La risposta dipende dal modello di minaccia. Se il sonno o lo spegnimento sono migliori nella tua situazione specifica, dipende da molti fattori. Senza ulteriori informazioni, questo è il meglio che posso fare.
sospeso
Esistono quattro tipi di sospensione (sospensione) definiti da ACPI , da S1 a S4.
- S1 - La cache della CPU viene svuotata e la CPU si arresta. Chiamato anche Power on Suspend.
- S2 - La cache del processore sporco viene scaricata su RAM e la CPU si spegne.
- S3 - Solo la RAM e i sottosistemi necessari sono alimentati. Chiamato anche Suspend to RAM.
- S4 - La RAM viene salvata su disco e il sistema si spegne. Chiamato anche Suspend to Disk.
Tipico "sonno" o modalità stand-by su un computer moderno è S3, quindi presumo che sia di questo che stai parlando. Quando la memoria rimane accesa, tutti i suoi contenuti vengono salvati, incluse informazioni potenzialmente sensibili come password o chiavi di crittografia. Ciò può rendere il sistema più vulnerabile a un attacco di avvio a freddo o Attacco DMA . Questo è solo un problema se il tuo modello di minaccia implica il recupero passivo dei contenuti della memoria per un utente malintenzionato con accesso fisico.
C'è un'altra cosa da ricordare con il sonno S3. Quando un sistema viene acceso o quando un sistema riprende dallo stand-by, rilegge le tabelle ACPI, eseguendo il codice AML . Si tratta di dati eseguibili memorizzati nel BIOS ed eseguiti dal kernel del sistema. Di conseguenza, un sistema il cui BIOS è stato modificato per contenere tabelle ACPI dannose verrà eseguito quando un sistema si accende o quando riprende dallo standby. Se il tuo modello di minaccia comporta la manomissione del tuo sistema mentre è ancora online, lo stand-by non ritarderà necessariamente l'inizio dell'attacco.
Spento
Quando il sistema è spento, tutta la potenza di tutti i sottosistemi viene interrotta. Quando il sistema viene riacceso, il BIOS e il disco vengono riletti. Al momento, eventuali modifiche al BIOS o al disco influiscono sul sistema. Soluzioni come BootGuard sono necessarie per garantire l'integrità ed evitare questo risultato.
Se il disco rigido viene rubato, tutti i dati presenti su di esso possono essere letti. Per evitare ciò, è necessario utilizzare la crittografia completa del disco, ad esempio utilizzando VeraCrypt o Bitlocker. Al termine, il sistema ha una sicurezza dati a riposo . Qualsiasi dato presente sul tuo disco rigido sarà illeggibile senza la chiave corretta. Bitlocker può ulteriormente legare questo al tuo computer fisico tramite utilizzando il suo TPM , assicurandoti che rimuovere il disco rigido e conoscere la chiave non sia sufficiente per ottenere il contenuto.
Quando un sistema viene spento, lo stato volatile del computer viene perso. Questo ucciderà qualsiasi malware residente in memoria, sebbene quel tipo di malware sia non quello comune in ogni caso. Questo comportamento è tuttavia utile per sbarazzarsi di molti bug che si accumulano man mano che l'uptime cresce. In questi casi, spegnerlo e riaccenderlo funziona davvero. Un riavvio completo di un computer è come una buona notte di sonno.
Modellazione delle minacce
Sto assumendo che il tuo modello di minaccia coinvolga gli attaccanti che ottengono informazioni dal tuo computer in un modo o nell'altro, piuttosto che tenere conto di altri attacchi esoterici come la modifica in tempo reale delle tabelle ACPI su una macchina sospesa. Se questo è il caso, probabilmente vuoi semplicemente garantire che tutti i tuoi dati rimangano confidenziali. La risposta per quel modello di minaccia è che l'arresto è "più sicuro". Ci sono alcune cose che dovresti fare:
- Spegni il sistema quando non lo utilizzi per evitare di lasciare segreti in memoria.
- Utilizza la crittografia completa del disco per garantire la sicurezza dei dati.
- Utilizzare l'hardware con BootGuard per verificare l'integrità del firmware.