Digamos que cifro todo mi disco duro con Truecrypt y luego uso el CD de rescate para eliminar completamente el gestor de arranque del disco duro. Tengo 2 preguntas:
1) ¿No tener el gestor de arranque en el disco duro significa que es imposible intentar forzar la contraseña?
2) Si tengo un CD de DBAN al lado de mi computadora, ¿es plausible decir 'acabo de batir el disco duro con DBAN porque estoy a punto de realizar una reinstalación?
Gracias.
Respuesta1
No soy un experto en seguridad. Sigue todos mis consejos con un puñado de sal, donde el tamaño de la mano varía con la cantidad de seguridad deseada.
Creo que este es el caso, pero no soy un experto en TrueCrypt. Por supuesto, necesita el disco de rescate disponible para iniciar la computadora, por lo que si un atacante lo encuentra, aún puede intentar forzar la contraseña por fuerza bruta.
Aunque ese es uno de los objetivos de TrueCrypt (consulte el segundo punto en su página Plausible Deniability), no estoy seguro de que esto sea plausible, por dos razones. La primera es que si simplemente eliminas el gestor de arranque y no lo reemplazas con datos aleatorios, entonces obviamente algo está sucediendo. Quizás el CD reemplace el gestor de arranque con datos aleatorios, por lo que esto no es un problema; de lo contrario, sería posible reemplazarlos con datos aleatorios de otra manera. El segundo problema es que necesita mantener el CD TrueCrypt cerca de su computadora, para poder iniciarla aún. Esto podría limitar la negación plausible. Una forma de evitar esto podría ser tener el CD DBAN dentro de la computadora en todo momento, excepto al iniciar, y tener el CD TrueCrypt cerca. Digamos que el disco duro anteriormente contenía un volumen TrueCrypt, pero ahora no, ya que acaba de borrarlo. Esto todavía resulta un poco sospechoso: ¿por qué molestarse en utilizar DBAN si los datos ya están cifrados?
Para saber si el CD TrueCrypt Rescue reemplaza el gestor de arranque con datos aleatorios, inicie desde algún CD en vivo o unidad USB de Linux y ejecute el siguiente comando:
dd if=/dev/sda bs=512 count=1 | hexdump | tail
Si el resultado es un montón de basura que NO termina en 55aa, entonces son datos aleatorios. Si termina en 55aa, entonces es un gestor de arranque válido. Si esto es
0000000 0000 0000 0000 0000 0000 0000 0000 0000
*
0000200
luego, la pista del gestor de arranque se escribió con ceros (estoy bastante seguro de que se nota), y usted mismo debe reemplazarla con datos aleatorios. Esto se puede lograr con
dd if=/dev/urandom of=/dev/sda bs=512 count=1
NOTA: NO he ejecutado este comando. Puede escribir datos aleatorios en algo más que el gestor de arranque y puede hacer que su sistema no pueda arrancar. ¡Úselo con cuidado! También tenga en cuenta que /dev/urandom no es tan seguro como /dev/random, pero NO necesita datos aleatorios de alta calidad para esta corta secuencia de bytes.
Ahora, ejecute el primer comando para asegurarse de que no termine en 55aa. Esto es muy poco probable, pero es posible, por lo que es mejor asegurarse. En la posibilidad extremadamente improbable (1 entre más de 65 mil) de que así sea, simplemente ejecute el segundo comando nuevamente.
Ahora tienes un disco completamente aleatorio que podría haberse generado con DBAN. Si alguien ve este disco con el disco DBAN en la máquina, asumirá que es un disco duro aleatorio. Es posible que le obliguen a cumplir con su afirmación de instalar un sistema operativo en él, pero es muy poco probable que puedan demostrar que hay un volumen Truecrypt allí.
Espero que esto haya ayudado, pero nuevamente, estoyNOun experto en seguridad.