Detekce bootu Linuxu z USB

ondro

Re:Detekce bootu Linuxu z USB
« Odpověď #15 kdy: 13. 06. 2015, 21:08:11 »
Mna napadlo pouzivat dosky s Intel ATM. Nasledne kontrolovat PC a logy. Tusim, ze cez ATM by sa dalo odhalit, keby niekto bootoval z nieco ho ineho ako je standardne dane alebo bootoval iny OS.
Nevyhoda je, ze HW s podprou ATM je drahsi. Inac je to vyborna vec na spravu PC a v novsich verziach podporuje aj KVM. Je to v podstate desktopova nahrada serverovskeho IPMI.


Jenda

Re:Detekce bootu Linuxu z USB
« Odpověď #16 kdy: 13. 06. 2015, 21:24:22 »
Mna napadlo pouzivat dosky s Intel ATM.
Pokud ti stačí zabránit a ne zalogovat, tak nic takového není potřeba a prostě v BIOSu vypneš bootování z externích zařízení. Když se nastaví heslo do BIOSu, tak to uživatel nezmění (leda že by resetoval CMOS, ale to znamená, že už rozdělal počítač, a tedy může přípojit disk k USB-SATA převodníku třeba do svého mobilu).

Tusim, ze cez ATM by sa dalo odhalit, keby niekto bootoval z nieco ho ineho ako je standardne dane alebo bootoval iny OS.
Jenom aby potom nevynášelo data přímo AMT :) http://www.stewin.org/papers/dimvap15-stewin.pdf

Martin

Re:Detekce bootu Linuxu z USB
« Odpověď #17 kdy: 14. 06. 2015, 08:18:42 »
Panove moc dekuji, jde hlavne o to, ze na pocitacich mame nastaveny vsechny usb porty jako read only, maily se monitoruji, programy jsou pevne dane, internet ma cloudy taky blokle a monitoruje se.
Jediny zpusob jak muze zamestnanec vynest data je skrz nabootovani jineho os pres usb, kde to teda blokovanane na urovni biosu nemame.

To zní fajn, teď data může ukrást jedině administrátor. Ááá, vlastně si takový případ pamatuji, dělal jsem ve firmě, kde zaměstnanci založili s IT administrátorem konkurenční firmu a on jim pomohl vynést všechna data, včetně zdrojových kódů CRM a dalších systémů :-)

Nebo jsem taky dělal ve firmě, kde se kradl celý hardware, uklízečka ho za pár korun vzala. Mimo jiné, i kdybys tam měl kamery nebo třeba bys mi špicloval za zadekí, tak ti tam přijdu, skloním se pod stůl, dám tam svoje Raspberry Pi s DHCP a Samba serverem, připojím k tomu počítač a zkopíruji si data po síti. A jsi v zadeki :D Teď začneš uvažovat jak zabezpečit tohle, ale upřímně, když ty data budu chtít, tak i kdybych tam měl chodit z HD kamerou v knoflíku od košile (ano, to se dá za pár korun v Číně koupit), tak je odtamtud dostanu.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Detekce bootu Linuxu z USB
« Odpověď #18 kdy: 14. 06. 2015, 09:20:40 »
BTW, USB porty se daji take uplne zakazat pomoci tavneho lepidla. :)

arpanet

Re:Detekce bootu Linuxu z USB
« Odpověď #19 kdy: 16. 06. 2015, 09:04:23 »
a neni lepsi se branit na perimetru
    neco jako [port-security +  tac/radius]
    a pustit do lan jen toho kdo na to ma opravneni (key/login)
    (pre login/nebo certifikat lokalni)
???




Re:Detekce bootu Linuxu z USB
« Odpověď #20 kdy: 16. 06. 2015, 11:52:06 »
a neni lepsi se branit na perimetru
    neco jako [port-security +  tac/radius]
    a pustit do lan jen toho kdo na to ma opravneni (key/login)
    (pre login/nebo certifikat lokalni)
???
802.1x uz tu padlo