Introdução ao BitLocker

protegendo o disco do sistema

 

 

Autor: Oleg Afonin (Elcomsoft)

Se você é um usuário do Windows e já pensou em proteger seus dados com criptografia de disco completo, provavelmente já ouviu falar do BitLocker. O BitLocker é a implementação da Microsoft de criptografia de disco completo que é integrada a muitas versões do Windows. Você pode até usar o BitLocker sem perceber que o faz – por exemplo, se você tiver um Surface ou um dispositivo Windows fino e leve semelhante. Ao mesmo tempo, a criptografia do BitLocker não está disponível por padrão em desktops se você estiver usando a edição Home do Windows 10. Ativar o BitLocker no disco do sistema pode ser complicado e pode não funcionar imediatamente, mesmo se sua edição do Windows oferecer suporte. Neste artigo, oferecemos uma introdução à criptografia BitLocker. Detalharemos os tipos de ameaças contra as quais o BitLocker pode proteger seus dados com eficácia e o tipo de ameaças contra as quais o BitLocker é inútil.

Ameaças cobertas pela criptografia BitLocker

A criptografia BitLocker não é o tipo de proteção total e final. Embora o BitLocker criptografe seus dados com segurança com criptografia AES padrão do setor, ele só pode proteger seus dados contra um conjunto de ameaças muito específicas.

O BitLocker pode proteger seus dados com eficácia nas seguintes circunstâncias.

Seu (s) disco (s) rígido (s) são removidos do computador

Se, por qualquer motivo, seus discos rígidos (ou unidades SSD) forem removidos de seu computador, seus dados serão protegidos com segurança com uma chave de criptografia de 128 bits (os usuários que exigem segurança de nível superior podem especificar criptografia de 256 bits ao configurar o BitLocker) .

Quão seguro é esse tipo de proteção? Se você estiver usando proteção TPM (mais sobre isso mais tarde), é muito seguro; tão seguro quanto o próprio algoritmo AES (na visão leiga, a criptografia de 128 ou 256 bits é igualmente forte).

Se, no entanto, você habilitou o BitLocker em um computador sem TPM , a criptografia do BitLocker será tão segura quanto a senha que você definiu. Por esse motivo, certifique-se de especificar uma senha razoavelmente forte, razoavelmente longa e absolutamente exclusiva.

Todo o computador é roubado

Se todo o seu computador for roubado, a segurança dos seus dados dependerá do tipo de proteção do BitLocker que você está usando, bem como da força da sua senha do Windows. O método mais conveniente é “somente TPM” (mais sobre isso mais tarde); este também é o método menos seguro, porque seu computador irá descriptografar o (s) disco (s) rígido (s) antes de você entrar no Windows.

Se você estiver usando a política de proteção “somente TPM”, qualquer pessoa que conheça a senha da sua conta do Windows (ou a senha da sua conta da Microsoft, se você estiver usando uma conta da Microsoft como seu login do Windows 10) poderá desbloquear seus dados.

TPM + PIN é significativamente mais seguro; de certa forma, é praticamente tão seguro quanto um disco rígido vazio.

Se você configurar a proteção do BitLocker sem um TPM ou Intel PTT instalado, será forçado a usar a senha. Nesse caso, os dados estarão tão seguros quanto sua senha. O BitLocker foi projetado para desacelerar ataques de força bruta, portanto, até mesmo uma senha de 8 caracteres pode fornecer proteção segura aos seus dados.

Outros usuários no mesmo computador

 Se alguém puder fazer login no seu computador e acessar sua conta, o volume do disco já foi descriptografado. O BitLocker não protege contra usuários de computador pares.

Malware / ransomware e ameaças online

 O BitLocker não faz nada para proteger seus dados contra malware, ransomware ou ameaças online.

Em outras palavras, o BitLocker é excelente para proteger seus dados contra a remoção do (s) disco (s) rígido (s); é perfeito se você deseja proteger seus dados ao vender ou RMA seus discos rígidos. É um pouco menos eficaz (dependendo de suas políticas) ao proteger seus dados se todo o computador for roubado. É isso; outros casos de uso não são cobertos.

Requisitos de sistema

A maioria de nós está acostumada com os “Requisitos do Sistema” como uma mera formalidade. Este não é o caso do BitLocker. Para proteger seu dispositivo de inicialização com BitLocker, você deve executar o Windows 10 Professional ou superior. O Windows 10 Home não oferece suporte à criptografia do sistema BitLocker .

Para tornar as coisas mais confusas, a Microsoft oferece suporte à proteção de dispositivo BitLocker, mesmo em dispositivos com Windows 10 Home. Efetivamente, esta é a mesma criptografia, apenas com algumas limitações. A proteção de dispositivo BitLocker está disponível em dispositivos finos e leves (por exemplo, Microsoft Surface) com suporte para Standby conectado e equipados com armazenamento de estado sólido. Esses dispositivos devem estar equipados com um módulo TPM2.0 ou tecnologia Intel PTT.

Se você estiver usando o Windows 10 Professional ou superior com TPM2.0 ou Intel PTT, poderá habilitar o BitLocker imediatamente. No entanto, a maioria dos computadores não estão equipados com módulos TPM, e apenas os computadores mais recente geração (acho Intel 8 ª e 9 ª motherboards Gen; algumas placas-mãe high-end pode suportar Intel PTT com processadores mais antigos) suporte Intel Platform Confiança Tecnologia. Intel PTT nem mesmo é habilitado no BIOS por padrão; você deve habilitar manualmente a coisa para usá-lo para proteção do BitLocker.

Veja como você ativa o Intel PTT em placas Gigabyte Z390 (BIOS mais recente):

 

Como alternativa, você pode realizar uma edição de Política de Grupo para habilitar o BitLocker sem módulos de proteção de hardware.

Se o seu computador atender aos requisitos (ou seja, a presença de um módulo de hardware TPM2.0 ou tecnologia Intel Platform Trust baseada em software), habilitar o BitLocker em seu computador pode ser tão fácil quanto abrir o Painel de Controle e iniciar o miniaplicativo BitLocker Drive Encryption. Observe que nem todas as edições do Windows 10 podem usar a proteção do BitLocker.

Depois de clicar em “Ativar BitLocker”, o Windows solicitará que você crie uma chave de garantia (chave de recuperação do BitLocker). É altamente recomendável fazer isso. Em suma, armazenar a chave de recuperação em sua conta da Microsoft pode ser uma opção boa o suficiente para a maioria dos usuários domésticos, enquanto os funcionários armazenam suas chaves de recuperação no Active Directory da empresa. Salvar a chave em um arquivo ou imprimi-la também são opções válidas que fornecerão tanta segurança quanto seu cofre pessoal.

Dispositivos finos e leves (como tablets e ultrabooks do Windows) podem ser protegidos com criptografia de dispositivo, em oposição à criptografia de unidade BitLocker. O algoritmo é essencialmente o mesmo; entretanto, os requisitos de compatibilidade são diferentes. A criptografia de dispositivo está disponível para dispositivos finos e leves executando qualquer edição do Windows 10, enquanto o BitLocker Drive Encryption não está disponível para usuários do Windows 10 Home. Se você tiver dados para proteger, precisará pagar uma taxa por uma atualização local para o Windows 10 Professional.

E se você já tiver o Windows 10 Professional, mas não tiver um módulo de hardware TPM2.0? Se você estiver usando uma das placas mais recentes com base em chipsets Intel, poderá ativar a tecnologia Intel Platform Trust ( Como habilitar o BitLocker com Intel PTT e sem TPM para melhor segurança ) ou realizar a seguinte edição da Política de Grupo para habilitar o BitLocker :

  1. Abra o Editor de Política de Grupo (digite gpedit.msc na caixa de Pesquisa do Windows)
  2. Abra Política do computador local> Configuração do computador> Modelos administrativos> Componentes do Windows> Criptografia de unidade de disco BitLocker> Unidades do sistema operacional
  3. Edite a política de Exigir autenticação adicional na inicialização
  4. Defina a política como Habilitada e marque Permitir BitLocker sem um TPM compatível, conforme mostrado na captura de tela

Por falar nas políticas, o BitLocker oferece suporte a vários métodos de autenticação, cada um oferecendo uma compensação exclusiva entre segurança e conveniência.

  • Apenas TPM . Seu sistema inicializará no prompt de login; os dados serão descriptografados com uma chave armazenada no módulo TPM (ou Intel PTT). Esta é a opção mais conveniente que protege efetivamente os discos rígidos, mas oferece proteção mais fraca se o invasor tiver acesso a todo o sistema (computador com TPM e disco rígido).
  • TPM + PIN . Neste modo, o módulo TPM só liberará a chave de criptografia se você digitar corretamente o código PIN durante a fase de pré-inicialização. Mesmo que o código PIN seja curto, inserir o PIN errado várias vezes faz o TPM entrar em pânico e bloquear o acesso à chave de criptografia. Esta opção oferece sem dúvida o melhor equilíbrio entre segurança e conveniência, combinando “algo que você tem” (o módulo TPM) com “algo que você conhece” (o código PIN). Ao mesmo tempo, esta opção pode não ser conveniente em ambientes multiusuário.
  • TPM + chave USB . Esta opção requer que o TPM e uma unidade flash USB (ou smartcard CCID) estejam presentes para que o sistema seja inicializado.
  • TPM + PIN + Chave USB . Tal como o nome sugere, esta opção requer todos os três TPM, código PIN e chave USB / smartcard para inicializar o seu computador. Embora esta seja provavelmente a opção mais segura, os benefícios adicionais de segurança dificilmente valem a pena em comparação com a opção TPM + PIN se você considerar a conveniência e confiabilidade reduzidas (você terá que usar a chave de recuperação se uma chave USB ou cartão inteligente for perdido ou corrompido).
  • Chave USB . Esta opção só é recomendada se o seu computador não estiver equipado com um módulo TPM e não for compatível com o Intel PTT.
  • Somente senha . Assim como a opção anterior, a autenticação “somente senha” deve ser usada apenas se nenhum TPM ou Intel PTT estiver disponível. Observe que a opção “senha” é diferente do “PIN”, pois não há limite obrigatório no número de tentativas de senha sem um TPM, o que permite um ataque de força bruta à senha.

Usuários avançados e administradores de sistema podem consultar as configurações de Política de Grupo do BitLocker na Base de Dados de Conhecimento da Microsoft.

Quais são as advertências quando se trata de proteger os dados contra extração física? O fato é que, embora o BitLocker seja uma solução quase 100% eficaz para proteger a unidade vazia, pode não ser tão seguro se o invasor tiver acesso a todo o computador com o disco rígido instalado. Mesmo se o seu computador estiver equipado com um módulo TPM2.0 / Intel PTT, o Windows ainda desbloqueará o disco rígido criptografado se as condições de inicialização segura forem atendidas. Isso, por sua vez, abre vários vetores de ataque que podem permitir ao invasor interceptar a chave de criptografia do BitLocker em tempo real e descriptografar o disco rígido. Esses vetores de ataque incluem:

  1. Criar uma imagem de RAM de um computador em execução com volume (s) BitLocker montados. Isso pode ser feito por meio de um ataque Thunderbolt (o Windows, por padrão, não desativa o acesso Thunderbolt DMA quando bloqueado) ou um ataque de inicialização a frio .
  2. Quebrar ou extrair sua senha de logon do Windows (por exemplo, extrair de sua conta do Google, seu smartphone ou de outro computador no qual você efetuou login e sincronizou seus dados).
  3. Obtendo sua chave de recuperação do BitLocker de sua conta da Microsoft ou Active Directory.

Usuários avançados e administradores de sistema podem ler o seguinte guia para proteger seus volumes do BitLocker : Guia de recuperação do BitLocker

Conclusão

A proteção de dados confiável é impossível sem proteger seu dispositivo de inicialização. O BitLocker é a escolha perfeita. É seguro, conveniente e altamente configurável, permitindo que você equilibre segurança e conveniência com seus requisitos precisos. Se você está preocupado com a segurança de seus dados, proteger seu dispositivo de inicialização com o BitLocker é uma etapa absolutamente obrigatória e a camada de segurança mais importante.

Referências

Este artigo é uma tradução de: https://blog.elcomsoft.com/2020/01/introduction-to-bitlocker-protecting-your-system-disk/

Petter Anderson Lopes

Petter Anderson Lopes

Perito Judicial em Forense Digital, Criminal Profiling & Behavioral Analysis

Especialista em Criminal Profiling, Geographic Profiling, Investigative Analysis, Indirect Personality Profiling

CEO da PERITUM – Consultoria e Treinamento LTDA.

Perito em Forense Digital, Investigação de Fraudes | Perfilação Criminal e Análise Comportamental | OSINT, HUMINT | Autor e Professor | SI, Arquitetura Segura e Software Developer

Certified Criminal Profiling pela Heritage University(EUA) e Behavior & Law(Espanha), coordenado por Mark Safarik ex diretor da Unidade de Análise Comportamental do FBI, endossado pela CPBA (Criminal Profiling & Behavioral Analysis International Group).

Certificado em Forensic Psychology (Psicologia Forense, Entrevista Cognitiva) pela The Open University.

Certificado pela ACE AccessData Certified Examiner e Rochester Institute of Technology em Computer Forensics.

CBO 2041-10  "Elaboram laudo pericial, organizando provas e determinando as causas dos fatos. Realizam diligências, examinando locais, buscando evidências, selecionando e coletando indícios materiais e encaminhando peças para exames com ou sem quesitos. Analisam provas, peças, materiais, documentos e outros vestígios relacionados aos fatos. Efetuam cálculos, medições, assim como, solicitam e/ou realizam ensaios laboratoriais, utilizando e desenvolvendo técnicas e métodos científicos"

FEATURED

Cursos populares

Curso Perito Forense Digital

Atualizações constantes

Seja um Perito Forense Digital

 A estrutura essencial para você poder entrar no mercado da perícia digital.

Neste curso de 20h, você encontrará aulas de conhecimento obrigatório para quem deseja se aventurar na Forense Digital. Compreendendo OSINT, Forense em Memória, Forense em e-mails, introdução à Investigação, Inteligência Cibernética e muito mais.

Operadores da lei que desejam entender os procedimentos iniciais de uma atuação na perícia digital e alguns exemplos de análise/exame de material digital coletado. Compreender os princípios básicos da Forense Digital. Os conceitos irão fazer a diferença na sua carreira profissional.

OSINT - Investigação Cibernética em Fontes Abertas

Certificado em Investigação Cibernética em Fontes Abertas

(OSINT, HUMINT, SIGINT)

Este curso irá te apresentar conceitos, técnicas e ferramentas para conduzir uma Investigação Cibernética em Fontes Abertas. Aqui será possível entender como fazer a investigação e manter-se no anonimato, investigar incidentes cibernéticos para apoio a equipes de resposta a incidentes. São abordados também assuntos como Criminal Profiling e o Ciclo de Inteligência do FBI, ampliando a visão no processo de investigação.

.

Curso Perfilação Indireta da Personalidade

Certificado

Curso - Introdução à Perfilação Indireta da Personalidade

A aplicação da Perfilação Indireta da Personalidade permite uma avaliação da personalidade do sujeito sem que ele saiba que está sendo avaliado, por meio de seus comportamentos e relações interpessoais. É uma técnica para coletar informações sobre a personalidade tanto da vítima quanto do agressor e a relevância da personalidade cruzada entre ambos.
Qual a contribuição para Análise de Credibilidade e Investigação de Fraudes? Qual a sua importância para  a Entrevista (forense, recrutamento e seleção, em casos de negociação com reféns, negociação empresarial, interrogatório, etc...)? É útil conhecer a personalidade de alguém para planejar uma intervenção policial com ele? A personalidade pode nos ajudar a entender por que um determinado crime ocorreu? É útil com um entrincheirado? com uma testemunha? com fonte humana? Para preparar um disfarce para um agente disfarçado? Para esclarecer um crime simulado?
Importante também no procedimento de autópsia psicológica.
Conteúdo:
1.Criminal Profiling;
2.Perfil Criminal;
3.Negociação (Com reféns, comercial, etc…);
4.Persuasão;
5.Entrevista (vítimas, suspeitos, testemunhas, …);
6.Levantamento de informações de fontes humanas (HUMINT);
7.Atendimento ao público (clínicas, hospitais, etc…)

.

Engenharia Reversa na Forense Digital - Udemy

Em nova plataforma

Atualizações constantes

Certificado em Engenharia Reversa e Análise de Malwares na Forense Digital

Aqui você compreenderá a utilização da Engenharia Reversa aplicada em Forense Digital, bem como a Análise de Malware.

O curso aborda diversos conceitos de forma prática. O estudo é baseado, em sua maioria, no .NET e .NET Core, pois é uma tecnologia que está sempre em evolução, sendo adicionada inclusive em Linux e MAC, ou seja, com o .NET Core, agora é multiplataforma.

Introdução ao Criminal Profiling

Análise de casos reais

Curso - Introdução ao Criminal Profiling

O Criminal Profiling é o processo de observação e reflexão com base na análise das evidências coletadas na cena do crime . A técnica de criação de perfil visa identificar e interpretar o comportamento ou as ações do crime com o objetivo de prever a personalidade do infrator, seu modus operandi e, possivelmente, as motivações para o crime. O objetivo da definição de perfil é, no entanto, não apenas obter uma possível identificação de características importantes do ofensor, mas também evitar a repetição de crimes semelhantes no futuro.

Aqui você conhecerá:

O que é Criminal Profiling?
A História do Criminal Profiling
A Psicologia Investigativa
Método BEA
Vitimologia
Transtornos de personalidade
Mass Murder, Spree Killer, Serial Killer
Predador Sexual em Série, Mitos
Abordagem Geográfica, Clínica, Top Down, Bottom Up
Modus Operandi e Assinatura
Coleta e Processamento de informações
Avaliação do crime
Hipóteses de perfil
Uso investigativo