¿Qué tan útil es el cifrado del disco duro?

8

Entonces, supongamos que tiene una computadora portátil y encripta todo el disco duro. Cada vez que arranque, solicitará una contraseña, lo que significa que nadie puede acceder a sus datos sin la contraseña. Por otro lado, ¿qué pasa si su computadora portátil fue robada mientras estaba en modo de suspensión? ¿Hay alguna protección que pueda ofrecer el cifrado?

Gracias

hard-drive security encryption sleep Malabarba
fuente
2
Subjetivo, wiki comunitario.
Xavierjazz
44
Si ha encriptado su disco duro y está poniendo su computadora portátil en reposo sin requerir una contraseña para despertarse, está perdiendo el tiempo. Es como comprar un costoso sistema de alarma para su casa y no armarlo: debe hacerlo correctamente para protegerlo.
Jared Harley
@Xavierjazz mi respuesta "objetiva" es que el cifrado completo del disco duro no es 100% seguro (¿pero qué es?) Pero ES útil.
Maciek Sawicki el

Respuestas:

7

Una vez que se inicia, la clave de cifrado permanece en la memoria. Si realmente quisieran, podrían conectarse directamente a la placa base y extraer la clave de cifrado de la memoria. Si ha encriptado su disco duro, ciertamente espero que configure su computadora portátil para que requiera una contraseña para volver a iniciar sesión. Si tiene (y es seguro), entonces no pueden ejecutar un programa para robar la clave. En ese momento, tienen dos opciones: intentar forzar físicamente la llave (a través de la placa base) o reiniciar y esperar que no esté encriptada.

Si tiene habilitada la encriptación del disco duro y NO tiene una contraseña para su cuenta (o no la solicita cuando se despierta) o su contraseña es débil y fácil de adivinar, la encriptación del disco duro no lo ayudará mucho.

Joshua
fuente
1
No creo que una contraseña de inicio de sesión signifique nada realmente. Si la clave está en la memoria de una máquina en funcionamiento en manos de un atacante, se puede obtener.
RJFalconer
3
Sí y no, si el atacante no puede iniciar sesión para ejecutar un programa, la única opción es acceder físicamente a la memoria. No tener una contraseña (¡y ejecutarse como administrador!) Te deja abierto a ataques (tanto basados ​​en software como en hardware.)
Joshua
1
Muchas computadoras pueden tener acceso a su memoria directamente a través de Firewire nakedsecurity.sophos.com/2012/02/02/filevault-encryption-broken
Stephen Holiday
7

La encriptación completa del disco no sirve de nada si la PC es robada cuando la clave está en la memoria.

Mi video de demostración favorito de esto está en el tubo de seguridad (un gran recurso); http://www.securitytube.net/Cold-Boot-Encryption-Attack-video.aspx

Demostraciones de ataques de arranque en frío y un ataque creativo que implica enfriar el ram, quitarlo de la computadora portátil, enchufarlo a otra computadora portátil y leer los datos en él . No se haga ilusiones acerca de "apagado, ram pierde datos al instante". Es una falacia; los datos decaen gradualmente.

RJFalconer
fuente
3
Ok, pero ¿cuántos ladrones de computadoras portátiles pueden hacer eso? Y simplemente puede proteger ese ataque nuevamente (por ladrones, no por la policía): simplemente use su computadora portátil sin batería (solo con alimentación de CA).
Maciek Sawicki
1
Luego el ladrón toma la computadora portátil y se apaga. Ahora simplemente tiene menos tiempo para recuperar la llave. La pregunta era "¿qué tan útil es el cifrado de disco?", Con especial interés en si el portátil es robado cuando está en modo de suspensión. La respuesta es "Sin uso".
RJFalconer
3

El modo de hibernación se puede hacer que sea muy seguro, dado que su dispositivo de reanudación (es decir, dispositivo de intercambio) está encriptado. Se le pedirá la frase de contraseña previa al inicio después de reanudar la hibernación. Lo he intentado y funciona. Tampoco es susceptible a ataques de arranque en frío (bueno, no después del primer minuto más o menos).

El modo de suspensión es menos seguro; no voltea su memoria para intercambiar cuando se va a dormir. Se puede asegurar hasta cierto punto, ya que puede requerir una contraseña para desbloquear después de reanudar. Sin embargo, el modo de suspensión es susceptible a los ataques de arranque en frío. Alguien con acceso físico a la máquina puede encontrar la clave y acceder a sus datos.

Por lo tanto, como regla general, proporcionar su dispositivo de currículum (generalmente su dispositivo de intercambio) está encriptado y requiere una frase de contraseña previa al inicio, y esa frase de contraseña es segura:

  • Hibernar es bastante seguro
  • Dormir (suspender a RAM) es menos seguro

Tenga en cuenta que el cifrado del directorio de inicio, como el que ofrece eCryptfs (como lo usa Ubuntu) no cifra su dispositivo de intercambio. No todos los llamados 'cifrado de disco' tampoco lo hacen.

Nota: en Windows la terminología es diferente. Su dispositivo de currículum es un 'archivo de hibernación' en Windows, y su dispositivo de intercambio es un 'archivo de página'. Pero lo anterior aún se aplica: si ambos están encriptados, entonces la hibernación debería ser segura.

thomasrutter
fuente
2

Proteja su cuenta con una contraseña, entonces tendría que escribir la contraseña al activar la computadora portátil desde el modo de suspensión. Sin embargo, eso no lo protege contra un ataque de arranque en frío .

Pero es más importante proteger tus demonios de red, porque explotarlos atacando puede obtener un acceso más fácil que con el ataque de arranque en frío.

Maciek Sawicki
fuente
1

Tenga en cuenta que el cifrado no siempre está asociado con la protección con contraseña y el almacenamiento seguro. Puede tener cifrado y acceso gratuito al contenido al mismo tiempo.

Por ejemplo, tengo un Thinkpad, es bien sabido que la unidad (Hitachi Travelstar) de dicha máquina encripta el contenido y no puede almacenarlos sin encriptar, incluso si no ha activado la protección de "contraseña de HDD". Cada unidad tiene una clave de cifrado única.

El beneficio, incluso sin una contraseña, es que simplemente cambia la clave de cifrado y el contenido ya no es recuperable, pero el disco puede reutilizarse o arrojarse a la papelera. Ahora está vacío Es un medio para formatear en una fracción de segundo, sin usar borrado de sector compatible con DoD y reescrituras aleatorias para garantizar que nada se pueda recuperar incluso mediante un análisis inteligente del campo magnético en los platos.

Bueno, no me sorprendería que haya puertas traseras que Hitachi y fabricantes similares mantienen en secreto, pero esto está fuera del alcance del delincuente habitual, debe pertenecer al MI5 para usarlo. Y usualmente usa una aplicación de DOS que sigue sonando, donde aparecen muchos códigos hexa de basura por carácter y en una computadora con muchas luces de advertencia abstrusas que parpadean al azar. También debe esperar varios "ACCESO DENEGADO" antes de tener éxito, pero afortunadamente no hay tiempo de espera para el próximo intento.

bitlocked
fuente