Só porque você decidiu criptografar seu disco rígido do Windows 10, isso não significa que seus dados estão completamente seguros em caso de roubo.
Nos computadores de hoje, a criptografia depende do Trusted Platform Module (TPM). É um chip de segurança que armazenará a chave mestra de criptografia do disco (a chave de volume) e a passará para o processo de inicialização UEFI para iniciar o sistema.
Esse é o caso da criptografia BitLocker disponível no Windows Pro / Enterprise. Esse também é o caso da criptografia de hardware no Windows Home, que na verdade é uma versão simplificada do BitLocker com menos opções de configuração.
Também para descobrir o vídeo:
O problema é que a maioria dos computadores em circulação é baseada no TPM 1.2, onde a chave VMK é transmitida … explicitamente. Com o TPM 2.0, essa transmissão pode ser feita criptografada, mas não no Windows 10.
Em outras palavras, quem rouba um PC com Windows 10 pode, com apenas um pouco de hardware e conhecimento, extrair aquela chave famosa e descriptografar o disco.
defeito conhecido
O pesquisador demonstrou este ataque há vários anos Dennis Andzukowicz. Ele foi recentemente reproduzido por pesquisadores da SCRT Information Security no ThinkPad L440.
A postagem no blog é um verdadeiro prazer para aqueles que estão interessados nela dispositivos de hacking. Esta experiência é mais interessante porque os meios implementados são fracos. O hack exigiu uma unidade FPGA de US $ 49, um ferro de solda padrão preciso e alguns dias de trabalho.
Na verdade, depois de abrir a tampa do dispositivo e fixar o TPM na placa-mãe, os pesquisadores ficaram felizes em descobrir pontos de contato de patch dedicados aos quais se poderia facilmente soldar fios elétricos.
Caso contrário, era necessário pendurar diretamente nos conectores deslizantes. Isso requer equipamentos de soldagem mais especializados, pois a distância entre cada perna é de apenas 0,65 mm.
Uma vez que os pontos de contato foram conectados ao módulo FPGA, foi possível “cheirar” os sinais que passam por eles. Os quadros trocados estão no formato LPC (contagem baixa de pinos).
Para isso bastou instalar o programa “LPC Sniffer”, desenvolvido por Denis Andzakovic, e selecionar um filtro para restaurar as trocas que pertencem apenas à chave VKM.
Como os erros de leitura eram frequentes em certos pontos de conexão, o laptop foi reiniciado várias vezes seguidas até que pudesse determinar os valores verdadeiros.
Depois disso, bastou iniciar o computador com Live Linux e rodar o programa “dislocker” com a opção “–vmk” e pronto. Os pesquisadores obtiveram acesso total ao conteúdo do disco rígido do dispositivo.
Para evitar este tipo de ataque em um computador Windows Pro / Enterprise, eles recomendam selecionar um fator de autenticação de “pré-inicialização”, que exigirá que o usuário insira uma senha ou conecte uma chave de segurança antes que a fase de inicialização possa ser realizada .
No entanto, essa possibilidade não parece existir no Windows Home. A única solução neste caso: ter Dispositivo Windows 11 com TPM 2.0.
Recursos : SCRTE Anoopcnair.com
