个人计算机使用的气隙实现

信息安全 linux 气隙
2021-08-25 17:59:28

我最近阅读了Bruce Schneier关于设置气隙计算机的文章,并希望改进我的设置(与我目前的“使用一台 Windows PC 处理一切”模型相比)。我要防范的主要威胁是通过驱动下载或电子邮件附件受到恶意软件的攻击......然后让该恶意软件将敏感数据从我的计算机发送给黑客。我脑子里有一个计划,希望能得到一些反馈。

注意:我只寻求针对远程攻击者的安全性,而不是针对闯入我家的人、用装满天线的货车攻击我的 WiFi 网络等。此外,匿名不是我的目标。

我的计划是:购买 2 台新笔记本电脑。一台将成为气隙机器,另一台将成为联网机器(用于网页浏览、登录电子邮件服务器、网上银行、聊天软件等)。购买只有 WiFi 且没有蜂窝或蓝牙卡的便宜的。

气隙笔记本电脑设置:

  1. 开机前,打开机箱,取出 WiFi 卡。用胶带粘住网络摄像头。
  2. 通过我已经刻录的 DVD 安装 linux 发行版(是的,我计划通过验证 ISO 上的签名等过程)。
  3. 通过以太网连接到我的路由器,这样我就可以上网足够长的时间来 a) 运行软件更新程序 b) 通过 apt-get 安装 gnupg2 和 keepassx。
  4. 断开它与以太网的连接,永远不要再连接到网络。
  5. 生成 PGP 密钥对。
  6. 使用 keepassx 为我的各种网站/电子邮件帐户生成和存储新的强密码。

联网笔记本电脑设置:

  1. 录制网络摄像头。
  2. 通过 DVD 安装相同的 linux 发行版。
  3. 运行软件更新程序。
  4. 安装 VirtualBox。
  5. 设置一个 linux VM 并在其上运行软件更新程序。
  6. 尝试通过修改设置、安装 NoScript、HTTPS Everywhere 等来强化虚拟机上的 Firefox 版本。
  7. 拍摄 VM 的快照。

网页浏览:

  1. 仅使用 VM(而不是主机操作系统)浏览 Web。
  2. 每次切换上下文(从网上银行到安全研究再到个人电子邮件等)后,将 VM 还原到其最后一个良好的快照。
  3. 定期在快照上运行软件更新程序并将其存储为新的好快照。

电子邮件:

  1. 使用联网机器检索人们的公钥。将它们刻录到 CD。将 CD 传输到气隙机器。在隔离的机器上撰写和加密电子邮件。刻录到CD并传输到联网机器上发送。
  2. 阅读电子邮件时,使用联网机器从服务器中检索电子邮件并将其保存到文本文件中。将文本文件刻录到 CD 并传输到气隙机器进行解密。然后从步骤 1 开始重复。

重要提示:应该在联网机器上的主机操作系统上执行的唯一任务是:

  1. 运行软件更新程序
  2. 运行 VirtualBox
  3. 通过共享文件夹 VirtualBox 功能向/从虚拟机传输文件
  4. 刻录供气隙机使用的 CD 和读取气隙机刻录的 CD。

我的问题:

  1. 是否有任何特定的 Linux 发行版更能抵抗来自路过式下载或附件的恶意软件?
  2. 是否存在已知的恶意软件篡改联网 linux 机器上的 CD 刻录过程的实例,从而可以将感染传递给有气隙的 linux 机器?我意识到受感染的气隙机器可以将额外的数据刻录到 CD 上(稍后被联网机器上的恶意软件读取)。但我特别关心的是恶意软件如何通过 CD 感染有气隙的 linux 机器。当插入 DVD 或 USB 记忆棒时,Windows 有它的 AutoRun 漏洞,但是 linux 有类似的东西吗?
  3. 总的来说,我的计划是否有遗漏或可以改进的地方?

提前致谢!

4个回答

我将只关注您的方法的一些问题:

  • 不安全的系统会写入 CD,因此可以篡改 CD 上的数据,也可以篡改 CD 的格式,即文件系统。
  • 然后该 CD 由安全(气隙)系统读取并安装在那里。挂载在内核内部完成(即系统级访问),过去在这方面存在错误
  • 是否存在劫持此过程的恶意软件无关紧要。通过您的设置,您将更多地瞄准防御有针对性的攻击领域,并且只有在可以开发此类恶意软件时才重要。我认为这应该不会太难。

此外,当您在气隙机器上加密外发邮件时,您需要解密不安全机器上的外来邮件,否则您无法将这些邮件转换为您想要的纯文本。这意味着解密的和可能敏感的信息在不安全的机器上可用。如果您改为将加密的传入邮件传输到气隙机器,那么您必须在那里处理(可能是恶意的)附件。

而且,虽然产品推荐是题外话(但你要求这些):我不会推荐任何通用 Linux 发行版。至少要使用 Grsecurity 强化的东西,或者只使用 OpenBSD。与 Linux 相比,它们更关注设计上的安全性和深度安全性。

您可以使用 amodem ( https://github.com/romanz/modem ) 代替 write-once 媒体。在屏蔽音频电缆上速度非常快。也适用于射频,但这不是你的需要。只从网关计算机发送,只在有间隙的计算机上接收。必要时,切换它。

避免使用可能不合适的文件格式(大多数媒体文件),并且仅使用您在有间隙的计算机上具有有效 GPG/PGP 签名的档案。不要以特权用户身份运行 amodem,仅以专门为该程序创建的用户身份运行它。

Amodem 本身可以通过一些强化技巧(我不是专家)进行编译,但至少是静态的,PIE,并添加一些 grsec/PaX 和 apparmor 控制。如果真的很严重,请将其放入 chroot 中,仅在 /dev 中包含绝对必要的设备。在单工操作中,它不能将数据泄漏回发送计算机。

您的系统存在一个主要缺陷:物理安全性。只有在您的视线范围内,您的气隙机器才是安全的。如果您不理会它,有人可能会闯入,安装他们喜欢的任何东西,然后再与您一起离开。字母汤代理机构的气隙机器一直受到监视。你能做的最好的事情就是永远不要让任何人知道你有一台你已经告诉全世界的气隙计算机......对不起,伙计,你已经结束了......

您的方法非常安全,但如果有针对性的攻击者真的想进入您的隔离计算机,他们或许能够做到。假设在连接 Internet 的计算机上获得了完整的远程访问。无论您向光学介质写入什么内容,攻击者都将对其进行监控。您放置在其上的任何可执行文件都可能被恶意软件感染。如果您没有在其上放置任何可执行文件,那么攻击者可能能够找到针对媒体文件和其他刻录到媒体的文档等内容的漏洞利用。也可以尝试利用媒体上使用的文件系统中的缺陷。任何要在隔离计算机上编译的开源软件都可以添加额外的代码。

一旦您的气隙计算机被感染,自动扫描仪会寻找任何有趣的东西并将其写回光学介质。因此,您必须在每次使用后丢弃媒体或使用只读驱动器,并且不打算从该系统复制文件。好消息是,万一发生这样的事情,您将拥有媒体上使用的漏洞利用的永久副本。

真的没有必要遮盖气隙计算机上的网络摄像头。此外,如果您愿意稍微降低气隙并且需要双向文件传输,IrDA 是一种相当安全的文件传输方式。

其它你可能感兴趣的问题
上一篇为什么 MD5 被认为是易受攻击的算法? 下一篇如何将访问令牌/密码重置令牌存储在数据库中?