Naturalmente, siento que tengo que hacer esta pregunta, ya que es una función incorporada en Windows. Digamos que alguien tiene acceso físico a mi PC. ¿Existe alguna forma fácil de acceder a una unidad protegida con BitLocker sin alterar físicamente la PC (como los keyloggers de hardware)?
Actualmente, solo hay un ataque de arranque en frío que conozco que funciona contra bitlocker. Sin embargo, debería ejecutarse segundos después de que la computadora se haya apagado (se puede extender a minutos si los módulos DRAM se enfrían significativamente), pero debido al plazo de ejecución es bastante improbable. Bitlocker es seguro siempre que su máquina esté completamente apagada cuando la almacene (la hibernación también está bien, pero la suspensión debe estar desactivada).
También existe el ataque "Evil Maid" que, en teoría, podría usarse contra cualquier cifrado de disco de software, ya que el cargador de arranque aún debe estar sin cifrar. Vea el artículo de Bruce Schneier al respecto desde 2009. enlace
La idea general del ataque "Evil Maid" es que alguien se apodera de su computadora portátil durante unos minutos cuando está desatendida (por ejemplo, en su habitación de hotel, de ahí el nombre) y carga un cargador de arranque pirateado. Luego inicia sesión con su contraseña a través del cargador de arranque pirateado y desbloquea la unidad, pero también escribe su contraseña en un archivo .txt en la parte no encriptada del disco duro. Dejas tu computadora portátil otra vez, la roban con la contraseña.
Quizás pueda ver mi pregunta para algunos comentarios relacionados sobre Bitlocker. Recomiendo la charla de Sami Laiho en Construyendo un Bitlocker a prueba de balas .
En general, Bitlocker es seguro y es utilizado por compañías de todo el mundo. No se pueden extraer claves del hardware TPM. Los ataques malvados de la criada también se mitigan, ya que TPM validará los componentes previos al arranque para asegurarse de que no se haya manipulado nada. Iniciar otro sistema operativo como Linux para extraer contraseñas o los datos tampoco será posible, ya que el TPM no liberará sus claves si ve que está iniciando otro sistema operativo (incluso si es otro sistema operativo Windows).
Si pasa la verificación de integridad del TPM, las claves se liberarán para ser utilizadas para el cifrado y descifrado sobre la marcha. Si falla, obtiene un bloqueo de la clave de recuperación de Bitlocker y debe proporcionar la clave de recuperación para desbloquear la unidad. El atacante debe no estar en posesión de esta clave. Por lo tanto, nunca ponga la clave de recuperación y su computadora juntas.
Algunas respuestas aluden a varias herramientas forenses. Sin embargo, personalmente no estoy convencido de que funcionen en todos los sistemas. Por ejemplo, en TrueCrypt, la clave en realidad se deriva de la contraseña en la que ingresa el usuario. No puede forzar la fuerza bruta de AES. En cuanto a Bitlocker, el TPM es una solución de hardware que almacena la clave. No puedes extraer la clave con el software.
Si Windows se está ejecutando, su unidad está montada y, por lo tanto, sin cifrar, y si sus interfaces físicas no están protegidas contra la conexión a nivel del sistema operativo, sí hay muchas maneras de sacar tus datos.
El mayor punto de decepción es que este acceso a su disco protegido con BitLocker será mucho más fácil a través de la red que a través de cualquier acceso físico directo. Mientras Windows esté encendido, es la ruta de entrada "real". Esta debilidad representa cualquier sistema operativo, no solo Windows.
Eche un vistazo a la cantidad de errores corregidos cada mes en cada sistema operativo. Algunos expertos en seguridad están comparando sistemas operativos en términos de "rendimiento de errores". Y el líder es ...
El software BitLocker le brindará una verdadera seguridad contra el robo de su computadora si cumple estrictamente la siguiente regla básica:
Tan pronto como haya terminado de trabajar, cierre Windows por completo y deje que desaparezca cada sombra de información (de la memoria RAM, las cachés de disco ...) en 2 minutos.
Bitlocker ciertamente no lo es porque tienen presentaciones en power point de la policía que dicen que pueden obtener acceso a él y que ciertamente no se ve a la Fed presionando a los EM como si fueran otros grupos encriptados. Mantén la fuente abierta y la investigación.
Si alguien tiene acceso físico a su PC, depende de lo que USTED hará a continuación:
no accederás a él nunca más (PC robada, incautada, lo que sea), entonces, a menos que sean una entidad gubernamental, no pueden acceder a tus datos ahora. Si conservan el disco durante algunos años, es probable que para entonces no se hayan detectado fallas / errores / vulnerabilidades y puedan acceder a sus datos con herramientas ya hechas y no se necesita experiencia. Pero quizás no haya errores ni fallas ...
si va a usar la PC nuevamente, entonces espero que tenga una contraseña segura de BIOS y confianza en esa BIOS, porque de lo contrario, podrían usar su BIOS con una clave de registro.
se acaba de tomar un café, solo un minuto ... luego podrían limpiar su teclado de forma muy limpia, esperar hasta que ingrese su contraseña nuevamente y luego distraerlo mientras toman las llaves . Las claves sucias serán las de su contraseña, incluso si ingresó algunas pulsaciones adicionales, esta información disminuye considerablemente la complejidad de la contraseña de forzoso. También funciona con polvo UV brillante, tinta barata "invisible", etc.
Básicamente, Bitlocker evitará que un ladrón ocasional acceda a la unidad de su computadora portátil robada, pero no se sentará en cuclillas contra un adversario determinado que tenga acceso físico a su máquina mientras esté fuera.
Y tenga en cuenta que los dos últimos se aplican a todos los cifrados que solo involucran solo una contraseña, además de que disminuyen en gran medida la seguridad de los sistemas de tarjeta inteligente / PIN solo si pueden robar la tarjeta inteligente.
Hay dos respuestas: No y sí.
Primero del "Sí": si en realidad solo hay un ataque de arranque en frío conocido contra bitlocker, es extremadamente irreal que alguien lo ejecute, y si no eres el presidente de EE. UU., no estás realmente en peligro.
Segundo: ¡NO! Incluso de que es poco probable que te vayan a atacar, ¡podría suceder! Y: Estás utilizando un producto de Microsoft. En tiempos de PRISM y NSA, realmente no deberías confiar en ellos.
CONSEJO: use un sistema operativo gratuito como Fedora y pegue su RAM a sus bancos.
Elcomsoft Forensic Disk Decryptor se compromete a:
"ofrece a los investigadores una manera rápida y fácil de acceder a la información cifrada almacenada en contenedores criptográficos creados por BitLocker, PGP y TrueCrypt".
Lo que da miedo, es que este software puede ser comprado por cualquier persona.
Creo que esto confirma que NO HAY MEDIOS SEGUROS DE CIFRAR UN DISCO.
Actualmente, la única forma segura de proteger los datos en el disco es utilizar el cifrado completo del disco con autenticación previa al arranque basada en las credenciales almacenadas en una tarjeta inteligente. Esto protege también contra cualquier ataque DMA a través de las interfaces físicas.
Lea otras preguntas en las etiquetas encryption bitlocker