Se ho un computer portatile con crittografia completa del disco, è attivato, lo schermo è bloccato e viene rubato. Come può un utente malintenzionato ottenere i miei dati? Al momento non è crittografato perché è attivato, ma l'unico modo in cui so di prendere una password richiede l'avvio di un cd / dvd / thumbdrive che richiede il riavvio o l'esecuzione di un exploit contro la macchina attraverso la rete e il furto del SAM o passwd file.
Esistono attacchi noti che utilizzano DMA e una porta firewire che può ignorare la protezione dello schermo di blocco. A meno che alcune funzionalità di firewire attive per impostazione predefinita siano disabilitate, è sufficiente collegare un adattatore firewire ed eseguire un codice specializzato per consentire alla schermata di blocco di accettare qualsiasi password.
Gli attacchi DMA, firewire e coldboot sono già stati pronunciati. Ma ci sono più modi per pelle un gatto.
Il tuo computer potrebbe essere insicuro: cartelle condivise, servizi vulnerabili o kernel, ecc. Un exploit dalla rete potrebbe consentire l'accesso al sistema e quindi ai tuoi dati.
La tua configurazione potrebbe essere non sicura, ad esempio un account sbloccato dimenticato con password facile da indovinare e escalation di privilegi locali o un account predefinito da qualche parte.
E, ovviamente, le tue credenziali potrebbero essere state rubate ( mimikatz è abbastanza buono)
il miglior consiglio è di non usare la crittografia completa del disco, ma creare più contenitori più piccoli che puoi bloccare quando hai finito di lavorare con loro,
questo impedirà agli attaccanti di ottenere tutti i dati (se usi password forti e diverse per ogni contenitore) e ti permette di chiuderli più spesso, ci sono altri problemi da considerare qui perché è più facile perdere dati dal contenitore
Ricordo che alcuni anni prima c'era un programma chiamato decaf che impediva l'uso dello strumento dell'FBI noto come Caffene che bipasserebbe le password all'avvio del computer. Praticamente ciò che ha fatto è stato disabilitare tutte le porte e le unità extra, ad esempio: unità ottiche all'avvio del computer. Credo che potrebbe anche aver avuto una funzione che avrebbe disabilitato tutte quelle porte a meno che non avessi dato il permesso.
Ovviamente il decaffeinato è stato tolto dal web. Ma questo potrebbe darti un'idea di come puoi proteggere il tuo computer in futuro.
Dipende da quanto è sofisticato il tuo aggressore. C'è molto che potrebbe essere fatto con una macchina in corsa, tra cui power analysis quando la tua macchina fa l'accesso al disco (forse a causa di attività pianificate) se si fosse in qualche modo in grado di impedire tutti gli accessi diretti alla chiave. Il video borrel collegato a copre una serie di cose che sarebbe più facile nella maggior parte dei casi. Non lasciarlo mentre è in esecuzione fornisce una protezione molto migliore, anche se un utente malintenzionato che vuole davvero i tuoi dati può ancora installare un bootkit quindi rubarlo in seguito quando il bootkit ha la tua password (o installare un bootkit più complicato che fornisce le informazioni e forse pieno accesso al sistema tramite la rete). La mia comprensione è che il TPM è efficace contro tale attacco, sebbene l'autore dell'attacco possa ancora installare un keylogger , che potrebbe sii un registratore audio che viene analizzato per il suono distinto dei tasti diversi.
Anche se rubato durante l'esecuzione, la crittografia completa del disco può aiutare contro qualcuno che è interessato principalmente al valore di rivendita dell'hardware e potrebbe non preoccuparsi di provare anche gli attacchi più facili contro la crittografia completa del disco. Se si utilizza un software commerciale, potrebbe evitare di dover chiamare ciascun fornitore per spiegare perché il proprio DRM ora sta visualizzando due copie del proprio software installato con la propria licenza. È ancora possibile aggiungere ulteriore crittografia su dati più preziosi se ciò ha senso per te. Tutto dipende da quali sono le minacce più probabili e da quanti sforzi si è disposti o obbligati a fare per proteggerli. Qualcuno che vuole dati può spesso trovare più facile o più attraente utilizzare attacchi basati sulla rete.
Leggi altre domande sui tag encryption disk-encryption