La crittografia della partizione / boot in un sistema Linux può proteggere da un Evil Maid Attack?

3

Se la partizione di avvio è crittografata (e la passphrase per sbloccare il dispositivo deve essere immessa in GRUB prima dell'avvio della sequenza di avvio) il sistema è notevolmente al sicuro da un Evil Maid Attack?

    
posta TheMoltenJack 26.07.2017 - 15:47
fonte

2 risposte

3

"Attentato malvagio" è un termine generico per qualsiasi tipo di manipolazione fisica su un dispositivo in assenza dell'utente.

La crittografia del disco rigido ti protegge da due di questi attacchi:

  • Clonazione fisica del disco rigido
  • Avvio del dispositivo e dare un'occhiata ai dati sul dispositivo

Non ti proteggerà da un utente malintenzionato che installa qualsiasi altra forma di dispositivi di sorveglianza, come sniffer di rete fisica, keylogger fisici ecc.

E poi c'è anche questa forma di una cameriera cattiva attacco:

  1. L'attaccante avvia il dispositivo da un supporto di avvio che ha portato.
  2. L'attaccante installa un nuovo bootloader che mostra una richiesta di password per la decrittografia proprio come quella predefinita.
  3. L'attaccante spegne e abbandona il dispositivo.
  4. Quando inserisci la tua password, il bootloader richiede la tua password, che inserirai perché sembra proprio come sempre. Decodifica quindi il disco rigido e avvia normalmente il sistema operativo, come al solito. Ma mentre lo fa, installa un payload del malware sul disco rigido ora non crittografato e / o invia la password che ha appena annusato all'autore dell'attacco.

Questo attacco funzionerà finché si utilizza una soluzione software pura, poiché richiederà sempre un bootloader non crittografato sul disco rigido per decrittografarlo. L'unica soluzione sarebbe se la crittografia del disco rigido potesse essere implementata a livello UEFI. Ma non ho ancora sentito nulla di simile.

Ricorda sempre il terzo Immutable Law of Security :

If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.

    
risposta data 26.07.2017 - 16:27
fonte
1

Anche se rendi il sistema non avviabile per qualsiasi altra immagine di avvio senza apportare modifiche a EFI, sei vulnerabile a cose come i keylogger hardware. Una cattiva cameriera potrebbe semplicemente scollegare la tastiera, inserire un logger di chiave hardware e ricollegarla. La prossima volta che accedi in modo inaspettato, le tue credenziali vengono catturate.

La crittografia, di per sé, non è una protezione completa contro l'accesso fisico.

    
risposta data 26.07.2017 - 16:46
fonte

Leggi altre domande sui tag