Si se roba una computadora portátil con un disco duro cifrado, ¿puede acceder a los contenidos un pirata informático profesional? [cerrado]

La respuesta a su pregunta es que depende de varios factores.

• ¿Qué producto de cifrado de disco está en uso? ¿Utiliza el cifrado completo del disco, o simplemente cifra partes del disco (por ejemplo, el directorio de inicio del usuario)?
• ¿Hay alguna vulnerabilidad conocida en el producto de cifrado de disco en uso?
• ¿Qué fuerza de contraseña utilizó el usuario de la máquina robada?
• ¿El usuario hizo algo muy tonto, como tener la contraseña en un pedazo de papel en su bolsa?
• ¿El producto de cifrado de disco permite ataques sin conexión de manera efectiva, o puede imponer una política de bloqueo tal que solo se permita un número limitado de intentos antes de que se destruyan los datos?
• ¿Qué tan determinados y bien financiados están los atacantes? En el caso de los atacantes a nivel gubernamental, pueden tener un medio de desviar el servidor / backdooring del software.

Así que en última instancia depende. En el caso general, un atacante no sofisticado que obtiene acceso a una unidad cifrada de disco completo protegida con una contraseña segura que no tiene, probablemente no podrá comprometerla, pero hay muchas variables en juego.

Editar : según los comentarios a continuación, la lista anterior no es exhaustiva, pero esperamos que proporcione una idea de algunas de las posibles variables en juego.

Sí . Con un ataque de arranque en frío.

Dependiendo del software utilizado para cifrar sus datos y cuando el atacante se apodere de su computadora portátil , existe la posibilidad de que puedan acceder a lo que quieran, si saben cómo hacerlo.

El problema radica en el hecho de que muchas herramientas de cifrado de disco, incluido BitLocker, almacenan las claves en la RAM. El truco para el ataque es enfriar la memoria RAM .

Este ataque se basa en el hecho de que la memoria RAM de su computadora portátil retendrá su información, incluso después de una pérdida de energía, durante un período de tiempo determinado. Si enfría la memoria RAM, conservará su información, sin alimentación, durante más tiempo . Los investigadores hicieron esto rociando aire comprimido o nitrógeno líquido en los módulos de RAM mientras la computadora portátil estaba funcionando. Luego retiraron los módulos y los cargaron en su propio sistema especializado.

  

EntodasnuestrasmuestrasdeDRAM,lastasasdedescomposiciónfueronbajas  Bastaconqueunatacantequecorteelpoderdurante60segundos.  recuperaría99.9%debitscorrectamente...Estosugiereque,incluso  enlosmódulosdememoriamodernos,losdatospuedenserrecuperablespara  Horasodíasconsuficienteenfriamiento.

Desdeallí,podríaninspeccionarelcontenidodelamemoriaybuscarinformaciónimportantecomolasclavesDES,AESoRSA.Usandoalgoritmosparaescanearlamemoriacargada,puededetectarclavescriptográficas.

  

Hemosdesarrolladotécnicastotalmenteautomáticasparalalocalización.  Clavesdecifradosimétricasenimágenesdememoria,incluso  enpresenciadeerroresdebits.

    

Nuestrosexperimentos(verSección3)muestranqueesposible  pararecuperarcontenidosdememoriaconpocoserroresdebitaundespués  Cortarlaalimentacióndelsistemaporunbrevetiempo.

Referencias:

[1] J. Halderman et al. "No lo recordemos: ataques de arranque en frío en las claves de cifrado" (el sitio contiene un enlace al documento de investigación).

Si su computadora SOLO tiene una contraseña para las cuentas de usuario, entonces es extremadamente fácil. Simplemente puede cargar CUALQUIER LiveCD e ignorará los permisos del archivo, por lo que le otorga al atacante todos los derechos.

Si tiene cifrado, entonces la pregunta es de un alcance demasiado amplio, necesitamos saber qué software utilizó para el cifrado, etc. Puedo ampliar mi respuesta si proporciona el software de cifrado que utilizó.

Tiene varias preguntas diferentes aquí:

  

Si una computadora portátil Windows con un disco duro cifrado es robada, ¿puede   ¿Los contenidos son accedidos por un hacker profesional?

Sí.

  

En otras palabras, ¿qué tan fácil es entrar en Windows sin tener que   ¿Las contraseñas de cualquiera de los usuarios configurados en la computadora?

Suponiendo que todavía estamos hablando de una máquina cuyo disco duro está cifrado con BitLocker integrado, entonces, por lo que sabemos, no es fácil.

========

Pero esos no son realmente el problema central.

El gran problema es si el pirata informático profesional en cuestión cree que los datos del disco valen la cantidad de tiempo y dinero necesarios para descifrarlo. Si estamos hablando de la NSA y usted tiene datos relacionados con un problema de seguridad nacional de alta prioridad al que, presumiblemente, no se puede acceder de ninguna otra manera (por ejemplo, la persona que sabe que la contraseña no está disponible), entonces lanzarán la computadora. El poder necesario para romperlo.

Sin embargo, si estamos hablando de una computadora portátil que fue robada por alguien que desconoce el contenido, es probable que simplemente reformateen el dispositivo y lo publiquen. Heck, pueden simplemente empeñar / ebay como está.

En otras palabras, la pregunta central se reduce a si usted fue solo un objetivo de oportunidad (hurto menor) o un objetivo de vigilancia profesional. Si es lo último, puede apostar a que solo tomaron la computadora portátil cuando sintieron que tenían suficiente información para acceder fácilmente al contenido de la unidad; en otras palabras, lograron obtener sus contraseñas. Por lo general, es más fácil (es decir, más barato / más rápido) utilizar técnicas de vigilancia modernas para eliminar los aleros de una contraseña que se ingresa que para descifrar un cifrado sólido. Los dispositivos para escuchar las pulsaciones de teclas o incluso las cámaras de agujeros en el techo son una opción ...

Una tercera opción es si la policía local recogió la computadora portátil cuando te arrestaron. Para esto, probablemente sea mucho más fácil forzarlo a que divulgue las contraseñas (según las leyes de varios países) que molestarse en intentar descifrar la computadora portátil. Algunos países tienen leyes bastante desequilibradas en las que sería mejor para usted entregar la contraseña para incriminar pruebas que guardar silencio.

Es de esperar que el disco duro esté cifrado con BitLocker, lo que significa que, de forma predeterminada, el disco duro será el primer dispositivo en el que arrancaría su computadora portátil. Si el pirata informático intenta cambiar el orden de inicio (restablecer la contraseña del administrador local usando la herramienta Linux), entonces BitLocker se bloqueará (debe ingresar la clave de recuperación de 48 caracteres para desbloquear). Si el usuario se las arregla para desmontar el disco duro, el disco duro se tratará como BitLocker ToGo, por lo que se aplica la misma política de bloqueo.

Ahora es el momento de hacer explícita una propiedad fundamental del campo de la seguridad de la información, que pertenece al debate en cuestión:

Esto no es un juego. No hay reglas.

Veamos qué significa esto revisando primero la "respuesta técnica" (que se ha ampliado con otras respuestas a esta pregunta). El "hacker profesional" se mantendrá a raya si se cumplen todas las condiciones siguientes:

• El sistema de cifrado de todo el disco merece ese nombre.
• Cuando dices entero , te refieres a entero . Memoria virtual el espacio (también conocido como "particiones de intercambio" o "archivos de intercambio") también debe estar cifrado.
• La contraseña de desbloqueo es segura ( alta entropía ).
• Cuando la computadora portátil fue robada, no se encendió y se apagó correctamente (no se puso en suspensión ni en hibernación, pero sí se apagó).
• El ladrón corre con la computadora portátil pero no vuelve.

El punto sobre el apagado de la computadora portátil es para ataques de arranque en frío . Después de unos minutos de apagado, el contenido de la RAM se pierde definitivamente, mientras que "dormir" y "hibernación" son técnicas para mantener vivo el contenido de la RAM en algún lugar (ya sea usando la batería para mantener la RAM cargada o almacenando su memoria). contenidos en el disco duro).

Sin embargo, el punto importante es el último. Todas estas consideraciones técnicas son indicativas de cualquier cosa, siempre y cuando el ladrón esté lo suficientemente obligado a aceptar operar dentro del contexto establecido, las "reglas de enfrentamiento". A saber, el ladrón tiene acceso físico temporal a la computadora portátil y simplemente la toma. No intenta, digamos, insertar algún aparato de registro de llaves u otro sistema de puerta trasera en la computadora portátil, luego lo deja en su lugar, de modo que el usuario, sin sospechar la intervención del pirata informático, vuelva a escribir su contraseña de manera inocente y desbloquee todos sus secretos más profundos. .

Aquí es donde el escenario no es realista. Estamos hablando de un hacker profesional . Por definición, ese hacker se gana la vida con sus actividades. Él está interesado en su información y no se sentirá obligado a actuar solo dentro de los límites de una historia ideal. Las historias de "piratería" más exitosas a menudo incluyen, como elemento fundamental, una acción no técnica, generalmente llamada ingeniería social (donde el término "ingeniería" desmiente el hecho de que, de hecho, no se trata de ingeniería sino de psicología y sociología), o simplemente un robo total. Para (ab) utilizar la cita de Chamberlain: el pirata informático profesional no es un caballero.

Ahora, si estuviéramos hablando de un hacker amateur , entonces las cosas cambian bastante. La situación se convierte en la siguiente:

  

Mi computadora portátil ha sido robada. Estaba usando el cifrado de todo el disco. ¿Podrá el ladrón (quién fue después del hardware, no la información) también recuperar la contraseña de Gmail y robar mis cuentas?

En ese caso, tenemos hechos reales que han ocurrido en el mundo físico, por lo tanto, una base sólida para el contexto en el que se desarrolla la pregunta. La laptop fue robada, no modificada en silencio. Quien hizo la escritura no era, en el momento del robo, un pirata informático profesional dirigido a los datos; más bien, fue un espectador oportunista que pensó que podía ganar unos cuantos dólares con la computadora portátil. Si es así, el cifrado de todo el disco implementado y aplicado correctamente, protegido con una contraseña segura en una computadora portátil que estaba completamente apagada, salvará el día, ya que limitará el costo de la pérdida y la falta de disponibilidad del hardware.

Depende del software de codificación. Si usó BitLocker, es posible descifrar solo la contraseña de BitLocker, que no es imposible con un ataque de diccionario. Para descifrar la clave de Bitlocker normalmente no hay esperanza.