Почему твой VeraCrypt/TrueCrypt можно расшифровать?

Привет, мои маленькие киберпреступники. Сегодня поговорим про возможный визит дядек в форме во время вашего ворка, которого вы конечно же не боитесь, доверяя зашифрованности вашей системы. Как-бы не так.

VeraCrypt

VeraCrypt - это бесплатная программа для шифрования дисков и разделов, работающая под управлением Windows, Mac OS X и Linux.
Основные возможности VeraCrypt:

• Создание зашифрованных контейнеров-файлов или разделов на диске. В них можно хранить любые данные.
• Шифрование может происходить на уровне секторов (Whole Disk Encryption) или только выделенных разделов/контейнеров.
• Поддержка многоуровневого шифрования - данные шифруются несколькими алгоритмами одновременно.
• Возможность создавать скрытые контейнеры внутри других контейнеров.

Однако, при всей надежности VeraCrypt, существует способ обойти его защиту, известный как cold boot attack.

Cold Boot Attack

Cold Boot Attack - это метод, используемый для извлечения данных (в том числе ключей шифрования VeraCrypt, TrueCrypt, BitLocker), которые временно хранятся в оперативной памяти (RAM) . Это возможно из-за эффекта, известного как "data remanence" (сохранение данных), при котором данные остаются в памяти в течение некоторого времени после отключения питания.

Демонстрация того что остается в памяти через 30с, 60с, 5мин


​

Самоочищение памяти можно дополнительно замедлить, понизив температуру кости памяти (например, с помощью струи сжатого воздуха, или жидкого азота).
Пример - Демонстрация охлаждения ОЗУ для сохранения данных

​

Как работает Cold Boot Attack

Вариант #1:

• К вам залетают правоохранители в момент когда Ваш пк включен, (возможно Вы даже успеваете нажать кнопку выключения) .
• Ваш компьютер выключается (Вами либо Экспертом), эксперт сразу после выключения включает компьютер и загружается с загрузочной флешки с одной из программ таких как Passware Kit Forensic или Elcomsoft System Recovery, после чего производится дамп оперативной памяти, которая за такое короткое время еще жива.
• В последствии в лаборатории в дампе находится ключ который шифровальщик хранит в ОЗУ.
• Ваш диск расшифровывается ключём

Вариант #2:

• Та же ситуация, вы мордой в пол, ПК только выключился
• ПК заливают жидким азотом и варварски (так-же как раздолбали вашу дверь) вытаскивается оперативная память из устройства и пересаживается в уже подготовленного донора.
• Дальше дамп памяти и история повторяется.

​

Защита от Cold Boot Attack

• В обоих случаях важна физическая защита компьютера (хоть к полу его прикрутите и повесьте навесной замок). Главное в течении 5 минут доставить трудности правоохранителям.
• Loop-Amnesia - это метод шифрования диска, в котором для хранения криптографического ключа используются регистры процессора, а не оперативная память. Этот метод шифрования не подвержен атакам Cold Boot, а его производительность всего в 2 раза хуже, чем у стандартных методов шифрования жестких дисков. Описание здесь.

В случае описанном в первом варианте:

• Установить пароль на BIOS и изменить порядок загрузки, чтобы компьютер не мог загрузиться с других носителей.
• Записать контрольную сумму загрузчика и проверять ее перед каждой "холодной" загрузкой (инструмент типа disk hasher).

Интересное - Атака #2 или кейлоггер в бутлоадере

Атака Evil Maid заключается в перехвате пароля, используемого для расшифровки жесткого диска. Атака использует тот факт, что для расшифровки диска необходимо сначала запустить из памяти незашифрованный код функции дешифрования (bootloader), которая генерирует ключ на основе пароля, введенного пользователем. Эта функция, поскольку она не зашифрована, может быть свободно модифицирована злоумышленником, в частности, таким образом, чтобы сохранить пароль, введенный жертвой, и отправить его злоумышленнику.

Алекс Вебр реализовал атаку Evil Maid с помощью "фальшивого" инструмента CHKDSK (512 байт!), который запрашивает у пользователя пароль к диску во время загрузки под видом обнаружения неисправности в файловой системе. После перехвата пароль записывается на носитель, с которого был запущен CHKDSK, после чего компьютер перезагружается... Таким образом, все выглядит так, как будто действительно существует проблема с диском, с которой, к счастью, справился инструмент CHKDSK.
Пример можно увидеть на видео -
GitHub дистрибутив Evil Maid - https://github.com/AlexWebr/evilmaid_chkdsk