¿La característica de Hibernate representa una amenaza para la seguridad?

Navega tus respuestas
1

Mi organización anteriormente permitía a sus empleados hibernar sus dispositivos (Inicio > Power > Hibernate). Algún tiempo después, la opción 'Hibernar' desapareció del menú Inicio. Algunos empleados comenzaron a usar shutdown /h para hibernar sus PC. Funcionó durante unas semanas. Más tarde, ejecutar el mismo comando a través del indicador de comandos de Windows arrojó un error que indica que "la función Hibernar se ha deshabilitado en esta máquina".

Obviamente, este fue un paso dado por el equipo de TI por alguna razón que no entiendo. Primero, eliminaron la opción del menú Inicio, luego se dieron cuenta de que las personas comenzaron a hibernar las PC desde el símbolo del sistema y luego también la deshabilitaron.

Mi pregunta es, ¿de qué manera la activación de la hibernación representa una amenaza para la seguridad? ¿O podría tener alguna otra razón?

Si ayuda, tenemos PC con Windows 7 Enterprise, disco duro cifrado con Bitlocker, y podemos poner la PC en modo de suspensión.

Además, creo que el disco duro no está cifrado cuando la PC está en modo de suspensión, pero todos los datos están cifrados cuando está en modo de hibernación. Por favor, corrígeme si me equivoco.

EDITAR: Bueno, el dominio de mi pregunta no se limitó al cifrado de Bitlocker del disco duro. Era una pregunta más general. Me interesaría saber si existen otras amenazas en modo de hibernación, aparte del cifrado. Además, si el cifrado hubiera sido un problema, obviamente, poner la máquina en modo de suspensión también podría ser peligroso. Pero sí permiten el modo de suspensión ...

    
pregunta pri 29.08.2016 - 20:08
fuente

3 respuestas

1

Desde un punto de vista agnóstico del software, el FDE (cifrado de disco completo) generalmente se implementa como un control para contrarrestar el riesgo de recuperación de datos de dispositivos perdidos o robados. Si es por otras razones, lo siguiente puede no ser aplicable ...

Desde la perspectiva de la gestión de riesgos corporativos, la decisión sobre si los estados de hibernación o de suspensión debe permitirse debe basarse en una evaluación técnica de cómo funciona el software FDE en esos estados y si seguirá siendo eficaz contra los escenarios de amenazas que se presentan. aplicable.

Para las soluciones de autenticación previa al arranque solía haber una dependencia en un dispositivo que se apaga para que el FDE sea efectivo, esto se debió a la posibilidad de que un atacante acceda a la memoria (y, por lo tanto, en teoría, las claves criptográficas) utilizando DMA ataques basados en.

Un par de otros factores que son relevantes para la decisión en los dispositivos actuales (cuando se consideran ataques prácticos):

  • Si el dispositivo tiene interfaces externas compatibles con DMA
  • Cómo se implementa el almacenamiento (memoria cableada de la unidad extraíble v)

También habrá otras cosas que considerar, por ejemplo, si se implementan una contraseña de preinicio y una contraseña de inicio de sesión diferentes con diferentes requisitos de complejidad, existe la posibilidad de un ataque de adivinación de contraseña más fácil si el estado del dispositivo no requiere el pre - contraseña de arranque.

    
respondido por el R15 30.08.2016 - 11:19
fuente
1

Esto es lo que Microsoft tiene que decir al respecto:

  

Deshabilitar el sueño

     

Métodos de desbloqueo de BitLocker para las unidades del sistema operativo, como TPM   Verificaciones de integridad o solicitudes de un PIN o clave de inicio antes de permitir   acceso a la unidad: solo se utilizan cuando una computadora está encendida, es   reiniciado, o sale de hibernación. Si una computadora entra en suspensión   después de un período de inactividad en lugar de entrar en hibernación, el   la unidad permanece desbloqueada . Por lo tanto, para mayor seguridad, se recomienda   que el modo de suspensión se deshabilite mediante la directiva de grupo.

Bolds mío. Implícito está el hecho de que reanudar desde la hibernación es tan seguro como un arranque en frío.

Probablemente esté lidiando con un departamento de TI demasiado entusiasta, malinterpretaron el problema o tienen otras razones no relacionadas con el cifrado del disco para el cambio.

En cuanto a la cuestión más general de por qué la hibernación podría deshabilitarse, tendría que consultar a su departamento de TI. En este punto, ni siquiera está claro si se hizo por motivos relacionados con la seguridad. Tal vez estaban experimentando problemas con el hardware en algunos dispositivos y lo deshabilitaron en toda la compañía para uniformidad.

Otra razón podría ser su objetivo de deshabilitar inicio rápido por motivos.

Relacionado con la seguridad, tal vez no todas las estaciones de trabajo usan FDE o arranque seguro, y en ese caso la hibernación podría ser un problema.

Podríamos especular por toda la eternidad, pero a menos que su departamento de TI vague en SecSE, no obtendrá una respuesta real.

    
respondido por el GnP 29.08.2016 - 21:56
fuente
-2

Cuando pone el sistema en hibernación, toda la memoria se almacena en el disco (hiberfil.sys). Esto siempre representa una amenaza para la seguridad porque la memoria puede contener datos privados, contraseñas, claves, etc. Acercarse al almacenamiento con otro sistema le permite acceder a todo el volcado de memoria. El cifrado del disco ayuda, pero no toda la memoria se puede cifrar en el disco, por ejemplo, algunos segmentos de memoria deben estar disponibles para ejecutar el kernel.

Por otra parte, el modo de suspensión sigue manteniendo la energía flotando a través de la memoria y, por lo tanto, requiere un almacenamiento persistente (ignorar el almacenamiento en caché por el momento). El disco duro está siempre encriptado cuando BitLocker está configurado, incluso cuando Windows está funcionando.

Desde el punto de vista de los atacantes, no creo que la hibernación y BitLocker creen un entorno inseguro. Incluso diría que el modo de dormir es más vulnerable, ya que deja una gran oportunidad para que un atacante intente acceder a los contenidos de la memoria simple.

    
respondido por el Yorick de Wid 29.08.2016 - 20:37
fuente

Lea otras preguntas en las etiquetas

¿Se puede hacer pública una firma rdiff de un archivo sin revelar información no pública? ¿Cómo crear un paquete no válido para probar la vulnerabilidad de TLS Poodle?