0
Como asegurar fisicamente una raspberry pi3 o una PC ?

Open 1 Respuestas 1 Views
Hola a todos, les quería consultar ideas para evitar que me puedan ownear una pi3 fisicamente, la misma va a quedar en un lugar, donde yo no voy a acceder por bastantante tiempo (me queda lejos) y no tengo acceso remoto como para revisar tampoco.

La pi va a tener raspbian, los puntos que pude resolver hasta ahora son:

* Desactivar salida hdmi para evitar que tengan imagen (por lo menos cuando inicia el OS)

* password en el bios

* desactivar ctrl+atl+sup

El problema que me queda y la gran duda, es como evito que me puedan tocar y agregar cosas en la memoria SD?

Las cosas que estuve mirando para Linux (no probe todavía en la raspi) es encryptar el disco (o alguna de las particiones con información) para que no sea legible sin la contraseña, pero esto me genera el problema de tener que poner la misma en cada reinicio, estoy necesitando algo password-less, pero que no deje tirado el key en un lugar público, o que por lo menos sea dificil llegar hasta el mismo.

Alguna idea?

Saludos!

1 Respuesta

1
Si tenes acceso a red desde la PI podes ver de usar network bound disk encryption. Fedora lo tiene integrado y soportado. No se si debian lo tiene. Estimo q si.
NBDE te deja automatizar el desencriptado usando un servidor con un par de servicios de forma automatica. Supongo q podrias poner algo en la nube o un equipo de la lan q tenga los servcios corriendo. No lo testee tanto aun, pero es una opcion.
Trata de no usar encfs.
Hay otras opciones mas artesanales... pero trata de usar NBDE
respondido por qlixed (10,490 puntos) Dic 22, 2017
4Comentarios
comentado por Gamba47 (3,830 puntos) Dic 22, 2017
Hola QliXed!

Me voy a poner a leer de NBDE porque suena muy interesante, pero acá tengo la limitación de que no voy a tener acceso a internet, esto me limita mucho, voy a estar en una red hostil, sin acceso y con el equipo resguardado pero sin poder contactarse conmigo para avisarme que lo estan invadiendo (no creo que pase pero es parte del proyecto).

Hasta ahora tengo:
* Alimentación propia (registro si me dejan sin tensión)
* Un precinto sobre el case principal
* Uso un GPIO como tamper para detectar si estan abriendo el case que uso con cerradura ( y lo registro)


Lo que no pude todavia solucionar es si me apagan, esperan una semana en ese estado, me quedo sin bateria y ahi me sacan la memoria.

Yo registro el dato de "ojo que me estan apagando" pero los datos quedan disponibles para leer desde cualquier OS medianamente bueno.

Hasta ahora en mi vida yo controlaba los entornos en los que estaban (ahora que estoy pensando en la Nube estamos completamente a disposición del proveedor) y no me preocupaba tanto la seguridad fisica de los datos.

Gracias por tu tiempo!
comentado por Gamba47 (3,830 puntos) Dic 22, 2017
No se si voy a lograr lo que quiero de encyptar, porque para poder hacerlo necesito un password, para poder tener el password lo debería tener en un lugar seguro y ese lugar seguro no lo tengo en ningún lado.

Vi opciones de guardar el key en el disco, o poner un pen drive, para evitar tener que poner un password, pero no me servirían como opciones.

Sigo buscando, de ultima meto un "rm -rf /" si el gpio me marca un invasor? jajajaja
comentado por babblo (300 puntos) Dic 22, 2017
Tuve un caso "similar" con una SIM en un dispositivo con comunicación por SMS que me avisaba cuando iniciaban tareas en una ubicación remota.. cuestión que terminé pegando la SIM a la carcasa con cianoacrilato (a.k.a. la gotita, super glue, etc.)

No vas a evitar que metan mano, pero de seguro van a dejar huellas de que así fue.
comentado por Gamba47 (3,830 puntos) Dic 26, 2017
Hola Babblo, es una buena idea, va a ser parte de la seguridad, por lo menos evito que me la puedan sacar sin romper!

Abrazo.
...