Como proteger seus arquivos criptografados por BitLocker de atacantes

O BitLocker, a tecnologia de criptografia incorporada ao Windows, teve alguns problemas recentemente. Uma exploração recente demonstrou a remoção do chip TPM de um computador para extrair as chaves de criptografia e muitos discos rígidos estão quebrando o BitLocker. Veja um guia para evitar as armadilhas do BitLocker.

Observe que todos esses ataques exigem acesso físico ao seu computador. Esse é o objetivo da criptografia - impedir que um ladrão que roubou seu laptop ou alguém tenha acesso ao seu PC de mesa para visualizar seus arquivos sem sua permissão.

O BitLocker padrão não está disponível no Windows Home

Embora quase todos os sistemas operacionais modernos sejam fornecidos com criptografia por padrão, o Windows 10 ainda não fornece criptografia em todos PCs. Macs, Chromebooks, iPads, iPhones e até distribuições Linux oferecem criptografia para todos os usuários. Mas a Microsoft ainda não empacota o BitLocker com o Windows 10 Home. Alguns PCs podem vir com tecnologia de criptografia semelhante, que a Microsoft originalmente chamava de “criptografia de dispositivo” e agora às vezes chama de “criptografia de dispositivo BitLocker”. cobrir isso na próxima seção. No entanto, essa tecnologia de criptografia de dispositivo é mais limitada do que o BitLocker completo.

Como um invasor pode explorar isso: não há necessidade de explorações! Se o seu PC com Windows Home não estiver criptografado, um invasor poderá remover o disco rígido ou inicializar outro sistema operacional no PC para acessar seus arquivos.

A solução: pagar US $ 99 para uma atualização para o Windows 10 Professional e habilitar o BitLocker. Você também pode considerar tentar outra solução de criptografia como VeraCrypt, o sucessor do TrueCrypt, que é gratuito.

RELACIONADO: Por que a Microsoft cobra US $ 100 por criptografia quando todos os outros o abandonam?

O BitLocker às vezes carrega sua chave na Microsoft

Muitos PCs modernos do Windows 10 vêm com um tipo de criptografia chamado “criptografia de dispositivo”. Se o seu computador suportar isso, ele será automaticamente criptografado. depois de entrar no seu PC com sua conta da Microsoft (ou uma conta de domínio em uma rede corporativa). A chave de recuperação é então carregada automaticamente para os servidores da Microsoft (ou para os servidores da sua organização em um domínio).

Isso protege você de perder seus arquivos - mesmo se você esquecer a senha da conta da Microsoft e não conseguir entrar, você pode usar o processo de recuperação de conta e recuperar o acesso à sua chave de criptografia.

Como um invasor pode explorar isso: Isso é melhor do que nenhuma criptografia. No entanto, isso significa que a Microsoft pode ser forçada a divulgar sua chave de criptografia ao governo com um mandado. Ou, pior ainda, um invasor poderia teoricamente abusar do processo de recuperação de uma conta da Microsoft para obter acesso à sua conta e acessar sua chave de criptografia. Se o invasor tivesse acesso físico ao seu PC ou a seu disco rígido, eles poderiam usar essa chave de recuperação para descriptografar seus arquivos - sem precisar da sua senha.

A solução: Pague US $ 99 para uma atualização para o Windows 10 Professional , ative o BitLocker por meio do Painel de Controle e opte por não carregar uma chave de recuperação nos servidores da Microsoft quando solicitado.

RELACIONADO: Como Ativar a Criptografia de Discos Completos no Windows 10

Muitos Sólidos Unidade de estados Quebre a criptografia do BitLocker

Algumas unidades de estado sólido anunciam suporte a “criptografia de hardware”. Se você estiver usando uma unidade desse tipo em seu sistema e ativar o BitLocker, o Windows confie em sua unidade para realizar o trabalho e não execute suas técnicas de criptografia usuais. Afinal, se a unidade puder fazer o trabalho no hardware, isso deve ser mais rápido.

Há apenas um problema: os pesquisadores descobriram que muitos SSDs não implementam isso corretamente. Por exemplo, o Crucial MX300 protege sua chave de criptografia com uma senha vazia por padrão. O Windows pode dizer que o BitLocker está habilitado, mas pode não estar realmente fazendo muito em segundo plano. Isso é assustador: o BitLocker não deve confiar silenciosamente em SSDs para fazer o trabalho. Esse é um recurso mais recente, portanto, esse problema afeta apenas o Windows 10 e não o Windows 7.

Como um invasor pode explorar isso: o Windows pode dizer que o BitLocker está habilitado, mas o BitLocker pode ficar ocioso e deixar o SSD falha ao criptografar seus dados com segurança. Um invasor pode, potencialmente, ignorar a criptografia mal implementada em sua unidade de estado sólido para acessar seus arquivos.

A solução: Altere a opção "Configurar o uso de criptografia baseada em hardware para unidades de dados fixas" na política de grupo do Windows para "Desativado". Você deve descriptografar e criptografar novamente a unidade para que essa alteração entre em vigor. O BitLocker deixará de confiar nas unidades e fará todo o trabalho no software em vez de no hardware.

RELACIONADO: Você não pode confiar no BitLocker para criptografar seu SSD no Windows 10

Os chips do TPM podem ser Removido

Um pesquisador de segurança recentemente demonstrou outro ataque. O BitLocker armazena sua chave de criptografia no Trusted Platform Module (TPM) do seu computador, que é uma peça especial de hardware que deve ser resistente a violações. Infelizmente, um invasor pode usar uma placa FPGA de US $ 27 e um código de código aberto para extraí-lo do TPM. Isso destruiria o hardware, mas permitiria extrair a chave e ignorar a criptografia.

Como um atacante pode explorar isso: se um atacante tem seu PC, eles podem, teoricamente, ignorar todas as proteções sofisticadas do TPM manipulando o hardware e a extração da chave, o que não deveria ser possível.

A Solução: Configure o BitLocker para exigir um PIN de pré-inicialização na política de grupo. A opção "Exigir PIN de inicialização com o TPM" forçará o Windows a usar um PIN para desbloquear o TPM na inicialização. Você terá que digitar um PIN quando o seu PC inicializar antes do Windows ser iniciado. No entanto, isso bloqueará o TPM com proteção adicional, e o invasor não poderá extrair a chave do TPM sem saber seu PIN. O TPM protege contra ataques de força bruta para que os invasores não consigam adivinhar cada PIN um por um.

RELACIONADOS: Como ativar um PIN do BitLocker de pré-inicialização no Windows

PCs em suspensão são mais vulneráveis ​​

A Microsoft recomenda desativar o modo de suspensão ao usar o BitLocker para segurança máxima. O modo de hibernação está bom - você pode solicitar ao BitLocker um PIN quando acordar o computador do modo de hibernação ou quando inicializá-lo normalmente. Mas, no modo de suspensão, o PC permanece ligado com sua chave de criptografia armazenada na RAM.

Como um atacante pode explorar isso: Se um invasor tiver seu PC, ele poderá ativá-lo e entrar. 10, eles podem ter que digitar um PIN numérico. Com o acesso físico ao seu computador, um invasor também poderá usar o acesso direto à memória (DMA) para obter o conteúdo da RAM do seu sistema e obter a chave do BitLocker. Um invasor também pode executar um ataque de inicialização a frio - reinicialize o PC em execução e pegue as chaves da RAM antes que elas desapareçam. Isso pode até envolver o uso de um freezer para diminuir a temperatura e retardar o processo.

A solução: Hibernate ou desligue o PC em vez de deixá-lo adormecido. Use um PIN de pré-inicialização para tornar o processo de inicialização mais seguro e bloquear os ataques de inicialização a frio - o BitLocker também exigirá um PIN ao sair da hibernação se estiver configurado para exigir um PIN durante a inicialização. O Windows também permite que você "desative novos dispositivos DMA quando este computador estiver bloqueado" por meio de uma configuração de política de grupo também - que fornece alguma proteção, mesmo que um invasor consiga seu PC enquanto ele está em execução.

Down, Sleep, ou Hibernate Seu Laptop?

---

Se você gostaria de fazer mais algumas leituras sobre o assunto, a Microsoft tem documentação detalhada para proteger o Bitlocker em seu site.

Via: How to Geek