Por qué cifrar el disco duro de su PC en Windows 10 no es suficiente para proteger sus datos
El hecho de que haya decidido cifrar el disco duro de su PC con Windows 10 no significa que sus datos estén completamente seguros en caso de robo.
En las computadoras actuales, el cifrado se basa en un módulo de plataforma confiable (TPM). Es un chip de seguridad que almacenará la clave de cifrado principal del disco (clave de volumen principal) y la pasará al proceso de inicio UEFI para iniciar el sistema.
Este es el caso del cifrado BitLocker disponible en Windows Pro / Enterprise. Este también es el caso del cifrado de dispositivos en Windows Home, que en realidad es una versión simplificada de BitLocker con menos opciones de configuración.
También para descubrir en video:
El problema es que la mayoría de los ordenadores en circulación están basados en un TPM 1.2, donde la transmisión de la clave VMK se hace… claro. Con un TPM 2.0, esta transmisión se puede realizar encriptada, pero no en Windows 10.
En otras palabras, quien robe una PC con Windows 10 puede, con un poco de hardware y conocimientos, extraer esta famosa clave y descifrar el disco.
un defecto bien conocido
Este ataque fue mostrado hace varios años por el investigador Denis Andzokovic. Recientemente, los investigadores de seguridad de la información de SCRT lo reprodujeron en un ThinkPad L440.
La publicación del blog es un verdadero placer para los interesados en pirateo de hardware. Esta experiencia es tanto más interesante cuanto que los medios implementados son débiles. El truco requirió solo un módulo FPGA de $ 49, un soldador de precisión estándar y algunos días de trabajo.
De hecho, después de abrir la tapa del dispositivo e identificar el TPM en la placa base, los investigadores se alegraron de descubrir puntos de conexión destinados a la depuración donde los cables eléctricos podrían soldarse fácilmente.
De lo contrario, sería necesario colgar directamente de los conectores de chip. Esto requiere un equipo de soldadura más especializado, ya que el espacio entre cada pata es de solo 0,65 mm.
Una vez que los puntos de conexión estaban conectados al módulo FPGA, era posible “olfatear” las señales que pasaban a través de ellos. Las tramas intercambiadas están en formato LPC (Low Pin Count).
Por tanto, bastaba con instalar el software “LPC Sniffer”, desarrollado por Denis Andzakovic, y definir un filtro para recuperar solo los cambios que afectaban a la clave VKM.
Como los errores de lectura eran frecuentes en ciertos puntos de conexión, la computadora portátil tuvo que iniciarse varias veces seguidas para poder identificar los valores reales.
Luego inicié la computadora con Live Linux y ejecuté el software “dislocker” con la opción “–vmk”, y listo. Los investigadores tuvieron acceso completo al contenido del disco duro del dispositivo.
Para evitar este tipo de ataque en una computadora con Windows Pro / Enterprise, recomiendan establecer un factor de autenticación “prearranque”, que requerirá que el usuario ingrese una contraseña o conecte una clave de seguridad antes de que la fase de arranque se pueda realizar en el exterior.
Sin embargo, esta posibilidad no parece existir en Windows Home. La única solución en este caso: tener una máquina que ejecuta Windows 11 con un TPM 2.0.
Fuentes: SCRT, Anoopcnair.com
“Escritora típica. Practicante de comida malvada. Genio zombi. Introvertido. Lector. Erudito de Internet. Entusiasta del café incondicional”.
