Sicurezza e Veracrypt [chiuso]

Naviga le tue risposte
2

Ho qualche domanda su Security e Veracrypt e spero che tu possa chiarirmi per me.

  1. Non voglio che il volume nascosto VeraCrypt che ho creato sia danneggiato. Se monto il volume nascosto e trasferisco i file non subiremo alcun danno, e se abilito l'opzione 'Proteggi il volume nascosto dai danni causati dalla scrittura sul volume esterno' Nella finestra di dialogo Opzioni di montaggio e scrivi sul volume esterno, c'è nessun danno al volume nascosto, è corretto?

  2. se qualcuno ha accesso a un'unità flash crittografata di Veracrypt, non sarebbe in grado di montare o scrivere informazioni su di esso, e BadUSB, il malware che lampeggia nel firmware non sarebbe possibile?

  3. L'unica possibilità sarebbe quella di aprire fisicamente il flash drive e inserire qualcosa dentro di esso? Quanto è probabile che ciò accada da qualcuno che non è il governo e quanto costerebbe?

  4. Suppongo che sarebbe diverso per un PC con un disco rigido crittografato in quanto sarebbero in grado di trasmettere malware nel firmware se il BIOS non è protetto da password, ma cosa succede se il BIOS è protetto da password ma è ancora possibile utilizzare l'opzione di avvio con più dispositivi e avviare un sistema operativo Linux da un'unità flash? (So che il PC lo fa). Significa che potrebbero far comparire qualcosa nel firmware? Come posso testare se è possibile su quel PC?

  5. Se quattro non è possibile, l'unica possibilità sarebbe di nuovo di aprire il PC e inserire qualcosa nell'hardware, è corretto? Quanto è probabile che ciò accada da qualcuno che non è il governo e quanto costerebbe?

  6. Non c'è davvero modo di controllare se hanno inserito qualcosa nel firmware o per controllare se hanno inserito qualcosa nell'hardware? Come mantenere le informazioni al sicuro se il PC o l'unità flash potrebbero essere compromessi senza alcun modo per verificare se è stato compromesso, oltre a ottenere una nuova macchina?

Rispondi più che puoi, va bene se non conosci tutte le risposte. Grazie

    
posta Guest 13.04.2018 - 17:10
fonte

2 risposte

0

Sono un sacco di domande! Onestamente, penso che il tuo più grande problema è che non hai definito un modello di minaccia . Devi capire il tuo avversario, le sue capacità, il valore delle tue risorse, ecc. È molto più probabile che qualcuno inserisca semplicemente un keylogger hardware piuttosto che aprirà fisicamente il tuo computer e sostituirà il tuo BIOS. Gli attaccanti sceglieranno sempre gli attacchi più semplici rispetto a quelli più sofisticati e i tuoi avversari non fanno eccezione.

La crittografia non può proteggere contro un utente malintenzionato che ha accesso fisico illimitato al dispositivo che esegue la crittografia. Questa non è una limitazione della crittografia stessa, ma una limitazione di come può essere utilizzata. VeraCrypt e utility di crittografia simili possono fornire solo sicurezza per i dati che significa che, quando il sistema è spento e tutto ciò che un utente malintenzionato ha i dati crittografati non saranno in grado di decodificarlo senza la chiave. Assicurati che il tuo sistema sia presente e protetto fisicamente.

I don't want the VeraCrypt hidden volume I created to be damaged. If I mount the hidden volume and transfer files there'd no damage, and if I enable the option 'Protect hidden volume against damage caused by writing to outer volume ' In the Mount Options dialog window, and write to the outer volume, there is no damage to the hidden volume, is that correct?

È corretto. Se abiliti "protect hidden volume", puoi scrivere sul volume esterno in modo sicuro. Se sei costretto a rinunciare alla tua chiave sotto costrizione, forniresti solo la chiave del volume esterno e non entrambe, il che farebbe sì che eventuali scritture danneggino il volume nascosto. Questo è inevitabile.

if someone has access to a Veracrypt encrypted flash drive, they wouldn't be able to mount or write information to it, and BadUSB, flashing malware into the firmware wouldn't be possible?

La crittografia non blocca la scrittura, ma significa che i dati che vengono scritti appariranno senza senso quando vengono decrittografati. Per quanto riguarda il firmware lampeggiante, la crittografia impedisce non . Il firmware viene tenuto separatamente sull'unità flash e non è e non può essere crittografato da VeraCrypt.

The only possibility would be to physically open up the flash drive and insert something into it? How likely is that to happen by someone who isn't the government and how much it would cost?

Sarebbe molto più semplice modificare il firmware, ma se l'unità disabilita correttamente la scrittura sul firmware, allora sarebbe possibile modificare fisicamente il chip del firmware. Nessuno può dirti la probabilità che ciò accada, ma il costo sarebbe estremamente basso. Si noti che la modifica della sola unità flash non è idonea a eludere la crittografia.

I assume that it would be different for a PC with an encrypted hard drive as they would be able to flash malware into the firmware if the BIOS isn't password protected, but what if the BIOS is password protected but you can still use the multi device boot option and boot a Linux operating system from a flash drive? (I know that PC does that). Does that mean that they could flash something into the firmware? How do I test if it's possible on that PC?

La password del BIOS protegge non dalla modifica del firmware. Vedi questa risposta .

If four isn't possible, the only possibility would be again to open up the PC and insert something into the hardware, is that correct? How likely is that to happen by someone who isn't the government and how much would it cost?

Sarebbe più semplice modificare un PC perché è più grande e ha più componenti. Sarebbe molto economico, ma, ancora una volta, nessuno può dirti quanto è probabile che lo scenario sia per il tuo particolare modello di minaccia.

Is there really no way to check if they inserted something into the firmware or to check if they inserted something into the hardware? How do you keep your information safe if your PC or flash drive could be compromised with no way to check if it has been compromised, aside from getting a new machine?

È possibile verificare il firmware, ma può essere complicato da configurare. Ho spiegato come questo può essere fatto su una risposta ad un'altra domanda. In fondo alla risposta c'è una lista di ulteriori risorse.

    
risposta data 14.04.2018 - 03:37
fonte
0

Vedo le tue domande come "se utilizzo veracrypt su tutti gli hdd e le unità flash, come posso essere compromesso?".

Se usi la vecchia catena di avvio (non uefi), posso semplicemente inserire un keylogger TSR nel tuo settore di avvio, quindi collegare a veracrypt. Una volta inserita la password, la memorizzo su HDD. O potrei modificare veracrypt per memorizzare la password. Avrei bisogno di accedere alla tua macchina due volte, una volta prima, e una volta dopo aver usato il computer, ma non costerebbe denaro e nessuna modifica al tuo computer.

Probabilmente c'è anche un modo per farlo in uefi (imposta il mio cert come fidato nella configurazione del bios), ma non ne ho esperienza.

    
risposta data 14.04.2018 - 06:57
fonte

Leggi altre domande sui tag

Archiviazione di certificati e chiavi nei moduli di sicurezza hardware (Use-case TLS) Necessità di consigli sulla sicurezza per la virtualizzazione e la sicurezza di Windows