Protejează-ți Datele: Cum Să Eviti Capcanele BitLocker
BitLocker, instrumentul de criptare integrat în sistemul de operare Windows, a fost ținta unor vulnerabilități recente. S-a demonstrat că, prin manipularea fizică a hardware-ului, mai exact prin extragerea cipului TPM, se pot obține cheile de criptare. De asemenea, unele unități de stocare SSD se pare că nu funcționează corespunzător cu această metodă de criptare. Acest articol prezintă o analiză detaliată a riscurilor și oferă soluții pentru o protecție eficientă.
Este important de reținut că aceste metode de atac necesită acces fizic direct la dispozitivul vizat. Criptarea are rolul principal de a proteja datele în cazul pierderii sau furtului unui laptop sau în cazul accesului neautorizat la un computer de tip desktop. Scopul este de a preveni vizualizarea fișierelor confidențiale fără permisiune.
Limitările BitLocker pe Windows Home
Spre deosebire de alte sisteme de operare moderne, care oferă criptare implicit, versiunea Windows 10 Home nu include BitLocker. Dispozitivele Apple, Chromebookurile și chiar distribuțiile Linux permit tuturor utilizatorilor să beneficieze de criptarea datelor. Microsoft, însă, nu a implementat această caracteristică pentru Windows 10 Home.
Unele computere pot dispune de o tehnologie similară numită „criptare dispozitiv”, denumită uneori și „criptare dispozitiv BitLocker”. Totuși, aceasta oferă funcționalități mai limitate față de BitLocker complet.
Cum ar putea un atacator să exploateze această limitare? Simplu: dacă un sistem Windows Home nu are criptare, un atacator poate accesa datele prin demontarea unității de stocare sau prin pornirea unui sistem de operare alternativ.
Soluția: Un upgrade la Windows 10 Professional, contra cost, permite activarea BitLocker. Alternativ, se poate utiliza un software de criptare gratuit precum VeraCrypt, succesorul TrueCrypt.
Cheia BitLocker Stocată pe Serverele Microsoft
Multe computere cu Windows 10 utilizează „criptarea dispozitivului”. Aceasta se activează automat după autentificarea cu un cont Microsoft. În acest scenariu, cheia de recuperare este încărcată pe serverele Microsoft (sau serverele organizației, în cazul unui domeniu).
Această facilitate este utilă pentru recuperarea fișierelor în cazul pierderii parolei contului Microsoft. Totuși, acest lucru implică riscuri legate de securitate și confidențialitate.
Cum ar putea un atacator să exploateze acest aspect? Un mandat guvernamental ar putea obliga Microsoft să divulge cheia de criptare. De asemenea, un atacator ar putea obține acces neautorizat la contul Microsoft și, implicit, la cheia de criptare. În plus, cu acces fizic la dispozitiv, atacatorul poate folosi cheia de recuperare pentru a decripta fișierele, fără a avea nevoie de parolă.
Soluția: Utilizatorii pot face upgrade la Windows 10 Professional, pot activa BitLocker din Panoul de Control și pot alege să nu încarce cheia de recuperare pe serverele Microsoft.
Problemele cu Criptarea Hardware a Unităților SSD
Unele SSD-uri oferă suport pentru „criptare hardware”. Când BitLocker este activat pe astfel de unități, Windows delegă procesul de criptare către SSD. Această abordare ar trebui să fie mai rapidă. Cu toate acestea, studiile au demonstrat că implementarea criptării hardware nu este realizată corect pe multe unități SSD. Unele modele, precum Crucial MX300, folosesc o parolă implicită goală pentru protecția cheii de criptare. Windows va afișa că BitLocker este activ, dar, în realitate, protecția este ineficientă. Această problemă afectează în special Windows 10, fiind o funcționalitate mai nouă.
Cum ar putea un atacator să exploateze această vulnerabilitate? Chiar dacă Windows indică faptul că BitLocker este activ, este posibil ca SSD-ul să nu cripteze datele în mod eficient. Astfel, un atacator poate ocoli criptarea defectuoasă și accesa fișierele.
Soluția: Dezactivați opțiunea „Configurați utilizarea criptării bazate pe hardware pentru unitățile de date fixe” din politica de grup Windows. Ulterior, decriptați și recriptați unitatea pentru ca modificarea să fie aplicată. BitLocker va realiza criptarea software, renunțând la încrederea în criptarea hardware a SSD-ului.
Extragerea Cheii din Cipul TPM
Cheia de criptare BitLocker este stocată în Trusted Platform Module (TPM), un component hardware destinat să reziste la manipulări. Cu toate acestea, un studiu a demonstrat că un atacator poate utiliza o placă FPGA și cod open-source pentru a extrage cheia din TPM. Această acțiune ar distruge hardware-ul, dar ar permite accesul neautorizat la date.
Cum ar putea un atacator să exploateze acest aspect? Prin modificarea hardware-ului și extragerea cheii din TPM, atacatorul poate eluda protecțiile avansate, ceea ce teoretic nu ar trebui să fie posibil.
Soluția: Configurați BitLocker să solicite un PIN de pre-pornire în politica de grup. Opțiunea „Solicitați PIN de pornire cu TPM” va bloca TPM-ul cu o protecție suplimentară, fiind necesară introducerea unui PIN la pornirea sistemului. TPM este protejat împotriva atacurilor prin forță brută, astfel că atacatorii nu vor putea ghici PIN-ul.
Riscurile Modului „Adormit” al Computerului
Microsoft recomandă dezactivarea modului de repaus pentru o securitate maximă atunci când se utilizează BitLocker. Modul de hibernare este mai sigur deoarece cheia de criptare nu este stocată în RAM. În modul de repaus, cheia rămâne stocată în memorie.
Cum ar putea un atacator să exploateze acest lucru? Un atacator care are acces fizic la dispozitiv, îl poate trezi și poate accesa datele, eventual introducând un PIN. De asemenea, poate obține acces la memoria RAM prin acces direct la memorie (DMA) și poate extrage cheia BitLocker. Un atac de pornire la rece (repornirea computerului și extragerea cheii din RAM înainte ca aceasta să dispară) este o altă metodă pe care un atacator o poate utiliza.
Soluția: Optați pentru hibernarea sau închiderea completă a computerului în loc de modul de repaus. Utilizați un PIN de pre-pornire pentru a bloca atacurile de pornire la rece. BitLocker va solicita PIN-ul și la reluarea din hibernare, dacă este setat să ceară PIN la pornire. Windows oferă și opțiunea de a „dezactiva noile dispozitive DMA când acest computer este blocat” prin politica de grup, oferind protecție suplimentară.
Pentru informații suplimentare, Microsoft oferă documentație detaliată despre securizarea BitLocker.