Bitlocker è una funzionalità di protezione dei dati integrata nel sistema operativo Linux. TrueCrypt è un noto programma Open Source per cifrare interi dischi rigidi oppure una o più partizioni. PGP (Pretty Good Privacy) è il crittosistema più utilizzato al mondo per proteggere informazioni e/o messaggi. Questi software hanno condiviso una spiacevole esperienza, sono stati violati da Elcomsoft, società che opera nel settore ripristino dati e sicurezza. L’annuncio viene dato da Vladimir Katalov che esordisce dicendo : “La principale e sola debolezza dei contenitori crypto è il fattore umano. Volumi cifrati con password devono essere montati per l’utente on-the-fly per accedere a dati crittografati. A nessuno piace digitare le password lunghe e complesse ogni volta che ha bisogno di leggere o scrivere un file. Di conseguenza, le password utilizzate per crittografare e decrittografare vengono scritte o lette da volumi protetti rimanendo in memoria. Ovviamente, tali dati sono facilmente accessibili e possono essere recuperati velocemente da uno strumento di terze parti. Come Elcomsoft Forensic Disk Decryptor …”. (nota: 299€).
L’attacco
Per poter accedere al contenuto di contenitori criptati, è necessario recuperare le chiavi di decriptazione. Elcomsoft Forensic Disk Decryptor sembra essere in grado di ottenere queste informazioni da memory dump (ne avete sentito parlare sicuramente, vengono associati solitamente a crash di sistema). Se il computer è spento, Elcomsoft Forensic Disk Decryptor può recuperare chiavi di decriptazione da un file di ibernazione. È importante che i volumi cifrati siano montati al momento in cui viene analizzato il dump di memoria o il PC si trova in ibernazione altrimenti le chiavi di decriptazione vengono distrutte e il contenuto dei volumi crittografati non possono essere decifrati senza conoscere la password originale.
Soluzione
La soluzione per arginare il problema e impedire a chiunque di utilizzare questi strumenti per accedere ai nostri dati viene fornita dalla stessa Elcomsoft.
- Disabilitare il driver FireWire. La vulnerabilità utilizzata dalla società esiste per finché il sistema non avete disabilitato il driver Firewire.
- Disabilitare l’ibernazione di Windows. Proseguite la lettura leggendo : Come abilitare l’ibernazione in Windows 7. L’articolo è valido per gli utenti Windows 7 e Windows 8.
- Evitate di utilizzare la sospensione di Windows. (nota: solo e se avete contenuti cifrati)
- Disabilitate i “Memory Dump”
Come disabilitare i “Memory Dump” in Windows 7 e Windows 8
Il procedimento non è affatto difficile. Aprite il Pannello di Controllo, scegliete Visualizza per Icone Grandi dopodiché entrate nella sezione Sistema. Cliccate Impostazioni Avanzate, premete il pulsante Impostazioni della sezione Avanzate (sotto-scheda Avvio e Ripristino) e selezionate dal menu a discesa l’opzione Nessuna.
Ricordatevi di togliere anche il segno di spunta a “Scrivi l’evento nel registro eventi di sistema”
