Gli attacchi di "malvagità" possono essere qualsiasi cosa che viene eseguita su una macchina tramite accesso fisico mentre è disattivata, anche se è crittografata. Il nome deriva dall'idea che un utente malintenzionato potrebbe infiltrarsi o pagare il personale addetto alle pulizie ovunque tu vada a compromettere il tuo laptop mentre sei fuori.
Per un dispositivo crittografato, gli attacchi di cameriera malvagi più probabili sono alcune forme di keylogger, sia fisiche che software. I registratori fisici sono praticamente impossibili da rilevare nel software, ma possono essere trovati con l'esame fisico (sebbene a seconda dello spazio disponibile all'interno di un laptop e di quanto sia facile scollegare la tastiera, è possibile che ciò avvenga in un modo che non si lo vedo senza smontarlo di nuovo da solo ...). Tuttavia, i keylogger del software rappresentano una grave minaccia.
Il bootloader VeraCrypt (che prende la tua password e decrittografa il volume crittografato o almeno la prossima parte richiesta per l'avvio) deve essere decodificato - se fosse crittografato, non potrebbe essere eseguito senza qualcos'altro da decodificare - quindi è un obiettivo primario per un posto dove inserire un keylogger software. Prendi un disco rigido crittografato, collegalo a un'altra macchina, sostituisci il bootloader VeraCrypt con uno compromesso che salva la password in segreto e rimettilo nel computer della vittima. La prossima volta che la vittima avvierà il computer, verrà registrata la password del disco fisso per un successivo recupero. VeraCrypt tenta di rilevare ciò calcolando un'impronta digitale crittografica del bootloader per vedere se è stata manomessa, anche se un utente malintenzionato esperto potrebbe contrastare anche questo a meno che la macchina non stia utilizzando un TPM o simili che controllano il bootloader da una chiave che l'utente malintenzionato può non sovrascrivere.
Quindi sembra che la verifica del bootloader abbia avuto esito negativo. Ecco perché VeraCrypt ti sta dicendo di cambiare immediatamente la password del tuo hard disk. Probabilmente l'attaccante non può rubare la password mentre la inserisci - sarebbe invece un attacco a più stadi, prima compromettendo il bootloader e poi recuperando la password più tardi dopo aver avuto la possibilità di entrare ma se riescono ad accedere nuovamente alla macchina dopo averlo sbloccato una volta, ma prima di cambiare la password, potrebbero rubare quella password (e tutti i dati sul disco).
Naturalmente, è possibile che sia accaduto qualcosa di totalmente innocuo e che non ci sia nessun attaccante. Tutto ciò che mette a disagio i dischi rigidi a un livello basso, come strumenti di partizionamento, strumenti di backup / ripristino, programmi di installazione / aggiornamento del sistema operativo o poche altre cose, potrebbe potenzialmente invalidare l'impronta del bootloader senza realmente fare nulla di malevolo. Cambiare la password è comunque probabilmente comunque una buona idea, anche se ... quando è stata l'ultima volta che l'hai fatto?
