Si alguien desenchufa el disco duro de mi computadora portátil mientras está funcionando, ¿qué contenido podrían extraer de él?
Comprendo que al iniciar sesión, la imagen de mi disco duro está montada, pero no estoy exactamente segura de qué efecto tendría en este "montaje" la extracción del disco duro.
Si su pregunta es, si el montaje de una unidad cifrada descifra toda la unidad, la respuesta es no. El montaje de una unidad cifrada desbloquea la clave de cifrado, que a su vez está cifrada por la frase de contraseña de montaje. Luego, pasa la clave al controlador para que los bloques del disco se puedan descifrar cuando se lean y cifren cuando se escriban. Entonces, lo que se descifra está en la memoria, no en el disco, y solo para los archivos en uso activo en este momento.
La vulnerabilidad es una frase de contraseña débil. Si alguien puede tomar una unidad cifrada y adivinar u obtener la frase de contraseña que desbloquea la clave criptográfica, se puede descifrar toda la unidad simplemente montando la unidad y copiando los archivos en una unidad no cifrada.
Esta vulnerabilidad es la razón por la que Ramona Fricosu está en la cárcel. (Su esposo la descartó al proporcionarle una lista de posibles contraseñas).
El cifrado en disco tiene algunos efectos bastante interesantes en el vector de ataques. En particular, lo que significa es que, en lugar de la recuperación pasiva, el atacante debe tener una planta en su máquina. En el caso de que no tengas control físico, el atacante debe probar cada combinación de teclas para forzar un montaje. Esperemos que esto tome un tiempo suficiente para que invalides cualquier cosa. Esa parte depende exclusivamente de su proceso.
La toma de las cosas es bastante larga: si encriptas todo de manera doble, estarás doblemente seguro. Aunque por qué alguien querría hacer esto está más allá de mí.
Bueno, si los datos están encriptados, pueden extraer casi cualquier cosa de la máquina, independientemente del cifrado ... sí, sería ilegible y podría dañarse si se "arranca mientras está montado", pero todo lo que necesita es alguien con datos específicos. el decompilador o las claves de cifrado y los datos se pueden usar ... y todo lo que se encuentre en ese disco duro, como contraseñas, registros de eventos, información de software, se puede usar e incluso puede recuperar archivos eliminados a menos que se sobrescriban de manera incorrecta, pero sí, los cifrados diferentes funcionan de manera diferente, pero si se descifran Por software se puede utilizar. siempre que el disco duro siga funcionando.
experiencia personal: 5 años de investigación en seguridad de TI, divisiones de hardware
Lea otras preguntas en las etiquetas encryption disk-encryption