Si parla spesso di mettere al sicuro i nostri dati sensibili e di programmi che ci aiutano in questa operazione ce ne sono a decine: GPG, Androsa, TrueCrypt, ecc. Ma non faremmo forse prima a cifrare l'intero contenuto dell'hard-disk piuttosto che scegliere singolarmente quali file, cartelle o partizioni voler cifrare? Questa guida vi aiuterà ad installare il sistema Kali Linux (ex Backtrack, famosa per il suo vasto arsenale di strumenti per il penetration testing) su una partizione cifrata.
LVM cifrati
Il disegno illustra, in maniera semplificata, il funzionamento degli LVM cifrati.
Come saprete su un disco rigido non è possibile avere più di 4 partizioni. Con l'avvento degli LVM (Logical Volume Manager) è stato possibile avere più filesystem su un unica partizione.
Il processo di crittografia si è quindi spostato direttamente a valle dei volumi logici. “dm-crypt” è stato implementato nel kernel dalla versione 2.6 e si occupa proprio di accedere ai dati contenuti dentro al volume.
Per cominciare avrete bisogno dell'ultima versione di Kali Linux. Io la installerò all'interno di una macchina virtuale per praticità, ma il procedimento è identico per l'installazione su hard disk fisico o pennetta USB. Al momento dell'avvio, ci si presenterà la schermata di Kali. Qui scegliamo l'installazione in modalità grafica (Graphical install):
Il menu è ancora in inglese. La prossima schermata ci chiederà con quale lingua proseguire. Scegliamo l'italiano (o quella che volete) e cliccate “Continue”:
Apparirà un messaggio che ci informa che l'installare non è stato completamente tradotto nella lingua che abbiamo scelto. Lasciamo spuntato “sì” e continuiamo:
Le prossime schermate saranno di configurazione della tastiera. Scegliete la mappatura che preferite e proseguite fin quando arrivate alla schermata della scelta dell'hostname. Specificatene uno e proseguite:
Digitate anche un nome a dominio e proseguite fino alla scelta delle password. Questa servirà solo per l'account root, non per la partizione cifrata!
Arrivati alla schermata del partizionamento dei dischi (che è quella che ci interessa), dobbiamo specificare “Guidato – Usa l'intero disco e imposta LVM cifrato”:
Selezionate su quale hard-disk o periferica USB si vuole installare Kali. In questo caso ho solo una opzione perché non ci sono periferiche esterne attaccate:
Nella prossima schermata dobbiamo specificare come suddividere i filesystem. Io ho lasciato l'opzione di default “Tutti i file in una partizione”:
Al termine dell'inizializzazione del disco dovremo specificare una password per poter decifrare l'LVM. È buona norma scegliere una password che sia molto lunga e difficilmente riconducibile a noi:
Qui possiamo vedere un resoconto di come il nostro hard-disk verrà suddiviso.
A questo punto inizierà la vera e propria installazione del sistema operativo. Tutti i file che sta copiando, verranno inseriti cifrati all'interno del filesystem. Al termine della copia potrete collegarvi ad un mirror per scaricare gli ultimi aggiornamenti. Ed infine installare il bootloader nel MBR dell'hard-disk primario. Un messaggio vi comunicherà che l'installazione è stata completata correttamente.
Al momento dell'avvio del sistema operativo ci troveremo davanti ad una scritta che ci chiede di inserire la password per sbloccare l'accesso all'LVM simile a questo:
Qui dobbiamo inserire la password che abbiamo specificato in fase di installazione. Stiamo, per riprendere la linea teorica, comunicando con dm-crypt per dirgli che i dati cifrati devono essere decodificati con quella specifica password. Da questo momento in poi sarà tutto allo stesso modo. Possiamo tranquillamente accedere a tutti i file presenti nel sistema ed apportare modifiche.
Implementiamo il LUKS Nuke
Il LUKS Nuke è una funzione che è stata pensata per distruggere completamente i dati sull'hard-disk quando viene inserita una determinata password allo sblocco del volume logico. È presente dalla versione 1.0.6 di Kali Linux.
Per abilitarla basta dare il comando sulla shell:
cryptsetup luksAddNuke /dev/sda5Dove /dev/sda5 è la partizione dove c'è il LVM.
La prima riga ci chiede la password di sblocco e dobbiamo digitare quella che inseriamo sempre all'avvio del sistema. La seconda password che ci verrà chiesta è invece quella di Nuke, che se inserita all'avvio cancellerà in maniera irreversibile i dati. Lo riconosco, è una funziona abbastanza drastica, quasi da film poliziesco. Ma è proprio per questo che sta avendo molto successo fra gli utilizzatori di Kali. Da un sondaggio sul loro sito, ben il 95% dei partecipanti ha gradito l'aggiunta della password di Nuke. A chi non piacerebbe tenere un eventuale nemico in sospeso fra l'accesso a tutti i tuoi dati o la completa distruzione di essi?
