Zabezpieczenie komputera FIZYCZNIE
#1
Napisano 09 04 2008 - 12:31
UWAGA: Sposób opisany przeze mnie jest dziełem amatorskim i można bezpowrotnie stracić dane na dysku, jak i go uszkodzić. Dlatego zanim zaczniecie robić coś podobnego poradźcie sie doświadczonych osób, które znają się na elektronice. Nie polecam tej metody jeśli chodzi o laptopy i palmtopy i urządzenia podobne.
Pierwszym etapem było zastanowienie się jak można zabezpieczyć dane przed "nieautoryzowanym" dostępem, wydaje mi się, że jest do niemożliwe (nie biorę pod uwagę żadnego pakowania itd. chodzi o dosłowne zabezpieczenie całej zawartości dysku).
Jako, że fizycznie jest to nie możliwe (nie biorę pod uwagę czytników linii papilarnych) pomyślałem, że najlepszym sposobem, będą magnesy o naprawdę dużej sile pola magnetycznego-magnesy neodymowe (3cm x 5cm x 2cm ok. 25zł) (jak wiemy nośnik danych zbudowany jest z aktywnych elementów, które odpowiednio przetworzone przez głowicę dysku tworzą dane - tak więc przyłożenie takiego magnesu do nośnika (nie typu pamięć flash) spowoduje natychmiastowe i nie odwracalne wyczyszczenie dysku z zawartości).
Podczas szukania odpowiedniego magnesu warto zwrócić uwagę na fakt iż w dysku znajdują się już magnesy i to o dużej sile pola magnetycznego, jednak ich pole jest izolowane specjalnymi metalami (również obudową) tak więc trzeba wyszukać odpowiednio mocnego, który przebije polem magnetycznym izolatory. W moim przypadku są to właśnie magnesy wytwarzające pole magnetyczne dla głowicy w dysku twardym. (2 x magnesy w kształcie litery c izolowane z jednej ze stron).
Kolejnym etapem będzie wymyślenie odpowiedniego mechanizmu który zareaguje na obecność włamywacza w jednostce.
Mój mechanizm jest prosty: stary i uszkodzony napęd optyczny (CD-ROM) rozebrałem w szczępy i usunąłem z niego wszystko co jest zbędne (lasery, szynę lasera, płytki z układami, przyciski, diody, pozostawilem tylko szufladkę i napęd do niej. Każdy napęd posiada zdejmowaną przednią klapkę (na której są informacje o prędkości lub marce napędu), tak więc do niej przymocowałem magnesy które utworzyły nie pełny okrąg i odłożyłem na bok.
Następnie trzeba obmyślić obwód, który będzie posiadał awaryjny wyłącznik, który przełączymy gdy będziemy chcieli np. dołożyć kolejną kość RAM-u do naszego sprzętu. Należy zwrócić uwagę na to, by przewody nie zakłócały pracy całego sprzętu, tzn. należy umocować je tak, by nie były w stanie "bezwładnym". Ważnym aspektem na który również zwrócić uwagę to to, czy nasz system zabezpieczeniowo-destrukcyjny ma zadziałać bez zasilania sieciowego. W moim przypadku jest to przełącznik typu alarmowy jaki montuje się np. w budynkach na drzwiach - kiedy ktoś otworzy drzwi załącznik uruchamia alarm. Chciałem zastosować czujnik światła, jednak to już dla bardziej zaawansowanych, ponieważ każdy silniczek ma inny opór i trzeba umieszczać dodatkowe układy - zbyt ryzykowne. Załącznik przymocowany jest tak, by jęsli ktoś otworzy obudowę komputera w obieg obwodu dostaje się prąd. Jeśli chodzi o zasilanie dodatkowe, mój system zabezpieczeniowo-destrukcyjny opiera sie na niezależnym zasilaniu z baterii od telefonu komórkowego (3,6V), bateryjka od BIOS-u odpada, ponieważ mimo że 3V-oltowa, jest za słaba. Wyłącznikiem awaryjnym jest ukryta zworka .
Kolejnym etapem jest montaż z szczególnym zwróceniem uwagi na izolację wszystkich przewodów, umiejętne wykorzystanie przestrzeni jednostki centralnej, mocowanie możliwie wszystkich elementów śrubkami, ze względu na to, iż dysk nie zabawka - skleić się nie da.
Bardzo ważnym aspektem jest również odpowiednie przygotowanie dysku: należy zwrócić uwagę na to, w którym miejscu wewnątrz dysku znajdują sie talerze - nośniki danych, by wiedzieć w które miejsce skierować magnesy. Jak to zrobić? Każdy dysk (mechaniczny) posiada napęd na talerzach, przeważnie jest on wbudowany z talerzami a więc musi być przytwierdzony do obudowy. Należy zwrócić uwagę na odkształcenia w obudowie dysku w okolicach środka (zobaczyć je można w postaci śrub (najczęściej sześcio - gwiazdkowe), wymacać je pod plombami gwarancyjnymi, lub w przypadku dysków firmy Seagate, należy zdjąć dodatkowe metalowe płytki ochronne). Dodatkowo każdy dysk najprawdopodobniej od spodu posiadać będzie płytkę z układami - jeśli tam skierujemy magnesy, taka płytka będzie dodatkowym izolatorem pola magnetycznego. W moim przypadku jest to górna część dysku umieszczonego w szynach na stacje dyskietek i dyski (nie dzielone - dysk w pionie).
Następnie należy wszystko sprawdzić, czy wszystko zostało dobrze skomponowane i czy nic nie przeszkadza innym urządzeniom. Przy montażu należy szczególnie uważać na wentylator od procesora, RAM oraz należy delikatnie obchodzić się z dyskiem, ponieważ dyski do komputerów stacjonarnych nie są odporne na wstrząsy, upadek nawet z wysokości kilkudziesięciu centymetrów może oznaczać uszkodzenie talerzy (dysk nadaje się do wyrzucenia).
Z magnesami również należy uważać, by przypadkowo nie przyłożyć ich do dysku, ponadto należy zamontować je tak, by w jak najmniejszym stopniu ingerowały w pola magnetyczne innych przewodów i urządzeń, jeśli nie chcemy dodatkowych strat. Przewody wszystkiej najbezpieczniej jest polutować, by nie spotkało nas rozczarowanie z powodu rozplątanego kabelka. Cała szyna z CD-ROM-u powinna być również odporna na przenoszenie jednostki, by podczas przeprowadzki nie zsunęła się do dysku. Dodatkowo, obudowę z napędu można wykorzystać jako zasłonę całego systemu zabezpieczeniowo-destrukcyjnego, by nikt nawet po szybkim zorientowaniu się co się dzieje nie był w stanie zatrzymać tacki napędu. Również awaryjny wyłącznik powinien zostać ukryty w takim miejscu by nie był odnaleziony.
Jakie jest ryzyko uszkodzenia jakiegokolwiek innego urządzenia w komputerze? Nie jestem w stanie na to pytanie odpowiedzieć, ponieważ to zależy od wielu czynników takich jak wielkość obudowy, ilość urządzeń wewnątrz obudowy i odległość urządzeń do magnesów. Ponadto moc danego magnesu oraz fakt, że nawet najmniejsze przewody mają swoje pole magnetyczne, więc taki magnes będzie miał na nie wpływ. I najważniejsze - jeśli magnesy poprawnie wyczyszczą dysk - nie będzie można już z tego dysku najprawdopodobniej skorzystać.
Jakie są zalety takiego systemu? Budowa czegoś takiego może kosztować w granicach max. 70zł, a patent na nasz program 700 000 euro? Nasza skradziona postać dla firmy Electronic Arts 50 000? Nawet biorąc pod uwagę bezpowrotnej utraty zawartości dysku i jego uszkodzenie straty sięgną 250 zł (zależy od wartości dysku).
Życzę owocnej zabawy i bezpiecznej pracy. (pamiętajcie by robić kopie zapasowe plików:)
Pozdrawiam.
Wykorzystanie obudowy CD-ROM-u może posłużyć jako zabespieczenie przed reakcją złodzieja na podejrzane urządzenie
Za awaryjne odłączenie zasilania może posłużyć zworka ukryta byśmy tylko my wiedzieli jak dostać się do środka.
Tak wygląda cały mechanizm. Wystarczy zepsuty CD-ROM i trochę wyobraźni;)
Główny załącznik, musi być również trochę ukryty by nawet zorientowany nie mógł powstrzymać mechanizmu.
Do zasilania może posłużyć nie używana bateria od telefonu komórkowego, bateria od BIOS-u jest za słaba.
Położenie dysku fantastycznie spasowało się w końciku na dyski i stacje dyskietek-jednak pozycja pionowa.
A to bardzo niebezpieczna broń na oprychów;) (na zielono izolator magnetyczny, na czerwono magnes neodymowy.
No i efekt końcowy VIDEO:
WATCH:
#2
Napisano 09 04 2008 - 12:49
#3
Napisano 09 04 2008 - 13:58
#4
Napisano 09 04 2008 - 16:08
#5
Napisano 09 04 2008 - 18:05
Używanie systemu plików NTFS w przypadku woluminu o rozmiarze mniejszym niż w przybliżeniu 400 MB nie jest zalecane z powodu dodatkowego miejsca na dysku zajmowanego przez system NTFS. Jest to miejsce przeznaczone na pliki systemowe NTFS, które zazwyczaj zajmują przynajmniej 4 MB miejsca na partycji o rozmiarze 100 MB.
Obecnie w system plików NTFS nie jest wbudowane szyfrowanie plików. Dlatego możliwe jest uruchomienie systemu MS-DOS lub innego systemu operacyjnego i użycie narzędzia niskiego poziomu służącego do edycji dysków w celu wyświetlenia danych przechowywanych na woluminie NTFS.
EFS ograniczony jest do szyfrowania wyłącznie plików użytkownika i nie pozwoli nam zaszyfrować folderu C:\Windows ani żadnych plików oznaczonych jako systemowe. Nie pozwoli on nam również zaszyfrować całego dysku, chociaż możemy zaszyfrować poszczególne jego foldery.
Istnieją komercyjne rozwiązania oferujące szyfrowanie całych dysków, włącznie z systemowymi. Ich stosowanie wiąże się jednak ze znacznymi kosztami wydajnościowymi – wszelkie operacje odczytu czy zapisu zaszyfrowanych plików mogą zajmować nawet 50-80% więcej czasu niż w przypadku niezaszyfrowanych. Wiąże się to z większym obciążeniem procesora, co na laptopach przekłada się z kolei na krótszy czas działania baterii.
Trzeba również uważać podczas przenoszenia zaszyfrowanych plików. Jeśli umieścimy niezaszyfrowany plik w zaszyfrowanym folderze, zostanie on również zaszyfrowany. Jeśli jednak przeniesiemy plik z folderu zaszyfrowanego do niezaszyfrowanego, pozostanie on zaszyfrowany.
Maksymalny rozmiar pliku to:
* Teoretycznie: 16 EB - 1 KB (264 B - 1 KB)
* W implementacji: 16 TB - 64 KB (244 B - 64 KB)
Maksymalny rozmiar partycji to:
* Teoretycznie: 264 klastrów - 1 klaster
* W implementacji: 256 TB - 64 KB (232 klastrów - 1 klaster)
Woluminy NTFS nie są dostępne z poziomu systemów MS-DOS, Windows 95 i Windows 98. Zaawansowane funkcje NTFS wprowadzone w systemie Windows 2000 nie są dostępne w systemie Windows NT.
W przypadku bardzo małych woluminów, zawierających w większości małe pliki, zarządzanie NTFS może spowodować niewielki spadek wydajności w porównaniu do systemu FAT.
W poprzednich wersjach systemu Windows istniało ograniczenie systemu NTFS, polegające na tym, że uszkodzone pliki systemowe w woluminie NTFS uniemożliwiały start komputera. W przeszłości, w celu uzyskania dostępu do uszkodzonego woluminu, konieczne było ponowne zainstalowanie systemu Windows NT w oddzielnym katalogu (innym niż przy pierwszej instalacji).
W systemie Windows 2000 rozwiązano ten problem udostępniając dwa nowe narzędzia. Pierwszym z nich jest tryb awaryjny, umożliwiający uruchomienie systemu Windows 2000 jedynie z podstawowym zestawem sterowników urządzeń i usług systemowych.
Łamanie zabezpieczeń:
Nie jest trudne bo już od dawna istniało oprogramowanie pracujące nawet w DOS-ie i dekodujące dane. Nie jest to tyle trudne co czasochłonne.
Jeżeli dekodujemy plik SAM.bak i SYSTEM.bak możemy je bez problemu skopiować (ucinając końcówkę .bak) i wykorzystać do znalezienia hashy.
Jeśli zależałoby mi na zaszyfrowaniu danych na dysku napewno nie użyłbym żadnych narzędzi wbudownych w system XP, ponieważ w cale nie gwarantują ani poziomu bezpieczeństwa takiego jak się mówi i trwałości. Nawet jeśli to szfrowanie odbyłoby się co najmniej dwoma programami - przesada? Nie sądzę. Przejrzyjcie w inetrnecie. Podobnie jest antywirusami, użytkownicy sądzą, że antywirus który nic nie wykrywa jest dobry bo nic nie przepuszcza, a tu sytuacja całkiem odwrotna - nie wykrywa bo jest do... I to samo jest z optymalizacją systemu XP, mity, że aż płakać się chce.
SecureDoc - nie dostaniecie wersji demonstracyjnej bez pozytywnej opinii Agencji Bezpieczeństwa Wewnętrznego. Dlaczego tak jest? Ponieważ zaszyfrowane nim dane mogą stanowić problem dla specjalistów z policji lub innych służb państwowych. Aby zapoznać się z programem należy wypełnić formularz na stronie producenta lub dystrybutora i poczekać na przesyłkę pocztową. Oczywiście tak zabezpieczone dane są możliwe do wykradzenia, jednak nakłady finansowe oraz czas jaki byłby do tego potrzebny są zbyt duże i takie przedsięwzięcie jest nieopłacalne. Program nie jest adresowany do odbiorców indywidualnych, ale do instytucji i firm, którym naprawdę zależy na informacjach, a kradzież laptopa jest niczym w porównaniu ze stratą zapisanych na nim informacji. To byłoby warte uwagi i polecenia, jednak nadal nie ma informacji - o nie możliwym odszyfrowaniu.
Mini dysk przenośny, taki w miarę nie najgorszy to koszta około 200zł, a obudowa do niego to kolejne 100zł.
Nie napisałem tego posta dlatego, że nie wiem o szyfrowaniu, ani po to by się wykłócać co jest lepsze a co gorsze:) Brakuje mi, żeby ktoś mi tłumaczył jak mam pisać na klawiaturze:P...przenośny dysk... Nie umiecie spojrzeć obiektywie na czyjąś pracę? Napracowałem się jak głupi a tu proszę...zero obiektywizmu:D Gdybym się nie liczył z kosztami wymiany dysku, to raczej bym tego nie robił. Trzeba było być 17 kwietnia w zeszłym roku w Koszalinie, ciekawe czy nadal byście utrzymywali że to najlepszy pomysł
#6
Napisano 10 04 2008 - 09:33
A kto w dobie dysków 1TB robi partycje po 400MB? 10 lat temu to mógłbyc problem, ale nie dziś.Używanie systemu plików NTFS w przypadku woluminu o rozmiarze mniejszym niż w przybliżeniu 400 MB nie jest zalecane z powodu dodatkowego miejsca na dysku zajmowanego przez system NTFS. Jest to miejsce przeznaczone na pliki systemowe NTFS, które zazwyczaj zajmują przynajmniej 4 MB miejsca na partycji o rozmiarze 100 MB.
Jak to nie jest jak jest?Obecnie w system plików NTFS nie jest wbudowane szyfrowanie plików. Dlatego możliwe jest uruchomienie systemu MS-DOS lub innego systemu operacyjnego i użycie narzędzia niskiego poziomu służącego do edycji dysków w celu wyświetlenia danych przechowywanych na woluminie NTFS.
Zgadza się, systemowego dysku nie zaszyfrujemy. Bo niby w jaki sposób, skoro szyfrowanie jest częścią systemu - więc najpierw ten system musi się uruchomić zeby szyfrowanie zaczęło działacEFS ograniczony jest do szyfrowania wyłącznie plików użytkownika i nie pozwoli nam zaszyfrować folderu C:\Windows ani żadnych plików oznaczonych jako systemowe. Nie pozwoli on nam również zaszyfrować całego dysku, chociaż możemy zaszyfrować poszczególne jego foldery.
No własnie tutaj widac że nie rozumiesz jak działa szyfrowanie windows. To o czym mówisz to dostęp do konta uzytkownika - i jest jak najbardziej do złamania, w ciągu parunastu minut. Ale szyfrowanie przy pomocy EFS-a jest zabezpieczone kluczem, zupełnie niezaleznym od konta. Jesli ten klucz usuniesz z systemu, i nagrasz na pena, dyskietkę czy coś innego, to nie jesteś w stanie odczytać zawartości zaszyfrowanych plików bez niego. Owszem znajdziesz plik, jesteś w stanie go odczytać (nawet pod windows bez problemu), ale w srodku masz sieczkę. Tak że mylisz tu dwie rzeczy - zabezpieczenia NTFS i szyfrowanie EFS - to są dwie zupełnie odrębne sprawy.Łamanie zabezpieczeń:
Nie jest trudne bo już od dawna istniało oprogramowanie pracujące nawet w DOS-ie i dekodujące dane. Nie jest to tyle trudne co czasochłonne.
Jeżeli dekodujemy plik SAM.bak i SYSTEM.bak możemy je bez problemu skopiować (ucinając końcówkę .bak) i wykorzystać do znalezienia hashy.
Jesli uważasz że szyfrowanie wbudowane w windows jest do niczego to polecam się zorientować dlaczego wersja windows na rynek amerykański różni się od tej na rynek europejski, właśnie w zakresie EFS-a. To powinno ci trochę naświetlić sprawę.SecureDoc - nie dostaniecie wersji demonstracyjnej bez pozytywnej opinii Agencji Bezpieczeństwa Wewnętrznego. Dlaczego tak jest? Ponieważ zaszyfrowane nim dane mogą stanowić problem dla specjalistów z policji lub innych służb państwowych. Aby zapoznać się z programem należy wypełnić formularz na stronie producenta lub dystrybutora i poczekać na przesyłkę pocztową. Oczywiście tak zabezpieczone dane są możliwe do wykradzenia, jednak nakłady finansowe oraz czas jaki byłby do tego potrzebny są zbyt duże i takie przedsięwzięcie jest nieopłacalne. Program nie jest adresowany do odbiorców indywidualnych, ale do instytucji i firm, którym naprawdę zależy na informacjach, a kradzież laptopa jest niczym w porównaniu ze stratą zapisanych na nim informacji. To byłoby warte uwagi i polecenia, jednak nadal nie ma informacji - o nie możliwym odszyfrowaniu
Rozumiem że chodzi o to http://di.com.pl/news/16325,0.htmlNie napisałem tego posta dlatego, że nie wiem o szyfrowaniu, ani po to by się wykłócać co jest lepsze a co gorsze:) Brakuje mi, żeby ktoś mi tłumaczył jak mam pisać na klawiaturze:P...przenośny dysk... Nie umiecie spojrzeć obiektywie na czyjąś pracę? Napracowałem się jak głupi a tu proszę...zero obiektywizmu:D Gdybym się nie liczył z kosztami wymiany dysku, to raczej bym tego nie robił. Trzeba było być 17 kwietnia w zeszłym roku w Koszalinie, ciekawe czy nadal byście utrzymywali że to najlepszy pomysł
W takim układzie moze i rzeczywiscie się to sprawdzi, pod warunkiem że rzeczywiście zniszczy dane na dysku i to nieodwracalnie (sprawdziłeś to w praktyce?). Ale jak dla mnie to bez sensu, nie ryzykowałbym straty wszystkich danych i dysku w każdej chwili przy pomocy takiego "zabezpieczenia" (wystarczy że coś źle zadziała, cd-rom wysunie tackę np. pod wpływem przypadkowego uderzenia w obudowę). Jak już to wolałbym wydać pieniądze np. na coś takiego http://www.allegro.pl/item328015402_328015402.html lub nawet zewnętrzną kieszeń z szyfrowaniem i miec pewność że moje dane są bezpieczne. Rozumiem że się napracowałeś, ale mi po prostu twój pomysł wydaje mi się się mało użyteczny, uważam że są inne, mniej kłopotliwe i bezpieczniejsze. Nie rozumiem czemu piszeż że nie jestem obiektywny - czy obiektywizm = zachwyt twoim pomysłem? Starałem się przeanalizować wszystkie za i przeciw w twoim pomyśle, niestety widze niewiele zalet tego rozwiązania a wiele wad.
#7
Napisano 10 04 2008 - 11:22
#8
Napisano 10 04 2008 - 13:16
Szyfrowanie mogłoby sie odbywać nie koniecznie z poziomu systemu.
To o czym pisałem to w ogóle zabezpieczenia przyczepiłeś tego pliku sam.bak i system.bak
Tak sprawdziłem na dwóch starych dyskach 3,5gbajtowych dyskach nawet z utrudnieniem
A ten szyfrator kosztuje więcej niż nowy dysk
Obiektywyizm to nie samo zjechanie czegokolwiek... Obiektywizm ce[beeep]e się też dobrą argumentacją
#9
Napisano 10 04 2008 - 13:42
Oczywiście że tylko te dane które zaszyfruje. Trudno zeby były niedostepne dostepne dane niezaszyfrowane, trochę to bez sensu. I po raz kolejny mylisz zabezpieczenie przed odczytem z szyfrowaniem. Zabezpieczenie przed odczytem łatwo obejść, ale jesli plik bedzie zaszyfrowany to mimo że go odczytasz nie będziesz wiedział co w nim jest. Jeśli twierdzisz że złamanie zabezpieczenia jest proste to ja udostepnie ci plik zaszyfrowany efs-em a ty powiesz mi co w nim jest - co Ty na to?Tylko te dane które zaszyfrujesz będą nie dostępne. Jeśli jest inaczej podaj mi jakiś dowód na to bo z tego co wiem to nawet na NTFS w dosie można kasować, kopiować i to bez problemu.
Zgadza się sa programy które to realizują. Są też szyfratory sprzętowe, jak pokazywałem.Ntfs-a podałem jako przykład najprostszy w realizacji i niepotrzebujący kompletnie żadnych nakładów finansowychSzyfrowanie mogłoby sie odbywać nie koniecznie z poziomu systemu.
Niczego się nie czepiłem. Chodzi o to że mylisz zabezpieczenia NTFS z szyfrowaniem. Przeczytaj jeszcze raz co napisałemTo o czym pisałem to w ogóle zabezpieczenia przyczepiłeś tego pliku sam.bak i system.bak
Ale chyba podałem sporo argumentów dlaczego uważam twoje rozwiązanie za nienajlepsze, podałem równiez alternatywy, które są wg. mnie prostsze w użyciu.Obiektywyizm to nie samo zjechanie czegokolwiek... Obiektywizm ce[beeep]e się też dobrą argumentacją
#10
Napisano 12 07 2008 - 23:01
#11
Napisano 13 07 2008 - 13:05
No to przed policją się nie zabezpieczysz bo ci wcześniej prąd wyłączą byś nie mógł wykasować danych na dysku, chba że wcześniej zaopatrzysz się w odpowiedniego UPS-a.
Chyba niedokładnie przeczytałes budowę i zasade dziłania zebazpieczenia. Magnesy sa zasilane baterią od tel kom, więc nic nie da odcięcie zasilania sieciowego - dane zostaną usunięte (teoretycznie).
#12
Napisano 04 11 2008 - 12:49
#13
Napisano 04 11 2008 - 22:00
Użytkownicy przeglądający ten temat: 0
0 użytkowników, 0 gości, 0 anonimowych