Auteur: Sophie

IBA Verklaart Secure boot

Om te zorgen dat niet iedereen bij alle gegevens op jouw computer kan, is het belangrijk dat alle beveiligingslekken zijn dichtgetimmerd. Dit begint natuurlijk bij het vergrendelen van je computer met een veilig wachtwoord. Zo kan iemand die jouw computer heeft, niet zomaar inloggen en direct bij jouw gegevens. Maar iemand die een beetje handig is met computers laat zich hier niet door tegenhouden.
Een hacker, laten we haar Eve noemen, kan de harde schrijf uit je computer halen, en deze vervolgens aansluiten op haar eigen computer. Zo kan ze haar eigen computer gebruiken om de gegevens van je harde schrijf te halen, en hoeft ze dus niet in te kunnen loggen op jouw computer.

Om dit tegen te gaan kunnen moderne besturingssystemen je harde schrijf versleutelen. Dit werkt als volgt: de harde schrijf wordt opgedeeld in twee delen; één deel bevat je besturingssysteem, en het andere deel is versleuteld en bevat jouw gegevens. Het eerste wordt gelezen wanneer de computer wordt opgestart, en nadat je hebt ingelogd op de computer met je wachtwoord, wordt je wachtwoord gebruikt om de rest van de harde schrijf te kunnen ontsleutelen. Zo kan Eve, ook als ze jouw (computer met) harde schrijf heeft gestolen, nog steeds niet bij jouw gegevens. Eve weet immers jouw wachtwoord niet.

Natuurlijk is alleen dit niet genoeg om een volhardende hacker tegen te houden. Eve kan je harde schrijf ongemerkt stelen, de onversleutelde inhoud van je harde schrijf veranderen, en je harde schrijf dan stiekem weer terug in je computer zetten.  Zo kan Eve een keylogger installeren op jouw computer, die alles wat jij intypt onbeveiligd opslaat. Nadat jij een keer hebt ingelogd op je geïnfecteerde computer kan Eve jouw harde schrijf opnieuw stelen, waardoor ze zowel je versleutelde gegevens als jouw wachtwoord heeft. Natuurlijk is het onopvallend stelen en terugplaatsen van een harde schijf erg moeilijk, maar het is wel belangrijk om hier tegen te kunnen beschermen. Gelukkig bestaat er een manier om je ook hier tegen te beschermen. Ik zal in grote lijnen uitleggen hoe deze techniek werkt.

Het onversleutelde deel van de harde schrijf wordt digitaal ondertekend door middel van asymmetrische cryptografie. De producent van het besturingssysteem heeft een publieke sleutel en een geheime sleutel. De publieke sleutel wordt op een niet-herschrijfbare chip in het moederbord gezet. De gegevens op deze chip worden in de fabriek er op gezet, en kunnen daarna nooit meer veranderd worden. De fabrikant van het besturingssysteem gebruikt de geheime sleutel voor het maken van een digitale handtekening voor het besturingssysteem. Deze digitale handtekening wordt samen met het besturingssysteem op het niet-versleutelde deel van de harde schijf gezet.

Wanneer de computer nu opstart, controleert de firmware van het moederbord of het niet-versleutelde deel van de harde schijf nog overeenkomt met de handtekening. Alleen als dit het geval is, gaat de computer door met het opstarten van het besturingssysteem. Hierna wordt weer jouw wachtwoord gebruikt om de rest van de harde schijf te versleutelen. Nu weet je zeker dat Eve niks heeft kunnen installeren op jouw computer. Tenzij Eve je moederbord vervangt, of de geheime encryptiesleutel wordt gelekt, of er fouten zijn gemaakt in de moederbordfirmware.

IBA Verklaart Multiseat

Als je wel eens in de werkkamer van A–Eskwadraat bent geweest, heb je misschien wel gezien dat er 12 (op moment van schrijven staan er tijdelijk 8) werkplekken zijn, maar dat ze aangesloten zijn op slechts 3 computers. Dit wordt een multiseat opstelling genoemd. Toen vroeger de eerste computers bij bedrijven en universiteiten in gebruik werden genomen, waren computers nog zo groot dat ze een hele kamer innamen, en was het dus nog niet mogelijk om een aparte computer per gebruiker te hebben. Tegenwoordig is dat natuurlijk geen probleem meer, maar er zijn nog steeds goede redenen om een multiseat opstelling te hebben.

Iedere computer heeft een hoeveelheid geheugen. Maar waarschijnlijk gebruik je meestal een stuk minder geheugen dan dat je computer tot zijn beschikking heeft. Dit geheugen is voor het geval dat je een keer zwaardere software of veel programma’s tegelijk wilt gebruiken. Wanneer je vier werkplekken op één computer hebt, hoef je vaak minder geheugen te hebben dan dat vier losse computers zouden hebben, omdat niet alle vier de gebruikers tegelijk zware software willen draaien. Ditzelfde argument gaat bijvoorbeeld ook op voor hoe krachtig de processor moet zijn, en hierdoor kan het goedkoper en energiezuiniger zijn om één krachtige computer voor 4 werkplekken te kopen dan om 4 gewone losse computers te kopen.

Een ander voordeel is dat er door zo een opstelling minder onderhoud nodig is per werkplek. Je hoeft maar één keer software te installeren of instellingen aan te passen in plaats van 4 keer, dus dit kan heel veel werk besparen. Bij grotere organisaties zoals de Universiteit Utrecht maakt dit minder verschil, want daar zijn de update- en installatieprocessen grotendeels geautomatiseerd.

Besturingssystemen zoals Linux hebben de mogelijkheid om meerdere werkplekken aan te sluiten standaard meegeleverd. Als je dit op een computer met Linux leest, zou je kunnen proberen om control en alt ingedrukt te houden, en de toetsen F1 tot en met F8 een voor een in te drukken. Over het algemeen kom je met ctrl+alt+F7 terug waar je normaal bent. Hiermee wissel je standaard tussen zogehete virtual terminals, maar het is mogelijk om hier een aparte grafische omgeving te starten. Overigens zal je niet op alle Linux computers zomaar naar de virtuele terminals kunnen wisselen. Op de computers in de werkkamer staat het natuurlijk uit, zodat je niet per ongeluk het scherm van je buurman voor je krijgt.

Als je een Linux computer tot je beschikking hebt en zelf eens wilt proberen om een tweede grafische omgeving te starten, kan je met ctrl+alt+F1 naar een virtuele terminal gaan, daar inloggen en het volgende commando uit te voeren:

startx -- :1

Als het goed is kom je nu vanzelf bij je nieuwe inlogscherm terecht. Je kunt heen en weer gaan met control, alt en de F-toetsen. Om de tweede grafische omgeving weer te stoppen, kun je het nieuwste Xorg proces (degene met de hoogste process id) stoppen met de taskmanager, maar pas op dat je geen niet-opgeslagen werk open hebt staan in de nieuwe omgeving.

Om de nieuwe grafische omgeving echte werkplek te maken, heb je natuurlijk een extra scherm, toetsenbord en muis nodig. Helaas is het niet zo simpel dat je de extra apparatuur alleen hoeft aan te sluiten, maar gelukkig zijn er meerdere goede handleidingen op internet, zoals bijvoorbeeld deze (https://wiki.archlinux.org/index.php/xorg_multiseat), maar je Linux-distributie naar keuze heeft wellicht een eigen handleiding.

Zeker als je niet zo ervaren met Linux bent, is het een goed idee een backup te maken van je belangrijke bestanden voordat je dit probeert, omdat als je grafische interface interface niet meer werkt, je niet zo makkelijk het internet kan raadplegen om te vinden hoe je alles weer herstelt.