Remote-Wipe

[scientific]

Hallo Leute!

Bei uns ist es leider so, dass in der Firma nur Mac und Win zugelassene Desktop-Betriebssysteme sind. Der Grund ist relativ einfach:
Diese beiden können einfach in Microsofts Mobile-Device-Management Intunes eingebunden werden. Linux nicht.
Es wurde ein anderes System, welches Linux auch unterstützt auch schon getestet, aber die Kosten für den Umstieg und den Betrieb übersteigen das Budget deutlich...

Ich bin jetzt auf der Suche nach einer Lösung, dass ich dennoch Linux am Desktop meines Laptops verwenden kann. Und so wie ich es herausgehört habe, ist der Knackpunkt für die Überzeugung, dass ein Remote-Wipe der gesamte Festplatte möglich sein muss. Ich hab zwar Secure-Boot aktiviert (Fedora machts möglich) und die gesamte Linux-Partition verschlüsselt... aber die Verantworlichen kommen immer wieder darauf zurück, dass ein Remote-Wipe mit Linux nicht möglich ist.

Ich authentifiziere mich am Laptop mittels sssd gegen einen LDAP-Server. Dazu hab ich einen Maschinen-Account und die User-Accounts.
Leider ist der sssd unter Fedora nicht stabil, sodass ich ihn immer wieder einmal als lokaler root neu starten muss, damit die Domain wieder Online verfügbar ist... Aber das ließe sich mit einem auto-Restart von sssd nach sleep auch noch relativ leicht beheben.
Mir schwebt da jetzt eine Lösung vor:
Nach jedem Boot oder Wakeup fragt eine systemd-Unit beim LDAP-Server nach, ob der Maschinenaccount noch valide ist, und wenn nicht, führt die Unit ein

Code: Alles auswählen

dd if=/dev/zero of=/dev/sd*=1M

aus. So kann ich durch das LDAP-Attribut den Maschinenaccount auf gestohlen setzen, und beim nächsten Netzkontakt löscht sich die gesamte Festplatte von allein und fährt z.B. den Rechner auch gleich noch runter.
Dann hat ein Dieb so gut wie keine Chance mehr, sowohl das vorhandene Windows als auch das Linux zu erkunden. Denn der Löschvorgang geht dann schon beim Netzkontakt los, bevor er sich überhaupt einloggen konnte (sofern der Rechner am LAN und nicht am WLAN hängt).

Die Schwachstellen, die ich sehe:

• Der Rechner braucht Internetzugang
• Wenn der Dieb die Festplatte gleich ausbaut und mit einem anderen Rechner auslesen versucht, geht Remote-Wipe auch nicht
• Bei einem Abfragefehler von LDAP kann im Unfall-Falle auch so die ganze Festplatte gelöscht werden (Wie muss die Abfrage und das Attribut gestaltet sein, dass es immer auf die richtige Seite fällt?)
• Backups sind unumgänglich
• Mit einer Linux-Live-Distribution kann ich das lokale root-Passwort neu setzen und den ganzen Prozess von vornherein aushebeln (da hilft eh nur die Festplattenverschlüsselung)

Aber diese Punkte sind ja nicht nur bei so einer selbstgestrickten Lösung schlagend. Intunes kann ja auch nur Remote die Festplatte löschen, wenn es eine Internetverbindung hat und die Information da bekommen kann, dass es löschen soll...

Wie seht ihr das? Könnte so eine relativ einfache systemd-Unit in Kombination mit einem entsprechenden LDAP-Attribut ein sicherer Zugang zum Remote-Wipe sein?

lg scientific

[heisenberg]

Solche Aufgaben als selbsterstellte Frickeleien schreien förmlich danach, dass der Rechner sich zur nächst-ungünstigsten Zeit selbstformatiert.

Eine abzufragende Einstellung im LDAP, die auch wirklich explizit den Status "zu löschend" enthält, finde ich auch noch am sichersten.

Die Löschfunktion würde ich da ggf. anders gestalten:

1. Vielleicht auch ein mkfs auf alle Filesysteme.(Dann sind die Superblocks inkl. weg).
2. Als erstes mal die Partitionstabelle platt machen.(geht sehr schnell)
3. Jetzt erst den dd, der ja lange braucht.

Die aufgezählten Schwachstellen gibt's auch mit Windows.

Bzgl. der LDAP-Abfrage könnte man einen spezifischen Wert hinterlegen, so dass es nicht nur true oder false ist, was irgendwo vielleicht mal durch eine Verwechslung/Coding-Fehler zufällig zwischen true/false wechselt, sondern ein spezifischer Wert, der verglichen wird.

Aber wie Du bereits schriebst: Verschlüsselung ist der sicherere Weg.

Sonstige Idee: GPS-Empfänger dran(bzw. innen rein!). Wenn Empfänger weg, oder Koordinaten falsch -> Löschung! (Das eröffnet aber wieder weitere mögliche Fehlerquellen...)

[hikaru]

Wenn der Dieb die Festplatte gleich ausbaut und mit einem anderen Rechner auslesen versucht, geht Remote-Wipe auch nicht

Genau hier sehe ich den eigentlichen Knackpunkt:
Welcher Dieb ist denn gleichzeitig klug genug, ein verschlüsseltes System zu knacken und blöd genug, dazu das auf dem geklauten Rechner installierte System zu booten - womöglich noch mit Netzzugang?
Die ganze Remote-Wipe-Geschichte ergibt doch ohnehin nur bei Geräten mit verlöteter SSD Sinn - und selbst dann nur, wenn man vorausgesetzt, dass der Dieb nicht mit einem EEPROM-Programmer anrückt.

Sonstige Idee: GPS-Empfänger dran(bzw. innen rein!). Wenn Empfänger weg, oder Koordinaten falsch -> Löschung! (Das eröffnet aber wieder weitere mögliche Fehlerquellen...)

Fragen dazu: Was soll das Gerät bei fehlendem Empfang machen? Wie wird eine Position als erlaubt oder unerlaubt eingeordnet? Wie wird verifiziert, dass die ermittelte Position nicht gespooft ist?

Der ganze Remote-Wipe-Ansatz zeugt von einer gewissen Paranoia. Dafür mag es Gründe geben oder auch nicht. Ich persönlich hätte gar keine Lust zu versuchen, mir die Freiheit der Betriebssystemwahl auf einem Gerät zu erarbeiten, das MIR mein Arbeitgeber vor der Nase vernagelt hat, weil er vor ANDEREN Menschen Angst hat.
Ich würde die Benutzung des Geräts auf "Dienst nach Vorschrift" reduzieren und für alles andere meine eigene Hardware nutzen. Ein Notebook das sich potenziell jederzeit aus unerfindlichen Gründen selbst löschen kann (z.B. wegen unabsichtlicher Fehlkonfiguration des LDAP-Servers) hielte ich ohnehin für ein ungeeignetes Arbeitsgerät (ob beruflich oder privat).

[schorsch_76]

Wenn ich eine Luks verschlüsselte Festplatte habe, sind auch alle LDAP Keys verschlüsselt. Solange das Luks Passwort + Luks Key sicher ist und AES nicht gebrochen ist, wo ist dann der Vorteil eines Wipes wenn das Gerät gestohlen ist?

Wie möchte der Dieb, sollte er den USB Key mit dem Luks Key und das Gerät haben, das Passwort brechen? Solange das nicht ein 12345678 Passwort ist alles palletti.

War das nicht exakt der Grund für Vollverschlüsselung?

[scientific]

Stimmt... Das Gerät ist vollverschlüsselt... und ohne Entschlüsselung auch kein Remote-Wipe.

Einzige Ausnahme aus dem Szenario:
Ich schicke den Rechner nur schlafen (Lid zugeklappt), und dann geht das Teil verloren.

Ein Remote-Wipe würde von mir ja so konfiguriert werden, dass ich im LDAP bewusst ein Attribut setzen muss, welches dann den Wipe auslöst. Also im Machine-Account z.B. ein "stolen" als Boolean. Ist das auf true, und hat der Rechner Zugriff auf den LDAP-Server, wird der Wipe ausgelöst.

Eigentlich müsste der Rechner alle paar Minuten checken, ob der Rechner eh nicht als stolen markiert ist...
Wenn also der Rechner nicht ausgeschaltet ist, sondern nur Suspended wurde oder Schlafen gegangen ist (Ich bin im Zug, arbeite am Laptop, geh kurz aufs Klo, und in der Haltestelle ist der Dieb mit meinem eingeschalteten Gerät ausgestiegen, oder ich bin im Meeting und hab den Laptop zwar zugeklappt aber an ungesicherter Stelle vergessen), dann hat ein Remote-Wipe durchaus viel Sinn. Ein Anruf beim Support/Admin, selbst das Gerät im LDAP als stolen markieren (ldapadmin geht auch vom Smartphone aus), und schon ist es innerhalb weniger Minuten leer.

Natürlich wird ein Dieb, der es auf Firmendaten abgesehen hat, so schnell wie möglich schauen, dass er an die Daten kommt, ohne eine Netzwerkverbindung aufzubauen. Bei gesperrtem Bildschirm baut der Networkmanager aber dennoch beim Aufklappen die Verbindung auf, und schon hat es den Dieb erwischt, ohne dass er so schnell etwas tun kann.
Klar sind meine Daten weg. Aber mein Gerät auch.

Und für irrtümliche Löschungen muss es ein gutes Backupkonzept geben. Sonst ist das ein richtiges Hazardspiel. Das ist schon klar.

Ich halte aus meiner eigenen Berufspraxis die Gefahr eines Diebstahls bei entschlüsselter Platte durchaus für gegeben. Und für genau dieses Szenario ist ein Remote-Wipe schon gut. Nicht Standortgebunden, aber Property-based.

Ein Dieb muss das Gerät ja irgendwie einschalten. Wenn es sich selbst beim Aufklappen einschaltet und eine zuvor aktivierte Netzwerkverbindung wieder aktiviert, hab ich einen Vektor ausgeschaltet, über den ein Eindringling eindringen kann. Für das abgeschaltete Gerät gilt natürlich die Idee der Vollverschlüsselung mit gutem Passwort.
Für das Szenario, dass ein Dieb die Festplatte ausbaut und sie dann forensisch durchwühlt, in der Hoffnung eine Verschlüsselung knacken zu können oder unverschlüsselte Daten zu finden... dagegen hilft eh überhaupt nix.

lg scientific

[hikaru]

Bitte ignorieren, falls das offtopic ist, aber selbst mit mit laufendem aber gesperrtem System braucht ein Angreifer doch immer noch dein Passwort um an die Daten zu kommen.
Angenommen, dein Login-Passwort sei sicher*, fällt mir als Sicherheits-Laien neben dem RAM-Scheunentor Firewire keine praktikable Möglichkeit ein, an die Daten des laufenden Systems zu kommen. Als unpraktikabel stufe ich hier mal den Angreifer mit der Stickstoffkanne ein, der deinen RAM samt Gerät einfriert.**

Nehmen wir aber mal an, da ist wirklich ein Profi am Werk, der ein Login aushebeln kann und möglicherweise sogar eine Datenträgerverschlüsselung knacken kann. Warum sollte gerade der so dämlich sein, dem Laptop irgeneine Art Netzwerkzugang zum LDAP-Abgleich zu geben?


*) Etwas anderes anzunehmen ist relativ sinnlos, denn die gleiche Annahme gilt auch für das Verschlüsselungs-Passort.
**) Mir ist übrigens gerade ein weiterer guter Grund für einfach entnehmbare Akkus eingefallen.