¿El cifrado de la partición / boot en un sistema Linux puede proteger de un ataque de Evid Maid?

3

Si la partición de inicio está encriptada (y la frase de contraseña para desbloquear el dispositivo debe ingresarse en GRUB antes de que comience la secuencia de inicio) ¿el sistema está bastante a salvo de un Evil Maid Attack?

    
pregunta TheMoltenJack 26.07.2017 - 15:47
fuente

2 respuestas

3

"Evid maid attack" es un término general para cualquier tipo de manipulación física de un dispositivo en ausencia del usuario.

Encriptar el disco duro lo protegerá contra dos de estos ataques:

  • Clonar físicamente el disco duro
  • Iniciar el dispositivo y echar un vistazo a los datos en el dispositivo

No lo protegerá de que un atacante instale ningún otro tipo de dispositivo de vigilancia, como rastreadores físicos de red, registradores de teclas físicos, etc.

Y luego está también esta forma de una malvada criada ataque:

  1. El atacante inicia el dispositivo desde un medio de arranque que trajeron.
  2. Attacker instala un nuevo gestor de arranque que muestra una solicitud de contraseña de descifrado como la predeterminada.
  3. El atacante apaga el dispositivo y se va.
  4. Cuando ingresas tu contraseña, el gestor de arranque te pide tu contraseña, la cual ingresarás porque parece que siempre lo hace. Luego descifrará el disco duro y arrancará el sistema operativo normalmente, como de costumbre. Pero mientras lo hace, instala una carga de malware en el disco duro ahora sin cifrar y / o envía la contraseña que acaba de detectar al atacante.

Este ataque funcionará siempre y cuando use una solución de software pura, ya que siempre requerirá un cargador de arranque no cifrado en su disco duro para descifrarlo. La única solución sería si el cifrado del disco duro se pudiera implementar en el nivel UEFI. Pero no he oído nada de eso todavía.

Recuerde siempre la tercera Ley de Seguridad Inmutable :

  

Si un malvado tiene acceso físico sin restricciones a tu computadora, ya no es tu computadora.

    
respondido por el Philipp 26.07.2017 - 16:27
fuente
1

Incluso si hace que el sistema no se pueda iniciar para cualquier otra imagen de arranque sin realizar cambios en EFI, es vulnerable a cosas como los registradores de claves de hardware. Una doncella malvada podría simplemente desconectar su teclado, colocar un registrador de llave de hardware y enchufarlo nuevamente. La próxima vez que ingrese sin sospechas, se capturarán sus credenciales.

El cifrado, por sí solo, no es una protección completa contra el acceso físico.

    
respondido por el AJ Henderson 26.07.2017 - 16:46
fuente

Lea otras preguntas en las etiquetas