Disco encriptado en riesgo si la computadora portátil es robada mientras está encendida pero bloqueada

Hay ataques conocidos que utilizan DMA y un puerto FireWire que pueden anular la protección de la pantalla de bloqueo. A menos que ciertas funciones de Firewire que están activadas de forma predeterminada estén deshabilitadas, simplemente conectando un adaptador FireWire y ejecutando algún código especializado puede hacer que la pantalla de bloqueo acepte cualquier contraseña.

Ya se ha hablado de ataques de DMA, firewire y coldboot. Pero hay más formas de despellejar a un gato.

Su computadora puede ser insegura: carpetas compartidas, servicios vulnerables o kernel, etc. Una vulnerabilidad de la red podría dar acceso al sistema y luego a sus datos.

Su configuración puede ser insegura, por ejemplo, una cuenta desbloqueada olvidada con una contraseña fácil de adivinar y una escalada local de privilegios, o una cuenta predeterminada en algún lugar.

Y, por supuesto, sus credenciales pueden haber sido robadas ( mimikatz es bastante bueno en eso).

video interesante ,

el mejor consejo es no utilizar el cifrado completo del disco, sino crear múltiples contenedores más pequeños que pueda bloquear cuando haya terminado de trabajar con ellos,

esto evitará que los atacantes obtengan todos los datos (si usa contraseñas seguras y diferentes para cada contenedor) y le permite cerrarlas con más frecuencia, hay otro problema que considerar aquí porque es más fácil filtrar datos del contenedor

Recuerdo que hace unos años había un programa llamado descafeinado que tenía como objetivo evitar el uso de la herramienta del FBI conocida como Caffene, que borrará las contraseñas cuando se inicie la computadora. Casi todo lo que hizo fue deshabilitar todos los puertos y unidades adicionales, por ejemplo: unidades ópticas cuando la computadora arranca. Creo que también puede haber tenido una función que deshabilitaría todos esos puertos a menos que usted diera permiso.

Por supuesto, el descafeinado fue retirado de la web. Pero eso puede darle una idea de cómo puede proteger su computadora en el futuro.

Depende de qué tan sofisticado sea tu atacante. Hay mucho que se puede hacer con una máquina en ejecución, incluido el análisis de energía cuando su máquina tiene acceso al disco (tal vez debido a tareas programadas) si de alguna manera pudiera evitar todos los accesos directos a la clave. El borrel de video vinculado cubre una serie de cosas que serían más fáciles en la mayoría de los casos. No dejarlo mientras se está ejecutando proporciona una protección mucho mejor, aunque un atacante que realmente quiera sus datos puede instalar un kit de arranque y luego robarlo cuando el kit de arranque tenga su contraseña (o instalar un kit de arranque más complicado que proporcione la información y tal vez la información completa). Acceso al sistema a través de la red). Tengo entendido que el TPM es efectivo contra ese ataque, aunque el atacante aún podría instalar un keylogger , lo cual podría ser un grabador de audio que se analiza para el sonido distintivo que hacen diferentes teclas.

Incluso si es robado mientras se está ejecutando, el cifrado completo del disco puede ayudar a alguien que está más interesado en el valor de reventa del hardware y puede que no se moleste en intentar incluso los ataques más fáciles contra el cifrado completo del disco. Si usa software comercial, podría evitarle tener que llamar a cada proveedor para explicar por qué su DRM ahora muestra dos copias de su software instalado con su licencia. Aún puede agregar cifrado adicional en datos más valiosos si eso tiene sentido para usted. Todo depende de qué amenazas son más probables y cuánto esfuerzo está dispuesto o requerido a hacer para protegerse contra ellas. A las personas que desean datos a menudo les resulta más fácil o más atractivo usar ataques basados en la red.