Des chercheurs de l'Université de Princeton ont découvert un moyen de contourner le cryptage des disques durs, en utilisant la propriété des modules RAM pour stocker des informations pendant une courte période, même après une panne de courant.
Avant-propos
Étant donné que vous avez besoin d'une clé pour accéder à un disque dur crypté et qu'elle est, bien sûr, stockée dans la RAM, tout ce dont vous avez besoin est d'obtenir un accès physique à votre PC pendant quelques minutes. Après redémarrage à partir d'un disque dur externe ou d'une clé USB, un dump mémoire complet est effectué et une clé d'accès en est extraite en quelques minutes.
De cette façon, vous pouvez obtenir les clés de cryptage (et un accès complet au disque dur) utilisées par BitLocker, FileVault et dm-crypt sous Windows Vista, Mac OS X et Linux, ainsi que le célèbre système gratuit de cryptage de disque dur TrueCrypt.
L'importance de ce travail réside dans le fait qu'il n'existe pas une seule méthode simple de protection contre cette méthode de piratage, à part couper l'alimentation pendant un temps suffisant pour effacer complètement les données.
Une démonstration claire du processus est présentée dans vidéo.
annotation
Contrairement à la croyance populaire, la DRAM, qui est utilisée dans la plupart des ordinateurs modernes, conserve les données même après une panne de courant pendant quelques secondes ou minutes, et cela à température ambiante et même si le microcircuit est retiré de la carte mère. Ce temps est largement suffisant pour effectuer un dump complet de la mémoire principale. Nous montrerons que ce phénomène permet à un attaquant ayant un accès physique au système de contourner les fonctions du système d'exploitation pour protéger les données relatives aux clés cryptographiques. Nous montrerons comment un redémarrage peut être utilisé pour attaquer avec succès les systèmes de cryptage de disque dur connus sans utiliser de dispositifs ou de matériaux spécialisés. Nous déterminerons expérimentalement le degré et la probabilité de rétention de l'aimantation résiduelle et montrerons que le temps nécessaire pour prendre des données peut être considérablement augmenté en utilisant des techniques simples. Aussi, de nouvelles méthodes seront proposées pour rechercher des clés cryptographiques dans les vidages mémoire et corriger les erreurs liées à la perte de bits. Nous parlerons également de plusieurs manières de réduire ces risques, mais nous ne connaissons pas de solution simple.
introduction
La plupart des experts supposent que les données de la RAM de l'ordinateur sont effacées presque instantanément après une panne de courant, ou pensent que les données résiduelles sont extrêmement difficiles à extraire sans l'utilisation d'un équipement spécial. Nous allons montrer que ces hypothèses sont incorrectes. La mémoire DRAM conventionnelle perd des données progressivement en quelques secondes, même à des températures normales, et même si la puce mémoire est retirée de la carte mère, les données y resteront pendant des minutes voire des heures, à condition que cette puce soit stockée à basse température. Les données résiduelles peuvent être récupérées à l'aide de méthodes simples qui nécessitent un accès physique à court terme à l'ordinateur.
Nous montrerons un certain nombre d'attaques qui, en utilisant les effets de magnétisation résiduelle de la DRAM, nous permettront de récupérer les clés de chiffrement stockées en mémoire. Cela représente une menace réelle pour les utilisateurs d'ordinateurs portables qui s'appuient sur des systèmes de cryptage de disque dur. En effet, si un attaquant vole un ordinateur portable, au moment où le lecteur chiffré est connecté, il pourra effectuer une de nos attaques pour accéder au contenu, même si l'ordinateur portable lui-même est verrouillé ou est en mode veille. Nous allons le démontrer en attaquant avec succès plusieurs systèmes de cryptage populaires tels que BitLocker, TrueCrypt et FileVault. Ces attaques devraient également réussir contre d'autres systèmes de chiffrement.
Bien que nous ayons concentré nos efforts sur les systèmes de cryptage des disques durs, en cas d'accès physique à un ordinateur par un attaquant, toute information importante stockée dans la RAM peut devenir un objet d'attaque. De nombreux autres systèmes de sécurité sont susceptibles d'être vulnérables. Par exemple, nous avons découvert que Mac OS X laissait en mémoire les mots de passe des comptes d'où nous pouvions les extraire, et nous avons également mené des attaques pour obtenir les clés RSA privées du serveur Web Apache.
Certains membres des communautés de la sécurité de l'information et de la physique des semi-conducteurs étaient déjà conscients de l'effet de magnétisation rémanente de la DRAM, et il y avait très peu d'informations à ce sujet. En conséquence, beaucoup de ceux qui conçoivent, développent ou utilisent des systèmes de sécurité ne connaissent tout simplement pas ce phénomène et la facilité avec laquelle il peut être exploité par un attaquant. À notre connaissance, il s'agit du premier travail détaillé examinant les implications de ces phénomènes pour la sécurité de l'information.
Attaques sur des disques chiffrés
Le cryptage des disques durs est une protection bien connue contre le vol de données. De nombreuses personnes pensent que les systèmes de cryptage des disques durs aideront à protéger leurs données, même si un attaquant a obtenu un accès physique à un ordinateur (en fait, ils sont nécessaires pour cela, ndlr). La loi californienne, adoptée en 2002, vous oblige à signaler d'éventuelles divulgations d'informations personnelles uniquement si les données n'ont pas été cryptées. le cryptage des données est considéré comme une mesure de sécurité suffisante. Bien que la loi ne décrive pas de solutions techniques spécifiques, de nombreux experts recommandent d'utiliser des systèmes de cryptage des disques durs ou des partitions, qui seront considérés comme des mesures de protection suffisantes. Nos recherches ont montré que la croyance dans le chiffrement de disque est infondée. Un attaquant qui est loin d'être le plus compétent peut contourner de nombreux systèmes de cryptage largement utilisés si un ordinateur portable contenant des données est volé alors qu'il était allumé ou en mode veille. Et les données sur un ordinateur portable peuvent être lues même lorsqu'elles se trouvent sur un disque crypté, de sorte que l'utilisation de systèmes de cryptage de disque dur n'est pas une mesure suffisante.
Nous avons utilisé plusieurs types d'attaques contre des systèmes de cryptage de disque dur bien connus. L'installation la plus longue de disques cryptés et la vérification de l'exactitude des clés de cryptage détectées. La capture d'une image RAM et la recherche de clés n'ont pris que quelques minutes et étaient entièrement automatisées. Il y a des raisons de croire que la plupart des systèmes de chiffrement de disque dur sont sensibles à de telles attaques.
BitLocker
BitLocker est inclus avec certaines versions du système d'exploitation Windows Vista. Il fonctionne comme un pilote entre le système de fichiers et le pilote de disque dur, cryptant et décryptant les secteurs sélectionnés à la demande. Les clés utilisées pour le chiffrement restent dans la RAM tant que le disque chiffré est factice.
BitLocker utilise la même paire de clés générées par AES pour chiffrer chaque secteur d'un disque dur : une clé de chiffrement de secteur et une clé de chiffrement de chaînage de blocs chiffrés (CBC). Ces deux clés, à leur tour, sont chiffrées avec la clé principale. Pour crypter un secteur, une addition binaire en texte clair est effectuée avec une clé de session générée en cryptant l'octet de décalage de secteur avec la clé de cryptage de secteur. Ensuite, les données reçues sont traitées par deux fonctions de mixage qui utilisent l'algorithme Elephant développé par Microsoft. Ces fonctions sans clé sont utilisées pour augmenter le nombre de changements de tous les bits du chiffre et, par conséquent, augmenter l'incertitude des données de secteur chiffrées. Dans la dernière étape, les données sont cryptées avec l'algorithme AES en mode CBC, en utilisant la clé de cryptage appropriée. Le vecteur d'initialisation est déterminé en cryptant l'octet de décalage de secteur avec une clé de cryptage utilisée en mode CBC.
Nous avons mis en place une attaque de démonstration entièrement automatisée appelée BitUnlocker. Il utilise un disque USB externe avec le système d'exploitation Linux et un chargeur de démarrage basé sur SYSLINUX modifié et un pilote FUSE qui vous permet de connecter des disques cryptés BitLocker sous Linux. Sur un ordinateur de test exécutant Windows Vista, l'alimentation a été coupée, le disque dur USB a été branché et démarré à partir de celui-ci. Après cela, BitUnlocker a automatiquement vidé la RAM sur un lecteur externe, en utilisant le programme keyfind, il a recherché les clés possibles, testé toutes les options appropriées (paires de clé de chiffrement de secteur et clé de mode CBC) et, en cas de succès, a connecté le lecteur chiffré. Dès que le disque était connecté, il devenait possible de travailler avec lui comme avec n'importe quel autre disque. Sur un ordinateur portable moderne avec 2 gigaoctets de RAM, le processus a pris environ 25 minutes.
Il est à noter qu'il est devenu possible de mener cette attaque sans ingénierie inverse d'aucun logiciel. La documentation Microsoft décrit suffisamment BitLocker pour comprendre le rôle de la clé de chiffrement de secteur et de la clé de mode CBC, et pour créer un programme personnalisé qui implémente l'ensemble du processus.
La principale différence entre BitLocker et les autres programmes de cette classe est la manière de stocker les clés lorsque le lecteur crypté est déconnecté. Par défaut, en mode de base, BitLocker protège la clé principale uniquement avec le TPM, qui existe sur de nombreux PC modernes. Cette méthode, qui est apparemment très répandue, est particulièrement vulnérable à notre attaque, car elle nous permet d'obtenir des clés de chiffrement même si l'ordinateur a été éteint depuis longtemps, car au démarrage du PC, les clés sont automatiquement chargées dans RAM (avant les fenêtres de connexion) sans saisir d'informations d'identification.
Apparemment, les experts de Microsoft connaissent ce problème et vous recommandent donc de configurer BitLocker dans un mode amélioré, où les clés sont protégées, non seulement à l'aide du TPM, mais également avec un mot de passe ou une clé sur un lecteur USB externe. Mais, même dans ce mode, le système est vulnérable si un attaquant accède physiquement au PC au moment où il fonctionne (il peut même être verrouillé ou en mode hibernation, (les états - juste éteint ou hiberner dans ce cas sont considérés pas affecté par cette attaque).
Coffre fort
Le système FileVault d'Apple a fait l'objet de recherches partielles et d'une rétro-ingénierie. Sous Mac OS X 10.4, FileVault utilise une clé AES 128 bits en mode CBC. Lors de la saisie du mot de passe utilisateur, l'en-tête est déchiffré contenant la clé AES et la deuxième clé K2, qui permet de calculer les vecteurs d'initialisation. Le vecteur d'initialisation pour le I-ème bloc du disque est calculé comme HMAC-SHA1 K2 (I).
Nous avons utilisé notre programme EFI pour capturer des images RAM afin de récupérer des données à partir d'un ordinateur Mac (basé sur Intel) avec un lecteur crypté FileVault connecté. Le programme de recherche de clés a ensuite automatiquement trouvé les clés FileVault AES sans erreur.
Sans le vecteur d'initialisation, mais avec la clé AES obtenue, il devient possible de déchiffrer 4080 sur 4096 octets de chaque bloc disque (tout sauf le premier bloc AES). Nous nous sommes assurés que le vecteur d'initialisation est également dans le dump. En supposant que les données n'aient pas eu le temps d'être déformées, l'attaquant peut déterminer le vecteur en essayant alternativement toutes les chaînes de 160 bits dans le dump et en vérifiant si elles peuvent former un éventuel texte en clair lorsqu'elles sont ajoutées en binaire avec la première partie déchiffrée du bloquer. Ensemble, l'utilisation de programmes tels que vilefault, les clés AES et un vecteur d'initialisation vous permettent de décrypter complètement un disque crypté.
En enquêtant sur FileVault, nous avons découvert que Mac OS X 10.4 et 10.5 laissent plusieurs copies du mot de passe d'un utilisateur en mémoire, où ils sont vulnérables à cette attaque. Les mots de passe de compte sont souvent utilisés pour protéger les clés, qui à leur tour peuvent être utilisées pour protéger les phrases secrètes sur les lecteurs chiffrés FileVault.
TrueCrypt
TrueCrypt est un système de cryptage open source populaire qui fonctionne sous Windows, MacOS et Linux. Il prend en charge de nombreux algorithmes, notamment AES, Serpent et Twofish. Dans la 4e version, tous les algorithmes fonctionnaient en mode LRW ; dans la 5ème version actuelle, ils utilisent le mode XTS. TrueCrypt stocke la clé de cryptage et la clé de réglage dans l'en-tête de partition sur chaque disque, qui est crypté avec une clé différente dérivée du mot de passe entré par l'utilisateur.
Nous avons testé TrueCrypt 4.3a et 5.0a sous Linux. Nous avons branché un disque crypté avec une clé AES 256 bits, puis coupé l'alimentation et utilisé notre propre logiciel de vidage de mémoire pour le charger. Dans les deux cas, keyfind a trouvé une clé de cryptage intacte de 256 bits. De plus, dans le cas de TrueCrypt 5.0.a, keyfind a pu récupérer la clé de réglage du mode XTS.
Pour déchiffrer les disques créés par TrueCrypt 4, vous avez besoin d'une clé de réglage LRW. Nous avons constaté que le système le stocke en quatre mots avant le programme de clé de la clé AES. Dans notre dump, la clé LRW n'était pas corrompue. (En cas d'erreurs, nous pourrions encore récupérer la clé).
Dm-crypt
Le noyau Linux depuis la version 2.6 inclut une prise en charge intégrée de dm-crypt, un sous-système de chiffrement de disque. Dm-crypt utilise de nombreux algorithmes et modes, mais par défaut, il utilise un chiffrement AES 128 bits en mode CBC avec des vecteurs d'initialisation sans clé.
Nous avons testé la partition dm-crypt créée à l'aide de la branche LUKS (Linux Unified Key Setup) de l'utilitaire cryptsetup et du noyau 2.6.20. Le disque a été chiffré avec AES en mode CBC. Nous avons brièvement coupé l'alimentation et, à l'aide d'un chargeur de démarrage PXE modifié, avons effectué un vidage de la mémoire. Keyfind a trouvé une clé AES 128 bits valide, qui a été récupérée sans aucune erreur. Après l'avoir restaurée, un attaquant peut déchiffrer et monter la partition dm-crypt chiffrée en modifiant l'utilitaire cryptsetup afin qu'il accepte les clés au format requis.
Les méthodes de protection et leurs limites
La mise en place d'une protection contre les attaques sur la RAM n'est pas anodine, puisque les clés cryptographiques utilisées doivent être stockées quelque part. Nous suggérons de concentrer les efforts sur la destruction ou le masquage des clés avant qu'un attaquant ne puisse physiquement accéder au PC, empêchant le logiciel de vidage RAM de s'exécuter, protégeant physiquement les puces RAM et minimisant le temps de stockage des données dans la RAM si possible.
Écraser la mémoire
Tout d'abord, évitez autant que possible de stocker des clés dans la RAM. Il est nécessaire d'écraser les informations clés lorsqu'elles ne sont plus utilisées et d'empêcher la copie des données dans les fichiers d'échange. La mémoire doit être effacée au préalable à l'aide du système d'exploitation ou de bibliothèques supplémentaires. Naturellement, ces mesures ne protégeront pas les clés actuellement utilisées, car elles doivent être stockées en mémoire, par exemple des clés telles que celles utilisées pour les disques cryptés ou sur des serveurs Web sécurisés.
De plus, la RAM doit être effacée pendant le processus de démarrage. Certains PC peuvent être configurés pour vider la RAM au démarrage à l'aide d'une requête POST (Power-on Self-Test) avant de démarrer le système d'exploitation. Si l'attaquant ne peut pas empêcher l'exécution de cette requête, alors sur ce PC il ne pourra pas vider la mémoire avec des informations importantes. Mais, il a toujours la possibilité de retirer les puces de RAM et de les insérer dans un autre PC avec les paramètres BIOS nécessaires.
Limitation du démarrage depuis le réseau ou depuis un support amovible
Bon nombre de nos attaques ont été menées à l'aide d'un démarrage sur le réseau ou à partir d'un support amovible. Le PC doit être configuré pour exiger un mot de passe administrateur pour démarrer à partir de ces sources. Mais, il convient de noter que même si le système est configuré pour démarrer uniquement à partir du disque dur principal, un attaquant peut modifier le disque dur lui-même ou, dans de nombreux cas, réinitialiser la NVRAM de l'ordinateur pour revenir aux paramètres initiaux du BIOS.
Mode veille sécurisé
Les résultats de l'étude ont montré que le simple blocage du bureau du PC (c'est-à-dire que le système d'exploitation continue de fonctionner, mais pour commencer à interagir avec lui, vous devez entrer un mot de passe) ne protège pas le contenu de la RAM. L'hibernation est également inefficace si le PC se bloque lorsqu'il sort de l'hibernation, car un attaquant pourrait activer une hibernation, puis redémarrer l'ordinateur portable et effectuer un vidage de la mémoire. Le mode hibernation (le contenu de la RAM est copié sur le disque dur) n'aidera pas non plus, sauf dans les cas d'utilisation d'informations clés sur des supports aliénés pour restaurer un fonctionnement normal.
Dans la plupart des systèmes de cryptage de disque dur, les utilisateurs peuvent se protéger en éteignant leur PC. (Le système Bitlocker en mode de base du module TPM reste vulnérable, puisque le disque se connectera automatiquement à la mise sous tension du PC). Le contenu de la mémoire peut persister pendant une courte période après l'arrêt, il est donc recommandé d'observer votre poste de travail pendant quelques minutes de plus. Malgré son efficacité, cette mesure est extrêmement gênante en raison de la longue charge des postes de travail.
Le passage en mode hibernation peut être sécurisé des manières suivantes : exiger un mot de passe ou un autre secret pour "réveiller" le poste de travail et chiffrer le contenu de la mémoire avec une clé dérivée de ce mot de passe. Le mot de passe doit être fort, car un attaquant peut effectuer un dump mémoire puis tenter de forcer le mot de passe par brute force. Si le cryptage de l'intégralité de la mémoire n'est pas possible, seules les zones contenant des informations clés doivent être cryptées. Certains systèmes peuvent être configurés pour entrer dans ce type de veille protégée, bien que ce ne soit généralement pas le paramètre par défaut.
Éviter le pré-calcul
Nos recherches ont montré que l'utilisation du pré-calcul pour accélérer les opérations cryptographiques rend les informations clés plus vulnérables. Des calculs préliminaires conduisent au fait qu'il existe des informations redondantes sur les données clés en mémoire, ce qui permet à un attaquant de récupérer les clés même en cas d'erreurs. Par exemple, comme décrit dans la section 5, les informations sur les clés itératives des algorithmes AES et DES sont extrêmement redondantes et utiles pour un attaquant.
Éviter les précalculs réduira les performances car des calculs potentiellement complexes devront être répétés. Mais, par exemple, vous pouvez mettre en cache des valeurs pré-calculées pendant un certain temps et effacer les données reçues si elles ne sont pas utilisées pendant cet intervalle. Cette approche représente un compromis entre la sécurité et les performances du système.
Extension de clé
Un autre moyen d'empêcher la récupération des clés consiste à modifier les informations clés stockées en mémoire de manière à compliquer la récupération des clés en raison de diverses erreurs. Cette méthode a été considérée en théorie, où il a été montré une fonction résistante à la divulgation, dont l'entrée reste cachée même si la quasi-totalité de la sortie a été détectée, ce qui est très similaire au travail des fonctions à sens unique.
En pratique, imaginons que nous ayons une clé AES 256 bits K, qui n'est pas utilisée actuellement, mais qui sera nécessaire plus tard. Nous ne pouvons pas l'écraser, mais nous voulons le rendre résistant aux tentatives de récupération. L'un des moyens d'y parvenir est d'allouer une grande zone de données B bits, de la remplir de données aléatoires R, puis de stocker le résultat de la transformation suivante K + H (R) en mémoire (sommation binaire, ndlr), où H est une fonction de hachage comme SHA-256.
Imaginez maintenant que l'électricité a été coupée, cela entraînera une modification des bits d dans cette zone. Si la fonction de hachage est forte, lorsqu'il essaie de récupérer la clé K, l'attaquant ne peut compter que sur le fait qu'il pourra deviner quels bits de la zone B ont été modifiés sur la moitié environ de ceux qui auraient pu changer. Si d bits ont été modifiés, l'attaquant devra rechercher une zone de taille (B/2+d)/d pour trouver les valeurs correctes de R puis récupérer la clé K. Si la zone B est grand, une telle recherche peut être très longue, même si d est relativement petit.
En théorie, de cette façon, nous pouvons stocker toutes les clés, en calculant chaque clé uniquement lorsque nous en avons besoin et en la supprimant lorsque nous n'en avons pas besoin. Ainsi, en utilisant la méthode ci-dessus, nous pouvons stocker des clés en mémoire.
Protection physique
Certaines de nos attaques reposaient sur un accès physique à des puces mémoire. De telles attaques peuvent être évitées par une protection physique de la mémoire. Par exemple, les modules de mémoire sont logés dans un boîtier PC fermé ou scellés avec de la colle époxy pour empêcher les tentatives de les retirer ou d'y accéder. En outre, l'effacement de la mémoire peut être mis en œuvre en réponse aux basses températures ou aux tentatives d'ouverture du boîtier. Cette méthode nécessitera l'installation de capteurs avec un système d'alimentation indépendant. Beaucoup de ces méthodes impliquent du matériel inviolable (comme le coprocesseur IBM 4758) et peuvent augmenter considérablement le coût d'un poste de travail. En revanche, utiliser de la mémoire soudée à la carte mère est beaucoup moins cher.
Architecture changeante
L'architecture du PC peut être modifiée. Ce qui est impossible pour les PC déjà utilisés, mais cela vous permettra d'en sécuriser de nouveaux.
La première approche consiste à concevoir des modules DRAM de telle sorte qu'ils effacent toutes les données plus rapidement. Cela peut être délicat, car l'objectif d'effacer les données le plus rapidement possible contredit un autre objectif afin que les données ne disparaissent pas entre les périodes de rafraîchissement de la mémoire.
Une autre approche consiste à ajouter du matériel pour stocker les informations clés, ce qui garantirait d'effacer toutes les informations de ses stockages au démarrage, au redémarrage et à l'arrêt. Ainsi, nous obtiendrons un endroit fiable pour stocker plusieurs clés, même si la vulnérabilité associée à leur pré-calcul restera.
D'autres experts ont proposé une architecture dans laquelle le contenu de la mémoire sera crypté en permanence. Si, en plus de cela, nous mettons en œuvre l'effacement des clés lors du redémarrage et d'une panne de courant, cette méthode fournira une protection suffisante contre les attaques que nous avons décrites.
Informatique de confiance
Du matériel conforme au concept de « trusted computing », par exemple, sous la forme de modules TPM, est déjà utilisé dans certains PC. Bien qu'utile pour se défendre contre certaines attaques, dans sa forme actuelle, un tel matériel n'aide pas à empêcher les attaques que nous avons décrites.
Les TPM utilisés n'implémentent pas le cryptage complet. Au lieu de cela, ils surveillent le processus de démarrage pour décider s'il est sûr de démarrer la clé dans la RAM ou non. Si le logiciel a besoin d'utiliser une clé, la technologie suivante peut être mise en œuvre : la clé, sous une forme utilisable, ne sera pas stockée dans la RAM tant que le processus de démarrage ne suit pas le scénario attendu. Mais, dès que la clé est dans la RAM, elle devient immédiatement une cible pour nos attaques. Les TPM peuvent empêcher le chargement de la clé en mémoire, mais ils ne l'empêchent pas d'être lue à partir de la mémoire.
conclusions
Contrairement à la croyance populaire, les modules DRAM stockent les données pendant une période relativement longue lorsqu'ils sont désactivés. Nos expérimentations ont montré que ce phénomène nous permet de mettre en œuvre toute une classe d'attaques qui nous permettent d'obtenir des données importantes, telles que des clés de chiffrement de la RAM, malgré les tentatives de l'OS pour protéger son contenu. Les attaques que nous avons décrites sont réalisables dans la pratique, et nos exemples d'attaques contre des systèmes de cryptage populaires le prouvent.
Mais d'autres types de logiciels sont également vulnérables. Les systèmes de gestion des droits numériques (DRM) utilisent souvent des clés symétriques stockées en mémoire et peuvent également être obtenues en utilisant les méthodes décrites. Comme nous l'avons montré, les serveurs Web compatibles SSL sont également vulnérables car ils stockent les clés privées en mémoire requises pour créer des sessions SSL. Nos méthodes de recherche d'informations clés sont susceptibles d'être efficaces pour trouver des mots de passe, des numéros de compte et toute autre information sensible stockée dans la RAM.
Il semble qu'il n'y ait pas de moyen facile de corriger les vulnérabilités trouvées. Changer le logiciel ne sera probablement pas efficace ; les changements de matériel seront utiles, mais les coûts en temps et en ressources seront élevés ; la technologie du "trusted computing" dans sa forme actuelle est tout aussi inefficace car elle ne peut pas protéger les clés en mémoire.
À notre avis, les ordinateurs portables, qui sont souvent situés dans des lieux publics et fonctionnent dans des modes vulnérables à ces attaques, sont les plus exposés à ce risque. La présence de tels risques montre que le chiffrement du disque protège les données importantes dans une moindre mesure qu'on ne le croit généralement.
Par conséquent, vous devrez peut-être considérer la mémoire DRAM comme un composant non fiable d'un PC moderne et éviter d'y traiter des informations confidentielles importantes. Mais ce n'est pas pratique pour le moment, jusqu'à ce que l'architecture des PC modernes change pour permettre aux logiciels de stocker les clés dans un endroit sûr.
De nombreuses personnes utilisent la fonction de cryptage Windows, mais tout le monde ne pense pas à la sécurité de cette méthode de protection des données. Aujourd'hui, nous allons parler du cryptage Bitlocker et essayer de déterminer dans quelle mesure la protection des disques Windows est implémentée.
Au fait, vous pouvez lire comment configurer Bitlocker dans l'article « ».
- Avant-propos
- Comment fonctionne Bitlocker
- Vulnérabilités
- Clés de récupération
- Ouverture de BitLocker
- BitLocker à emporter
- Conclusion
Cet article a été écrit à des fins de recherche. Toutes les informations qu'il contient sont à titre informatif seulement. Il s'adresse aux professionnels de la sécurité et à ceux qui souhaitent le devenir.
Comment fonctionne Bitlocker
Qu'est-ce que Bitlocker ?
BitLocker est une fonctionnalité de cryptage de disque native dans Windows 7, 8, 8.1, 10. Cette fonctionnalité vous permet de crypter en toute sécurité des données sensibles sur votre ordinateur, à la fois sur le disque dur et SSD, et sur des supports amovibles.
Comment fonctionne BitLocker ?
La fiabilité de BitLocker ne doit pas être jugée sur la réputation d'AES. Une norme de cryptage populaire peut ne pas avoir de faiblesses évidentes, mais ses implémentations dans des produits cryptographiques spécifiques en regorgent souvent. Microsoft ne divulgue pas le code complet de la technologie BitLocker. On sait seulement que dans différentes versions de Windows, il était basé sur des schémas différents et que les modifications n'étaient en aucun cas commentées. De plus, dans la build 10586 de Windows 10, il a tout simplement disparu, et après deux builds, il est réapparu. Cependant, tout d'abord.
La première version de BitLocker utilisait le mode Ciphertext Block Chaining (CBC). Même alors, ses défauts étaient évidents : facilité d'attaque à l'aide d'un texte connu, faible résistance aux attaques telles que l'usurpation d'identité, etc. Par conséquent, Microsoft a immédiatement décidé de renforcer la protection. Déjà dans Vista, l'algorithme Elephant Diffuser a été ajouté au schéma AES-CBC, ce qui rend difficile la comparaison directe des blocs de texte chiffré. Avec lui, le même contenu de deux secteurs donnait des résultats complètement différents après cryptage avec une seule clé, ce qui compliquait le calcul du schéma général. Cependant, la clé elle-même était par défaut courte - 128 bits. Il peut être allongé à 256 bits via des politiques administratives, mais cela en vaut-il la peine ?
Pour les utilisateurs, après avoir changé la clé, rien ne changera extérieurement - ni la longueur des mots de passe saisis, ni la vitesse subjective des opérations. Comme la plupart des systèmes de chiffrement de disque complet, BitLocker utilise plusieurs clés... et aucune d'entre elles n'est visible pour les utilisateurs. Voici un diagramme schématique de BitLocker.
- Lorsque BitLocker est activé à l'aide d'un générateur de nombres pseudo-aléatoires, une séquence de bits maître est générée. Cette clé de chiffrement de volume est FVEK (clé de chiffrement de volume complet). C'est avec eux que le contenu de chaque secteur est désormais crypté.
- À son tour, FVEK est crypté à l'aide d'une autre clé - VMK (clé principale de volume) - et stocké crypté parmi les métadonnées de volume.
- Le VMK lui-même est également crypté, mais de différentes manières au choix de l'utilisateur.
- Sur les cartes mères plus récentes, le VMK est chiffré par défaut à l'aide de la clé de stockage racine (SRK), qui est stockée dans un cryptoprocesseur séparé - un module de plate-forme de confiance (TPM). L'utilisateur n'a pas accès au contenu du TPM et est propre à chaque ordinateur.
- S'il n'y a pas de puce TPM séparée sur la carte, alors au lieu de SRK pour crypter la clé VMK, le code PIN saisi par l'utilisateur ou une clé USB-Flash connectée sur demande avec des informations de clé préenregistrées dessus est utilisé.
- En plus du TPM ou de la clé USB, vous pouvez protéger le VMK avec un mot de passe.
Ce modèle général de BitLocker s'est poursuivi dans les versions ultérieures de Windows jusqu'à aujourd'hui. Cependant, les modes de génération de clé et de chiffrement BitLocker ont changé. Ainsi, en octobre 2014, Microsoft a discrètement supprimé l'algorithme supplémentaire Elephant Diffuser, ne laissant que le schéma AES-CBC avec ses lacunes connues. Au début, aucune déclaration officielle n'a été faite à ce sujet. Les gens ont simplement reçu une technologie de cryptage affaiblie du même nom sous le couvert d'une mise à jour. De vagues explications de cette décision sont venues après que des chercheurs indépendants aient remarqué des simplifications de BitLocker.
Formellement, l'abandon d'Elephant Diffuser était nécessaire pour assurer la conformité de Windows avec les normes fédérales américaines de traitement de l'information (FIPS), mais un argument réfute cette version : Vista et Windows 7, qui utilisaient l'Elephant Diffuser, ont été vendus en Amérique sans problème.
Une autre raison apparente de l'abandon de l'algorithme supplémentaire est le manque d'accélération matérielle pour le diffuseur Elephant et la perte de vitesse lors de son utilisation. Cependant, au cours des années précédentes, lorsque les processeurs étaient plus lents, la vitesse de cryptage était correcte pour une raison quelconque. Et le même AES était largement utilisé avant même qu'il n'y ait des jeux d'instructions séparés et des puces spécialisées pour l'accélérer. Au fil du temps, il a été possible de faire de l'accélération matérielle pour l'Elephant Diffuser, ou au moins de donner aux clients le choix entre vitesse et sécurité.
Une autre version non officielle semble plus réaliste. "Elephant" a interféré avec les employés qui voulaient consacrer moins d'efforts à déchiffrer le prochain disque, et Microsoft interagit volontiers avec les autorités même dans les cas où leurs demandes ne sont pas tout à fait légales. Confirme indirectement la théorie du complot et le fait qu'avant Windows 8, BitLocker utilisait le générateur de nombres pseudo-aléatoires intégré à Windows pour générer des clés de chiffrement. Dans de nombreuses (sinon toutes) éditions de Windows, il s'agissait de Dual_EC_DRBG, un "PRNG cryptographiquement fort" développé par la National Security Agency des États-Unis et contenant un certain nombre de vulnérabilités inhérentes.
Bien sûr, l'affaiblissement secret du cryptage intégré a suscité une forte vague de critiques. Sous sa pression, Microsoft a à nouveau réécrit BitLocker, remplaçant le PRNG dans les nouvelles versions de Windows par CTR_DRBG. De plus, dans Windows 10 (à partir de la build 1511), le schéma de cryptage par défaut est AES-XTS, qui est immunisé contre la manipulation des blocs de texte chiffré. Les dernières versions du Top 10 ont corrigé d'autres bogues BitLocker connus, mais le problème principal demeure. C'est tellement absurde que cela rend les autres innovations dénuées de sens. Il s'agit des principes de gestion des clés.
La tâche de décryptage des lecteurs BitLocker est également simplifiée par le fait que Microsoft promeut activement une méthode alternative de restauration de l'accès aux données via l'agent de récupération de données. La signification de « Agent » est qu'il crypte les clés de cryptage de tous les lecteurs du réseau d'entreprise avec une seule clé d'accès. Après l'avoir obtenu, vous pouvez déchiffrer n'importe quelle clé, et donc n'importe quel disque utilisé par la même entreprise. Idéalement ? Oui, surtout pour le piratage.
L'idée d'utiliser une clé pour toutes les serrures s'est déjà compromise à plusieurs reprises, mais ils continuent d'y revenir sous une forme ou une autre pour des raisons de commodité. Voici comment Ralph Leighton a écrit les mémoires de Richard Feynman à propos d'un épisode caractéristique de son travail sur le projet Manhattan au laboratoire de Los Alamos : « … J'ai ouvert trois coffres-forts - et les trois en une seule combinaison. Je les ai tous terminés: j'ai ouvert les coffres-forts avec tous les secrets de la bombe atomique - la technologie d'obtention du plutonium, une description du processus de purification, des informations sur la quantité de matériau nécessaire, le fonctionnement de la bombe, l'obtention des neutrons, comment fonctionne la bombe, quelles sont ses dimensions, en un mot, tout. ce qu'ils savaient à Los Alamos, toute la cuisine ! "
BitLocker est quelque peu similaire au dispositif sécurisé décrit dans un autre extrait du livre "Vous plaisantez, bien sûr, M. Feynman!" Le coffre-fort le plus impressionnant du laboratoire top secret avait la même vulnérabilité qu'un simple classeur. « … C'était le colonel, et il avait un coffre-fort à deux portes beaucoup plus astucieux avec de grandes poignées qui tiraient quatre tiges d'acier de trois quarts de pouce d'épaisseur hors du cadre. J'ai examiné l'arrière de l'une des imposantes portes en bronze et j'ai découvert que le cadran numérique était connecté à un petit cadenas qui ressemblait exactement à la serrure de mon placard de Los Alamos. Il était évident que le système de levier dépendait de la même petite tige qui verrouillait les classeurs.En décrivant une certaine activité, j'ai commencé à tourner le cadran au hasard. Deux minutes plus tard - cliquez ! - le coffre-fort s'est ouvert. Lorsque la porte du coffre-fort ou le tiroir supérieur du classeur est ouvert, il est très facile de trouver la combinaison. C'est ce que j'ai fait quand vous avez lu mon rapport, juste pour vous montrer le danger. »
Les conteneurs de chiffrement BitLocker sont assez fiables en eux-mêmes. S'ils vous apportent un lecteur flash crypté BitLocker To Go qui vient de nulle part, il est peu probable que vous le décryptiez dans un délai raisonnable. Cependant, dans un scénario réel utilisant des lecteurs chiffrés et des supports amovibles, il existe de nombreuses vulnérabilités qui peuvent être facilement exploitées pour contourner BitLocker.
Vulnérabilités BitLocker
Vous avez probablement remarqué que lorsque vous activez Bitlocker pour la première fois, vous devez attendre longtemps. Ce n'est pas surprenant - le processus de cryptage secteur par secteur peut prendre plusieurs heures, car même tous les blocs de disques durs de téraoctets ne peuvent pas être lus plus rapidement. Cependant, la désactivation de BitLocker est presque instantanée - comment se fait-il ?
Le fait est que lorsqu'il est désactivé, Bitlocker ne déchiffre pas les données. Tous les secteurs resteront cryptés avec la clé FVEK. C'est juste que l'accès à cette clé ne sera plus restreint en aucune façon. Toutes les vérifications seront désactivées et le VMK restera enregistré parmi les métadonnées en clair. Chaque fois que l'ordinateur est allumé, le chargeur du système d'exploitation lira le VMK (déjà sans vérification TPM, demandant une clé sur une clé USB ou un mot de passe), déchiffrant automatiquement FVEK par celui-ci, puis tous les fichiers au fur et à mesure qu'ils y accèdent. Pour l'utilisateur, tout ressemblera à une absence totale de cryptage, mais les plus attentifs pourront remarquer une légère diminution des performances du sous-système de disque. Plus précisément - pas d'augmentation de la vitesse après la désactivation du cryptage.
Intéressant dans ce schéma et plus encore. Malgré le nom (technologie de cryptage complet du disque), certaines données ne sont toujours pas cryptées lors de l'utilisation de BitLocker. MBR et BS (sauf si le disque a été initialisé en GPT), les secteurs défectueux et les métadonnées restent en clair. Le bootloader ouvert vous donne beaucoup d'imagination. Il est pratique de cacher d'autres logiciels malveillants dans des secteurs pseudo-mauvais, et les métadonnées contiennent beaucoup de choses intéressantes, y compris des copies de clés. Si Bitlocker est actif, alors ils seront cryptés (mais plus faiblement que FVEK crypte le contenu des secteurs), et s'il est désactivé, alors ils seront simplement en clair. Ce sont tous des vecteurs d'attaque potentiels. Ils sont potentiels car, à côté d'eux, il en existe des beaucoup plus simples et plus universels.
Clé de récupération Bitlocker
En plus des FVEK, VMK et SRK, BitLocker utilise un autre type de clé qui est généré « juste au cas où ». Ce sont des clés de récupération associées à un autre vecteur d'attaque populaire. Les utilisateurs ont peur d'oublier leur mot de passe et de perdre l'accès au système, et Windows lui-même leur recommande de se connecter d'urgence. Pour ce faire, l'assistant de chiffrement BitLocker à la dernière étape suggère de créer une clé de récupération. Aucun refus de le créer n'est prévu. Vous ne pouvez choisir que l'une des principales options d'exportation, chacune étant très vulnérable.
Dans les paramètres par défaut, la clé est exportée sous la forme d'un simple fichier texte avec un nom reconnaissable : "BitLocker recovery key #", où l'identifiant de l'ordinateur est écrit à la place de # (oui, juste dans le nom du fichier !). La clé elle-même ressemble à ceci.
Si vous avez oublié (ou n'avez jamais connu) votre mot de passe BitLocker, recherchez simplement le fichier de clé de récupération. Il sera sûrement enregistré parmi les documents de l'utilisateur actuel ou sur sa clé USB. Peut-être est-il même imprimé sur un morceau de papier, comme le recommande Microsoft.
Pour retrouver rapidement la clé de récupération, il est pratique de limiter la recherche par extension (txt), date de création (si vous savez quand vous auriez pu activer BitLocker environ) et taille de fichier (1388 octets si le fichier n'a pas été édité). Une fois que vous avez trouvé votre clé de récupération, copiez-la. Avec lui, vous pouvez contourner l'autorisation standard dans BitLocker à tout moment. Pour ce faire, appuyez simplement sur Echap et entrez la clé de récupération. Vous vous connecterez sans problème et pourrez même changer le mot de passe dans BitLocker en un mot arbitraire sans spécifier l'ancien !
Ouverture de BitLocker
Réel cryptographique le système est un compromis entre commodité, rapidité et fiabilité. Il devrait fournir des procédures de cryptage transparent avec décryptage à la volée, des méthodes de récupération des mots de passe oubliés et un travail pratique avec les clés. Tout cela affaiblit tout système, peu importe la robustesse des algorithmes sur lesquels il repose. Par conséquent, il n'est pas nécessaire de rechercher des vulnérabilités directement dans l'algorithme de Rijndael ou dans différents schémas de la norme AES. Il est beaucoup plus facile de les trouver précisément dans les spécificités d'une implémentation particulière.
Dans le cas de Microsoft, de telles "spécificités" suffisent. Par exemple, les copies des clés BitLocker sont par défaut envoyées à SkyDrive et déposées dans Active Directory.
Eh bien, et si vous les perdez... ou l'agent Smith demande. Il n'est pas pratique de faire attendre le client, sans parler de l'agent. Pour cette raison, la comparaison force cryptographique AES-XTS et AES-CBC avec Elephant Diffuser s'estompent en arrière-plan, ainsi que des recommandations pour augmenter la longueur de la clé. Peu importe combien de temps c'est, l'attaquant le fera facilement entrer non crypté former.
L'obtention de clés séquestrées à partir d'un compte Microsoft ou AD est le principal moyen d'attaquer BitLocker. Si l'utilisateur n'a pas enregistré de compte dans le cloud Microsoft et que son ordinateur ne fait pas partie du domaine, il existe toujours des moyens d'extraire les clés de cryptage. En fonctionnement normal, leurs copies ouvertes sont toujours stockées dans la RAM (sinon il n'y aurait pas de "cryptage transparent"). Cela signifie qu'ils sont disponibles dans son fichier de vidage et d'hibernation.
Pourquoi y sont-ils même stockés ?
Aussi drôle que cela puisse paraître - pour plus de commodité. BitLocker a été conçu pour protéger contre les attaques hors ligne uniquement. Ils s'accompagnent toujours d'un redémarrage et d'une connexion du disque dans un autre OS, ce qui entraîne le nettoyage de la RAM. Cependant, dans les paramètres par défaut, le système d'exploitation effectue un vidage de la RAM lorsqu'une panne se produit (qui peut être provoquée) et écrit tout son contenu dans le fichier d'hibernation à chaque fois que l'ordinateur passe en veille profonde. Par conséquent, si vous vous êtes récemment connecté à Windows avec BitLocker activé, il y a de bonnes chances d'obtenir une copie déchiffrée du VMK et, avec son aide, déchiffrer le FVEK, puis les données elles-mêmes le long de la chaîne.
Vérifiez-le? Toutes les méthodes ci-dessus de piratage de BitLocker sont rassemblées dans un seul programme - Forensic Disk Decryptor, développé par la société nationale Elcomsoft. Il peut extraire automatiquement les clés de chiffrement et monter les volumes chiffrés en tant que disques virtuels, les déchiffrant à la volée.
De plus, EFDD implémente un autre moyen non trivial d'obtenir des clés - une attaque via le port FireWire, qu'il est conseillé d'utiliser lorsqu'il n'y a aucun moyen d'exécuter votre logiciel sur l'ordinateur attaqué. Nous installons toujours le programme EFDD lui-même sur notre ordinateur, et sur celui piraté, nous essayons de le faire avec le minimum d'actions nécessaires.
À titre d'exemple, nous allons simplement exécuter un système de test avec BitLocker actif et vider la mémoire en silence. Nous allons donc simuler une situation dans laquelle un collègue est sorti déjeuner et n'a pas verrouillé son ordinateur. On lance RAM Capture et en moins d'une minute on obtient un dump complet dans un fichier avec l'extension .mem et une taille correspondant à la quantité de RAM installée sur l'ordinateur de la victime.
Comment faire une décharge - dans l'ensemble, cela ne fait aucune différence. Quelle que soit l'extension, cela se traduira par un fichier binaire, qui sera ensuite analysé automatiquement par EFDD à la recherche de clés.
Nous écrivons un dump sur une clé USB ou le transférons sur le réseau, après quoi nous nous asseyons devant notre ordinateur et lançons EFDD.
Sélectionnez l'option "Extraire les clés" et entrez le chemin d'accès au fichier avec le vidage mémoire comme source de clé.
BitLocker est un conteneur crypto typique comme PGP Disk ou TrueCrypt. Ces conteneurs se sont avérés assez fiables par eux-mêmes, mais les applications clientes pour travailler avec eux sous Windows sont jonchées de clés de chiffrement en RAM. Par conséquent, EFDD met en œuvre un scénario d'attaque générique. Le programme trouve instantanément les clés de cryptage des trois types de conteneurs cryptographiques populaires. Par conséquent, vous pouvez laisser toutes les cases cochées - et si la victime utilise secrètement PGP !
Après quelques secondes, Elcomsoft Forensic Disk Decryptor affiche toutes les clés trouvées dans sa fenêtre. Pour plus de commodité, ils peuvent être enregistrés dans un fichier - cela sera utile à l'avenir.
BitLocker n'est plus un obstacle ! Vous pouvez effectuer une attaque hors ligne classique - par exemple, retirer un disque dur et copier son contenu. Pour ce faire, connectez-le simplement à votre ordinateur et exécutez EFDD en mode "déchiffrer ou monter le disque".
Après avoir spécifié le chemin d'accès aux fichiers avec les clés enregistrées, EFDD de votre choix effectuera un décryptage complet du volume ou l'ouvrira immédiatement en tant que disque virtuel. Dans ce dernier cas, les fichiers sont déchiffrés au fur et à mesure de leur accès. Dans tous les cas, aucune modification n'est apportée au volume d'origine, vous pouvez donc le rendre le lendemain comme si de rien n'était. Travailler avec EFDD se fait sans laisser de trace et uniquement avec des copies de données, et reste donc invisible.
BitLocker à emporter
En commençant par le « sept » dans Windows, il est devenu possible de crypter les clés USB, les disques durs USB et autres supports externes. Une technologie appelée BitLocker To Go crypte les lecteurs amovibles tout comme les lecteurs locaux. Le chiffrement est activé par l'élément correspondant dans le menu contextuel de l'explorateur.
Pour les nouveaux lecteurs, vous pouvez utiliser le cryptage de la zone occupée uniquement - tout de même, l'espace libre de la partition est rempli de zéros et il n'y a rien à cacher là-bas. Si le lecteur a déjà été utilisé, il est recommandé d'activer le cryptage complet sur celui-ci. Sinon, l'espace marqué comme libre restera non crypté. Il peut contenir des fichiers récemment supprimés en texte clair qui n'ont pas encore été écrasés.
Même le cryptage rapide d'une zone très fréquentée prend de quelques minutes à plusieurs heures. Ce temps dépend de la quantité de données, de la bande passante de l'interface, des caractéristiques du lecteur et de la vitesse des calculs cryptographiques du processeur. Étant donné que le cryptage s'accompagne d'une compression, l'espace libre sur le disque crypté augmente généralement légèrement.
La prochaine fois que vous connecterez le lecteur flash crypté à n'importe quel ordinateur Windows 7 ou supérieur, l'assistant BitLocker appellera automatiquement pour déverrouiller le lecteur. Dans l'"Explorateur", avant le déverrouillage, il sera affiché comme un disque verrouillé.
Ici, vous pouvez utiliser à la fois les options de contournement BitLocker décrites précédemment (par exemple, la recherche d'un VMK dans un fichier de vidage de mémoire ou d'hibernation), ainsi que de nouvelles options liées aux clés de récupération.
Si vous ne connaissez pas le mot de passe, mais que vous avez réussi à trouver l'une des clés (manuellement ou à l'aide d'EFDD), il existe deux options principales pour accéder au lecteur flash crypté :
- utilisez l'assistant BitLocker intégré pour travailler directement avec le lecteur flash ;
- utilisez EFDD pour décrypter complètement un lecteur flash et en créer une image secteur par secteur.
La première option vous permet d'accéder immédiatement aux fichiers enregistrés sur la clé USB, de les copier ou de les modifier, ainsi que d'écrire les vôtres. La deuxième option prend beaucoup plus de temps (à partir d'une demi-heure), mais elle a ses propres avantages. L'image décryptée secteur par secteur permet une analyse plus sophistiquée du système de fichiers au niveau du laboratoire médico-légal. Dans ce cas, le lecteur flash lui-même n'est plus nécessaire et peut être retourné tel quel.
L'image résultante peut être ouverte immédiatement dans n'importe quel programme prenant en charge le format IMA, ou d'abord convertie dans un autre format (par exemple, à l'aide d'UltraISO).
Bien sûr, en plus de localiser la clé de récupération pour BitLocker2Go, toutes les autres méthodes de contournement BitLocker sont prises en charge dans EFDD. Parcourez simplement toutes les options disponibles d'affilée jusqu'à ce que vous trouviez une clé de n'importe quel type. Le reste (jusqu'à FVEK) sera lui-même déchiffré le long de la chaîne et vous aurez un accès complet au disque.
Conclusion
La technologie de chiffrement intégral du disque BitLocker diffère d'une version à l'autre de Windows. Après une configuration adéquate, il vous permet de créer des conteneurs chiffrés dont la force est théoriquement comparable à TrueCrypt ou PGP. Cependant, le mécanisme de clé intégré dans Windows annule toutes les astuces algorithmiques. Plus précisément, le VMK utilisé pour déchiffrer la clé principale dans BitLocker est récupéré à l'aide d'EFDD en quelques secondes à partir d'un doublon déposé, d'un vidage de mémoire, d'un fichier d'hibernation ou d'une attaque de port FireWire.
Après avoir reçu la clé, vous pouvez effectuer une attaque hors ligne classique, copier discrètement et décrypter automatiquement toutes les données sur le disque "sécurisé". Par conséquent, BitLocker ne doit être utilisé qu'avec d'autres protections : système de fichiers de chiffrement (EFS), service de gestion des droits (RMS), contrôle de lancement de programme, contrôle d'installation et de connexion de l'appareil, ainsi que des politiques locales et des mesures de sécurité générales plus strictes.
L'article utilise des éléments du site :
Le logiciel Advanced EFS Data Recovery d'Elcomsoft peut être utilisé pour cracker le système de fichiers crypté (EFS). Une version de démonstration de ce logiciel peut être obtenue sur http://www.elcomsoft.com/aefsdr.html
Fenêtre de démarrage du programme
Fig 3. La fenêtre du programme Advanced EFS Data Recovery
Le programme ne peut déchiffrer les fichiers protégés que si les clés de chiffrement (pas toutes, mais au moins certaines d'entre elles) existent toujours dans le système et n'ont pas été modifiées.
Pour les fichiers cryptés dans le système d'exploitation Windows 2000, si la clé de base de données du compte (SYSKEY) est stockée sur une disquette, ou si l'option "Mot de passe de démarrage" a été définie, vous devez connaître l'un des mots de passe suivants pour pouvoir décrypter les fichiers:
mot de passe de démarrage ou disquette de démarrage
le mot de passe de l'utilisateur qui a crypté les fichiers
Mot de passe de l'agent de récupération (si possible)
Si l'ordinateur faisait partie d'un domaine lorsque les fichiers ont été cryptés, vous ne pourrez peut-être pas décrypter les fichiers dans certains cas. Si le mot de passe de l'utilisateur (qui a crypté les fichiers) a été modifié après le cryptage, vous devrez peut-être saisir l'ancien mot de passe dans le programme.
Craquage des mots de passe Windows 9x
Cependant, gardez à l'esprit qu'il existe un moyen beaucoup plus simple de déchiffrer les mots de passe du réseau. Étant donné que dans la plupart des organisations aujourd'hui, le système d'exploitation de la machine cliente est Windows 95/98, il est donc beaucoup plus facile d'organiser le piratage de la protection par mot de passe de ce système d'exploitation, car le mot de passe dans un tel fichier n'est stocké qu'en majuscules (en gros lettres), sachant que c'est beaucoup plus pratique et plus facile à trouver que le mot de passe réseau requis.
Il existe un grand nombre de programmes pour déchiffrer les mots de passe Windows 95/98, mais attardons-nous sur le plus populaire d'entre eux PwlTool 6.0, qui a servi d'exemple pour la recherche.
La figure 3 montre la fenêtre de travail principale de ce programme conçu pour fonctionner sur des ordinateurs avec OS Windows 95/98, Windows NT / 2000.
PwlTool est un ensemble d'outils de récupération de mot de passe. Le programme principal est RePwl. Ce programme vous permet de récupérer votre mot de passe de connexion parfois oublié ou perdu pour Windows 95 (version originale et OSR2) et Windows 98. Il vous permet également de visualiser les mots de passe stockés dans le fichier PWL.
Qu'est-ce qu'un fichier pwl ?
Windows 95/98 stocke le mot de passe dans un fichier PWL. Les fichiers PWL se trouvent dans le répertoire Windows. Leurs noms sont généralement enregistrés sous le nom USERNAME.PWL. Le fichier PWL est crypté et il n'est pas facile d'en extraire les mots de passe. Le premier algorithme de cryptage de Windows 95 a été créé de telle sorte qu'il était possible de créer des programmes pour décrypter les fichiers PWL. Cependant, dans OSR2, cette faille a été éliminée.
Évaluation de la fiabilité des fichiers pwl.
Le système de protection par mot de passe dans OSR2 est professionnel et fiable en termes de cryptographie. Cependant, malgré cela, il contient plusieurs inconvénients sérieux, à savoir :
tous les mots de passe sont convertis en majuscules, cela réduit considérablement le nombre de mots de passe possibles ;
Les algorithmes MD5 et RC4 utilisés pour le chiffrement permettent un chiffrement plus rapide des mots de passe, mais un mot de passe Windows valide doit comporter au moins neuf caractères.
Le système de mise en cache des mots de passe est intrinsèquement non sécurisé. Le mot de passe ne peut être enregistré que si aucune personne non autorisée ne peut accéder à votre ordinateur.
Comment pirater le wifi ? Beaucoup d'entre nous ont entendu dire que le cryptage WEP ne devrait jamais être sélectionné lors de l'installation d'un point d'accès Wi-Fi, car il est très facile à casser. Probablement, seuls quelques-uns ont essayé de le faire par eux-mêmes, et à peu près le même nombre savent à quoi cela ressemble vraiment. Ci-dessous est décrite une variante du piratage d'un point avec un tel protocole de cryptage, afin que vous puissiez mieux comprendre à quel point la situation est réelle lorsque quelqu'un se connecte à votre point super secret, et ce qu'est un tel piratage. Naturellement, il ne doit en aucun cas être utilisé sur le routeur de quelqu'un d'autre. Ce matériel est uniquement à des fins d'information et appelle à l'abandon des protocoles de cryptage facilement piratés.
Pour pirater, un attaquant aura besoin de :
- adaptateur Wi-Fi approprié avec capacité d'injection de paquets (par exemple, Alfa AWUS036H)
- CD Live BackTrack
- en fait, votre point d'accès Wi-Fi avec cryptage WEP, sur lequel l'expérience sera effectuée
- patience
Après avoir lancé la ligne de commande BackTrack appelée Konsole, entrez la commande suivante :
Vous verrez votre interface réseau nommée "ra0" ou quelque chose comme ça. Souvenez-vous de ce nom. À l'avenir, il sera appelé (interface) et vous le remplacerez par votre nom. Ensuite, nous entrons successivement dans 4 lignes :
arrêt airmon-ng (interface)
ifconfig (interface) vers le bas
macchanger --mac 00: 11: 22: 33: 44: 55 (interface)
démarrage airmon-ng (interface)
Nous avons maintenant une fausse adresse MAC. Présenter:
airodump-ng (interface)
Une liste des réseaux sans fil disponibles apparaîtra. Dès que le réseau souhaité apparaît dans la liste, vous pouvez appuyer sur Ctrl + C pour arrêter la recherche. Vous devez copier le BSSID du réseau et mémoriser le canal (colonne CH). Assurez-vous également que WEP est répertorié dans la colonne ENC.
Nous commençons maintenant à collecter des informations à partir de cette grille :
airodump-ng -c (canal) -w (nom de fichier) --bssid (bssid) (interface)
channel est le canal de la colonne CH, file name est le nom du fichier dans lequel tout sera écrit et bssid est l'identifiant du réseau.
Vous verrez quelque chose de similaire à ce qui est montré dans la capture d'écran. Laissez cette fenêtre telle quelle. Ouvrez une nouvelle fenêtre Konsole et tapez :
aireplay-ng -1 0 -a (bssid) -h 00: 11: 22: 33: 44: 55 -e (essid) (interface)
essid - Nom SSID du réseau victime.
Nous attendons que le message "Association réussie" apparaisse.
aireplay-ng -3 -b (bssid) -h 00 : 11 : 22 : 33 : 44 : 55 (interface)
Maintenant, vous devez être patient et attendre que le nombre dans la colonne #Data franchisse la barre des 10 000.
Lorsque la quantité requise de données collectées est atteinte, ouvrez la troisième fenêtre Konsole et saisissez :
aircrack-ng -b (bssid) (nom de fichier-01.cap)
Le nom est entré comme le nom que vous avez précédemment sélectionné pour le fichier.
En cas de succès, vous verrez la ligne "KEY FOUND", qui contient la clé du réseau.
