Hoy recibí el siguiente mensaje, después de iniciar mi PC:
¿Quéesexactamenteun"Evil Maid" -ackack? ¿Cuáles son las posibles formas de ser atacado por esto? ¿Qué significa en este caso que mi disco "haya sido manipulado"?
Los ataques de "criada malvada" pueden ser cualquier cosa que se haga en una máquina a través del acceso físico mientras está apagada, aunque esté encriptada. El nombre proviene de la idea de que un atacante podría infiltrarse o pagar al personal de limpieza donde sea que se encuentre para comprometer su computadora portátil mientras está fuera.
Para un dispositivo cifrado, los ataques de criada más malvados más probables son algún tipo de keylogger, ya sea físico o de software. Los registradores físicos son casi imposibles de detectar en el software, pero se pueden encontrar mediante un examen físico (aunque, dependiendo del espacio disponible dentro de una computadora portátil y lo fácil que es desconectar el teclado, es posible que se haga de una manera que no lo haría). t ver sin desmontarlo de nuevo a ti mismo ...). Sin embargo, los keyloggers de software son una gran amenaza.
El cargador de arranque VeraCrypt (que toma su contraseña y descifra el volumen cifrado o al menos la siguiente parte requerida para el arranque) debe ser descifrado. Si estaba cifrado, no podría ejecutarse sin otra cosa para descifrarlo. - por lo que es un objetivo primordial para un lugar donde colocar un keylogger de software. Tome un disco duro encriptado, adjúntelo a otra máquina, reemplace el cargador de arranque VeraCrypt por uno comprometido que guarda la contraseña en secreto y vuelva a colocarla en la máquina de la víctima. La próxima vez que la víctima arranque la computadora, su contraseña del disco duro se registrará para su posterior recuperación. VeraCrypt intenta detectar esto calculando una huella dactilar criptográfica del cargador de arranque para ver si se ha manipulado, aunque un atacante experto podría frustrarlo también, a menos que la máquina esté utilizando un TPM o similar que verifique el cargador de arranque contra una clave que el atacante pueda no sobrescribir.
Por lo tanto, parece que la verificación del cargador de arranque falló. Es por eso que VeraCrypt le está diciendo que cambie la contraseña de su disco duro inmediatamente. Es probable que el atacante no pueda robar la contraseña cuando la ingrese ; en su lugar, sería un ataque en varias etapas, primero comprometiendo el cargador de arranque y luego recuperando la contraseña después de que haya tenido la oportunidad de ingresar Es así, pero si vuelven a la máquina después de desbloquearla una vez pero antes de cambiar la contraseña, podrían robar esa contraseña (y todos los datos del disco).
Por supuesto, es posible que algo totalmente inocuo haya ocurrido y no haya un atacante. Cualquier cosa que interfiera con los discos duros en un nivel bajo, como las herramientas de partición, las herramientas de copia de seguridad / restauración, los instaladores / actualizadores del sistema operativo o algunas otras cosas podría invalidar la huella digital del cargador de arranque sin hacer nada malicioso. Cambiar la contraseña es probablemente una buena idea de todos modos, aunque ... ¿cuándo fue la última vez que lo hiciste?