যে কোনও ব্যক্তি আপনার কম্পিউটারে রুট [গ্রুব / ব্যাশ ব্যবহার করে] কোনওরকমভাবে সুরক্ষিত হওয়ার জন্য শারীরিক অ্যাক্সেস অর্জন করেছেন তার দক্ষতা কীভাবে সুরক্ষিত?
কারণ লিনাক্স যদি এটি করা শুরু করে, হ্যাকাররা কেবল অন্যান্য সুরক্ষা গর্তগুলি কাজে লাগাবে। সুরক্ষার প্রথম নিয়মটি হ'ল যদি আপনার সিস্টেমে আমার কাছে শারীরিক অ্যাক্সেস থাকে তবে এটি শেষ। আমি জিতেছি.
এছাড়াও, ভাবুন আপনার এক্স সার্ভারটি ভেঙে গেছে এবং আপনার আর জিইউআই নেই। জিনিসগুলি ঠিক করার জন্য আপনাকে পুনরুদ্ধার কনসোলে বুট করতে হবে তবে আপনি পারবেন না, কারণ এটি অনিরাপদ। এই ক্ষেত্রে, আপনি সম্পূর্ণরূপে ভাঙা ব্যবস্থা রেখে গেছেন, তবে ওহে, অন্তত এটি "সুরক্ষিত!"
তবে কাজ, এটা কীভাবে সম্ভব? আমি আমার গ্রবে একটি পাসওয়ার্ড সেট করেছি যাতে আপনি আমার initবাশে পরিবর্তন করতে পারবেন না !
ওহ, তুমি করেছ, তাই না? আকর্ষণীয়, কারণ এটি আপনার ফটো অ্যালবামের মতো দেখাচ্ছে। GRUB এর কোনও অন্তর্নিহিত সুরক্ষা ফ্যাক্টর নেই। এটি কেবল একটি বুটলোডার , কিছু সুরক্ষিত বুট এবং প্রমাণীকরণ চেইনের একটি পদক্ষেপ নয়। আপনি যে "পাসওয়ার্ড" সেটআপ করেছেন তা আসলে বাইপাস করাটা খুব সুন্দর।
এটি, এবং কি সিসাদমিন জরুরী পরিস্থিতিতে তাদের উপর বুট ড্রাইভ বহন করে না ?
কিন্তু কিভাবে?! আপনি আমার পাসওয়ার্ড জানেন না (যা সম্পূর্ণ P@ssw0rdবিটিডব্লিউ নয় )
হ্যাঁ, তবে এটি আপনাকে আপনার কম্পিউটার খুলতে এবং আপনার হার্ড ড্রাইভটি বের করতে বাধা দেয় না। সেখান থেকে, আমার কম্পিউটারে আপনার ড্রাইভ মাউন্ট করার কয়েকটি সহজ পদক্ষেপ এটি আমাকে আপনার সমস্ত সিস্টেমে অ্যাক্সেস দেয়। এটি আপনার BIOS পাসওয়ার্ড বাইপাস করার দুর্দান্ত সুবিধা আছে। এটি, বা আমি কেবল আপনার সিএমওএস পুনরায় সেট করতে পারতাম। এটা বা ওটা.
সুতরাং ... আমি কীভাবে আপনাকে আমার ডেটা অ্যাক্সেস করতে দেব না?
সহজ। আপনার কম্পিউটারকে আমার থেকে দূরে রাখুন। আমি যদি এটি স্পর্শ করতে পারি, একটি কীবোর্ড অ্যাক্সেস করতে পারি, আমার নিজের ফ্ল্যাশ ড্রাইভগুলি sertোকাতে পারি বা এটিকে আলাদা করে রাখতে পারি, আমি জিততে পারি।
সুতরাং, আমি কি কেবল আমার কম্পিউটারকে একটি ডেটাসেন্টার বা কোনও কিছুর মধ্যে রেখে দিতে পারি? এগুলি বেশ সুরক্ষিত, তাই না?
হ্যাঁ, তারা। তবে, আপনি ভুলে যাচ্ছেন যে মানুষগুলিও হ্যাকযোগ্য, এবং যথেষ্ট সময় এবং প্রস্তুতি দেওয়ার পরে আমি সম্ভবত সেই ডেটাসেটারে getুকতে পারব এবং আপনার কম্পিউটার থেকে মিষ্টি, মিষ্টি ডেটাগুলি সفون করতে পারব। কিন্তু আমার দ্বিমত আছে. আমরা এখানে প্রকৃত সমাধানগুলি নিয়ে কাজ করছি ।
ঠিক আছে, তাই আপনি আমার ব্লাফ বলেছেন। আমি এটি একটি ডেটাসেন্টারে রাখতে পারি না। আমি কি কেবল আমার বাড়ির ফোল্ডার বা অন্য কিছু এনক্রিপ্ট করতে পারি?
অবশ্যই, আপনি পারেন! এটি আপনার কম্পিউটার! এটা আমাকে থামাতে সাহায্য করবে? একটুও না. আমি কেবল /usr/bin/firefoxনিজের দূষিত প্রোগ্রামের মতো গুরুত্বপূর্ণ কিছু প্রতিস্থাপন করতে পারি। পরের বার আপনি ফায়ারফক্স খোলার পরে, আপনার সমস্ত গোপনীয় তথ্য কোথাও গোপনীয় কোনও সার্ভারে ছেড়ে দেওয়া হয়। এবং আপনি জানেন না। অথবা, যদি আপনার মেশিনে আমার ঘন ঘন অ্যাক্সেস থাকে তবে আমি অনুলিপি করার জন্য আপনার বাড়ির ফোল্ডারটি ঠিক তেমন /usr/share/nonsecrets/home/কোনও অনুরূপ (অ-এনক্রিপ্ট করা) স্থানে স্থাপন করতে পারি।
ঠিক আছে, ফুল ডিস্ক এনক্রিপশন সম্পর্কে কি?
এটা ... আসলে বেশ ভাল। তবে এটি এখনও নিখুঁত নয়! আমি সর্বদা সংক্ষিপ্ত বাতাসের আমার বিশ্বাসযোগ্য ক্যান ব্যবহার করে একটি শীতল বুট আক্রমণ করতে পারি। অথবা, আমি কেবল আপনার কম্পিউটারে একটি হার্ডওয়্যার কীলগার প্লাগ করতে পারি। একজন অন্যজনের চেয়ে স্পষ্টতই সহজ, তবে উপায়টি আসলে কোনও বিষয় নয়।
ইন সুবিশাল বেশিরভাগ, এই একটি ভাল মুহুর্তে থামা জায়গা। এটি টিপিএমের সাথে জুড়ুন (নীচে আলোচনা করা হয়েছে), এবং আপনি সোনার। আপনি যদি কোনও তিন-অক্ষরের এজেন্সি বা খুব অনুপ্রাণিত হ্যাকারকে রাগ না করেন তবে কেউ এই পর্যায়ে অতীতের প্রচেষ্টার মধ্য দিয়ে যেতে পারবে না।
অবশ্যই, আমি আপনাকে পিপিএ বা অনুরূপ অফার দিয়ে কিছু ম্যালওয়ার / ব্যাকডোর ইনস্টল করতে পারি তবে এটি ব্যবহারকারীর আস্থার খুব ন্যূনতম অঞ্চলে যায়।
সুতরাং ... আইফোনগুলি এত সুরক্ষিত কীভাবে? এমনকি শারীরিক অ্যাক্সেস সহ, আপনার করার মতো খুব বেশি কিছু নেই।
ভাল, হ্যাঁ এবং না। আমি বোঝাতে চাইছি, যদি আমি যথেষ্ট অনুপ্রাণিত হয়ে থাকি তবে আমি ফ্ল্যাশ চিপটি পড়তে এবং আমার প্রয়োজনীয় সমস্ত জিনিসগুলি পেতে পারি। তবে, আইফোনগুলি সম্পূর্ণরূপে লকড প্ল্যাটফর্ম হওয়ায় মূলত ভিন্ন। তবে, একই সময়ে, আপনি সত্যিকারের ব্যবহারযোগ্যতা এবং বিপর্যয়কর ব্যর্থতা থেকে পুনরুদ্ধার ক্ষমতা ত্যাগ করেন। GRUB (খুব বিশেষভাবে ডিজাইন করা ব্যতীত) কোনও সুরক্ষা সিস্টেমে একটি চেইন হিসাবে বোঝানো হয় না । প্রকৃতপক্ষে, বেশিরভাগ লিনাক্স সিস্টেমগুলির সুরক্ষা চেইনগুলি পোস্ট-বুট শুরু হয়, তাই GRUB এর কাজ শেষ করার পরে।
এছাড়াও, আইফোনে ক্রিপ্টোগ্রাফিক স্বাক্ষর প্রয়োগ রয়েছে (নীচে আলোচনা করা হয়েছে), যা ম্যালওয়্যারের পক্ষে বৈধ পথে যাওয়ার জন্য আপনার ফোনে ঝাঁপিয়ে পড়া খুব কঠিন করে তোলে ।
তবে টিপিএম / স্মার্টকার্ডস / [এখানে ক্রিপ্টো প্রযুক্তি সন্নিবেশ করানো] সম্পর্কে কী?
ভাল, এখন আপনি সমীকরণের সাথে শারীরিক সুরক্ষা জুটি করছেন, এটি আরও জটিল হয়ে ওঠে। তবে, এটি সত্যিই কোনও সমাধান নয় কারণ টিপিএমগুলি তুলনামূলকভাবে দুর্বল এবং সমস্ত এনক্রিপশন অন-চিপটি নেয় না। যদি আপনার টিপিএম যথেষ্ট শক্তিশালী থাকে যেখানে এটি চিপ নিজেই এনক্রিপশন করে (কিছু খুব অভিনব হার্ড ড্রাইভগুলির মধ্যে এরকম কিছু থাকে), কীটি কখনই প্রকাশিত হবে না এবং কোল্ড-বুট আক্রমণগুলির মতো জিনিস অসম্ভব। যাইহোক, কীগুলি (বা কাঁচা তথ্য) এখনও সিস্টেম বাসে উপস্থিত থাকতে পারে, যার অর্থ তারা বাধা দিতে পারে।
তবুও, আমার হার্ডওয়্যার কীলগারটি এখনও আপনার পাসওয়ার্ড পেতে পারে এবং আমি আগে উল্লেখ করেছি ফায়ারফক্সের শো লা মেশিনে আপনার মেশিনে খুব সহজেই লোড করতে পারি। আমার কেবলমাত্র আপনার প্রয়োজন হল আপনার বাড়ি / কম্পিউটারটি এক ঘন্টার জন্য ছেড়ে চলে যেতে।
এখন, আপনি যদি নিজের টিপিএম / স্মার্টকার্ড / যা কিছু আপনার সাথে নিয়ে যান এবং সমস্ত এনক্রিপশন আসলে চিপটিতে সম্পন্ন হয় (যার অর্থ আপনার কীটি কোনও র্যামে সঞ্চিত নেই) তবে আমার পক্ষে এটি প্রবেশ করা প্রায় কার্যত অসম্ভব impossible সমস্ত, যদি না আপনি (ব্যবহারকারী) কিছুটা পিছলে যায় এবং কিছু ভুলে না যায়। এটি হ'ল যদি না আমি সিস্টেম বাস থেকে (এনক্রিপ্ট করা) কীটি পড়ার কোনও উপায় না পাই।
তবে আমার যদি সমস্ত প্রোগ্রামের কপিরাইটোগ্রাফিক / ডিজিটাল স্বাক্ষর প্রয়োগের কিছু ফর্ম থাকে তবে তা আইনী কিনা তা নিশ্চিত করার জন্য?
বিভিন্ন স্মার্টফোন সংস্থার দ্বারা প্রদর্শিত হিসাবে, এটি সুরক্ষা নিয়ে কাজ করার একটি খুব ভাল উপায়। ঘৃণ্য কাজগুলি করার জন্য আপনার মেশিনে কিছু কোড ইনজেক করার আমার ক্ষমতা এখন আপনি বাতিল করেছেন, এটি একটি প্লাস। কার্যকরভাবে, আপনি আপনার মেশিনে দূরবর্তীভাবে অবিচ্ছিন্ন অ্যাক্সেস বজায় রাখার আমার ক্ষমতা অক্ষম করে দিয়েছেন, এটি একটি বিশাল প্লাস।
তবে, এটি এখনও একটি নিখুঁত পদ্ধতি নয়! ডিজিটাল স্বাক্ষর প্রয়োগকারী একটির জন্য একটি হার্ডওয়্যার কীলগার থামাবে না। এটি সম্পূর্ণরূপে বাগ-মুক্ত হওয়াও দরকার, অর্থাত আমার কোনও শোষক এটির উপায় খুঁজে পাবার উপায় নেই যা আমাকে নিজের শংসাপত্রের শংসাপত্রের দোকানে নিজের শংসাপত্রটি লোড করতে দেয়। তদতিরিক্ত, এর অর্থ আপনার সিস্টেমে প্রতিটি এক্সিকিউটেবলের স্বাক্ষর হওয়া দরকার । আপনি যদি ম্যানুয়ালি through সব কিছু করতে না চান তবে অ্যাপটি প্যাকেজগুলি এবং এর মতো সমস্ত কিছুর উপর ডিজিটাল স্বাক্ষর থাকা সন্ধান করা খুব কঠিন হতে চলেছে। অনুরূপ শিরাতে, এটি স্বাক্ষরবিহীন এক্সিকিউটেবল, যথা পুনরুদ্ধারের জন্য বৈধ ব্যবহারগুলি অবরুদ্ধ করে। আপনি যদি কোনও গুরুত্বপূর্ণ কিছু ভঙ্গ করেন এবং এটি সংশোধন করার জন্য আপনার (স্বাক্ষরিত) এক্সিকিউটেবল না রয়েছে? ঠিক আছে, আপনার সিস্টেম আছে।
যে কোনও উপায়ে, লিনাক্সে এটি করার একটি প্রচেষ্টা মূলত সবই ত্যাগ করা হয়েছে এবং নতুন কার্নেলের জন্য আর কাজ করে না, তাই আপনার নিজের তৈরি করতে হবে।
তো, আপনাকে আমার কম্পিউটার থেকে দূরে রাখা কি অসম্ভব?
কার্যকরভাবে, হ্যাঁ, দুঃখিত। আমার যদি শারীরিক অ্যাক্সেস এবং পর্যাপ্ত অনুপ্রেরণা থাকে তবে কোনও সিস্টেমে প্রবেশ করা সর্বদা সম্ভব। কোন আশা নাই.
বাস্তবে, যদিও, বেশিরভাগ দুষ্ট লোক কেবল কিছু বিড়ালের ছবির জন্য এটিকে এগিয়ে যাওয়ার চেষ্টা করবে না। সাধারণত, বেশিরভাগ স্ক্রিপ্ট কিডিকে তাদের দুই সেকেন্ডের খ্যাতি পেতে বাধা দিতে কেবল ফুল-ডিস্ক এনক্রিপশন (বা এমনকি কেবল লিনাক্স চালানোও যথেষ্ট) is
টিএল; ডিআর: কেবলমাত্র আপনার কম্পিউটারের কাছাকাছি থাকা লোকদের আপনি বিশ্বাস করবেন না। এটি সাধারণত যথেষ্ট ভাল।