¿Por qué no es Secure Boot que protege contra ransomware como PETYA?

Navega tus respuestas
6

Algunos ransomwares, como PETYA , están cifrando el MBR y pidiendo un rescate. No entiendo por qué Secure Boot no impide que eso suceda.

    
pregunta paulgreg 11.01.2017 - 10:10
fuente

2 respuestas

6

El arranque seguro evita que la computadora arranque si el código de inicio del arranque (almacenado en el MBR, en los discos del MBR) u otro. En realidad, no evita tal manipulación en sí misma. El objetivo de Secure Boot es evitar que el código de inicio malicioso ponga en peligro su computadora de manera invisible; piense en un software espía que registra sus pulsaciones de teclas y archivos, no en protegerlo del malware que intenta negarle el acceso a su computadora.

En términos de InfoSec, el Arranque seguro proporciona integridad (usted sabe si algo se ha manipulado) y también puede proporcionar autenticación (si solo confía en una clave de firma, puede estar bastante seguro de que si su computadora arranca, su imagen de arranque fue firmada por esa llave). No proporciona disponibilidad (protección contra ataques de denegación de servicio, que es básicamente lo que es el ransomware) o autorización (verificaciones de control de acceso que controlan qué software está permitido hacer), excepto en el sentido de que impide que la máquina arranque si el La imagen de arranque está alterada.

Por lo general, puede bloquear las escrituras en el MBR desde el firmware (BIOS o (U) EFI).

    
respondido por el CBHacking 11.01.2017 - 10:34
fuente
0

SecureBoot do protege contra la manipulación del código de inicio. Esto es lo que Microsoft escribe en su blog :

  

UEFI Secure Boot es el estándar de seguridad que usa características de hardware para proteger el proceso de arranque y el firmware contra la manipulación. Esta protección detendrá el cifrado de disco peligroso ejecutado por Petya con un cargador de arranque. Después del reinicio forzado de Petya, una máquina con Arranque seguro detectará el cargador de arranque anómalo y evitará la ejecución, conteniendo el daño y previniendo el encriptado muy peligroso de los sectores del disco que lleva a una pérdida completa de datos.

Más adelante en este blog, en las opciones de recuperación de inicio, MS describe claramente el mensaje de muestra que se muestra al usuario después de dicha prevención y da recomendaciones para usar la recuperación de inicio para eso.

Por lo tanto, es probable que la respuesta elegida no sea técnicamente correcta o esté destinada a las últimas modificaciones de Petya (no recuperables).

    
respondido por el Suncatcher 12.07.2017 - 17:04
fuente

Lea otras preguntas en las etiquetas

Si me roban mi teléfono para la autenticación de dos factores, ¿puede el atacante acceder a mi cuenta a través de un correo electrónico para restablecer la contraseña? ¿La función eval () de PHP es vulnerable a la inyección de código cuando se ejecuta una cadena creada desde una matriz?