¿Qué tan segura es una contraseña de disco duro BIOS / UEFI? [duplicar]

Question

¿Qué tan segura es una contraseña de disco duro BIOS / UEFI? [duplicar]

#1 de André Borie (1 votos)
#2 de John Deters (0 votos)

4

Estoy comprando algunas máquinas nuevas y me preocupa la seguridad de los datos en caso de que la máquina sea robada físicamente. Es fácil sacar el disco, visualizarlo y leer lo que quieras.

Podría usar el cifrado a nivel de archivo, pero eso no es suficiente: la gente terminará sin cifrar cada archivo y, además, hay mucho almacenado en el intercambio, archivo de página, registros, registros, cachés, etc.

Podría usar BitLocker u otro cifrado de disco completo del SO, pero tengo varios problemas con esto, que no pasaré por ahora. En resumen, quiero algo a nivel de hardware, no software.

Ahora, las unidades de autocifrado (SED) parecen exactamente lo que quiero, pero son caras, especialmente por su gran tamaño (que necesito). Ni siquiera puedo encontrar un SSD de 1 TB SED. Veo que muchas máquinas tienen una "contraseña de disco duro" BIOS / UEFI, pero no puedo encontrar mucho al respecto. ¿Es solo una contraseña de BIOS con un nombre diferente? ¿Hay cifrado detrás de esto? ¿Es una comprobación al nivel del controlador? La interfaz del disco? ¿Sacar el disco duro y crear una imagen lo evitará?

Si romper el bloqueo requiere reemplazar la electrónica de la unidad (es decir, es un bloqueo en el hardware de la unidad, pero no encriptado), eso es suficiente. Si es solo una contraseña de BIOS que puede ser derrotada con un destornillador y un puente SATA, esa es una historia diferente.

¿Qué tan seguras son las contraseñas del disco duro BIOS / UEFI? ¿Cómo trabajan? ¿Qué tipo de ataques se conocen contra ellos?

hardware disk-encryption storage bios

pregunta SRobert James 18.03.2016 - 18:58

fuente

2 respuestas

Lea otras preguntas en las etiquetas hardware disk-encryption storage bios

Detectar tráfico inalámbrico (Wi-Fi) con Wireshark MAC desconocido en la red

score 1 · Answer 1

Esa contraseña es impuesta por la unidad de almacenamiento, por lo que no puede ser anulada por el firmware del sistema; Sin embargo, eso no significa que deba ser confiable.

Cómo la unidad impone que la contraseña varíe y no haya un estándar claro (y si la hubiera, no habría una manera fácil de verificar si la unidad es realmente compatible); por lo que es muy probable que sea solo una contraseña impuesta por el firmware de la unidad (sin ningún cifrado, por lo que reemplazar el firmware es suficiente para divulgar los datos) o bien un cifrado de baja seguridad que no funciona correctamente que se rompería en cuestión de días .

En resumen, considere esas unidades de autocifrado como si no hubiera ningún cifrado involucrado. Puede usarlos sobre los datos ya encriptados con algo sólido (LUKS, TrueCrypt / VeraCrypt o BitLocker si no le importa que Microsoft y la NSA estén a la vista), pero no los use como su única protección.

score 0 · Answer 2

Una contraseña de disco duro ATA no es más que un interruptor de acceso on-off. Una unidad que la implementa no encripta los datos, es solo que la electrónica de la unidad no transmitirá datos hasta que se ingrese la contraseña correcta. Hay compañías que prometen restablecer esta configuración por un precio modesto (supongo que reemplazan a la placa electrónica de la unidad). Supuestamente hay un software que puede restablecer estas contraseñas, pero nunca he visto una usada, y ni siquiera estoy tentado para descargar uno de esos sitios incompletos.

El cifrado de disco completo (SED) es un cifrado AES real que utiliza el chip del Módulo de plataforma segura (TPM) en la placa base para desbloquear la clave; antes de que los chips TPM se volvieran comunes, las unidades solían usar la autenticación previa al inicio (PBA) para desbloquear sus claves. Pero si el ladrón se roba toda la computadora, también tienen el chip TPM. Luego, pueden iniciar el sistema mientras la unidad está conectada a la máquina robada, esperar a que reciba la llave, dejar la unidad encendida (para que retenga la llave), cambiar el cable de datos SATA a la máquina de su elección, luego tomar una imagen sin cifrar de su disco. Este documento, ' Los discos autocifrados plantean riesgos de autocifrado ' tiene detalles sobre varios ataques diferentes en unidades SED, incluidas las transferencias DMA a través de PCI, Firewire o Thunderbolt; y la criada malvada MBR ataques.

Otro problema conocido es que el firmware en la unidad puede ser manipulado (las fugas de Snowden revelaron que la NSA tiene la capacidad llamada IRATEMONK ) hace que todo el concepto de SED sea inefectivo.

Si desea o no invertir en SED depende de su modelo de amenaza percibida. ¿Están tus atacantes suficientemente motivados? ¿Sus datos son de alto valor para un tercero? ¿O le teme al ladrón oportunista promedio en la cafetería, quién simplemente va a vender su computadora portátil en Craigslist?