Apagar vs dormir

-1

Desde un punto de vista de seguridad, ¿es más seguro dormir que apagar las computadoras portátiles? El apagado solo se debe hacer después de las actualizaciones mensuales, ya que el apagado "guarda" la configuración, "cambia", etc. y luego se reinicia. Sólo dormir guarda la sesión & luego entra en modo de estado bajo. En Windows 10 Pro

    
pregunta Aoi. T_015 11.12.2017 - 12:48
fuente

3 respuestas

2

La respuesta depende de tu modelo de amenaza. Si el sueño o el apagado es mejor en su situación específica depende de muchos factores. Sin más información, esto es lo mejor que puedo hacer.

Suspendido

Hay cuatro tipos de suspensión (suspensión) definidos por ACPI , de S1 a S4.

  • S1: la memoria caché de la CPU se vacía y la CPU se detiene. También se llama Power on Suspend.
  • S2: el caché del procesador sucio se descarga a la RAM y la CPU se apaga.
  • S3: solo se activan la RAM y los subsistemas necesarios. También se llama Suspender a RAM.
  • S4: la RAM se guarda en el disco y el sistema se apaga. También se llama Suspender en disco.

El modo "inactivo" o modo de espera típico en una computadora moderna es S3, así que supongo que es de lo que estás hablando. Cuando la memoria permanece encendida, se guarda todo su contenido, incluida información potencialmente confidencial como contraseñas o claves de cifrado. Esto puede hacer que el sistema sea más vulnerable a un ataque de arranque en frío o ataque DMA . Esto solo es un problema si su modelo de amenaza implica la recuperación pasiva del contenido de la memoria para un atacante con acceso físico.

Hay otra cosa que recordar con S3 sleep. Cuando un sistema está encendido, o cuando un sistema se reanuda desde el modo de espera, vuelve a leer las tablas ACPI, ejecutando bytecode AML . Estos son datos ejecutables almacenados en su BIOS y ejecutados por el kernel de su sistema. Como resultado, un sistema cuyo BIOS ha sido modificado para contener tablas ACPI maliciosas se ejecutará cuando un sistema se encienda o cuando se reanude desde el modo de espera. Si su modelo de amenaza implica manipular su sistema mientras aún está en línea, el modo de espera no necesariamente retrasará el inicio del ataque.

Apagado

Cuando el sistema está apagado, se corta toda la alimentación a todos los subsistemas. Cuando el sistema se vuelve a encender, el BIOS y el disco se vuelven a leer. Cualquier cambio en el BIOS o en el disco afectará al sistema en este momento. Se requieren soluciones como BootGuard para proporcionar integridad y evitar este resultado.

Si el disco duro es robado, se pueden leer todos los datos presentes en él. Para evitar esto, debe usar el cifrado completo del disco, por ejemplo, utilizando VeraCrypt o Bitlocker. Cuando se hace esto, su sistema tiene datos en reposo de seguridad. Cualquier información que se encuentre en su disco duro será ilegible sin la clave adecuada. Bitlocker puede vincular aún más esto a su computadora física mediante usando su TPM , asegurándose de que extraer el disco duro y conocer la clave no sea suficiente para obtener el contenido.

Cuando un sistema está apagado, el estado volátil de la computadora se pierde. Esto eliminará cualquier malware residente en la memoria, aunque ese tipo de malware es no es tan común de todos modos. Sin embargo, este comportamiento es útil para eliminar muchos errores que se acumulan a medida que aumenta el tiempo de actividad. En estos casos, apagarlo y encenderlo de nuevo realmente funciona. El reinicio completo de una computadora es como dormir bien por la noche.

Modelado de amenazas

Supongo que su modelo de amenaza implica que los atacantes obtengan información de su computadora de una manera u otra, en lugar de tener en cuenta más ataques esotéricos como la modificación en vivo de las tablas ACPI en una máquina suspendida. Si este es el caso, es probable que simplemente desee asegurarse de que todos sus datos permanezcan confidenciales. La respuesta para ese modelo de amenaza es que el cierre es "más seguro". Hay algunas cosas que debes hacer:

  • Apague su sistema cuando no lo esté usando para evitar dejar secretos en la memoria.
  • Use el cifrado completo del disco para garantizar la seguridad de los datos en reposo.
  • Use hardware con BootGuard para verificar la integridad de su firmware.
respondido por el forest 12.12.2017 - 03:56
fuente
3

No, dormir es menos seguro. En reposo, la memoria RAM permanece encendida, y es muy probable que las claves de cifrado y las contraseñas se almacenen en la memoria RAM. Esto puede ser recuperado a través de canales de depuración, como descarga de RAM a través de Firewire , o incluso reiniciar la computadora y descargar la RAM, ya que toma tiempo para que el contenido se filtre fuera de la RAM.

En resumen, es mucho más seguro tener la computadora totalmente apagada, especialmente si se combina con el cifrado completo de la unidad.

    
respondido por el vidarlo 11.12.2017 - 14:19
fuente
0

Vidarlo tiene razón en que la suspensión (suspender a RAM) es menos segura porque tiende a dejar secretos como las claves de cifrado en la RAM y esos secretos pueden ser recuperados por un atacante con acceso físico. Dicho esto, si utiliza cifrado de volumen completo (en Windows, normalmente BitLocker), la hibernación (suspender en disco) también es segura. Los secretos se perderán y deberán volver a ingresarse o adquirirse de otra manera (por ejemplo, la clave de cifrado del disco de una frase de contraseña / TPM / etc.) o se almacenarán en el disco (encriptado) (en los datos de hibernación).

De hecho, si tiene habilitado el cifrado de todo el volumen (o disco) y desea la máxima seguridad, debe desactivar la suspensión (suspender a RAM) y forzar la hibernación cuando, por ejemplo, la tapa de una computadora portátil esté cerrada o La máquina se deja desatendida por un tiempo. Esto reduce sustancialmente el riesgo de que un atacante obtenga acceso físico a un dispositivo mientras sus claves de cifrado del disco todavía están presentes en la RAM (y por lo tanto son recuperables). También puedes usar una herramienta como YoNTMA (Nunca me llevarás vivo, para Windows o Mac ) que hibernará automáticamente su máquina si está en funcionamiento pero está bloqueada y se retira de su ubicación actual (por ejemplo, porque un ladrón se fue con ella). YoNTMA también deshabilitará el modo de reposo para usted, al menos en Mac, y forzará a la máquina a hibernar en su lugar.

(Divulgación: solía trabajar para iSEC Partners, la compañía que desarrolló YoNTMA, pero no estaba asociada con el proyecto).

    
respondido por el CBHacking 12.12.2017 - 02:00
fuente

Lea otras preguntas en las etiquetas