¿Qué tan seguro es mi sesión pero no apago luks HD

1

Estoy ejecutando un Ubuntu 16.04 en un disco cifrado luks. Normalmente, cuando salgo de mi máquina durante unos minutos, siempre la apago para estar segura con el cifrado luks. Pero me pregunto, ¿cuáles son las posibles amenazas si solo me desconectaría de mi sesión de Ubuntu? Sé que una contraseña de Ubuntu se puede restablecer fácilmente cuando no hay cifrado de la carpeta de inicio (lo que no tengo porque ya uso luks), pero en ese caso sería necesario reiniciar el sistema y desbloquear los luks.

Por supuesto, la seguridad dependería de mi contraseña de Ubuntu en ese momento, pero ¿existen vulnerabilidades conocidas para hackear una sesión desconectada? Supongo que uno diría, siempre es más seguro apagar el sistema, así que tenga la seguridad completa de luks, pero ¿cuál es el riesgo real?

    
pregunta Jekoula 02.01.2018 - 16:08
fuente

3 respuestas

2

Si está utilizando cualquier tipo de nivel de preinicio o sistema operativo, o el cifrado por montaje, por lo general, mantiene todo lo protegido protegido hasta que se apague. Si cierra la sesión, pero el sistema aún necesita acceso a la aplicación que, de lo contrario, se cifraría, eso significa que aún se puede acceder a los datos y que se puede descifrar o que la clave de descifrado todavía está en la memoria. La administración de sesiones generalmente se desconecta del cifrado de archivos.

Esto significa que si tenía un malware ejecutándose en su sistema y no estaba vinculado a su sesión de usuario, continuaría ejecutándose incluso cuando se desconecta.

Desde su OP, parece que está hablando de ataques de acceso físico. Si puede conectar el sistema bloqueado a una red o usar un dispositivo USB que se hace pasar por un controlador de Ethernet, es posible que pueda falsificar su red real y realizar ataques. Un buen ejemplo es PoisonTap .

  

PoisonTap produce un efecto en cascada al explotar la confianza existente en varios mecanismos de una máquina y una red, incluidos USB / Thunderbolt, DHCP, DNS y HTTP, para producir un efecto de bola de nieve de exfiltración de información, acceso a la red e instalación de semis Puertas traseras permanentes.

Hay otra implementación similar, como Rob Fuller's y BadUSB . Puedes usar una aplicación como USBGuard para evitar esto.

Hipotéticamente, un atacante también puede instalar un keylogger más básico que quizás no note y luego pueden obtener su contraseña para su sesión de esta manera con acceso físico. También ha habido ataques de volcado de memoria física en el pasado y se pueden descubrir nuevos.

Como resultado, si se encuentra en un entorno no confiable en términos de acceso físico, debe hacer un cierre completo para evitar cualquier acceso a datos encriptados. Consulte también esta publicación sobre este tema.

    
respondido por el Eric G 05.01.2018 - 04:31
fuente
0

La sugerencia de Aria de un ataque de arranque en frío se me había pasado por la cabeza, y es la mejor respuesta (lo más inmediatamente amenazante) IMHO.

Para completar, sin embargo, otro problema es que, si bien en general se requiere mucho esfuerzo para proteger el sistema operativo (el núcleo y el software que se ejecutan en él), nadie es perfecto. Al iniciar y desbloquear la computadora, está haciendo que el disco / datos sin cifrar estén disponibles para el software que se ejecuta en él. Si hay una falla en parte de ese software, se puede explotar para obtener acceso a los datos sin cifrar.

    
respondido por el Slartibartfast 02.01.2018 - 18:42
fuente
-1

Existe la posibilidad de un ataque de arranque en frío.

enlace

    
respondido por el Aria 02.01.2018 - 16:14
fuente

Lea otras preguntas en las etiquetas