35

На работе у нас есть ноутбуки с зашифрованными жесткими дисками. Большинство разработчиков здесь (иногда я тоже виновен) оставляют свои ноутбуки в режиме гибернации, когда они забирают их домой ночью. Очевидно, что в Windows (то есть в фоновом режиме работает программа, которая делает это для окон) должен быть метод для расшифровки данных на диске, иначе он не сможет получить к нему доступ. При этом я всегда думал, что оставить машину Windows в режиме гибернации в небезопасном месте (не на работе с блокировкой) - это угроза безопасности, потому что кто-то может взять машину, оставить ее работающей, взломать учетные записи Windows. и использовать его для шифрования данных и кражи информации. Когда я задумался о том, как мне взломать систему Windows, не перезапуская ее, я не мог понять, возможно ли это.

Я знаю, что можно написать программу для взлома паролей Windows, если у вас есть доступ к соответствующим файлам. Но возможно ли выполнить программу из заблокированной системы Windows, которая будет делать это? Я не знаю, как это сделать, но я не эксперт по Windows. Если так, есть ли способ предотвратить это? Я не хочу раскрывать уязвимости системы безопасности, как это сделать, поэтому я бы попросил, чтобы кто-то не опубликовал необходимые шаги в деталях, но если бы кто-то мог сказать что-то вроде: «Да, возможно, USB-накопитель допускает произвольное выполнение, " это было бы прекрасно!

РЕДАКТИРОВАТЬ: Идея с шифрованием заключается в том, что вы не можете перезагрузить систему, потому что, как только вы это сделаете, шифрование диска в системе требует входа в систему, прежде чем можно будет запускать окна. Поскольку компьютер находится в режиме гибернации, владелец системы уже обошел шифрование для злоумышленника, оставив windows в качестве единственной линии защиты для защиты данных.

9 ответов9

13

Оставлять машину в спящем режиме, безусловно, небезопасно, была обнаружена уязвимость, в которой ОЗУ по-прежнему содержит ключ для блокировщика битов (и других) в спящем режиме памяти. Уже существует доказательство концептуальной атаки на эту уязвимость.

Метод атаки состоит в том, чтобы быстро перезагрузить компьютер и прочитать содержимое оперативной памяти (которая не теряется при отключении питания), после чего программа может искать ключ в дампе.

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

Возможно, Microsoft уже исправила это.

Однако обычная смена пароля не влияет на шифрование, поскольку зашифрованный контент недоступен без правильного пароля, поэтому простая смена пароля загрузочных дисков не представляет угрозы для безопасности.

4

Как упоминалось в workmad3, лучший способ атаковать машину, которая заблокирована без перезагрузки, - это посмотреть, насколько она уязвима от сетевого подключения.

Это будет зависеть от политик безопасности вашей сети. Например, все учетные записи домена имеют административный доступ к этим ПК? Если это так, проверьте общий ресурс по умолчанию (\pc-name\c $). Если общий ресурс по умолчанию был включен по какой-либо причине, у вас есть доступ ко всему содержимому ПК по сети со своей учетной записью. Я не уверен, что это работает с зашифрованным жестким диском, но это было бы довольно легко проверить.

Получив удаленный доступ к ПК, вы можете использовать такие инструменты, как инструмент Sysinternals PsExec , для удаленного выполнения программ.

Конечно, это всего лишь один вектор атаки, и он может даже не работать с зашифрованными жесткими дисками, но он дает вам представление о том, что можно сделать.

РЕДАКТИРОВАТЬ: Если у ноутбуков есть активный порт Firewire, вы можете взглянуть на эту уязвимость. Опять же, я не знаю, поможет ли это с зашифрованной машиной, поскольку она основана на прямом доступе к памяти (которая должна быть зашифрована).

4

Очевидно, что если кто-то имеет физический доступ к машине, все сохраненные учетные данные могут считаться скомпрометированными.

Если можно, например, выполнить загрузку с USB-устройства или оптического привода, можно использовать инструменты «наведи и щелкни», такие как Ophcrack, для восстановления всех паролей. Инструкции здесь: USB Ophcrack | Взломщик паролей Windows

Изменить: Да, я знаю, что теоретически вы не можете вернуться на "зашифрованный жесткий диск", если машина будет перезагружена. Удовлетворяет ли это требование полностью, зависит от программного обеспечения, используемого для доступа к зашифрованным разделам. BitLocker, кажется, делает достойную работу, но многие более ранние реализации были в основном шуткой - и если вы можете получить доступ к машине, тривиально легко выгрузить базу данных SAM на USB-накопитель и выполнить взлом в автономном режиме.

2

Что ж, моей первой мыслью было бы вывести его из спящего режима, перейти к экрану пароля и затем начать видеть, что уязвимо через сетевое соединение. Если безопасность сети на реальных машинах не до нуля, вы можете получить доступ к большому количеству информации таким образом.

1

Интересно, что произойдет, если вы запишите CD-ROM с файлом autoplay.ini, подходящим для целей вашего эксперимента, а затем заставите компьютер выйти из режима гибернации. Я на самом деле не знаю, что произойдет, но такую методологию я бы использовал, пытаясь атаковать спящий компьютер - заставить его проснуться и ввести исполняемый файл в один из его портов. Есть ли у него порт FireWire? В теории это тогда взломано от того интерфейса.

0

Какой тип шифрования вы используете? BitLocker? Зашифрованная файловая система? Не зная, я не могу прямо ответить на ваш вопрос.

В любом случае ваша безопасность будет так же хороша, как и самое слабое звено. Вы должны убедиться, что все последние исправления безопасности установлены быстро. В противном случае такие инструменты, как MetaSploit, можно использовать для проверки известных уязвимостей и получения доступа пользователя или администратора.

0

Vista и XP-sp3 гораздо менее уязвимы, чем более ранние ОС, которые хранили просто зашифрованный пароль для совместимости с LANMAN. Вы все еще можете взломать простые пароли, используя очень большие радужные таблицы, но в остальном это довольно безопасно от таких инструментов, как ophcrack.

0

В моей системе шифрования жесткого диска (PGP) мне необходимо ввести пароль шифрования при выходе из режима гибернации.

От приостановки это не разрешено.

0

Если используемый вами файл спящего режима EFS НЕ зашифрован и предполагается, что он содержит конфиденциальный ключевой материал, необходимый для расшифровки файлов EFS на диске.

Если вы используете полное шифрование диска, файл гибернации шифруется всем остальным, и этот риск уменьшается.

Существует несколько векторов атак для битлокера /TPM, включая ряд отслеживаний по шине и атак в стиле бури. TPM не был разработан для защиты вашей информации от определенного TLA, но все еще довольно эффективен в реальных условиях общего использования.

EFS можно обойти, взломав пароль пользователя, если не включены значимые параметры syskey для снижения этого риска. EFS лучше, чем ничего, но если вы не используете syskey и пароль, устойчивый к таблице Ub3r ra1nb0w, вы не представляете серьезного барьера для компрометации ваших данных EFS.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .