Alguém pode acessar uma unidade TrueCrypt montada se eles roubaram meu laptop?

Navegue suas respostas
5

Estou usando um disco rígido criptografado TrueCrypt no meu computador, onde armazeno todos os meus arquivos de trabalho. Normalmente, quando deixo meu laptop, simplesmente bloqueio a sessão do Windows, mas deixo a unidade TrueCrypt montada.

Agora estou pensando, se alguém roubar meu laptop quando estiver nesse estado (ou seja, unidade TrueCrypt montada, mas com sessão bloqueada), é possível que eles acessem os dados em meu disco rígido criptografado?

Alguns esclarecimentos:

Eu percebo que a desmontagem da unidade é a maneira mais segura, mas geralmente tenho vários processos sendo executados a partir dela e não quero fechar tudo se eu sair por apenas 5 minutos.

Assumindo que o ladrão não saiba a senha da minha sessão e não tenha instalado um keylogger na minha máquina (e não tenha acesso a ferramentas de alta tecnologia da NSA :), é possível ele ignorar a tela de login do Windows? e acessar meus dados TrueCrypt?

    
por this.lau_ 28.04.2011 / 12:58

3 respostas

5

Você realmente não tem nada com o que se preocupar se for um usuário comum e um ladrão comum levar o seu laptop, pois ele não saberia como recuperar seus dados ou mesmo se importaria em fazer isso. Se você está sendo direcionado para seus dados, o ladrão poderia fazer algumas coisas.

  1. Use uma porta DMA, como o Firewire, para conectar outro computador e salvar a RAM, recuperando as chaves de criptografia (consulte Passware )
  2. Use algo para resfriar a RAM e use um utilitário para salvar a RAM em uma unidade flash ou remover os bastões e colocá-los em outro computador.
  3. Possível recuperar a chave de pagefile.sys ou hiberfil.sys

Se você quiser evitar esses ataques, você precisará usar a criptografia de disco completo TrueCrypt e utilizar o modo de hibernação. Ele deve exigir a senha novamente para inicializá-lo da hibernação.

Se você não quiser hibernar, desative powercfg -h off e defina seu arquivo de página para ser criptografado executando fsutil behavior set encryptpagingfile 1 . O arquivo de paginação é criptografado com uma chave aleatória gerada na inicialização e perdida no desligamento.

Em seguida, configure o computador para inicializar a partir do HDD primeiro e defina uma senha do BIOS, o que impediria que alguém tentasse resfriar a memória RAM e usasse o mesmo computador para recuperá-lo. Isso não os impediria de fazê-lo, mas isso poderia atrasá-los o suficiente para que os dados sejam perdidos enquanto eles estão tentando limpar o CMOS.

Se você tem FireWire e não o usa, você deve desativá-lo na BIOS para evitar esse tipo de ataque. Outra porta que tem DMA é a nova Thunderbolt, mas ainda não saiu.

    
por 30.04.2011 / 08:17
5

Quando uma unidade TrueCrypt é montada, ela fica "disponível", portanto, na sua situação, a única barreira entre a unidade e qualquer invasor é a sessão bloqueada do Windows - para que seus dados sejam tão seguros quanto a senha do Windows.

Se você está realmente preocupado com alguém acessando seus dados, desmonte a unidade TrueCrypt sempre que deixar a máquina sem supervisão ou quando não precisar acessá-la.

    
por 28.04.2011 / 14:26
1

A resposta prática é não. No entanto, se você for um alvo de alto valor, como um espião, um adversário determinado levará seu computador e usará vários métodos para ler a RAM e descobrir as chaves. Se você está realmente preocupado com este cenário, você deve sempre desligar seu computador E como a RAM pode ser detectada por um tempo após a remoção da energia, você deve observar o laptop por 5 ou 10 minutos após desligá-lo.

    
por 28.04.2011 / 13:31

Tags

“intérprete incorreto: Permissão negada” Como posso evitar esse erro? powertoys substituição do Windows 7