Entonces, si uso, por ejemplo: LUKS , y siempre suspendo mi cuaderno, entonces, ¿hay algún método para modificarlo? el no cifrado / arranque? ¡Contiene el núcleo!
O si alguien intenta (malvada) modificar el / boot, entonces tiene que apagar mi máquina, ¡pero luego lo notaré! ¿Hay alguna puerta trasera de este concepto?
No tienen que apagar su máquina para desconectar (no necesariamente remover) el disco duro de su computadora portátil y volver a conectarlo a una máquina diferente, modificar la partición / boot y luego volver a conectarlo a su computadora portátil. Mientras el portátil esté durmiendo, ni siquiera se dará cuenta. En tu próximo arranque, podrías estar comprometido. Existen métodos para eliminar SDRAM y leer su contenido . Por supuesto estos toman un atacante moderadamente sofisticado.
No veo ningún defecto obvio en su razonamiento. Sin embargo, este escenario requiere que siempre tenga su computadora portátil cerca de la fuente de alimentación. Un ataque como usted indicó podría llevarse a cabo de todos modos, pensando que se apagó porque la batería estaba baja.
Teniendo en cuenta que el disco duro está caído, un atacante podría modificar la parte "Introduzca la contraseña" en su cargador de arranque para registrar las contraseñas. Por supuesto, esto nunca se activaría si siempre mantuviera su computadora portátil encendida.
Además, dejar su máquina desatendida y no suspendida también puede presentar otros riesgos de seguridad. Un escenario común sería Firewire, que como DMA (acceso directo a la memoria). Otras posibilidades serían los controladores defectuosos de otros dispositivos externos como USB (inicio automático, etc.).
Tengo curiosidad por saber si alguien tiene algunas sugerencias sobre técnicas de ataque de nivel inferior que podrían requerir más conocimientos de ingeniería eléctrica de los que puedo ofrecer en este momento;) ¿Se podría desmontar y aprovechar algo con la memoria RAM aún encendida? / p>
Un atacante dentro de ~ 15 metros, en la misma red eléctrica (por ejemplo, dentro del mismo circuito disyuntor HPFI) puede detectar sus pulsaciones siempre que tenga alguna conexión física. Es decir. Suministro de energía, y hasta cierto punto Ethernet. Estos pueden ser recogidos en el rango de 10-16.7 KHz usando equipo barato. Consulte enlace Y, por supuesto, los sistemas modernos de control eléctrico a menudo están en línea y son accesibles para su compañía de servicios públicos.
Si va a utilizar papel de aluminio completo, desconecte su dispositivo (al menos cuando ingrese contraseñas maestras) y use la red inalámbrica y la energía de la batería. Puede usar filtros de paso de banda para recortar la fuga de 10-16.7 KHz, ver hamradio.stackexchange o introducir mucho ruido en su red de CA ( tos transmisor de chispa de potencia media tos ), O transfiera su energía a una PSU modificada (que debería tener varias otras cargas ruidosas conectadas; puede usar un banco de transistores que cambian $ _algo- los LED de 12V son bastante ruidosos porque emiten una chispa) en el 10-16KHz rango), luego a un inversor para alimentar a su laptop powerbrick, pero le sugiero que haga algo beneficioso en lugar de preocuparse demasiado por los espías y los nerds. Esa búsqueda no tiene fin.
Editar: Algunas personas han ideado un método astuto para poder verificar si su sistema ha sido manipulado, por ejemplo. Al pasar por la aduana, donde una computadora portátil puede ser de su interés. Consulte enlace Este material con brillo solo debe fotografiarse con una cámara de alta resolución para comparación, y proporciona un absoluto y absoluto sí / no a la pregunta "¿mi sistema ha sido manipulado en mi ausencia?".
Lea otras preguntas en las etiquetas linux disk-encryption