Detekce bootu Linuxu z USB

[petrous]

Zdravim,
Je mozne aby slo nejak detekovat zda nekdo na svem pocitaci nabootuje z flasky nejaky linux? Na pocitaci normalne jede win. Je to pro IT oddeleni nemozne nebo se to da udelat?
Da se to pripadne zpetne zjistit?

Dekuji

[Reklama]

[fox]

V běžných podmínkách to to není možné detekovat.

[tomasfuk]

Pokud se bude počítač připojovat do sítě, tak podle síťový komunikace by to mělo jít nějak poznat? Minimálně bude žádat o IP adresu, možná i kontrolovat automatický aktualizace,... Taky případně proskenování portů na nějaký linux only služby by snad mohlo něco odhalit.
Bude-li PC offline, tak těžko.

Nemožnost nabootování jiného systému, taky znemožnuje secure boot, ne?

A nebo prostě v BIOSu vypnout USB porty či bootování z nich.

[Flack]

Zakazat bootovanie zo vsetkeho a ponechat len bootovanie z hdd, odpojit dvd mechaniku?, zaheslovat bios, pravidelny scan jednotlivych ip na sluzby, nezrovnalosti sa ukazu. Nic viac asi nespravis. To sa tam toho linu bojite, alebo ode skor o predbezne opatrenie nech tam nikto nic nerozvrta.

[Kit]

To sa tam toho linu bojite, alebo ode skor o predbezne opatrenie nech tam nikto nic nerozvrta.

Opravdu si myslíš, že Linux v rukou záškodníka je bezzubý?

K otázce: Zrušit USB, zrušit CD/DVD mechaniky a stejně si nebudu jist, zda dotyčný nevymění HDD. Dokud existuje fyzický přístup k počítači, obrana neexistuje. Stačí kabel vedoucí ke klávesnici nebo k myši...

[Reklama]

[flack]

To sa tam toho linu bojite, alebo ode skor o predbezne opatrenie nech tam nikto nic nerozvrta.

Opravdu si myslíš, že Linux v rukou záškodníka je bezzubý?

A to ti ako vyplynulo z kontextu ze si nieco take myslim? Ja viem ze niekedy do cestiny veci zneju inak. Ale toto fakt nie.

[ImThe]

Tak tedy, ano, možné to je.

Nastavit bootovací médium se ukázalo jako nedostatečné, bootmenu přes F12 je totiž trochu složitější zakázat a požadavek na DHCP chodí ze stejné MAC adresy jako normální PC.

Ale jsou čtyři velmi jednoduché cesty.
Ve zkratce Cisco ISE, skenování sítě sudo nmap -O 10.1.1.1 (tím poznáš běžící Linux), nebo DHCP fingerprinting a proxy browser checking.

Cisco ISE ti řekne, jestli tam jsou Widle nebo Linux.
NMAP ti řekne, jestli tam jsou Widle nebo Linux.
DHCP fingerprinting zjistí, jestli se něco změnilo a jestli si máš dát pozor.
Proxy ti Browser checking ti řekne, jestli tam jedou přes IE nebo přes něco jiného.

Pokud chceš detailnější rady, můžeme se domluvit, sazby máme od 200Euro za hodinu.

[Anarki]

Dobre a co kdyz jsem fakt krysa a bootnu z USB Windowsy a z nich si pres virtualku bootnu Linux?

[ImThe]

Nastartovaný linux jde pomocí výše uvedených postupů detekovat a je jedno, jestli ho nabootuješ z usb nebo připojíš Linuxový stroj do sítě.

Pak jsou ještě další pokročilejší možnosti, které bych nerad rozebíral, protože člověk si nějak musí vydělat na chleba.

[koss43]

To je zase diskuze, bylo by fajn, kdyby tazatel upřesnil svůj dotaz, proč ho to zajímá, a co se tím snaží dokázat. Libovolné zabezpečení lze nějak obejít, není jasné jestli jde o zabezpečení sítě, nebo dat na disku v počítači.

Jinak z mojí zkušenosti ze zabezpečení, 90% ajťáků si hraje s antiviry, firewally a já nevím co a uniká jim hlavní pointa - nejde o to splňovat nějaké tabulky, best practicies či teorie bezpečnosti, jde o to uvažovat jako útočník.

Když budu mít databázi o 100 zákaznících, a ajťák bude uvažovat o tom, jak to udělat, abych jí neodnesl (kontrolovaný mail, šifrovaný disk, zabezpečené zařízení, a já nevím co), tak Maruška od vedle si vezme foťák, otevře si tabulku, udělá 3 fotky monitoru a jóo, je to jednoduché a zrovna na tohle nikdo nemyslel

Fígl je myslet trošku nekonvenčně a out-of-the-box, a místo zabezpečování databáze 100 zákazníků (což je nemožné), tam přidat jednoho fiktivního zákazníka s fiktivním mailem a čekat na honeypotu, kdo se chytne  Právě proto je vše velmi specifické a obecné rady neexistují

[Sten]

Zakázat boot menu je dostatečné, pokud to deska umí (má Boot order lock), ale ne všechny to umí. Lze zakázat legacy USB (podporu USB zařízení přes spuštěním OS) a USB disky se pak v boot menu ani neobjeví. Jen je potřeba mít někde klávesnici s PS/2, protože bez USB legacy se do BIOSu s USB klávesnicí nedá dostat. Tohle se tedy týká bootování přes BIOS.

Pokud tam máte UEFI, tak tam bývají možnosti ještě širší (zakázat bootování z USB, zakázat boot menu, secure boot s vlastními podpisy, …). Někdy tohle ale nejde nastavovat z menu po startu počítače a je potřeba program od výrobce desky.

Nicméně ani tohle vás neochrání od případu, kdy někdo přinese svůj notebook a připojí ho místo toho počítače.

Ale jsou čtyři velmi jednoduché cesty.
Ve zkratce Cisco ISE, skenování sítě sudo nmap -O 10.1.1.1 (tím poznáš běžící Linux), nebo DHCP fingerprinting a proxy browser checking.

Cisco ISE ti řekne, jestli tam jsou Widle nebo Linux.
NMAP ti řekne, jestli tam jsou Widle nebo Linux.
DHCP fingerprinting zjistí, jestli se něco změnilo a jestli si máš dát pozor.
Proxy ti Browser checking ti řekne, jestli tam jedou přes IE nebo přes něco jiného.

Čekal bych, že člověk, co si hodlá účtovat stovky € za hodinu, bude mít alespoň základní znalost toho, jak jsou všechny tyhle metody velmi nespolehlivé, a že zmíní alespoň jednu kryptografickou metodu.

Detekci OS lze snadno obelhat. Různé specializované linuxové USB obrazy se umí tvářit jako různé verze Windows, často si můžete volit při bootu verzi Windows.

DHCP fingerprinting je ještě jednodušší obejít, stačí poslat paket ve formátu, jaký odesílají ty Windows. DHCP sice podporuje autentizaci (RFC 3118), ale Windows to neumí. Anebo ještě jednodušeji stačí přečíst IP adresu z Windows a v Linuxu prostě DHCP nepoužívat.

To samé browser checking, změnit identitu prohlížeče je často jenom jeden klik.

Ze spolehlivých metod je třeba 802.1x, PANA, SEND nebo RADIUS.

[Sten]

Když budu mít databázi o 100 zákaznících, a ajťák bude uvažovat o tom, jak to udělat, abych jí neodnesl (kontrolovaný mail, šifrovaný disk, zabezpečené zařízení, a já nevím co), tak Maruška od vedle si vezme foťák, otevře si tabulku, udělá 3 fotky monitoru a jóo, je to jednoduché a zrovna na tohle nikdo nemyslel

Právě, na spoustu útoků vůbec není nějaký Linux potřeba. Vhodné zabezpečení by mělo být takové, že je jedno, jestli útočník připojí do sítě Linux, protože tím nic nezíská. Vhodné je tedy spíš limitovat přístup podle oprávnění zaměstnanců. Pokud má Maruška přístup k databázi zákazníků, tak jí nikdo nedokáže 100% zabránit, aby ji neukradla.

[petrous]

Panove moc dekuji, jde hlavne o to, ze na pocitacich mame nastaveny vsechny usb porty jako read only, maily se monitoruji, programy jsou pevne dane, internet ma cloudy taky blokle a monitoruje se.
Jediny zpusob jak muze zamestnanec vynest data je skrz nabootovani jineho os pres usb, kde to teda blokovanane na urovni biosu nemame.

[JardaP .]

Hm, co kdyz si ten zamestnanec podle prinese scp pro Widle a ty data si nekam nakopiruje na ssh server? Mate zablokovane spousteni binarek odjinud, nez z adresaru s oficialne instalovanymi binarkami? A co kdyz si zamestnanec nekam na web hodi stranku, ktera bude vhodne rafinovanymi get pozadavky vynaset data? Vidim to tak, ze pro sichr budete muset kazdemu za zaa postavit policajta a to sklerotickeho, aby nevynasel data v pameti.

[petrous]

Tak pokud nekdo ma znalosti, urcite si poradi, uz treba jen vyndanim hdd a pripojeni k notebooku. Jde o to to co nejvice a nejjednoduseji znemoznit bfu.