Come facilmente potrebbe essere TrueCrypt e EFS incrinato in questo scenario

Naviga le tue risposte
6

  • Sospetto che alcune informazioni siano state sottratte negli ultimi mesi dal mio portatile. Pertanto sto cercando metodi per crittografare i miei dati. Voglio provare a utilizzare TrueCrypt per la cartella dei file sensibili più EFS per i file in quella partizione. Non sono un esperto, quindi ho dei dubbi su quanto possa essere facilmente risolto.

  • Il contesto è un ambiente di lavoro in ufficio, con alcuni collaboratori disposti (e in attesa di) a copiare informazioni preziose e personali dal mio portatile. Di solito lavoriamo nella stessa "sala conferenze" con un solo tavolo, quindi l'accesso fisico al laptop è semplice. Le probabilità di furto del laptop sono basse a causa dei controlli di sicurezza. Il vero volume criptato con la cartella dei dati protetti verrà solitamente montato mentre sono in quella stanza.

  • Un attacco pianificato che combina metodi locali e remoti è altamente probabile. Questo è, installando un Trojan / keylogger con accesso fisico al laptop per poi usarlo per rubare le informazioni.

- Debolezza: Anche se provo a bloccare lo schermo di Windows ogni volta che esco da una stanza condivisa, alcune volte l'ho dimenticato (per esempio se devo fare qualcosa di fuori in fretta e in malo modo dopo). Inoltre, anche se ho impostato lo screen saver per bloccare l'account di Windows dopo 5 minuti di inattività, l'utente malintenzionato potrebbe spostare il mouse del pad per mantenerlo attivo dopo che ho lasciato la stanza. Ho installato un antivirus ma, come sappiamo, a volte non è sufficiente.

  • Il tempo che l'aggressore ha da solo fisicamente con il portatile per eseguire l'attacco potrebbe essere di circa 3 -5 minuti.

  • Un possibile attacco sarà simile a questo:

    1. Esco dalla stanza, l'account non è bloccato, l'autore dell'attacco vede l'opportunità e installa Trojan / keylogger.
    2. la password dell'account di Windows viene acquisita.
    3. il file hibersys viene caricato in seguito sul server degli hacker e sulle cartelle di destinazione.
    4. i file sono decodificati con qualche strumento. (come elcomsoft) link sarebbe così facile? Mi sto perdendo qualcosa qui? Dovresti essere preoccupato?

E cosa consiglieresti di evitare?

Grazie in anticipo.

PDTA: dopo il primo incidente, ho formattato il mio disco rigido e non sono stato in ufficio dalle vacanze. Torno indietro la prossima settimana.

    
posta user1338101 18.01.2013 - 05:10
fonte

3 risposte

7

La presenza fisica di un attaccante è la più difficile da difendere. Alcuni prodotti considerano la "presenza fisica" come un segno di proprietà e consentono il pieno diritto alla persona di fronte alla macchina. Ad esempio, schede madri che consentono di ripristinare le password del BIOS in modo da non bloccare un utente che ha dimenticato la sua password.

La soluzione EFS + TrueCrypt è buona ma dipende dalla sicurezza delle tue password . I tuoi dati sono crittografati in modo sicuro ma le tue password non sono protette contro l'intercettazione. Keylogging è un modo semplice per intercettare le tue password ma i keylogger più noti verranno rilevati da un Antivirus. L'utente malintenzionato può eseguire un programma sul tuo computer che assomiglia a TrueCrypt e invierà la tua password all'autore dell'attacco.

Se lasci il computer sbloccato in un ambiente ostile, non puoi aspettarti privacy e sicurezza . Non c'è modo di essere sicuri al 100% di poter rilevare e interrompere un'intrusione dopo il fatto. Il blocco del computer è molto semplice e dovresti prendere l'abitudine di farlo. Premendo Windows key + L si bloccherà Windows e CTRL + ALT + L bloccherà la maggior parte degli ambienti desktop Linux.

EFS in Windows Vista e versioni successive crittograferà pagafile.sys ma non hyberfil.sys che può essere utilizzato per estrarre le chiavi TrueCrypt.

Dati TrueCrypt non crittografati nella RAM :

Microsoft does not provide any appropriate API for handling hibernation and shutdown, master keys used for system encryption cannot be reliably (and are not) erased from RAM when the computer hibernates, is shut down or restarted.

Utilizza la crittografia del disco completo TrueCrypt per crittografare tutto il tuo disco rigido.

Un punto debole della crittografia del disco completo TrueCrypt è quando l'utente malintenzionato ha accesso fisico più volte. L'attacco va sotto il nome Malvagità ed è mitigato dall'uso di TPM . In sostanza, l'utente malintenzionato modifica il codice di controllo della password TrueCrypt per memorizzare la password digitata in chiaro per un successivo recupero. Lo stesso vale per altri prodotti di crittografia di dischi completi. Usa le funzionalità TPM se il tuo laptop le fornisce. Porta il tuo laptop a casa o chiudilo con una chiave se vuoi più sicurezza di quanto TrueCrypt possa fornire.

Aggiornamento:

Una soluzione geniale per il blocco automatico del computer sta utilizzando questo programma: link . Usa gli echi per "vedere" se non sei più davanti al tuo computer.

Ci sono soluzioni simili usando la webcam. link

    
risposta data 18.01.2013 - 08:34
fonte
3

Sono d'accordo con tutto ciò che @CristianDobre ha scritto, hai una situazione di sicurezza estremamente difficile sulle tue mani che TrueCrypt non sta per risolvere. Se i tuoi colleghi hanno accesso illimitato alla tua macchina e cattive intenzioni, allora non puoi proteggere la tua macchina, o qualsiasi informazione su di essa, dato che le tue password potrebbero essere lette. Anche se non fossero i tuoi attaccanti potrebbero hackerare la tua macchina e loggarti mentre hai la codifica e l'esecuzione con l'unità montata e accedervi in quel modo. Oppure potrebbero scrivere un semplice script powershell che verrebbe eseguito in base a una pianificazione per cercare l'accesso alla lettera di unità e copiarlo non appena ha accesso.

Il mio consiglio è di installare una macchina virtuale Linux hardened su una chiavetta USB o un disco rigido, ed eseguirla mentre sei presente nella stanza. Dovrai metterlo in pausa e rimuovere il supporto, portandolo con te ogni volta che esci dalla stanza . Esegui tutto il tuo lavoro, archivia tutti i tuoi dati su di esso in volumi crittografati con TrueCrypt, con TrueCrypt in esecuzione sul sistema operativo virtuale, non sulla tua macchina. Utilizzare una tastiera virtuale, ovvero un'immagine in cui si fa clic sui tasti, per digitare le password per disattivare eventuali keylogger installati sulla macchina fisica. Non lasciare mai che la chiavetta USB lasci la tua presenza fisica, neanche per un minuto, e cambia le password sulla tua macchina virtuale ogni sera usando un computer diverso. Sarà un vero dolore fare tutte queste misure, tuttavia se la tua situazione è così brutta e hai davvero bisogno di proteggere quei dati, allora dovrai mantenere la disciplina.

Avrebbe anche senso cambiare la password sul tuo computer di lavoro ogni giorno. Potrebbe non fermarli, ma almeno potrebbe rallentarli.

    
risposta data 18.01.2013 - 10:44
fonte
0

Non capisco perché disabilitare la modalità di ibernazione e rimuovere i driver firewire dal sistema non sia una soluzione. Come l'articolo che è stato collegato a sopra suggerisce il modo di aggirare il metodo firewire è quello di rimuovere i driver. Secondo. Continuiamo a sentire il programma di decodifica rimuove le chiavi dal file di sospensione. Belle. Disabilita tramite una chiave di registro. Questo non lo renderà sicuro ora?

    
risposta data 08.11.2013 - 09:34
fonte

Leggi altre domande sui tag

è sicuro consentire l'aggiunta di immagini esterne a Blog o a qualsiasi contenuto Web? È opportuno essere informati che ho inserito una vecchia password