Computerbeveiliging - Hoe je bad guys buiten de deur houdt

HD password

23-09-2015, 15:09 door Anoniem, 5 reacties
Weet iemand hoe je (zonder veel omwegen als extra bootable media met een speciale bootloader) gebruik kan maken van een harddisk password als je BIOS deze optie niet ondersteund?

Een harddisk password is de meest eenvoudige en doeltreffende manier om je data te beschermen bij diefstal (een gemiddelde dief zie ik niet firmware reverse engineeren of platters ombouwen, uit nieuwsgierigheid of verveling).

Sterker nog om self encrypting drives (de meeste moderne SSD's) als bedoeld te laten werken is dit password een vereiste.

Maar nu komt het. Slechts een handjevol laptops beschikt over de optie om voor het booten van het OS dit wachtwoord aan de gebruiker te vragen. En dat is wel handig als het de enige HD in het systeem is waarvan geboot moet worden. Desktops met BIOS ondersteunen het normaal nooit (want deze kunnen niet gestolen worden...?!) en een UEFI power on password blijkt gewoon altijd los te staan van het HD password. Tja leuk, je kan met hdparm na het booten een password instellen, maar na een reboot start je OS niet meer, zinloos dus.

Dus wat heeft deze functie nu eigenlijk voor n zin als geen enkele BIOS of UEFI er ondersteuning voor biedt?
Reacties (5)
23-09-2015, 16:11 door PietdeVries
Uhm, wellicht begrijp ik je vraag verkeerd, maar kan je niet gewoon de encryptie optie kiezen die met het OS meekomt? Windows heeft bijvoorbeeld Bitlocker, en ook Linux staat het encrypten van de partitie toe. Het kan ook met een third-party applicatie zoals Voltage: dat encrypt de hele schijf maar staat wel booten toe zonder meteen om een wachtwoord te vragen.
23-09-2015, 16:31 door Anoniem

Uhm, wellicht begrijp ik je vraag verkeerd
De vraag is ook versleuteld. ;)
Je moet het een paar keer lezen en dan nog denk je ehhh

Ik denkt dat ie bedoeld , PC opstarten vanaf externe HD.
Als je dan opstart vanaf die externe HD, moet er eerst een password gevraagd worden.
Tja, dan inderdaad gewoon een encryptieprogramma gebruiken.

Veracrypt met hidden OS optie.
https://veracrypt.codeplex.com/wikipage?title=VeraCrypt%20Hidden%20Operating%20System
23-09-2015, 16:31 door Anoniem
Door PietdeVries: Uhm, wellicht begrijp ik je vraag verkeerd, maar kan je niet gewoon de encryptie optie kiezen die met het OS meekomt? Windows heeft bijvoorbeeld Bitlocker, en ook Linux staat het encrypten van de partitie toe. Het kan ook met een third-party applicatie zoals Voltage: dat encrypt de hele schijf maar staat wel booten toe zonder meteen om een wachtwoord te vragen.

Dat zou kunnen, maar dat is niet de oplossing van het probleem en daarbij heeft het ook enkele nadelen;
- het is niet meer transparant en maakt o.a het werken met disk images lastiger
- bij het corrupt raken van cruciale sectoren (locatie bootloader b.v.) wordt je hele disk onleesbaar
- het is gemakkelijker (softwarematig) aan te vallen; evilmaid methode b.v.
- bij selfencrypting drives wordt de data sowieso al versleuteld (ook zonder password); dus onzin om het 2x te versleutelen met bijhorende performance impact (en dus accuduur van mobiele apparaten).
23-09-2015, 16:56 door Anoniem
Het is een beetje als de sleutels in je auto laten zitten.

Aangezien hdparm gebruik maakt van ATA commando's om de schijf op slot te zetten zul je het NIET kunnen uitvoeren vanaf een dichte schijf.
Een secundaire bootmedium met een grub oid die een input naar hdparm passed is toch wel nodig.
23-09-2015, 17:52 door Anoniem
Door Anoniem: Het is een beetje als de sleutels in je auto laten zitten.

Aangezien hdparm gebruik maakt van ATA commando's om de schijf op slot te zetten zul je het NIET kunnen uitvoeren vanaf een dichte schijf.
Een secundaire bootmedium met een grub oid die een input naar hdparm passed is toch wel nodig.

Inderdaad en zo kom je weer uit op een extra medium als een USB stick, waarbij de pc vanaf USB sticks moet gaan booten en de sticks weer kwetsbaar zijn voor evil maid attacks.

Ergens hoopte ik op iets als een EFI shell script of in elk geval een open source bootloader project wat dit al kan / hier voor gemaakt is, maar ik kan er maar erg weinig over vinden. En dat is vreemd eigenlijk want het is toch een uitstekende manier om je data transparant te beschermen met self encrypting drives; alleen gespecialiseerde bedrijven hebben een kans om bij de data te komen terwijl elke software oplossing die dieven snel en gemakkelijk kunnen uitbuiten, niet werkt.

Ideaal zou je zeggen; maar waarom kan het niet werken of weet niemand hoe dit moet?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.