¿Mis datos están seguros si, con un disco duro cifrado, pongo a Windows en modo "inactivo"?

Navega tus respuestas
36

Tanto mi partición de arranque como mi partición de datos están cifradas con TrueCrypt. Mi contraseña es larga, por lo que me encuentro evitando reiniciar mi sistema siempre que sea posible. Cuando voy a almorzar (por ejemplo), he estado poniendo mi computadora portátil en el modo "Dormir", que requiere que ingrese mi contraseña de Windows para volver a Windows. (Mi contraseña de Windows es débil; más para mantener a los niños fuera de mi cuenta que cualquier otra cosa).

Soy consciente de un software que puede eliminar las contraseñas de Windows fácilmente, pero no tengo conocimiento de una toma que pueda eliminar una contraseña sin reiniciar. (Si reinician mi máquina, tendrán que volver a ingresar mi contraseña de TrueCrypt.) ¿Qué tan sofisticado tendría que ser un adversario para obtener datos de mi computadora cuando está solo en modo "Sleep"?

    
pregunta adam.baker 02.06.2015 - 17:57
fuente

4 respuestas

39

Para prácticamente todas las herramientas de cifrado de disco, su clave de cifrado se almacenará en la RAM mientras la computadora esté en uso o en modo de suspensión. Por supuesto, esto presenta una vulnerabilidad bastante significativa, ya que si alguien puede volcar el contenido de su RAM mientras mantiene su contenido intacto, es probable que pueda extraer la clave del volcado de RAM utilizando un software comercial ampliamente disponible, como Elcomsoft Forensic Disk Discriptor que afirma que extrae las claves Truecrypt, Bitlocker y PGP.

Para protegerse contra esto, deberá hacer que sea más difícil para un atacante obtener un volcado de RAM. La forma más fácil de obtener un volcado de RAM es mediante el uso de programas de software que vienen con muchos kits de herramientas forenses (que también están disponibles de forma gratuita). Sin embargo, el problema es que para ejecutar estos programas, primero tendrían que desbloquear la computadora. Si no pueden desbloquear la computadora para ejecutar programas, no pueden iniciar ninguna utilidad de volcado de RAM. Por esta razón, ¡es importante tener una contraseña segura para bloquear la pantalla de Windows!

(Además, solo para ser realistas e indicar lo obvio, la contraseña de la pantalla de bloqueo también es importante porque si un atacante puede adivinarlo, podría tomar una copia de sus archivos en ese mismo momento y no preocuparse por eso. para encontrar su clave de encriptación. Para un ladrón común en el proceso que esté interesado en obtener sus datos, esta sería la amenaza más realista (IMO)

Una forma más sofisticada es usar un ataque de arranque en frío ; esto aprovecha el hecho de que los contenidos de la memoria permanecerán allí durante algún tiempo (desde unos pocos segundos hasta unas pocas horas si la RAM se enfría con un refrigerante) incluso después de apagar la alimentación. El atacante puede entonces omitir a Windows e iniciarse en una utilidad de volcado de RAM o mover físicamente la RAM a una máquina diferente para leer. Este tipo de ataque es significativamente más difícil de proteger.

Por último, también mencionaría que el desarrollo de Truecrypt se detuvo hace un año por razones desconocidas y ya no se admite, por lo que recomendaría pasar a una de sus bifurcaciones, como Veracrypt .

    
respondido por el tlng05 02.06.2015 - 19:14
fuente
8

Un atacante podría realizar lo que se conoce como un ataque de "arranque en frío". El modo de suspensión mantiene activos todos los contenidos de la memoria, y la clave para su volumen de truecrypt se almacena en la memoria. El contenido de la memoria permanece más tiempo sin alimentación cuando la memoria está fría. Todo lo que un atacante debe hacer es enfriar la computadora (por ejemplo, colocarla en un congelador) y reiniciar la máquina con un sistema operativo especialmente diseñado que puede leer el contenido de la memoria y buscar la clave.

La sofisticación de este ataque solo se basa en las herramientas, que solo necesitan escribirse una vez y luego pueden ser utilizadas por cualquier persona con un congelador y una memoria USB. No sé si actualmente existen herramientas de uso fácil para explotar TrueCrypt a través de un coldboot, pero probablemente no sería terriblemente difícil escribir. En general, los ataques como este que se basan en la automatización solo se vuelven más fáciles con el tiempo y se filtran a atacantes cada vez menos habilidosos.

    
respondido por el Steve Sether 02.06.2015 - 19:18
fuente
4

Si no tiene que volver a ingresar su contraseña de TrueCrypt, Windows todavía tiene acceso al contenido del volumen de TrueCrypt. Un atacante solo tendría que adivinar la contraseña de Windows para acceder a sus datos mientras está almorzando.

TrueCrypt (o cualquier otro cifrado de disco) solo protegerá los datos para que no se copien directamente desde el disco en sí, y no se acceda a ellos a través del SO (El ejemplo común es un disco duro robado o una computadora portátil apagada).

    
respondido por el ztk 02.06.2015 - 18:51
fuente
0

Simplemente reactivaría su computadora y luego la pondría en modo de hibernación que almacena la RAM en el disco duro ... luego puedo cortar la energía de su caja, quitar el disco duro, copiar el contenido en otro disco archivo de hibernación (básicamente una copia de su RAM), vuelva a colocarlo, luego vuelva a colocar el disco duro y encienda el sistema ... Vuelva a ponerlo en modo de suspensión. Esto no requeriría una sofisticación significativa y no sufre de arranque en frío ni otras limitaciones.

Aunque no fui y probé esto con Truecrypt, debería (en teoría) funcionar.

Recomendaría que deshabilites la hibernación para que esto no sea factible.

    
respondido por el Nick 03.06.2015 - 18:53
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguros son los juguetes para hablar con wifi? Confundido sobre el uso de una contraseña que "llevaría siglos para romper"