BitLocker, a tecnologia de criptografia embutida no Windows, tem sofrido alguns golpes recentemente. Uma exploração recente demonstrou a remoção do chip TPM de um computador para extrair suas chaves de criptografia, e muitos discos rígidos estão quebrando o BitLocker. Aqui está um guia para evitar as armadilhas do BitLocker.
Observe que todos esses ataques requerem acesso físico ao seu computador. Esse é o ponto principal da criptografia – impedir que um ladrão que roubou seu laptop ou alguém de obter acesso ao seu PC de mesa visualize seus arquivos sem sua permissão.
Índice
Embora quase todos os sistemas operacionais modernos sejam fornecidos com criptografia por padrão, o Windows 10 ainda não fornece criptografia em todos os PCs. Macs, Chromebooks, iPads, iPhones e até distribuições de Linux oferecem criptografia a todos os seus usuários. Mas a Microsoft ainda não inclui o BitLocker no Windows 10 Home .
Alguns PCs podem vir com tecnologia de criptografia semelhante, que a Microsoft originalmente chamou de “criptografia de dispositivo” e agora às vezes chama de “criptografia de dispositivo BitLocker”. Abordaremos isso na próxima seção. No entanto, essa tecnologia de criptografia de dispositivo é mais limitada do que o BitLocker completo.
Como um invasor pode explorar isso : Não há necessidade de explorações! Se o seu PC Windows Home não estiver criptografado, um invasor pode remover o disco rígido ou inicializar outro sistema operacional no PC para acessar seus arquivos.
A solução : pagar $ 99 por uma atualização para o Windows 10 Professional e habilitar o BitLocker. Você também pode considerar tentar outra solução de criptografia como o VeraCrypt , o sucessor do TrueCrypt, que é gratuito.
RELACIONADOS: Por que a Microsoft cobra US $ 100 pela criptografia quando todo mundo dá para eles?
Muitos PCs modernos com Windows 10 vêm com um tipo de criptografia chamado “ criptografia de dispositivo ”. Se o seu PC suportar isso, ele será criptografado automaticamente depois que você entrar no PC com sua conta da Microsoft (ou uma conta de domínio em uma rede corporativa). A chave de recuperação é carregada automaticamente nos servidores da Microsoft (ou nos servidores da sua organização em um domínio).
Isso evita que você perca seus arquivos – mesmo que esqueça a senha da sua conta da Microsoft e não consiga entrar, você pode usar o processo de recuperação de conta e recuperar o acesso à sua chave de criptografia.
Como um invasor pode explorar isso : Isso é melhor do que nenhuma criptografia. No entanto, isso significa que a Microsoft pode ser forçada a divulgar sua chave de criptografia ao governo com um mandado. Ou, pior ainda, um invasor poderia teoricamente abusar do processo de recuperação de uma conta da Microsoft para obter acesso à sua conta e acessar sua chave de criptografia. Se o invasor tivesse acesso físico ao seu PC ou disco rígido, ele poderia usar essa chave de recuperação para descriptografar seus arquivos – sem precisar de sua senha.
A solução : pagar $ 99 por uma atualização para o Windows 10 Professional, habilitar o BitLocker por meio do painel de controle e optar por não carregar uma chave de recuperação para os servidores da Microsoft quando solicitado.
Algumas unidades de estado sólido anunciam suporte para “criptografia de hardware”. Se você estiver usando tal unidade em seu sistema e habilitar o BitLocker, o Windows confiará em sua unidade para fazer o trabalho e não realizar suas técnicas de criptografia usuais. Afinal, se o drive pode fazer o trabalho no hardware, isso deve ser mais rápido.
Só há um problema: os pesquisadores descobriram que muitos SSDs não implementam isso corretamente. Por exemplo, o Crucial MX300 protege sua chave de criptografia com uma senha vazia por padrão. O Windows pode dizer que o BitLocker está habilitado, mas pode não estar fazendo muito em segundo plano. Isso é assustador: o BitLocker não deve confiar silenciosamente em SSDs para fazer o trabalho. Este é um recurso mais recente, portanto, esse problema afeta apenas o Windows 10 e não o Windows 7.
Como um invasor pode explorar isso : O Windows pode dizer que o BitLocker está habilitado, mas o BitLocker pode estar ocioso e permitir que seu SSD falhe ao criptografar seus dados com segurança. Um invasor pode potencialmente ignorar a criptografia mal implementada em sua unidade de estado sólido para acessar seus arquivos.
A Solução : Altere a opção “ Configurar o uso de criptografia baseada em hardware para unidades de dados fixas ” na política de grupo do Windows para “Desativado”. Você deve descriptografar e criptografar novamente a unidade posteriormente para que essa alteração tenha efeito. O BitLocker deixará de confiar nas unidades e fará todo o trabalho em software em vez de hardware.
Um pesquisador de segurança demonstrou recentemente outro ataque. O BitLocker armazena sua chave de criptografia no Trusted Platform Module (TPM) do seu computador, que é uma peça especial de hardware que deve ser resistente a adulterações. Infelizmente, um invasor pode usar uma placa FPGA de US $ 27 e algum código-fonte aberto para extraí-lo do TPM. Isso destruiria o hardware, mas permitiria extrair a chave e contornar a criptografia.
Como um invasor pode explorar isso : Se um invasor estiver com seu PC, ele pode teoricamente ignorar todas aquelas proteções TPM sofisticadas adulterando o hardware e extraindo a chave, o que não era possível.
A solução : configurar o BitLocker para exigir um PIN de pré-inicialização na política de grupo. A opção “Exigir PIN de inicialização com TPM” forçará o Windows a usar um PIN para desbloquear o TPM na inicialização. Você terá que digitar um PIN quando o seu PC inicializar, antes que o Windows seja inicializado. No entanto, isso bloqueará o TPM com proteção adicional e um invasor não será capaz de extrair a chave do TPM sem saber seu PIN. O TPM protege contra ataques de força bruta para que os invasores não consigam apenas adivinhar cada PIN um por um.
A Microsoft recomenda desativar o modo de espera ao usar o BitLocker para segurança máxima. O modo de hibernação é adequado – você pode fazer com que o BitLocker exija um PIN ao despertar o PC da hibernação ou ao inicializá-lo normalmente. Mas, no modo de suspensão, o PC permanece ligado com sua chave de criptografia armazenada na RAM.
Como um invasor pode explorar isso : Se um invasor estiver com o seu PC, ele pode despertá-lo e entrar. No Windows 10, talvez seja necessário inserir um PIN numérico. Com acesso físico ao seu PC, um invasor também pode usar o acesso direto à memória (DMA) para obter o conteúdo da RAM do seu sistema e obter a chave do BitLocker. Um invasor também pode executar um ataque de inicialização a frio – reinicie o PC em execução e pegue as chaves da RAM antes que desapareçam. Isso pode até envolver o uso de um freezer para diminuir a temperatura e retardar o processo.
A Solução : Hibernar ou desligar o PC em vez de deixá-lo em repouso. Use um PIN de pré-inicialização para tornar o processo de inicialização mais seguro e bloquear ataques de inicialização a frio – o BitLocker também exigirá um PIN ao retomar da hibernação se estiver definido para exigir um PIN na inicialização. O Windows também permite “ desabilitar novos dispositivos DMA quando este computador estiver bloqueado ” por meio de uma configuração de política de grupo, também – que fornece alguma proteção mesmo se um invasor pegar seu PC durante a execução.
Se você gostaria de ler mais sobre o assunto, a Microsoft tem documentação detalhada para proteger o Bitlocker em seu site.
Muitos aplicativos de limpeza estão disponíveis para Windows ao longo dos anos, mas hoje em…
Seu PlayStation 4 está congelado? Seus jogos favoritos continuam travando? Reiniciar seu PS4 pode resolver…
A popularidade das mensagens de texto significou aprender uma forma totalmente nova de comunicação. Você…
A foto dos "Pilares da Criação" tirada pelo Telescópio Espacial Hubble é uma das fotos…
O Proton Drive saiu de seu estágio beta há algumas semanas, mas o aplicativo real…
Para ver suas fotos mais de perto ou para uma edição precisa , você pode…