He estado leyendo sobre Self Encrypting Drives y tengo problemas para entender cómo el Shadow MBR no es un problema de seguridad.
Encontré estas diapositivas que indican que el Shadow MBR está almacenado en texto claro (lo que tiene sentido porque debe presentarse antes de que se proporcione la contraseña para desbloquear la unidad). Da que, parece que debería ser vulnerable a la Evil Maid Attack en derrotar todo el cifrado del disco.
Esa publicación trata con FDE basado en software, pero el principal debe ser el mismo: encontrar la única pieza de software que no esté encriptada y reemplazarla con algo malicioso.
Sin embargo, desde esta publicación , se supone que Shadow MBR es inaccesible:
La sombra MBR es un área de 128 MB que está totalmente "fuera del mapa". Si el OS o un virus debían leer cada LBA en la unidad de LBA 0 a MAX LBA todavía no podría verlo o modificarlo.
¡Problema resuelto! Excepto, aquí es donde las cosas se ponen confusas (para mí). Esta publicación en desbloqueo de SED , tiene esto que decir :
Cuando un SED se configura con autenticación previa al arranque, solo los 128 MB El volumen OPAL "MBR Shadow" es visible para el sistema operativo
Entonces, ¿cuál es? ¿El Shadow MBR está totalmente "fuera del mapa" o es lo único visible para el sistema operativo? Y, si es visible y se puede montar a nivel del sistema operativo, ¿qué es impedir que un atacante reemplace su PBA con el suyo?