Quando si utilizza la crittografia completa del disco, il bootloader non è crittografato, consentendo quindi attacchi come Malvagità .
La mia domanda è: come posso proteggermi da questo? Posso crittografare l'unità o memorizzarla in una USB?
BTW: non ci sono più notizie sulle backdoor dell'HDD NSA. C'è un modo per proteggersi dalle backdoor hardware?
UEFI Secure Boot fornisce protezione da questo tipo di attacco richiedendo la firma crittografata eseguibili.
In generale, è necessario un modulo hardware antimanomissione che convalidi il bootloader (ad esempio un chip TPM).
Per proteggersi dalle backdoor hardware hai bisogno di qualcosa come la tecnologia Intel Trusted Execution . Fondamentalmente, tutti i tuoi moduli hardware (il tuo HDD, la tua tastiera, ecc.) Devono avere un modo per identificarsi con la CPU. Ciò significa che tutti i chip sulla scheda madre e i ogni dispositivi periferici che si connettono devono includere un keystore resistente alla manomissione (come una smart card o un chip TPM). E poiché l'hardware attualmente disponibile in commercio non include componenti come quelli non puoi fare molto.
La maggior parte delle soluzioni basate su TPM ti avviserà quando è molto probabilmente troppo tardi: prima sarai invitato a inserire la password del tuo hard-disk dal software malevolo Malvagità, e poi il processo di avvio del SO rileverà (grazie a TPM ) l'integrità dell'integrità del sistema e ti avverte ... ma in questa fase avrai già fornito la tua password al software dannoso.
Joanna Rutkowska, fondatrice della distribuzione Qubes OS Linux orientata alla sicurezza, ha creato il anti-malvagio -Maid software che consente al computer di autenticarsi da sé prima che tu debba autenticarti.
Invece di chiedere direttamente la password del disco rigido, il software Anti-Evil-Maid utilizza prima il TPM per decriptarlo e mostrarti un messaggio o un'immagine. Se il processo di avvio è stato modificato per includere un software dannoso, il TPM non presenterà i valori corretti per consentire la decrittografia di questa immagine e un software dannoso non dovrebbe conoscere anticipatamente il messaggio o l'immagine esatta che ci si aspetta (deve rimanere un segreto).
Dopo aver verificato che l'immagine o il messaggio siano effettivamente quelli attesi, puoi essere sicuro che il software che ti sta chiedendo la password sia quello giusto e che tu possa tranquillamente digitare la password del tuo hard-disk.
Si noti che tutte queste soluzioni richiedono ancora la presenza di un chip TPM sulla macchina. Senza un chip TPM, non esiste un modo reale di proteggerti da tale attacco (alcuni software potrebbero verificare l'integrità dei file di avvio dopo l'avvio del sistema, ma molto probabilmente troppo tardi: in questa fase la tua password potrebbe essere già stata inviata tramite la rete e / oi tuoi file di sistema crittografati sono ora infettati da una backdoor).