BitLocker — это популярная схема шифрования полного диска, используемая во всех версиях Windows (но не в каждой редакции) начиная с Windows Vista. BitLocker используется для защиты стационарных и сменных томов от внешних атак. Начиная с Windows 8, BitLocker по умолчанию активируется на совместимых устройствах, если учетная запись администратора входит в систему с учетными данными Microsoft. Защита BitLocker чрезвычайно надежна и становится настоящим препятствием для цифровой криминалистики.
Существуют различные методы судебной экспертизы, позволяющие экспертам преодолеть защиту BitLocker. Захват дампа памяти компьютера во время монтирования зашифрованного тома является одним из наиболее часто используемых мест атаки. Однако приобретение томов, зашифрованных с помощью BitLocker, может стать значительно более трудным с выпуском Windows 10 November Update. В этой статье мы рассмотрим существующие методы восстановления томов BitLocker, посмотрим, что изменилось с ноябрьским обновлением, и рассмотрим оставшиеся пути получения.
Microsoft поддерживает совместимость поколений BitLocker во всех версиях Windows от Windows Vista до Windows 10 RTM. Только в сборке 1511 Windows 10 BitLocker подвергся капитальному ремонту. В сборке Windows 10 1511 (часто называемой ноябрьским обновлением) Microsoft обновила BitLocker с поддержкой алгоритма шифрования XTS-AES. Новый режим поддерживает как 128-битные, так и 256-битные ключи XTS-AES и обеспечивает дополнительный уровень защиты от определенных типов атак. Поскольку XTS-AES не имеет обратной совместимости с существующими системами, работающими под управлением более ранних версий Windows, этот режим является необязательным выбором при шифровании внешнего диска с помощью BitLocker to Go.
XTS-AES — не единственная новинка в BitLocker с обновлением для Windows 10 от ноября. Microsoft реализовала изменение в доступе к порту DMA, добавив новую политику MDM, чтобы позволить системным администраторам блокировать порты DMA (например, FireWire) при запуске устройства. Кроме того, неиспользуемые порты с доступом DMA (например, FireWire) автоматически отключаются, когда устройство заблокировано (существующие устройства могут продолжать работать). Порты DMA включаются снова, когда устройство разблокировано.
Эта новая политика делает невозможным использование атаки FireWire для захвата оперативной памяти RAM, если полученное устройство заблокировано. Поскольку атака FireWire была одним из основных путей получения зашифрованных томов (а также для сбора огромного количества изменчивых доказательств), ноябрьское обновление представляет собой реальное препятствие для цифровых расследований.
Возможно, все версии Windows начиная с Windows Vista поддерживают шифрование BitLocker. Однако не все выпуски Windows делают. BitLocker доступен в выпусках Ultimate и Enterprise Windows Vista и Windows 7, а также в выпусках Pro и Enterprise Windows 8 и Windows 10.
Однако BitLocker — это больше, чем кажется на первый взгляд. В дополнение к «полному» BitLocker Microsoft поставляет BitLocker Device Encryption с базовой версией Windows 8.1, Windows RT и Windows 10 Home. Шифрование устройства — это версия BitLocker с ограниченной функциональностью, которая автоматически шифрует загрузочный том системы.
Шифрование устройства BitLocker активируется автоматически, если выполняются все следующие условия:
Эти условия часто выполняются на планшетах с операционной системой Windows (таких как Lenovo ThinkPad 8, Nokia Lumia 2520 или Dell Venue 8 Pro), на большинстве ноутбуков для бизнеса и на многих ультрабуках высокого класса и даже среднего класса. (Примечательно, что MacBook от Apple не оснащен чипами TPM.)
Как только система отвечает требованиям и пользователь входит в систему с учетной записью Microsoft, Windows начинает шифрование загрузочного раздела с помощью BitLocker. Шифрование выполняется полностью в фоновом режиме и без запроса пользователя; пользователь может даже не знать, что его системный раздел зашифрован. Единственным признаком процесса шифрования может быть более высокая, чем обычно, активность диска и расход заряда батареи.
В отличие от «полного» BitLocker, который предлагает несколько вариантов создания и хранения ключей условного депонирования, защита устройства BitLocker автоматически создает так называемый ключ восстановления. Ключ восстановления автоматически загружается в учетную запись Microsoft пользователя. Для этой цели Windows использует первую учетную запись Microsoft с правами администратора. Затем ключ восстановления сохраняется в учетной записи Microsoft пользователя. Кроме того, ключ восстановления может храниться в Active Directory, если существует соответствующая политика безопасности.
Новое в Windows 10 Ноябрьское обновление : теперь ключ восстановления можно сохранить в Azure Active Directory. По словам Microsoft, «помимо использования учетной записи Microsoft, автоматическое шифрование устройств теперь может шифровать устройства, присоединенные к домену Azure Active Directory. Когда устройство зашифровано, ключ восстановления BitLocker автоматически депонируется в Azure Active Directory ». Source
Существует несколько способов расшифровки тома BitLocker.
Атака оригинального простого текстового пароля является наиболее очевидным и простым способом получения данных. Существует ряд криминалистических инструментов, таких как Elcomsoft Distributed Password Recovery, позволяющих перечислять текстовые пароли в попытке восстановить правильный. Тем не менее, BitLocker (а также большинство признанных продуктов для шифрования полного диска) был специально разработан для поддержки атак такого типа. Перечисление паролей мучительно медленно, даже если вы запускаете распределенную атаку с нескольких компьютеров, каждый из которых оснащен высокопроизводительным GPU-ускорителем.
Из-за надежной защиты, используемой Microsoft для томов BitLocker, пароли, используемые для перебора, чрезвычайно медленны и становятся неосуществимыми для всех, кроме самых простых паролей. Даже если ускорение GPU включено, взлом паролей BitLocker остается мучительно медленным. Попытка восстановить пароль BitLocker становится возможной только в том случае, если доступен пользовательский словарь паролей (например, список паролей, используемых одним и тем же лицом для защиты учетных записей, документов, архивов и т. Д.).
Фактическая скорость восстановления (с помощью Elcomsoft Distributed Password Recovery на одном ПК, оснащенном одним графическим процессором) следующая:
Даже при 500 паролях в секунду взлом буквенно-цифрового пароля из 6 символов может занять более трех лет. Если используется более шести буквенно-цифровых символов или если пароль содержит один или несколько специальных символов, время восстановления значительно увеличивается.
Извлечение ключа двоичного дешифрования из дампа оперативной памяти компьютера является одной из наиболее часто используемых атак на BitLocker и другие инструменты шифрования полного диска. Чтобы извлечь ключ дешифрования, нужно, чтобы компьютер генерировал дамп памяти.
После захвата дампа памяти (можно использовать любой инструмент дампа ОЗУ в режиме ядра, например Belkasoft Live RAM Capturer ), можно использовать Elcomsoft Forensic Disk Decryptor для загрузки образа RAM, найти и извлечь ключ дешифрования BitLocker и использовать его ключ для монтирования зашифрованного тома или дешифрования для автономного анализа.
Если приобретаемый компьютер перешел в режим ожидания (или использует современный режим ожидания), ключ дешифрования BitLocker по-прежнему сохраняется в оперативной памяти компьютера. Если это так, то можно провести атаку DMA через порт FireWire, чтобы прочитать содержимое физической памяти. Эта атака очень распространена, и Windows не обеспечивала защиту от нее во всех версиях Windows до Windows 10 November Update (сборка 1511).
Новое в Windows 10 Ноябрьское обновление : Microsoft наконец-то решила проблему безопасности, внедрив новую политику MDM, позволяющую блокировать доступ к порту DMA, когда компьютер находится в спящем режиме и до его разблокировки. Новая политика, если она включена, позволяет отключать неиспользуемые порты DMA (например, FireWire), когда устройство заблокировано или находится в спящем режиме. источник
Если на компьютере включена эта новая политика, атака FireWire больше невозможна.
Если защита устройства BitLocker активна, файл гибернации автоматически шифруется при переходе системы в режим глубокого сна (гибернации). Поэтому невозможно извлечь ключ дешифрования из файла гибернации, поскольку сам этот файл зашифрован с помощью BitLocker.
С другой стороны, если загрузочный том не зашифрован, но есть другие тома, ключ дешифрования, чтобы разблокировать эти другие тома, будет сохранен в файле гибернации и может быть извлечен и использован для подключения или дешифрования этих томов.
Самый простой способ расшифровки системного тома, зашифрованного с помощью BitLocker Device Protection, — использовать клавиши условного депонирования BitLocker или, как их называет Microsoft, «Ключи восстановления BitLocker».
Что вызывает защиту устройства BitLocker? Шифрование начинается на устройствах, отвечающих минимальным требованиям, как только пользователь с правами администратора входит в систему со своими учетными данными Microsoft вместо использования локальной учетной записи Windows. В это время Windows генерирует уникальную идентификационную запись BitLocker, а также соответствующий ключ условного депонирования (восстановления). Затем ключи восстановления BitLocker автоматически загружаются в учетную запись Microsoft пользователя (альтернативно, они загружаются в Active Directory или Azure Active Directory, если имеется соответствующая политика безопасности MDM).
После того, как вы узнаете пароль учетной записи, вы сможете получить доступ ко всем ключам восстановления BitLocker из этой учетной записи. Ключи доступны по следующей ссылке (для доступа необходимо использовать правильные учетные данные учетной записи Microsoft): https://onedrive.live.com/recoverykey
После входа в систему вы сможете получить доступ к ключам восстановления BitLocker на всех устройствах, зарегистрированных под этой учетной записью Microsoft:
Как только вы узнаете учетные данные пользователя Microsoft, вы сможете получить доступ к ключам условного депонирования BitLocker. Но что, если вы этого не сделаете? Поскольку учетная запись Microsoft является облачной, ее учетные данные для аутентификации хранятся на серверах Microsoft, а это означает, что вы не можете перебрать пароль традиционным способом.
Тем не менее, вы все равно сможете взломать этот пароль, если у вас есть доступ хотя бы к одному компьютеру, который использует те же учетные данные Microsoft Account без шифрования BitLocker. Этот сценарий весьма вероятно , если пользователь владеет планшетом Windows, бизнес — ноутбук или ультрабук , что DOES имеют защиту BitLocker и, в то же время, использует настольный компьютер , который НЕ иметь такую защиту.
Этот сценарий очень вероятен, поскольку настольные компьютеры редко, если вообще когда-либо, соответствуют требованиям для BitLocker Device Protection. Действительно, большинство настольных ПК имеют съемную оперативную память (что нарушает одно из требований) и не оснащены модулем TPM 2.0 (который абсолютно необходим для защиты устройств BitLocker).
Пароли учетной записи Microsoft обычно не хранятся где-либо на компьютере пользователя, а это означает, что просто извлечь пароль невозможно. Однако для облегчения входа в систему при отсутствии подключения к сети Microsoft пришлось кэшировать хэш пароля и сохранять его на компьютере. С одной стороны, это позволяет пользователям входить в свой компьютер, используя его в автономном режиме. С другой стороны, это также позволяет извлечь кэшированный хеш-файл и запустить автономную атаку для восстановления исходного пароля.
Как видите, восстановление паролей учетной записи Microsoft — это двухэтапный процесс. На первом этапе вы будете извлекать хэш пароля (и пытаться провести серию быстрых атак, чтобы попробовать некоторые из наиболее распространенных паролей). Если на первом этапе не раскрывается исходный пароль, вам потребуется атаковать пароль в автономном режиме, используя один или несколько компьютеров, оборудованных графическими процессорами. Эти атаки просты и очень хорошо оптимизированы, что позволяет очень быстро перечислять комбинации паролей.
Чтобы извлечь пароль учетной записи Microsoft для пользователя, вам понадобятся два инструмента: Elcomsoft System Recovery и Elcomsoft Distributed Password Recovery .
После того как Elcomsoft Distributed Password Recovery обнаружит правильный пароль, вы можете использовать его для входа в учетную запись Microsoft в сети пользователя, загрузки ключей восстановления BitLocker и их использования для расшифровки системного раздела, защищенного с помощью BitLocker. В качестве альтернативы, вы можете просто использовать восстановленные учетные данные Microsoft Account для входа в систему, которую вы исследуете. В этом случае зашифрованный том будет автоматически разблокирован без использования ключей восстановления BitLocker.
Обновление Windows 10 November представило несколько изменений в безопасности системы. Новый алгоритм шифрования XTS-AES лучше защищает тома BitLocker. Клавиши условного депонирования BitLocker теперь можно сохранять в Azure Active Directory в дополнение к учетной записи Microsoft. Наконец, Microsoft устранила давнюю уязвимость, позволяющую злоумышленникам захватывать содержимое оперативной памяти компьютера с помощью атаки FireWire, используя порты с доступом DMA. Эти изменения в области безопасности ставят новые задачи перед судебно-медицинскими экспертами. Тем не менее, новые методы приобретения активно разрабатываются для решения этой проблемы.
Поделиться:
