I miei dati sono al sicuro se, con un hard disk crittografato, metto Windows in modalità "sleep"

Naviga le tue risposte
36

Sia la mia partizione di avvio sia la mia partizione dati sono crittografate con TrueCrypt. La mia password è lunga, quindi mi trovo a evitare il riavvio del mio sistema quando possibile. Quando vado a pranzo (per esempio), ho messo il mio laptop in modalità "Sleep", che mi richiede di inserire la mia password di Windows per tornare a Windows. (La mia password di Windows è debole, più per tenere i bambini fuori dal mio account di ogni altra cosa.)

Sono a conoscenza di software in grado di rimuovere facilmente le password di Windows, ma non sono a conoscenza di una soluzione che possa rimuovere una password senza riavviare il sistema. (Se riavviano la mia macchina, dovranno reinserire la mia password TrueCrypt.) Quanto sarebbe sofisticato un avversario per ottenere dati dal mio computer quando è solo in modalità "Sleep"?

    
posta adam.baker 02.06.2015 - 17:57
fonte

4 risposte

39

Per quasi tutti gli strumenti di crittografia del disco, la chiave di crittografia verrà archiviata nella RAM mentre il computer è in uso o in modalità sospensione. Questo ovviamente presenta una vulnerabilità abbastanza significativa, perché se qualcuno può scaricare il contenuto della RAM mantenendo intatto il suo contenuto, è probabile che possa estrarre la chiave dal dump della RAM usando un software commerciale ampiamente disponibile come Elcomsoft Forensic Disk Decryptor che dichiara di estrarre le chiavi TrueCrypt, Bitlocker e PGP.

Per proteggerti da questo, dovrai rendere più difficile per un utente malintenzionato ottenere un dump della RAM. Il modo più semplice per ottenere un dump della RAM è utilizzare programmi software forniti con molti toolkit forensi (che sono anche disponibili gratuitamente). Tuttavia, il problema è che per poter eseguire questi programmi, dovrebbero prima sbloccare il computer. Se non riescono a sbloccare il computer per eseguire programmi, non possono avviare alcuna utilità di dump della RAM. Per questo motivo, avere una strong password di blocco schermo di Windows è importante!

(Inoltre, solo per essere realistici e dichiarare l'ovvio, la password della schermata di blocco è importante anche perché se un utente malintenzionato è in grado di indovinarlo, potrebbe semplicemente prendere una copia dei tuoi file subito e lì e nemmeno preoccuparsi di trovare la tua chiave di crittografia Per un ladro maledettamente interessato a ottenere i tuoi dati, questa sarebbe probabilmente la minaccia più realistica IMO)

Un modo più sofisticato è utilizzare un attacco di avvio a freddo ; questo sfrutta il fatto che i contenuti della memoria rimarranno lì per qualche tempo (da pochi secondi a qualche ora se la RAM viene raffreddata con un refrigerante) anche dopo lo spegnimento. L'utente malintenzionato può quindi ignorare Windows e avviare l'utilità di dump della RAM o spostare fisicamente la RAM su un'altra macchina per la lettura. Questo tipo di attacco è molto più difficile da proteggere.

Infine, vorrei anche menzionare che lo sviluppo di Truecrypt è stato interrotto un anno fa per ragioni sconosciute e non è più supportato, quindi consigliamo di passare a uno dei suoi fork come Veracrypt .

    
risposta data 02.06.2015 - 19:14
fonte
8

Un utente malintenzionato potrebbe eseguire un attacco noto come "avvio a freddo". La modalità di sospensione mantiene attivo tutto il contenuto della memoria e la chiave per il volume TrueCrypt viene memorizzata. Il contenuto della memoria persiste più a lungo senza energia quando la memoria è fredda. Tutto ciò che un utente malintenzionato deve fare è raffreddare il computer (per esempio mettendolo in un congelatore) e riavviare la macchina con un sistema operativo appositamente predisposto in grado di leggere il contenuto della memoria e cercare la chiave.

La sofisticazione di questo attacco si basa solo sugli strumenti, che devono essere scritti solo una volta e che potrebbero essere utilizzati da chiunque disponga di un congelatore e di una penna USB. Non so se esistono attualmente strumenti di facile utilizzo per sfruttare TrueCrypt tramite un coldboot, ma probabilmente non sarebbe difficile da scrivere. In generale attacchi come questo che si basano sull'automazione diventano solo più facili con il passare del tempo e filtrano verso gli attaccanti più abili e inferiori.

    
risposta data 02.06.2015 - 19:18
fonte
4

Se non è necessario immettere nuovamente la password TrueCrypt, Windows ha ancora accesso ai contenuti del volume TrueCrypt. Un utente malintenzionato dovrebbe solo indovinare la password di Windows per accedere ai dati mentre sei a pranzo.

TrueCrypt (o qualsiasi altra crittografia del disco) proteggerà solo i dati dalla copia direttamente dal disco stesso, non dall'accesso attraverso il sistema operativo. (L'esempio comune è un disco rigido rubato o un laptop spento.)

    
risposta data 02.06.2015 - 18:51
fonte
0

Vorrei solo riattivare il computer e metterlo in modalità di sospensione che memorizza la RAM sul disco rigido ... quindi posso togliere corrente alla tua scatola, rimuovere il disco rigido, copiare il contenuto su un altro disco (che include il file di ibernazione - fondamentalmente una copia della RAM), rimettilo in posto, quindi rimetti il disco rigido e accendi il sistema .... Quindi rimettilo in modalità di sospensione. Ciò non richiederebbe alcuna sofisticazione significativa e non risentirebbe dell'avvio a freddo o di altre limitazioni.

Anche se non sono andato a testare questo con TrueCrypt, dovrebbe (in teoria) funzionare.

Ti consiglio di disabilitare la modalità di sospensione per rendere questo non possibile.

    
risposta data 03.06.2015 - 18:53
fonte

Leggi altre domande sui tag

Confuso sull'uso di una password che "ci vorrebbe secoli per rompere" evitare di colpire DB per autenticare un utente su OGNI richiesta in architettura di app web senza stato?