¿Qué tan fácil podría ser truecrypt y EFS crackeado en este escenario

Navega tus respuestas
6

  • Sospecho que algunos datos se restaron en los últimos meses de mi computadora portátil. Por lo tanto estoy buscando métodos para cifrar mis datos. Quiero intentar usar Truecrypt para la carpeta de archivos confidenciales más EFS para los archivos en esa partición. No soy un experto, así que tengo dudas acerca de la facilidad con que se puede resolver esto.

  • El contexto es un entorno de trabajo de oficina, con algunos trabajadores dispuestos (y esperando) a copiar información valiosa y personal de mi computadora portátil. Por lo general, trabajamos en la misma “sala de conferencias” con una sola mesa, por lo que el acceso físico a la computadora portátil es fácil. Las posibilidades de robo de la computadora portátil son bajas debido a los controles de seguridad. El verdadero volumen de cifrado con la carpeta de datos protegida se montará generalmente mientras estoy en esa habitación.

  • Es altamente probable un ataque planeado que combine métodos locales y remotos. Esto es, instalar un troyano / keylogger que tenga acceso físico a la computadora portátil para luego usarlo para robar la información.

- Debilidad: Incluso cuando trato de bloquear la pantalla de Windows cada vez que salgo de una habitación compartida, algunas veces la olvido (por ejemplo, si necesito hacer algo en el exterior con prisa y luego con la enfermedad). Además, incluso si configuro mi protector de pantalla para bloquear la cuenta de Windows después de 5 minutos de inactividad, el atacante podría mover el mouse para mantenerlo activo después de salir de la habitación. Tengo un antivirus instalado, pero como sabemos, a veces no es suficiente.

  • El tiempo que el atacante tiene psíquicamente solo con la computadora portátil para realizar el ataque podría ser de alrededor de 3 a 5 minutos.

  • Un posible ataque se verá así:

    1. Salgo de la habitación, la cuenta no está bloqueada, el atacante ve la oportunidad e instala el Trojan / keylogger.
    2. se captura la contraseña de la cuenta de Windows.
    3. el archivo hibersys se carga más tarde en el servidor de los atacantes, así como en las carpetas de destino.
    4. los archivos se descifran con alguna herramienta. (como elcomsoft) enlace ¿Sería tan fácil? ¿Me estoy perdiendo de algo? ¿Debería estar preocupado?

¿Y qué recomendarías para evitar esto?

Gracias de antemano.

PDTA: después del primer incidente, formateé mi disco duro y no he estado en la oficina desde las vacaciones. Voy a volver la próxima semana.

    
pregunta user1338101 18.01.2013 - 05:10
fuente

3 respuestas

7

La presencia física de un atacante es la más difícil de defender. Algunos productos consideran la "presencia física" como un signo de propiedad y permiten los derechos completos de la persona frente a la máquina. Por ejemplo, las placas base que permiten restablecer las contraseñas de la BIOS para no bloquear a un usuario que olvidó su contraseña.

La solución EFS + TrueCrypt es buena, pero depende de la seguridad de sus contraseñas . Sus datos están encriptados de manera segura, pero sus contraseñas no están protegidas contra la interceptación. El registro de teclas es una forma sencilla de interceptar sus contraseñas, pero un antivirus detectará la mayoría de los registradores de teclado conocidos. El atacante puede ejecutar un programa en su computadora que se parece a TrueCrypt y le enviará su contraseña al atacante.

Si deja su computadora desbloqueada en un entorno hostil, no puede tener ninguna expectativa de privacidad y seguridad . No hay forma de estar 100% seguro de que puede detectar e interrumpir una intrusión después del hecho. Bloquear tu computadora es muy fácil y debes hacer un hábito de hacerlo. Al presionar Windows key + L se bloqueará Windows y CTRL + ALT + L bloqueará la mayoría de los entornos de escritorio de Linux.

EFS en Windows Vista y versiones posteriores cifrará pagafile.sys pero no hyberfil.sys que se puede usar para extraer claves de TrueCrypt.

TrueCrypt Unencrypted Data en la RAM :

  

Microsoft no proporciona ninguna API adecuada para el manejo   hibernación y apagado, llaves maestras utilizadas para el cifrado del sistema   no se puede borrar (y no) de manera confiable de la RAM cuando la computadora   hiberna, se apaga o se reinicia.

Use el cifrado de disco completo de TrueCrypt para cifrar todo su disco duro.

Una debilidad del cifrado de disco completo de TrueCrypt es cuando el atacante tiene acceso físico varias veces. El ataque se conoce con el nombre Evil Maid y se mitiga con el uso de TPM . Básicamente, el atacante modifica el código de verificación de la contraseña de TrueCrypt para almacenar la contraseña escrita en texto sin cifrar para su posterior recuperación. Lo mismo ocurre con otros productos de cifrado de disco completo. Utilice las funciones de TPM si su computadora portátil las proporciona. Lleve su computadora portátil a casa o ciérrela con una llave si quiere más seguridad de la que puede proporcionar Truecrypt.

Actualizar:

Una solución ingeniosa para bloquear automáticamente su computadora es usar este programa: enlace . Utiliza ecos para "ver" si ya no estás frente a tu computadora.

Hay soluciones similares usando la webcam. enlace

    
respondido por el Cristian Dobre 18.01.2013 - 08:34
fuente
3

Estoy de acuerdo con todo lo que @CristianDobre ha escrito, tienes en tu mano una situación de seguridad extremadamente difícil que Truecrypt no va a resolver. Si sus compañeros de trabajo tienen acceso ilimitado a su máquina y malas intenciones, entonces no puede proteger su máquina, o se podría leer cualquier información sobre ella como sus contraseñas. Incluso si no fueran sus atacantes, podrían piratear su máquina e iniciar sesión en ella mientras tiene instalado Truecrypt en funcionamiento con la unidad montada y acceda a ella de esa manera. O podrían escribir un simple script de powershell que se ejecutaría de forma programada buscando el acceso a la letra de unidad y copiarlo todo tan pronto como tenga acceso.

Mi consejo sería configurar una máquina virtual Linux reforzada en una memoria USB o disco duro, y ejecutarlo mientras estás presente en la habitación. Deberá pausarlo y quitar el medio, llevándolo con usted cada vez que salga de la habitación . Haga todo su trabajo, almacene todos sus datos en volúmenes truecrypt cifrados, ejecutando truecrypt en el sistema operativo virtual, no en su máquina. Use un teclado virtual, que es un gráfico en el que hace clic en las teclas, para ingresar sus contraseñas y anular los registradores de teclas instalados en su máquina física. Nunca deje que la memoria USB deje su presencia física, ni siquiera por un minuto, y cambie las contraseñas en su máquina virtual cada noche usando una computadora diferente. Será un dolor real hacer todas estas medidas, sin embargo, si su situación es tan mala y realmente necesita proteger esa información, entonces deberá mantener la disciplina.

También tendría sentido cambiar su contraseña en la computadora de su trabajo todos los días también. Puede que no los detenga, pero al menos puede ralentizarlos.

    
respondido por el GdD 18.01.2013 - 10:44
fuente
0

No entiendo por qué deshabilitar la hibernación y eliminar los controladores Firewire del sistema no es una solución. Como el artículo vinculado anteriormente sugiere que la forma de evitar el método Firewire es eliminar los controladores. Segundo. Seguimos escuchando que el programa de descifrado elimina las claves del archivo de hibernación. Multa. Desactivar eso a través de una clave de registro. ¿Esto no lo hará seguro ahora?

    
respondido por el A. Almodawi 08.11.2013 - 09:34
fuente

Lea otras preguntas en las etiquetas

¿es seguro permitir que se adjunten imágenes externas a Blog o cualquier contenido web? ¿Es correcto que se me informe que ingresé una contraseña anterior?