En un grupo acostumbrado a la seguridad ofensiva ya casi da igual que olvides bloquear el ordenador. Cualquier ausencia, incluso breve, que permita el acceso físico puede suponer una oportunidad para alguien conecte un Rubber Ducky o cualquier otro dispositivo: troyanizar el equipo, cambiar la password, modificar tu muro de Facebook… Para evitar ésto, y en un tono más serio protegerte contra atacantes que no sean de tu propio equipo, lo más lógico será controlar el acceso a todos los puertos de tu ordenador que permitan conectar periféricos.
Comentarios
#6 Para eso también hay contramedidas:
https://www.kali.org/tutorials/emergency-self-destruction-luks-kali/
La troleada consiste en poner una password nuke más fácil de adivinar que la password real. Así siempre ocurre antes el trigger del nuke. Por otro lado, en un entorno forense lo primero que se haría sería obtener una imagen del disco duro y trabajar sobre ella, así que tiene sus limitaciones. Ahora, para el caso de que te coaccionen para poner tu contraseña en un aeropuerto, por ejemplo, el parche nuke es vital.
#7 Mola, pero veo que sólo borra las keys almacenadas del disco. Si tienes otra copia del disco, por comparación ya tienes el dónde se almacenaban y su contenido para empezar a trastear.
Tendría que pasar un DBAN o similar 35 veces mientras muestra el mensaje de "Desencriptando n%...".
Si se tiene el ordenador en un sitio donde se pueda acceder físicamente ningun dato esta a salvo #7 #8 puesto que en una caida de luz os pueden piratear la particion de arranque y meteros un keylogger y toda la mierda que quieran para espiarte.
lo único que podria servir es que tu /boot esté en una unidad extraible y al arrancar el ordenador la quites y la guardes en lugar seguro. y aun así te podrian atentar contra tu bios.
#10 Se supone que en las versiones modernas de Grub ya no es necesario tener una partición boot separada, directamente se cifra con LUKS:
https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Encrypted_boot_partition_.28GRUB.29
#11 pero habrá un promt para pedirte la contraseña, que no puede estar cifrado, verdad?
más que nada por que la bios no sabe que hacer.
Leiendo un poco más es por el UEFI, tendrias que tener un inicio firmado por la UEFi assosation(o lo que sea) que incluyera el keylogger
Esto es un poco inútil, te dice que ha pasado algo pero no trata de evitarlo ni toma ninguna medida. Si queréis tomar una postura menos "pasiva" hay esto:
https://github.com/USBGuard/usbguard
#1 una postura más radical sería conectarlo a una escopeta escondida detrás del pc
#1 Nunca funcionará si se arranca un LiveUSB. Lo único que funciona es soldar las patillas centrales del conector USB o desmontarlo, si no quieres que haya tráfico de datos.
#3 Como radical para los USB, esto: https://usbkill.com/ Así evitas cualquier intrusión posterior en el equipo
#4 Eso no sirve para proteger un PC de un USB malicioso. De hecho eso es un USB malicioso
Si se arranca con un LiveUSB y tienes el disco cifrado con LUKS te pueden comer la polla que no van a poder ver nada.
#5 Claro, pero así nadie puede acceder al equipo posteriormente
Al final, saltarse todas las protecciones es cosa del tiempo y recursos disponibles: https://github.com/glv2/bruteforce-luks
#5 https://www.redeszone.net/2016/11/15/asi-puedes-saltarte-cifrado-disco-luks-linux-70-segundos/
muy curioso
Pero... no es mas simple tener una regla de udev que salte a la que se connecte cualquier USB, y que mande un mensaje con telegram-cli? No se como va con telegram-cli, pero yo lo tengo hecho con pushbullet y... vaya, que es un simple fichero.