Como proteger seus arquivos criptografados por BitLocker contra invasores

BitLocker, a tecnologia de criptografia embutida no Windows, tem sofrido alguns golpes recentemente. Uma exploração recente demonstrou a remoção do chip TPM de um computador para extrair suas chaves de criptografia, e muitos discos rígidos estão quebrando o BitLocker. Aqui está um guia para evitar as armadilhas do BitLocker.

Observe que todos esses ataques requerem acesso físico ao seu computador. Esse é o ponto principal da criptografia – impedir que um ladrão que roubou seu laptop ou alguém de obter acesso ao seu PC de mesa visualize seus arquivos sem sua permissão.

O BitLocker padrão não está disponível no Windows Home

Embora quase todos os sistemas operacionais modernos sejam fornecidos com criptografia por padrão, o Windows 10 ainda não fornece criptografia em todos os PCs. Macs, Chromebooks, iPads, iPhones e até distribuições de Linux oferecem criptografia a todos os seus usuários. Mas a Microsoft ainda não inclui o BitLocker no Windows 10 Home .

Alguns PCs podem vir com tecnologia de criptografia semelhante, que a Microsoft originalmente chamou de “criptografia de dispositivo” e agora às vezes chama de “criptografia de dispositivo BitLocker”. Abordaremos isso na próxima seção. No entanto, essa tecnologia de criptografia de dispositivo é mais limitada do que o BitLocker completo.

Como um invasor pode explorar isso : Não há necessidade de explorações! Se o seu PC Windows Home não estiver criptografado, um invasor pode remover o disco rígido ou inicializar outro sistema operacional no PC para acessar seus arquivos.

A solução : pagar $ 99 por uma atualização para o Windows 10 Professional e habilitar o BitLocker. Você também pode considerar tentar outra solução de criptografia como o VeraCrypt , o sucessor do TrueCrypt, que é gratuito.

Recomendado:  Como cancelar o banimento de alguém na discórdia

RELACIONADOS: Por que a Microsoft cobra US $ 100 pela criptografia quando todo mundo dá para eles?

O BitLocker às vezes carrega sua chave para a Microsoft

Muitos PCs modernos com Windows 10 vêm com um tipo de criptografia chamado “ criptografia de dispositivo ”. Se o seu PC suportar isso, ele será criptografado automaticamente depois que você entrar no PC com sua conta da Microsoft (ou uma conta de domínio em uma rede corporativa). A chave de recuperação é  carregada automaticamente nos servidores da Microsoft (ou nos servidores da sua organização em um domínio).

Isso evita que você perca seus arquivos – mesmo que esqueça a senha da sua conta da Microsoft e não consiga entrar, você pode usar o processo de recuperação de conta e recuperar o acesso à sua chave de criptografia.

Como um invasor pode explorar isso : Isso é melhor do que nenhuma criptografia. No entanto, isso significa que a Microsoft pode ser forçada a divulgar sua chave de criptografia ao governo com um mandado. Ou, pior ainda, um invasor poderia teoricamente abusar do processo de recuperação de uma conta da Microsoft para obter acesso à sua conta e acessar sua chave de criptografia. Se o invasor tivesse acesso físico ao seu PC ou disco rígido, ele poderia usar essa chave de recuperação para descriptografar seus arquivos – sem precisar de sua senha.

A solução : pagar $ 99 por uma atualização para o Windows 10 Professional, habilitar o BitLocker por meio do painel de controle e optar por não carregar uma chave de recuperação para os servidores da Microsoft quando solicitado.

Muitas unidades de estado sólido quebram a criptografia do BitLocker

Algumas unidades de estado sólido anunciam suporte para “criptografia de hardware”. Se você estiver usando tal unidade em seu sistema e habilitar o BitLocker, o Windows confiará em sua unidade para fazer o trabalho e não realizar suas técnicas de criptografia usuais. Afinal, se o drive pode fazer o trabalho no hardware, isso deve ser mais rápido.

Recomendado:  Por que as lentes das câmeras são tão grandes e pesadas?

Só há um problema: os pesquisadores descobriram que muitos SSDs não implementam isso corretamente. Por exemplo, o Crucial MX300 protege sua chave de criptografia com uma senha vazia por padrão. O Windows pode dizer que o BitLocker está habilitado, mas pode não estar fazendo muito em segundo plano. Isso é assustador: o BitLocker não deve confiar silenciosamente em SSDs para fazer o trabalho. Este é um recurso mais recente, portanto, esse problema afeta apenas o Windows 10 e não o Windows 7.

Como um invasor pode explorar isso : O Windows pode dizer que o BitLocker está habilitado, mas o BitLocker pode estar ocioso e permitir que seu SSD falhe ao criptografar seus dados com segurança. Um invasor pode potencialmente ignorar a criptografia mal implementada em sua unidade de estado sólido para acessar seus arquivos.

A Solução : Altere a opção “ Configurar o uso de criptografia baseada em hardware para unidades de dados fixas ” na política de grupo do Windows para “Desativado”. Você deve descriptografar e criptografar novamente a unidade posteriormente para que essa alteração tenha efeito. O BitLocker deixará de confiar nas unidades e fará todo o trabalho em software em vez de hardware.

Chips TPM podem ser removidos

Um pesquisador de segurança demonstrou recentemente outro ataque. O BitLocker armazena sua chave de criptografia no Trusted Platform Module (TPM) do seu computador, que é uma peça especial de hardware que deve ser resistente a adulterações. Infelizmente, um invasor pode usar uma placa FPGA de US $ 27 e algum código-fonte aberto para extraí-lo do TPM. Isso destruiria o hardware, mas permitiria extrair a chave e contornar a criptografia.

Como um invasor pode explorar isso : Se um invasor estiver com seu PC, ele pode teoricamente ignorar todas aquelas proteções TPM sofisticadas adulterando o hardware e extraindo a chave, o que não era possível.

A solução : configurar o BitLocker para exigir um PIN de pré-inicialização  na política de grupo. A opção “Exigir PIN de inicialização com TPM” forçará o Windows a usar um PIN para desbloquear o TPM na inicialização. Você terá que digitar um PIN quando o seu PC inicializar, antes que o Windows seja inicializado. No entanto, isso bloqueará o TPM com proteção adicional e um invasor não será capaz de extrair a chave do TPM sem saber seu PIN. O TPM protege contra ataques de força bruta para que os invasores não consigam apenas adivinhar cada PIN um por um.

Recomendado:  Valve agora proíbe jogos Steam usando Blockchain, NFT ou Crypto

PCs adormecidos são mais vulneráveis

A Microsoft recomenda desativar o modo de espera ao usar o BitLocker para segurança máxima. O modo de hibernação é adequado – você pode fazer com que o BitLocker exija um PIN ao despertar o PC da hibernação ou ao inicializá-lo normalmente. Mas, no modo de suspensão, o PC permanece ligado com sua chave de criptografia armazenada na RAM.

Como um invasor pode explorar isso : Se um invasor estiver com o seu PC, ele pode despertá-lo e entrar. No Windows 10, talvez seja necessário inserir um PIN numérico. Com acesso físico ao seu PC, um invasor também pode usar o acesso direto à memória (DMA) para obter o conteúdo da RAM do seu sistema e obter a chave do BitLocker. Um invasor também pode executar um ataque de inicialização a frio – reinicie o PC em execução e pegue as chaves da RAM antes que desapareçam. Isso pode até envolver o uso de um freezer para diminuir a temperatura e retardar o processo.

A Solução : Hibernar ou desligar o PC em vez de deixá-lo em repouso. Use um PIN de pré-inicialização para tornar o processo de inicialização mais seguro e bloquear ataques de inicialização a frio – o BitLocker também exigirá um PIN ao retomar da hibernação se estiver definido para exigir um PIN na inicialização. O Windows também permite “ desabilitar novos dispositivos DMA quando este computador estiver bloqueado ” por meio de uma configuração de política de grupo, também – que fornece alguma proteção mesmo se um invasor pegar seu PC durante a execução.


Se você gostaria de ler mais sobre o assunto, a Microsoft tem documentação detalhada para  proteger o Bitlocker  em seu site.