GNU/Linux >> Linux Esercitazione >  >> Linux

Come utilizzare in pratica la sicurezza ATA su un disco rigido?

Attualmente non è possibile utilizzare ATA Security con i Mac, EFI non lo implementa e blocca (blocca) l'unità dopo l'inizializzazione EFI. Quindi non è possibile eseguire ulteriori manipolazioni della sicurezza ATA con hdparm o simili. Anche se eludi il blocco ATA (che è possibile) in Linux e quindi imposti una password o imposti una password quando l'HDD si trova in un altro PC che supporta la sicurezza ATA, non hai modo di sbloccare il dispositivo all'avvio da efi per iniziare il tuo sistema operativo preferito dall'SSD sul Mac (book Pro).

Come accennato in precedenza da altre persone, esistono estensioni BIOS o mod EEPROM che possono essere applicate ai normali PC per abilitare lo sblocco all'avvio per schede madri che non supportano l'avvio di dispositivi protetti ATA da soli. Tuttavia, per quanto ne so, non sono applicabili a Mac ed EFI.

Tutto quello che puoi fare è inviare una segnalazione di bug ad Apple.

Spero che questo venga implementato in futuro...


Questa è la mia comprensione di ATA Security e SED:

La sicurezza ATA è diversa da SED. SED (unità di crittografia automatica) significa che l'unità confonderà i dati sui comandi di scrittura utilizzando la crittografia. Un'unità SED crittografa sempre i dati, indipendentemente dalle impostazioni di sicurezza ATA (e/o capacità). Si noti che un'unità SED non può archiviare dati non crittografati. Il vantaggio della crittografia è che non è possibile ottenere i dati originali leggendo le piastre dell'unità in laboratorio. ATA Security non è una funzione di crittografia, solo una funzione di blocco/sblocco. L'utente (il BIOS) imposta una password che deve essere inviata nuovamente ad ogni accensione del drive. Senza la password il controller dell'azionamento vieta i comandi di lettura/scrittura. I dati sul disco non sono interessati. Se l'unità è SED, sono già crittografate, se non è un SED non lo sono. La sicurezza ATA dovrebbe essere bypassabile leggendo la targa in laboratorio con un altro controller.

Sembra che ci siano estensioni per abilitare ATA Security nel BIOS. Vedere:http://www.fitzenreiter.de/ata/ata_eng.htm

Aggiunto il 31 gennaio:

pvj :mi dispiace non posso aggiungere un commento alla mia risposta precedente, sembra perché non sono un utente registrato. Ecco alcune informazioni aggiuntive:

Riguardo a come attivare la funzione ATA Security (password HDD) sulla tua scheda madre:non conosco la risposta e la sto anche cercando (il mio caso è una scheda Asus). Detto questo, lascia che ti spieghi questa posizione che ho ottenuto dopo un'approfondita ricerca.

Le schede per laptop supportano solitamente ATA Security come parte del processo di accensione, richiedendo la password dell'HDD (da non confondere con la password di accensione / "BIOS") e passandola all'HDD che poi si sblocca. Nota che l'HDD si bloccherà automaticamente dopo 5 tentativi con un pwd errato. Dopodiché è necessario spegnere l'HDD (spegnendo il computer...) per ottenere 5 nuove possibilità. Questo per rendere difficili gli attacchi di forza bruta.

Le schede madri desktop non supportano ATA Security, almeno non ne ho trovate di recenti che supportino questa semplice funzionalità. Questo mi lascia perplesso, e chiedendomi quanto i produttori di BIOS come AMI o Phoenix tengano davvero ai loro utenti, sembra che abbiano cercato di essere il meno innovativi possibile durante questi ultimi 20 anni. Per quanto riguarda Apple non posso rispondere.

Per essere chiari:la funzione ATA Security è qualcosa che viene fornito gratuitamente con l'HDD degli ultimi anni ed è totalmente gestito dall'HDD. L'unico sforzo richiesto dalla scheda madre è richiedere la password all'utente per conto dell'HDD, passarla all'HDD e poi dimenticarsene. Questo è qualcosa di molto sicuro, anche se molto semplice, e per il solito proprietario di un computer questa è l'unica caratteristica di cui ha bisogno per proteggere efficacemente la sua vita privata e piccoli segreti come le password della posta in caso di furto. Ma il BIOS non fornisce ancora l'interfaccia per questa funzione.

C'è un trucco per modificare la EEPROM del BIOS in modo che chiami una routine aggiuntiva che richiederà l'HDD pwd e lo passerà all'HDD. Questo è il link che ho fornito sopra. Questa modifica probabilmente non funzionerà per le versioni "EFI" del BIOS, ma può aiutare verso la soluzione. Potrebbe non funzionare nemmeno con un BIOS specifico e provare questa soluzione richiederebbe il supporto per il backup / ripristino del BIOS nel caso in cui le cose vadano male, cosa che è probabile che si verifichi. Si noti che "E" in EFI significa "estensibile" e che la scrittura di estensioni per supportare le funzionalità dovrebbe essere facile. Questo potrebbe portare le persone a scrivere driver di sicurezza ATA open source in futuro... (invece dei produttori di BIOS, che aggiungeranno un po' di modernismo a questa oscura questione).

Sembra che sia possibile "inserire" codice tra il processo di accensione e il caricamento del sistema operativo. Questo verrebbe fatto impostando il codice MBR corretto. Questo codice richiede prima la pwd dell'HDD, quindi se l'HDD è sbloccato chiama il caricatore del sistema operativo che sarebbe stato eseguito direttamente senza la modifica.

Detto questo, sono bloccato lì, esattamente come te. Anch'io, ho bisogno del supporto per la password dell'HDD. ma vedo che desktop mobo non lo supporta. Che peccato! questo potrebbe spiegare perché le persone si stanno spostando verso la crittografia che è come usare una mazza per rompere un dado, la crittografia serve per impedire di rimuovere i piatti dell'unità e leggerli con materiale di laboratorio sofisticato, non utilizzando un normale chip controller HDD, ha affermato altrimenti questo è per prevenire lo spionaggio industriale hi-tech. Non credo che i ladri di strada lo facciano per avere un paio di foto delle vacanze, video porno e messaggi di saluto a cui comunque non importa.

È sorprendente vedere questa frenesia attorno a Bitlocker, PGP, qualsiasi software crittografico che ha prerequisiti, è complesso, richiede soluzioni di ripristino, ecc., Mentre la soluzione è già presente sulla scheda HDD .... ma bloccata dai pigri del BIOS. Va detto, in modo che quei ragazzi facciano qualcosa per dimostrare che vogliono aiutare i loro utenti paganti.


Linux
  1. Come usare dd in Linux senza distruggere il tuo disco

  2. Come abbassare la temperatura dell'HDD?

  3. Come utilizzare Ubuntu Server Disk Top

  4. Come ottenere il numero di serie del disco rigido utilizzando Python

  5. Come sapere se un disco è un SSD o un HDD

Come utilizzare NMAP Security Scanner su Linux

Come trovare i dettagli del disco rigido in Linux

Come trovare la velocità di trasferimento dei dati del disco rigido in Linux

Come controllare i blocchi danneggiati o i settori danneggiati sul disco rigido in Linux

Come controllare la dimensione totale del disco rigido nel terminale Ubuntu

Come posso monitorare il carico del disco rigido su Linux?