / più sicuri. Inoltre, i router di fascia consumer sono potenzialmente la peggiore minaccia e le soluzioni di router aziendali sono costose. Detto questo, se si desidera comunque utilizzare un PC, è possibile semplificare le cose installando interruttori fisici per accendere o spegnere le unità interne. Ho visto tali interruttori per la vendita, e alcune persone fanno il loro (cerca su Google). Guarda anche su PC-BSD (FreeBSD). Con ciò è possibile eseguire un sistema operativo all'interno di un 'jail'. Un carcere è molto simile a una VM ma più veloce. Puoi copiare / cancellare / spostare le prigioni come necessario. Tuttavia, non tutto l'hardware funziona con FreeBSD, ma molto (facile da controllare sul loro sito). Detto questo, una VM è ancora spesso considerata più sicura di un carcere da solo. Ma puoi eseguire un sistema operativo in una VM in un carcere ... A parte questo, per una maggiore sicurezza, almeno avere un PC dedicato per i giochi è una buona idea se hai bisogno della velocità, dato che una VM lo rallenterà.

    
risposta data 22.04.2014 - 00:02
fonte

Leggi altre domande sui tag