Bei der Arbeit haben wir Laptops mit verschlüsselten Festplatten. Die meisten Entwickler hier (gelegentlich habe ich mich auch schuldig gemacht) lassen ihre Laptops im Ruhezustand, wenn sie sie nachts nach Hause bringen. Offensichtlich muss Windows (dh es wird ein Programm im Hintergrund ausgeführt, das dies für Windows ausführt) über eine Methode zum Entschlüsseln der Daten auf dem Laufwerk verfügen, sonst kann es nicht darauf zugreifen. Abgesehen davon dachte ich immer, dass es eine Sicherheitsbedrohung ist, einen Windows-Computer im Ruhezustand an einem nicht sicheren Ort (nicht bei der Arbeit an einem Schloss) zu lassen, da jemand den Computer nehmen, laufen lassen und die Windows-Konten hacken könnte und verwenden Sie es, um die Daten zu verschlüsseln und die Informationen zu stehlen. Als ich darüber nachdachte, wie ich in das Windows-System eindringen würde, ohne es neu zu starten, konnte ich nicht herausfinden, ob es möglich war.
Ich weiß, dass es möglich ist, ein Programm zum Knacken von Windows-Passwörtern zu schreiben, sobald Sie Zugriff auf die entsprechenden Dateien haben. Aber ist es möglich, ein Programm von einem gesperrten Windows-System auszuführen, das dies tun würde? Ich kenne keine Möglichkeit, aber ich bin kein Windows-Experte. Wenn ja, gibt es eine Möglichkeit, dies zu verhindern? Ich möchte keine Sicherheitslücken in Bezug auf die Vorgehensweise aufdecken, daher würde ich jemanden bitten, die erforderlichen Schritte nicht im Detail zu veröffentlichen. Wenn jemand jedoch etwas wie "Ja, es ist möglich, dass das USB-Laufwerk eine willkürliche Ausführung zulässt." "das wäre toll!
BEARBEITEN: Die Idee bei der Verschlüsselung ist, dass Sie das System nicht neu starten können, da die Festplattenverschlüsselung auf dem System eine Anmeldung erfordert, bevor Windows gestartet werden kann. Da sich der Computer im Ruhezustand befindet, hat der Systembesitzer die Verschlüsselung für den Angreifer bereits umgangen und Windows als einzige Verteidigungslinie zum Schutz der Daten gelassen.
quelle
Antworten:
Es ist definitiv nicht sicher, den Computer im Ruhezustand zu belassen. Es wurde eine Sicherheitslücke gefunden, bei der der RAM noch den Schlüssel für den Bitlocker (und andere) im Ruhezustand enthält. Für diese Sicherheitsanfälligkeit gibt es bereits einen Proof-of-Concept-Angriff.
Die Angriffsmethode besteht darin, den PC schnell neu zu starten und den Inhalt des Arbeitsspeichers (der bei Stromausfall nicht verloren geht) zu lesen. Anschließend kann ein Programm den Dump nach dem Schlüssel durchsuchen.
http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/
Microsoft hat dies möglicherweise bereits behoben.
Die normale Kennwortänderung hat jedoch keinen Einfluss auf die Verschlüsselung, da der verschlüsselte Inhalt ohne das richtige Kennwort nicht zugänglich ist. Einfache Startdisketten zum Ändern des Kennworts sind daher kein Sicherheitsrisiko.
quelle
Wie von workmad3 erwähnt , ist der beste Weg, einen Computer anzugreifen, der gesperrt ist, ohne neu zu starten , zu sehen, wie anfällig er über eine Netzwerkverbindung ist.
Dies hängt von den Sicherheitsrichtlinien in Ihrem Netzwerk ab. Haben beispielsweise alle Domänenkonten Administratorzugriff auf diese PCs? Wenn ja, überprüfen Sie die Standardfreigabe (\ pc-name \ c $). Wenn die Standardfreigabe aus irgendeinem Grund aktiviert wurde, können Sie mit Ihrem eigenen Konto über das Netzwerk auf den gesamten Inhalt des PCs zugreifen. Ich bin nicht sicher, ob dies mit einer verschlüsselten Festplatte funktioniert, aber es wäre ziemlich einfach zu testen.
Sobald Sie remote auf den PC zugreifen können, können Sie Tools wie das Sysinternals PsExec- Tool verwenden, um Programme remote auszuführen.
Natürlich ist dies nur ein Angriffsvektor, und es funktioniert möglicherweise nicht einmal mit verschlüsselten Festplatten, aber es gibt Ihnen eine Vorstellung davon, was getan werden könnte.
BEARBEITEN: Wenn die Laptops über einen aktiven Firewire-Anschluss verfügen, können Sie sich diese Sicherheitsanfälligkeit ansehen . Wiederum weiß ich nicht, ob dies bei einem verschlüsselten Computer helfen würde, da es auf einem direkten Speicherzugriff basiert (der verschlüsselt werden sollte).
quelle
Wenn jemand physischen Zugriff auf den Computer hat, können alle gespeicherten Anmeldeinformationen als gefährdet angesehen werden.
Wenn Sie beispielsweise von einem USB-Gerät oder einem optischen Laufwerk booten können, können Sie mit Point-and-Click-Tools wie Ophcrack alle Kennwörter wiederherstellen. Anleitung hier: USB Ophcrack | Windows Login Passwort-Cracker
Bearbeiten: Ja, mir ist bewusst, dass Sie theoretisch nicht auf eine "verschlüsselte Festplatte" zurückkehren können, wenn der Computer neu gestartet wird. Ob diese Behauptung gilt oder nicht, hängt vollständig von der Software ab, die für den Zugriff auf die verschlüsselten Partitionen verwendet wird. BitLocker scheint einen anständigen Job zu machen, aber viele frühere Implementierungen waren im Grunde genommen ein Witz - und wenn Sie auf den Computer zugreifen können, ist es trivial einfach, die SAM-Datenbank auf den USB-Stick zu sichern und das Cracken offline durchzuführen.
quelle
Nun, mein erster Gedanke wäre, es aus dem Ruhezustand zu aktivieren, zum Kennwortbildschirm zu gelangen und dann zu sehen, was über die Netzwerkverbindung anfällig ist. Wenn die tatsächliche Netzwerksicherheit des Computers nicht auf dem neuesten Stand ist, können Sie auf diese Weise auf viele Informationen zugreifen.
quelle
Ich frage mich, was passieren würde, wenn Sie eine CD-ROM mit einer autoplay.ini brennen , die für die Zwecke Ihres Experiments geeignet ist, und die Maschine dann aus dem Ruhezustand aufwachen lassen. Eigentlich weiß ich nicht, was passieren würde, aber diese Art von Methodik würde ich untersuchen, wenn ich versuche, einen Computer im Ruhezustand anzugreifen. Lassen Sie ihn aufwachen und eine ausführbare Datei in einen seiner Ports einführen. Hat es einen Firewire-Anschluss? Theoretisch ist es dann von dieser Schnittstelle aus hackbar.
quelle
Welche Art von Verschlüsselung verwenden Sie? BitLocker? Verschlüsseltes Dateisystem? Ohne es zu wissen, kann ich Ihre Frage nicht direkt beantworten.
In jedem Fall wäre Ihre Sicherheit so gut wie das schwächste Glied. Sie müssen sicherstellen, dass alle aktuellen Sicherheitspatches umgehend installiert werden. Ansonsten können Tools wie MetaSploit verwendet werden, um bekannte Sicherheitslücken zu testen und Benutzer- oder Administratorzugriff zu erhalten.
quelle
Vista und XP-sp3 sind weitaus weniger gefährlich als frühere Betriebssysteme, die ein einfach verschlüsseltes Kennwort für die LANMAN-Kompatibilität gespeichert haben. Sie können immer noch einfache Passwörter knacken, indem Sie einige sehr große Regenbogentabellen verwenden, aber es ist ansonsten ziemlich sicher vor Tools wie ophcrack.
quelle
Auf meinem Festplattenverschlüsselungssystem (PGP) muss ich das Verschlüsselungskennwort eingeben, wenn ich aus dem Ruhezustand zurückkomme.
Aus einem Suspend ist es nicht erlaubt.
quelle
Wenn Sie den EFS-Ruhezustand verwenden, ist die Datei NICHT verschlüsselt und sollte vertrauliches Schlüsselmaterial enthalten, das zum Entschlüsseln von EFS-Dateien auf der Festplatte erforderlich ist.
Wenn Sie die Festplattenverschlüsselung verwenden, wird die Ruhezustandsdatei mit allen anderen Daten verschlüsselt, und dieses Risiko wird gemindert.
Es gibt eine Reihe von Angriffsvektoren für Bitlocker / TPM, einschließlich einer Reihe von Bus-Snooping- und Sturmangriffen. TPM wurde nicht entwickelt, um Ihre Informationen vor einer bestimmten TLA zu schützen, ist jedoch im allgemeinen Anwendungsfall der realen Welt noch immer recht effektiv.
EFS kann durch das Knacken eines Benutzerkennworts umgangen werden, sofern keine sinnvollen Syskey-Optionen aktiviert sind, um dieses Risiko zu minimieren. EFS ist besser als nichts, aber es sei denn, Sie verwenden syskey und ein tabellenresistentes Ub3r ra1nb0w-Passwort, so dass Sie in erster Linie keine nennenswerte Barriere für die Beeinträchtigung Ihrer EFS-Daten darstellen.
quelle