BitLocker, технология шифрования, встроенная в Windows, в последнее время получила несколько успехов. Недавний эксплойт продемонстрировал удаление чипа TPM компьютера для извлечения его ключей шифрования, и многие жесткие диски ломают BitLocker. Вот руководство по предотвращению ловушек BitLocker.
Обратите внимание, что все эти атаки требуют физического доступа к вашему компьютеру. В этом весь смысл шифрования – не дать вору, который украл ваш ноутбук, или кому-то другому получить доступ к вашему настольному ПК от просмотра ваших файлов без вашего разрешения.
Стандартный BitLocker недоступен в Windows Home
Хотя практически все современные потребительские операционные системы поставляются с шифрованием по умолчанию, Windows 10 по-прежнему не обеспечивает шифрование на всех ПК. Mac, Chromebook, iPad, iPhone и даже Linux-дистрибутивы предлагают шифрование для всех своих пользователей. Но Microsoft все еще не связывает BitLocker с Windows 10 Home.
Некоторые ПК могут поставляться с аналогичной технологией шифрования, которую Microsoft первоначально называла «шифрование устройства», а теперь иногда называет «шифрование устройства BitLocker». Мы рассмотрим это в следующем разделе. Однако эта технология шифрования устройства более ограничена, чем полноценный BitLocker.
Как злоумышленник может это использовать . Нет необходимости в подвигах! Если ваш компьютер с Windows Home просто не зашифрован, злоумышленник может удалить жесткий диск или загрузить другую операционную систему на вашем компьютере для доступа к вашим файлам.
Решение : заплатите 99 долларов за обновление до Windows 10 Professional и включите BitLocker. Вы также можете попробовать другое решение для шифрования, такое как VeraCrypt, преемник TrueCrypt, которое бесплатно.
BitLocker иногда загружает ваш ключ в Microsoft
Многие современные ПК с Windows 10 поставляются с типом шифрования, называемым «шифрование устройства». Если ваш ПК поддерживает это, он будет автоматически зашифрован после того, как вы войдете в свой ПК с помощью учетной записи Microsoft (или учетной записи домена в корпоративной сети). Затем ключ восстановления автоматически загружается на серверы Microsoft (или серверы вашей организации в домене).
Это защищает вас от потери ваших файлов – даже если вы забыли пароль своей учетной записи Microsoft и не можете войти, вы можете использовать процесс восстановления учетной записи и восстановить доступ к своему ключу шифрования.
Как злоумышленник может воспользоваться этим . Это лучше, чем отсутствие шифрования. Однако это означает, что Microsoft может быть вынуждена раскрыть ваш ключ шифрования правительству с ордером. Или, что еще хуже, злоумышленник теоретически может злоупотребить процессом восстановления учетной записи Microsoft, чтобы получить доступ к вашей учетной записи и доступ к вашему ключу шифрования. Если у злоумышленника есть физический доступ к вашему ПК или его жесткому диску, он может использовать этот ключ восстановления для расшифровки ваших файлов – без необходимости ввода пароля.
Решение : заплатите 99 долларов за обновление до Windows 10 Professional, включите BitLocker через панель управления и не загружайте ключ восстановления на серверы Microsoft при появлении соответствующего запроса.
Многие твердотельные накопители нарушают шифрование BitLocker
Некоторые твердотельные накопители объявляют о поддержке «аппаратного шифрования». Если вы используете такой накопитель в своей системе и включили BitLocker, Windows будет доверять вашему накопителю работу, а не выполнять обычные методы шифрования. В конце концов, если диск может выполнять работу аппаратно, это должно быть быстрее.
Есть только одна проблема: исследователи обнаружили, что многие SSD не реализуют это должным образом. Например, Crucial MX300 защищает ваш ключ шифрования пустым паролем по умолчанию. Windows может сказать, что BitLocker включен, но на самом деле он мало что делает в фоновом режиме. Это страшно: BitLocker не должен молча доверять твердотельным накопителям для выполнения работы. Это более новая функция, поэтому эта проблема касается только Windows 10, а не Windows 7.
Как злоумышленник может использовать это : Windows может сказать, что BitLocker включен, но BitLocker может сидеть сложа руки и позволить вашему SSD-файлу не выполнить безопасное шифрование ваших данных. Злоумышленник может потенциально обойти плохо внедренное шифрование на вашем твердотельном диске для доступа к вашим файлам.
Решение . Измените параметр «Настроить использование аппаратного шифрования для жестких дисков с данными» в групповой политике Windows на «Отключено». После этого необходимо дешифровать и повторно зашифровать диск, чтобы изменения вступили в силу. эффект. BitLocker перестанет доверять накопителям и будет выполнять всю работу программно, а не аппаратно.
Чипы TPM могут быть удалены
Исследователь безопасности недавно продемонстрировал еще одну атаку.BitLocker хранит ваш ключ шифрования в модуле Trusted Platform Module (TPM) вашего компьютера, который представляет собой особый аппаратный компонент, который должен быть защищен от несанкционированного доступа. К сожалению, злоумышленник может использовать плату FPGA за $ 27 и некоторый открытый исходный код, чтобы извлечь его из TPM. Это уничтожило бы оборудование, но позволило бы извлечь ключ и обойти шифрование.
Как злоумышленник может воспользоваться этим : если у злоумышленника есть ваш компьютер, он теоретически может обойти все эти изящные средства защиты TPM, подделывая аппаратные средства и извлекая ключ, что, как предполагается, невозможно.
Решение . Настройте BitLocker для запроса ПИН-кода перед загрузкой в групповой политике. Параметр «Требовать ПИН-код запуска с доверенным платформенным модулем» заставит Windows использовать ПИН-код для разблокировки доверенного платформенного модуля при запуске. Вам нужно будет ввести PIN-код, когда ваш компьютер загружается до запуска Windows. Однако это заблокирует TPM с дополнительной защитой, и злоумышленник не сможет извлечь ключ из TPM, не зная ваш PIN-код. TPM защищает от атак методом “грубой силы”, поэтому злоумышленники не смогут просто угадать каждый PIN-код один за другим.
Спящие ПК более уязвимы
Microsoft рекомендует отключать спящий режим при использовании BitLocker для максимальной безопасности. Режим гибернации в порядке – вы можете заставить BitLocker запрашивать ПИН-код при выходе компьютера из спящего режима или при нормальной загрузке. Но в спящем режиме ПК остается включенным с ключом шифрования, хранящимся в оперативной памяти.
Как злоумышленник может воспользоваться этим . Если у злоумышленника есть ваш компьютер, он может разбудить его и войти в систему. В Windows 10 может потребоваться ввести цифровой PIN-код. Имея физический доступ к вашему ПК, злоумышленник также может использовать прямой доступ к памяти (DMA) для захвата содержимого оперативной памяти вашей системы и получения ключа BitLocker. Злоумышленник также может выполнить холодную атаку – перезагрузите работающий ПК и извлеките ключи из оперативной памяти, прежде чем они исчезнут. Это может даже включать использование морозильной камеры для понижения температуры и замедления этого процесса.
Решение . Переведите компьютер в спящий режим или выключите его, а не оставляйте его спать. Используйте ПИН-код перед загрузкой, чтобы сделать процесс загрузки более безопасным и заблокировать атаки «холодной» загрузки – BitLocker также потребует ПИН-код при выходе из спящего режима, если он настроен на требование ПИН-кода при загрузке. Windows также позволяет «отключать новые устройства DMA, когда этот компьютер заблокирован», также с помощью параметра групповой политики, что обеспечивает некоторую защиту, даже если злоумышленник получает ваш компьютер во время его работы.
Если вы хотите больше прочитать эту тему, у Microsoft есть подробная документация по обеспечению безопасности Bitlocker на своем веб-сайте.
