L'MBR dell'ombra utilizzato nei SED è vulnerabile alla sicurezza?

9

Ho letto su Self Encrypting Drives e ho difficoltà a capire come l'Shadow MBR non sia un problema di sicurezza.

Ho trovato queste diapositive che indicano che Shadow MBR è memorizzato in testo non crittografato (il che ha senso perché deve essere presentato prima che venga data la password per sbloccare l'unità). Dare di, sembra che dovrebbe essere vulnerabile al Malvagio attacco malefico sulla sconfitta della crittografia dell'intero disco.

Questo post riguarda il software basato su FDE, ma il principale dovrebbe essere lo stesso: trovare l'unico pezzo di software che non è crittografato e sostituirlo con qualcosa di malevolo.

Tuttavia, da questo post , l'Shadow MBR dovrebbe essere inaccessibile:

The MBR shadow is a 128 MB area that is totally “off the map”. If the OS or a virus were to read each LBA on the drive from LBA 0 to MAX LBA it would still not to be able to see it or modify it.

Problema risolto! Tranne, qui è dove le cose si confondono (per me). Questo post su sblocco dei SED , ha questo da dire :

When a SED is configured with pre-boot authentication, only the 128MB OPAL “MBR Shadow” volume is visible to the OS

Quindi, qual è? L'MBR Shadow è totalmente "fuori mappa" o è l'unica cosa visibile al sistema operativo? E, se è visibile e montabile a livello di sistema operativo, cosa deve impedire a un utente malintenzionato di sostituire il tuo PBA con il proprio?

    
posta Dominic P 23.09.2016 - 19:16
fonte

1 risposta

4

Il punto è che l'Shadow MBR è fornito dall'unità stessa, quindi potrebbe essere di sola lettura (o, più probabilmente, fornito dal firmware, e se il produttore ha fatto le cose correttamente, il firmware non sarà scrivibile nello stato bloccato¹). Tuttavia, anche se rende più difficile l'attacco di sblocco FDE, un utente malintenzionato potrebbe sempre mettere un filtro SATA davanti all'unità bloccata che esegue il furto della chiave (la stessa procedura ma con hardware anziché software).

¹ Nota che probabilmente continuerà a lampeggiare direttamente i chip hardware.

    
risposta data 15.07.2018 - 01:14
fonte

Leggi altre domande sui tag