Shutdown vs sleep

-1

Da un punto di vista della sicurezza, dormire è più sicuro dell'arresto nei laptop? L'arresto deve essere eseguito solo dopo gli aggiornamenti mensili, poiché l'arresto "salva" le impostazioni, "cambia" ecc., Quindi si riavvia. Sonno salva solo sessione e amp; quindi entra in modalità a basso stato. In Windows 10 Pro

    
posta Aoi. T_015 11.12.2017 - 12:48
fonte

3 risposte

2

La risposta dipende dal modello di minaccia. Se il sonno o lo spegnimento sono migliori nella tua situazione specifica, dipende da molti fattori. Senza ulteriori informazioni, questo è il meglio che posso fare.

sospeso

Esistono quattro tipi di sospensione (sospensione) definiti da ACPI , da S1 a S4.

  • S1 - La cache della CPU viene svuotata e la CPU si arresta. Chiamato anche Power on Suspend.
  • S2 - La cache del processore sporco viene scaricata su RAM e la CPU si spegne.
  • S3 - Solo la RAM e i sottosistemi necessari sono alimentati. Chiamato anche Suspend to RAM.
  • S4 - La RAM viene salvata su disco e il sistema si spegne. Chiamato anche Suspend to Disk.

Tipico "sonno" o modalità stand-by su un computer moderno è S3, quindi presumo che sia di questo che stai parlando. Quando la memoria rimane accesa, tutti i suoi contenuti vengono salvati, incluse informazioni potenzialmente sensibili come password o chiavi di crittografia. Ciò può rendere il sistema più vulnerabile a un attacco di avvio a freddo o Attacco DMA . Questo è solo un problema se il tuo modello di minaccia implica il recupero passivo dei contenuti della memoria per un utente malintenzionato con accesso fisico.

C'è un'altra cosa da ricordare con il sonno S3. Quando un sistema viene acceso o quando un sistema riprende dallo stand-by, rilegge le tabelle ACPI, eseguendo il codice AML . Si tratta di dati eseguibili memorizzati nel BIOS ed eseguiti dal kernel del sistema. Di conseguenza, un sistema il cui BIOS è stato modificato per contenere tabelle ACPI dannose verrà eseguito quando un sistema si accende o quando riprende dallo standby. Se il tuo modello di minaccia comporta la manomissione del tuo sistema mentre è ancora online, lo stand-by non ritarderà necessariamente l'inizio dell'attacco.

Spento

Quando il sistema è spento, tutta la potenza di tutti i sottosistemi viene interrotta. Quando il sistema viene riacceso, il BIOS e il disco vengono riletti. Al momento, eventuali modifiche al BIOS o al disco influiscono sul sistema. Soluzioni come BootGuard sono necessarie per garantire l'integrità ed evitare questo risultato.

Se il disco rigido viene rubato, tutti i dati presenti su di esso possono essere letti. Per evitare ciò, è necessario utilizzare la crittografia completa del disco, ad esempio utilizzando VeraCrypt o Bitlocker. Al termine, il sistema ha una sicurezza dati a riposo . Qualsiasi dato presente sul tuo disco rigido sarà illeggibile senza la chiave corretta. Bitlocker può ulteriormente legare questo al tuo computer fisico tramite utilizzando il suo TPM , assicurandoti che rimuovere il disco rigido e conoscere la chiave non sia sufficiente per ottenere il contenuto.

Quando un sistema viene spento, lo stato volatile del computer viene perso. Questo ucciderà qualsiasi malware residente in memoria, sebbene quel tipo di malware sia non quello comune in ogni caso. Questo comportamento è tuttavia utile per sbarazzarsi di molti bug che si accumulano man mano che l'uptime cresce. In questi casi, spegnerlo e riaccenderlo funziona davvero. Un riavvio completo di un computer è come una buona notte di sonno.

Modellazione delle minacce

Sto assumendo che il tuo modello di minaccia coinvolga gli attaccanti che ottengono informazioni dal tuo computer in un modo o nell'altro, piuttosto che tenere conto di altri attacchi esoterici come la modifica in tempo reale delle tabelle ACPI su una macchina sospesa. Se questo è il caso, probabilmente vuoi semplicemente garantire che tutti i tuoi dati rimangano confidenziali. La risposta per quel modello di minaccia è che l'arresto è "più sicuro". Ci sono alcune cose che dovresti fare:

  • Spegni il sistema quando non lo utilizzi per evitare di lasciare segreti in memoria.
  • Utilizza la crittografia completa del disco per garantire la sicurezza dei dati.
  • Utilizzare l'hardware con BootGuard per verificare l'integrità del firmware.
risposta data 12.12.2017 - 03:56
fonte
3

No, il sonno è meno sicuro. Durante la sospensione, la RAM rimane accesa ed è molto probabile che le chiavi e le password di crittografia vengano archiviate nella RAM. Questo può essere recuperato tramite canali di debug, come RAM dumping via Firewire , o anche riavviare il computer e scaricare la RAM, poiché è necessario del tempo perché il contenuto rimanga fuori dalla RAM.

Quindi, in breve, è molto più sicuro avere il computer completamente spento - specialmente se combinato con la crittografia completa dell'unità.

    
risposta data 11.12.2017 - 14:19
fonte
0

Vidarlo è corretto che sleep (suspend-to-RAM) è meno sicuro perché tende a lasciare segreti come chiavi di crittografia nella RAM e quei segreti possono essere recuperati da un utente malintenzionato con accesso fisico. Detto questo, se usi la crittografia a volume pieno (su Windows, tipicamente BitLocker), allora anche la sospensione (sospensione su disco) è sicura. I segreti verranno persi e dovranno essere reinseriti o acquisiti in altro modo (ad esempio, la chiave di crittografia del disco da una passphrase / TPM / ecc.) O verranno archiviati nel disco (crittografato) (nei dati di sospensione).

Infatti, se hai la crittografia a pieno volume (o disco) abilitata e vuoi la massima sicurezza, dovresti disabilitare la sospensione (suspend-to-RAM) e forzare l'ibernazione ogni volta che, ad esempio, il coperchio di un laptop è chiuso o la macchina viene lasciata incustodita per un po '. Ciò riduce sostanzialmente il rischio che un utente malintenzionato ottenga l'accesso fisico a un dispositivo mentre le sue chiavi di crittografia del disco sono ancora presenti nella RAM (e quindi recuperabili). Puoi anche utilizzare uno strumento come YoNTMA (Non mi lascerai mai vivo, per Windows o Mac ) che automaticamente ibernerà la tua macchina se è in esecuzione ma bloccata e viene rimossa dalla sua posizione corrente (ad esempio perché un ladro se ne è andato). YoNTMA disabiliterà anche la modalità di sospensione per te, almeno su Mac, e imporrà invece la sospensione.

(Divulgazione: lavoravo per iSEC Partners, la società che ha sviluppato YoNTMA, ma non era associato al progetto.)

    
risposta data 12.12.2017 - 02:00
fonte

Leggi altre domande sui tag