¿Se utiliza Shadow MBR en los SED como una vulnerabilidad de seguridad?

9

He estado leyendo sobre Self Encrypting Drives y tengo problemas para entender cómo el Shadow MBR no es un problema de seguridad.

Encontré estas diapositivas que indican que el Shadow MBR está almacenado en texto claro (lo que tiene sentido porque debe presentarse antes de que se proporcione la contraseña para desbloquear la unidad). Da que, parece que debería ser vulnerable a la Evil Maid Attack en derrotar todo el cifrado del disco.

Esa publicación trata con FDE basado en software, pero el principal debe ser el mismo: encontrar la única pieza de software que no esté encriptada y reemplazarla con algo malicioso.

Sin embargo, desde esta publicación , se supone que Shadow MBR es inaccesible:

  

La sombra MBR es un área de 128 MB que está totalmente "fuera del mapa". Si el   OS o un virus debían leer cada LBA en la unidad de LBA 0 a MAX LBA   todavía no podría verlo o modificarlo.

¡Problema resuelto! Excepto, aquí es donde las cosas se ponen confusas (para mí). Esta publicación en desbloqueo de SED , tiene esto que decir :

  

Cuando un SED se configura con autenticación previa al arranque, solo los 128 MB   El volumen OPAL "MBR Shadow" es visible para el sistema operativo

Entonces, ¿cuál es? ¿El Shadow MBR está totalmente "fuera del mapa" o es lo único visible para el sistema operativo? Y, si es visible y se puede montar a nivel del sistema operativo, ¿qué es impedir que un atacante reemplace su PBA con el suyo?

    
pregunta Dominic P 23.09.2016 - 19:16
fuente

1 respuesta

4

El punto es que Shadow MBR es proporcionado por el propio disco, por lo que podría hacerse de solo lectura (o, más probablemente, provisto por el firmware, y si el fabricante hizo las cosas correctamente, el firmware no se podrá escribir) en estado bloqueado¹). Aún así, aunque hace que el ataque de desbloqueo de FDE sea más difícil, un atacante siempre puede poner un filtro SATA frente a la unidad bloqueada que realiza el robo de claves (el mismo procedimiento pero con hardware en lugar de software).

¹ Tenga en cuenta que probablemente seguirá destellando directamente los chips de hardware, sin embargo.

    
respondido por el Ángel 15.07.2018 - 01:14
fuente

Lea otras preguntas en las etiquetas