Dado un adversario suficientemente inteligente con recursos significativos, no puedes.
Hay cinco posibles vectores de ataque:
- Malware en el disco dentro de una partición.
- Malware dentro del sector de arranque.
- Estructuras de sistema de archivos o particiones mal formadas que explotan errores en su sistema operativo ( ejemplo )
- Malware en el firmware del disco.
- Hardware modificado (por ejemplo, reemplazar la PROM de firmware con una ROM de máscara que contenga malware)
El malware en un sistema de archivos en la unidad se derrota fácilmente al formatear el disco cuando lo obtienes.
El malware del sector de arranque es un poco más complicado. Aunque una instalación de SO sobrescribiría el sector de arranque de todos modos, esto no se aplica a las unidades que solo se usarán para datos. Este tipo de cosas se pueden solucionar realizando una limpieza del disco a bajo nivel con dd
o una herramienta similar, o volviendo a escribir el sector de arranque con una herramienta de mantenimiento de disco.
Las particiones o sistemas de archivos con formato incorrecto pueden eliminarse con dd
, pero aún así debe ingresar a un sistema operativo para ejecutar el comando. Es una buena idea realizar la primera operación de formato desde un Live CD sin ningún otro almacenamiento persistente adjunto.
El problema del firmware modificado es muy complicado. Sabemos que se puede modificar el firmware del disco duro , y seguramente hay vectores de parches desde el nivel del sistema operativo. Detectar el firmware malicioso es una tarea difícil, y solo puede obtener realmente la garantía de la integridad del firmware manualmente (es decir, en el nivel de la interfaz eléctrica) sobrescribiendo el firmware con una imagen de firmware firmada digitalmente y proporcionada por el fabricante. Ya que estaría interactuando directamente con la EEPROM, y sería capaz de leer la imagen y verificar su integridad, tendría una gran seguridad de que el firmware "seguro" fue escrito. Sin embargo, esto no soluciona el problema de las puertas traseras al final del fabricante.
Finalmente, existe el potencial para hardware modificado. En tal caso, el firmware EEPROM podría ignorarse a favor de una ROM de máscara, almacenada ya sea externamente o dentro del paquete del controlador IC, de modo que parpadee el firmware parece funcionar pero en realidad no logra cambiar el código del firmware que es en realidad ejecutado por el dispositivo.
Sin embargo, al final del día, ¿importa? La mayoría de las veces obtendrás un disco duro limpio, y las cosas tienen que ir muy mal en algún lugar del mundo si terminas con el malware del sector de arranque en un disco firmado y sellado. Si un adversario puede descubrir que tiene un disco duro en orden de Amazon, obtenga otro de esa unidad exacta, realice copias de seguridad de su firmware o hardware de manera útil, ingrese al camión de entrega y reemplace el disco con uno modificado. sin que nadie lo note, entonces estás jodido, sin importar lo que pase .
En resumen, me gustaría citar de un excelente documento por James Mickens:
Si tu adversario es el Mossad, ESTARÁS MUERTE Y NO HAY NADA QUE PUEDES HACER AL RESPECTO. El Mossad no se siente intimidado por el hecho de que emplee https: //. Si el Mossad desea sus datos, usarán un dron para reemplazar su teléfono celular con un pedazo de uranio que tiene la forma de un teléfono celular, y cuando usted muera de tumores llenos de tumores, van a celebrar una conferencia de prensa y diga "No fuimos nosotros", ya que usan camisetas que dicen "DEFINITIVAMENTE DE NOSOTROS", y luego comprarán todas sus cosas en la venta de su finca para que puedan ver directamente las fotos de su Vacaciones en lugar de leer sus correos electrónicos insípidos sobre ellos.