He escuchado en la TV (tg5) que existen algunos dispositivos, que se pueden conectar a un puerto USB en una PC que está apagada y obtener datos del disco duro.
Me pregunto si (y si es así, cómo) esto es posible; ¿no se apaga el disco duro cuando se apaga la PC?
¿Cómo podría un dispositivo USB leer datos desde el disco duro interno en la PC?
Si la computadora está configurada para admitir el despertador en el periférico y arrancar desde USB, es posible que un dispositivo USB encienda la computadora y arranque a su propio sistema operativo que aún tendría acceso a cualquier dispositivo no cifrado. Discos duros en la computadora. El Wake-on-Periférico en particular, e incluso el arranque desde USB, tienden a no ser opciones predeterminadas y normalmente todavía requerirán encender la computadora manualmente y alterar la configuración del BIOS (lo que también requeriría restablecer la contraseña del BIOS si está configurada, aunque esto Normalmente es trivial.)
Depende de la máquina de destino. Algunos sistemas están configurados para "reactivarse" cuando se presiona una tecla especial de "encendido" en el teclado; un dispositivo USB podría posar como un teclado y emular la pulsación de esa tecla. Además, algunas máquinas están aparentemente desactivadas, pero solo están hibernando , lo que significa que todavía están encendidos o listos para funcionar en vivo rápidamente.
En cualquier caso, como dice @tylerl, no se leerán datos del disco duro hasta que el disco esté girando. Por lo tanto, un dispositivo de ataque de este tipo debe poder hacer que la máquina vuelva a funcionar.
Una vez que la máquina está convencida de iniciar, el interés del atacante es iniciarla en un sistema operativo que el atacante controla. El dispositivo USB también puede presentarse como una unidad flash simple, y esperar que la máquina se configure para arrancar desde cualquier unidad flash USB que se conectaría a la máquina en ese momento. Sin embargo, la mayoría de las máquinas están no configuradas de esa manera. Una forma más astuta sería hacer que el dispositivo USB se parezca a un lector de DVD : hay máquinas que no arrancan desde ninguna unidad flash, pero considerarán los lectores de CD / DVD especialmente e intentarán arrancar a partir de eso.
Sin embargo, hay otras opciones. Por ejemplo, el atacante podría dejar que la máquina arranque en su sistema operativo normal, y luego piratearlo afirmando que el dispositivo USB es un convertidor de USB a FireWire: la máquina de destino puede tener un controlador listo para eso, o incluso ser tan bueno como para descargar uno automáticamente en ese caso, y ese controlador habilitará DMA desde el dispositivo. Consulte esta respuesta para obtener más información. Esto permite al atacante secuestrar la máquina y su sistema operativo, momento en el que la lectura del disco duro será fácil.
Más opciones esotéricas implican explotar agujeros de seguridad en el controlador del controlador USB (una parte del sistema operativo). Se ha hecho para algunas consolas de PlayStation 3.
Sin embargo, un método más simple podría ser abrir la caja de la computadora y agarrar el disco por completo. Un atacante que puede conectar dispositivos arbitrarios en un puerto USB es un atacante que tiene acceso físico , y puede tener un destornillador con él. En algunas situaciones específicas (por ejemplo, una de estas "estaciones de impresión" donde puede imprimir sus propias fotos), un ataque solo por USB podría ser más práctico y discreto para el atacante, pero en la mayoría de los otros contextos, el acceso físico equivale a una pérdida total de confidencialidad , por lo que esta lectura a través de USB podría no ser tan devastadora como parece inicialmente.
Lea otras preguntas en las etiquetas usb-drive