Исследователь нашел способ обойти встроенную в Windows 10 защиту от шифровальщиков
Функция “Контролируемый доступ к папкам” была впервые представлена в Windows 10 Fall Creators Update. Она является частью Защитника Windows и позволяет блокировать несанкционированные изменения файлов в настроенных пользователем директориях.
Пользователь должен вручную настроить, какие приложения могут получать доступ к защищенным папкам с помощью белого списка, доступного по ссылке “Разрешить работу приложения через контролируемый доступ к папкам”.
Однако, исследователь из компании SecurityByDefault обнаружил, что Microsoft автоматически добавила в белые списки все приложения Microsoft Office. Это означает, что приложения Office могут изменять файлы в контролируемых папках независимо от того, желает этого пользователь или нет.
Шифровальщики могут обойти защиту с помощью OLE-объектов Office
Эксперт утверждает, что разработчики вредоносного ПО смогут легко обойти защиту Microsoft, добавив в документы с помощью OLE-объектов простой скрипт. В своем отчете исследователь приводит три примера использования документов Office (полученных через электронную почту) для перезаписывания содержимого других файлов, хранящихся в защищенных папках, установки пароля на файлы или копирования и вставки содержимого файлов, шифрования и удаления оригиналов.
Если первый пример приводит к потере информации, то второй и третий фактически имитируют работу шифровальщиков. Жертвам нужно заплатить преступнику, чтобы получить пароль от файла или расшифровать его содержимое.
Исследователь проинформировал Microsoft об обнаруженной проблеме. Компания не стала классифицировать проблему как уязвимость безопасности, но заверила, что в будущих выпусках данный метод обхода защиты будет заблокирован.
Почему Windows 10 блокирует запуск программ и как это исправить?
С каждым последующим обновлением операционной системы Windows 10, пользователи замечают, что количество легальных и безопасных программ, которые система блокирует, увеличивается. При этом приложения ни то, что не запускаются, но и не устанавливаются, а выполнить любую манипуляцию невозможно даже с правами Администратора. Софт не запускается, а на экране монитора появляется сообщение о том, что «Это приложение было заблокировано в целях защиты». Причина такого поведения системы кроется в механизмах Контроля учетных записей (UAC), которые блокируют сторонние приложения с просроченной или отозванной цифровой подписью. Поэтому, рассмотрим способы, как разблокировать приложение в ОС Windows 10.
Отключение UAC с целью разблокирования приложения
Если на Windows 10 у вас не получается выполнить установку программ, первое что нужно сделать, это отключить Контроль учетных записей. Для этого стоит выполнить следующее:
- Жмём «Пуск» и в строку поиска вводим следующий запрос: «Изменение параметров контроля учетных записей» или просто вводим «UAC».
- Откроется новое окно. Перетаскиваем ползунок в положение «Никогда не уведомлять».
Важно отметить, что UAC можно отключить с помощью редактора реестра. Для этого необходимо проделать следующие действия:
- Жмём «Win+R» и вводим «regedit».
- Появится окно редактора реестра. Переходим по ветке «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System». В окне справа находим параметр «EnableLUA» и выставляем ему значение «0».
- После отключения Контроля учетных записей вы сможете устанавливать множество приложений без каких-либо блокировок.
Удаление цифровой подписи как метод разблокирования приложения
Во многих случаях блокировка приложений появляется тогда, когда система сталкивается с софтом, имеющим просроченную цифровую подпись. Если вы уверены в том, что ваша программа полностью безопасна, цифровую подпись можно удалить. Однако перед удалением стоит проверить её наличие. Для этого необходимо выполнить следующее:
- Открываем файл, который нужно проверить. Далее выбираем «Файл», «Сведения», «Сведения о цифровой подписи».
- Убедившись в том, что подпись имеется, стоит её удалить. Для этого открываем программу FileUnsigner и читаем инструкцию о том, как удалить цифровую подпись с помощью данного софта.
После удаления данного элемента можно произвести установку программ на компьютер с Windows 10. Система не будет блокировать запуск приложений и установочный файл софта.
Использование Локальной политики безопасности для блокировки и разблокировки софта
Еще один способ, как заблокировать и разблокировать приложение – это использовать инструмент «Локальные политики безопасности». Для того, чтобы создать исключения для программы, стоит выполнить следующее:
- Жмём «Win+R» и вводим «secpol.msc».
- Откроется новое окно. Выбираем «Параметры безопасности», «Политики управления приложениями», «AppLocker» и выбираем «Исполняемые правила».
- Справа на пустом месте нажимаем правой кнопкой мыши и выбираем «Создать правило…».
- Откроется окно Мастера создания новых правил. Жмём «Далее».
- Появится еще одно окно. Здесь нам нужно поставить отметку «Разрешить» или «Запретить» запуск программы. Оставляем раздел «Все» пользователи и жмем «Далее».
- В следующем окне мы выбираем «Издателя», так как хотим заблокировать или разблокировать программу.
- В новом окне нажимаем на кнопку «Обзор» и указываем путь к файлу приложения.
- Добавив файл, ползунком указываем уровень доверия к файлу. Либо разрешаем его запуск, либо блокируем.
- Нажимаем на кнопку «Создать». Правило готово. Теперь, чтобы система его приняла, стоит запустить командную строку с правами Администратора и ввести следующее: gpupdate /force. Локальные политики будут обновлены. Софт будет разблокированный или заблокированный (в зависимости от того, что вы указали).
Таким образом, любая настройка правил для той или иной программы позволяет её запускать или блокировать на компьютере с Windows 10, чего, в принципе, мы и добивались.
Что делать, если защитник WINDOWS 10 не дает включить активатор
— В свободной форме комментировать и обсуждать посты и другие комментарии.
— Оскорблять кого-либо из пользователей пикабу.
— Размещать контент не по теме сообщества (последнее решение за модератором).
— Размещать рекламу (контент и/или ссылки на платные программы).
Бан можно получить:
— За регулярное нарушение правил
Будьте культурными няшами и все будет хорошо 🙂
спасибище тебе огромное! только твоя подсказка помогла, добрый человек!
О, спасибо. Не показывал екзешный файл кряка. Нашел и восстановил его благодаря этому посту.
Спасибо большое. Только что возникла такая проблема и ваш пост очень помог. Сохраню-ка я его на будущее.
Вариант «Восстановить» не появляется больше сразу. Варианты только поместить в карантин и удалить. Можно поместить в карантин и только потом восстановить.
Ответ на пост «Очередной обновление Windows 10 убивает подключение к сети»
Пишу, потому что годный пост адски заминусили на ровном месте.
Позавчера обновился и сеть отвалилась. Сначала искал проблему в роутере, провайдере, проводе и тд. Перезагружался 10раз, переставлял драйвера сетевой, проводил сброс сети, ничего не помогло. Решил откатом системы до последнего обновления. А только что снова винда обновилась, и снова отвалилась сеть. Вот полез посмотреть номер обновления, забил в гугол и вот выпал этот заминусованнный пост.
Возможно проблема происходит только на определённом железе, но она есть. Вылечилось всё удалением галочки Network LightWeight Filter. Даже без перезагрузки. Надеюсь рецидивов не будет. Всём добра.
Ответ на пост «Очередной обновление Windows 10 убивает подключение к сети»
Для тех у кого с обновой вывалилось сетевое подключение, решение проблемы:
В свойствах подключения найти Network LightWeight Filter и снять с него галочку. Без рейтинга, просто чтобы сэкономить людям немного времени.
Обход блокировок раздачи интернета
С возросшим количеством жалоб на МТС пришло время повторить мой пост с обходом блокировок раздачи интернета с телефона (планшета). Касаться будем только смартфонов или планшетов на базе Android, владельцы iPhone/iPad , у вас халява только через обязательный джейлбрейк и установку твика PDANet из репозитория Cydia. Твик работает далеко не на всех устройствах, не на всех iOS/iPadOS и не на всех джейлбрейках. Через Тролльстор без джейлбрейка, тоже не поставить так как это именно твик, для его работы необходим джейл.
Инструкция актуальна для владельцев смартфонов на базе Android 7.0 и новее ( с более ранними версиями Android могут быть проблемы из-за устаревания корневых протоколов, само приложение работает), и Windows 7 и новее, не требует специфических знаний и установки рут-прав на устройство. Главное внимательно выполнять инструкцию. Инструкция работает на операционных системах x86 и x64. Актуальна для всех операторов мобильной связи.
Первым делом необходимо сделать обход по TTL на нашем компьютере.
(Да, в некоторых инструкциях сказано только про два места внесения изменений, но практика с различными устройствами показала что такой способ даёт меньше сбоев).
Вызываем окно «Выполнить» комбинацией «Win» + «R», в появившемся окне пишем regedit, нажимаем Enter.
Клавиша «Win», это та, которой вы вызываете меню «Пуск»
Открывается окно редактора реестра.
В редакторе реестра идём по пути
Щёлкаем по правому окну правой кнопкой мыши, создать — Параметр DWORD 32 бита (для 64 разрядных операционных систем НЕ НАДО создавать параметр QWORD. )
Кликаем левой кнопкой мыши по созданному параметру, называем параметр Default TTL, открываем его и вместо «0» пишем 41 (Система должна оставаться шестнадцатиричной)
(По идее тут можно закрыть редактор реестра и перезагрузить машину, но способ с одним или двумя местами правки TTL иногда отваливается.)
Возвращаемся в левое окно, в ветке Tcpip выбираем Parametrs.
Повторяем действия по созданию параметра
Неполный обход по TTL готов, можете перезагрузить машину. Для полного обхода все те же действия можно, а иногда и нужно повторить для раздела TCPIP6 и подраздела Parametrs
Полный обход по TTL готов. Закрываем редактор реестра и перезагружаемся.
Далее необходимо установить на смартфон и компьютер программу PdaNet
2. Устанавливаем на телефон с ОБЯЗАТЕЛЬНОЙ выдачей всех разрешений
3. Скачиваем клиент для ПК
4. Устанавливаем на компьютер, разрешая установку драйверов. После появления этого окна нажимаем «ОК», запускаем PDANet на телефоне и подключаем телефон по USB в любом режиме, программа автоматически подтянет драйвера! (Даже если собираетесь использовать только раздачу по WiFi)
После установки НЕ СТАВИТЬ ГАЛОЧКУ НАПРОТИВ ПУНКТА «Block Microsoft Connection».
5. Идём в настройки телефона и включаем режим разработчика и разрешаем отладку по USB (необходимо для раздачи через USB, если хотите раздавать только по WiFi, этот пункт можно пропустить). Инструкцию не трудно найти в сети, для каждой оболочки она может отличаться.
6. Открываем PDANet на телефоне, жмякаем на три точки, выбираем «IPv6 Support» и жмём на «Prirotize IPv4», теперь приоритетными будут IP-адреса 4 версии. (Иногда программа может использовать IPv6 даже с этой настройкой, именно по-этому лучше сделать полный oбход по TTL
7. Ставим галочку USB Tether
8. Подключаем смартфон к ПК в РЕЖИМЕ ПЕРЕДАЧИ ФАЙЛОВ.
9. Запускаем клиент на компьютере (он уедет в трей), нажимаем на Connect USB и следуем инструкции первичной настройки (будет только при первом запуске с ПК). Когда программа попросит управление телефоном, соглашаемся на отладку по USB на смартфоне (Обычно только при первом запуске).
После чего программа известит об успешном подключении к интернету.
Для раздачи по WiFi на ПК (WiFi должен быть включен)
ПЕРЕД РАЗДАЧЕЙ ПО WIFI ОБЯЗАТЕЛЬНО ОТКЛЮЧИТЬСЯ ОТ WIFI-СЕТИ!
1.В программе на смартфоне выбираем пункт WiFi Direct Hotspot. Вверху появится название вашей точки и пароль (подключиться без клиента PDANet нельзя!)
2. На компьютере выбираем пункт Connect WiFi
3. В появившемся окне выбираем свою точку доступа и нажимаем Connect WiFi
4. В программе на смартфоне нажимаем кнопку WPS
После чего компьютер сообщит об удачной стыковке.
Если автоматического коннекта после нажатия WPS не происходит, введите пароль, который указан на смартфоне в поле клиента под Windows.
Для раздачи на планшет или другой смартфон на базе Android
1. Установить PDANet на оба устройства
2. На раздающем устройстве включить WiFi Direct Hotspot
3. На подключаемом выбрать пункт «Connect to a PDANet Hotspot
4. Выбрать свою сеть
5. На раздающем нажать WPS
Если автоматического коннекта после нажатия WPS не происходит, введите пароль, который указан на раздающем устройстве в окне PDANet на подключаемом.
Всем спасибо за внимание!
Проверено 09.05.2023 на МТС Тарифище 2018, Ростелеком (мобильная связь), Мурманская область. Компьютер на базе Windows 7 (7601), ноутбуки на базе Windows 10 1903 и 21H1.
Cмартфоны:
Xiaomi MI8, Android 10 MIUI 12.5.1.0 MIUIMix, root Magisk.
Poco M3, Android 12 MIUI 13.0.1.0 Global Stable, без root.
Пост не является рекламой.
Завершение работы Win10
Случилось что то непонятное, как обычно я ничего не трогал и оно само)
С какого-то времени винда начала завершать работу очень долго, порядка трёх минут, ось установлена на ссд накопитель, раньше завершение работы длилось не более 10 секунд. Загрузка проходит штатно, через 30 секунд, после нажатия кнопки на корпусе компа, можно работать, все загружено. Ошибок никаких не выдает, приложения незакрытые не показывает, да и нагуглил способ отключить это ожидание. Просто экран с надписью «завершение работы» и бегущей по кругу полоской висит по три минуты. Ссд прогнал фирменной утилитой, так же все чисто, ошибок нет, ресурс 90 сколько то процентов.
Подскажите, в какую сторону копать?
Аллилуйя, братья и сестры! Проблема решена благодаря #comment_267752392
Включилась опция стирания файла подкачки при завершении работы, размер стоял на выбор системы и она выбрала 25 Гб, я так понимаю, что каждое выключение я как раз и ждал, пока они сотрутся что ли. Хотя чем и зачем их набивать каждый раз? Даже выключение, сразу после включения, давало такой же результат, три минуты светил диодик обращения к ссд.
Windows 10
Достал из закромов свой любимый ноутбук, понадобилось прошить телефон. И всплыла такая проблема, в окне ввода пароля не хочет печатать клавиатура.
Экранная клавиатура тоже отказывается это делать. При этом в браузере печатается все нормально. Копировать/вставить тоже не получается.
Переустановить Винду хорошая идея, но не самая лучшая.
В Гугле беглый поиск ответа не дал.
Спасибо @yoxl проблема решена C:\Windows\system32\ctfmon.exe
Обновление Windows 10
Обслуживаю оргтехнику и компы в офисах. Пришел по заявке — не печатает. Отвалилась сетевая печать. Замучал весь системник где установлен принтер, — ставлю сетевой доступ — "ОК", захожу смотрю, снова нет доступа. Сносил все настройки сети, не помогло. Начал переустановки системы, заявка из соседнего кабинета — не печатает. Причем только этот комп не может подключиться к удалённому принтеру, остальные могут. Стал играть в детектива, что, как, когда — оказалось компьютер обновился и после этого всё пропало. Пришлось удалить последнее обновление КВ 5003137 и сразу всё заработало, на следующий день ещё на 3 компьютерах такая же фигня. Удаляю эту обнову, пытаюсь отключить автообновление, но всё равно это не правильно, а вот что сделать чтоб правильно. Win 10 2004. Тру админы помогите!
Крик души, сил моих уже нет. BSODы с рандомной ошибкой
Получилось длинно, но я прошу — кто разбирается в компах, не проходите мимо пожалуйста!
Доброго дня пикабушники! Пишу Вам, так как уже не знаю что делать. После этого поста напишу еще на парочке форумов и в поддержку майкрософт. Но Вы прекрасно знаете как там «помогают» — на тебе мол ссылки на похожие посты, сделай то что там написано, тема закрыта. Переходишь по ссылкам а там либо вообще не по твоей теме, либо все предложенные варианты уже опробованы и никакого эффекта не дали. Уровень моего навыка по работе с компами — до этой проблемы думал что продвинутый пользователь, но теперь сомневаюсь.
В общем, ближе к сути. Собрал я компьютер следующей конфигурации:
Материнка — Asus Prime B450 Plus
Видеокарта 0 Asus PCI-Ex GeForce GTX 1660 Super Dual EVO OC 6GB GDDR6
Оперативная память 2 плашки — HyperX DDR4-3200 8192MB PC4-25600 Fury Black (HX432C16FB3/8)
Процессор — AMD Ryzen 5 3600 (3.6GHz 32MB 65W AM4) Box (100-100000031BOX)
SSD — Western Digital Green SSD 240GB M.2 2280 SATAIII 3D NAND (TLC) (WDS240G2G0B)
HDD — Western Digital Blue 1TB 7200rpm 64MB WD10EZEX 3.5 SATA III
Блок питания — DeepCool 600W (DA600)
4 кулера PcCooler F122B 120 мм (3 на вдув, 1 на выдув)
Корпус, думаю, вообще не имеет значения.
Месяц данная сборка работала идеально, никаких проблем. Но потребовалась переустановка винды, так как была проблема с аккаунтом Origin, которая, как выяснилось не имела отношения к системе. Первый раз стояла Win10 x64 скачанная с сайта майкрософт, потом была установлена пиратка (каюсь), но даже с ней все некоторое время работало хорошо.
Потом начали вылетать BSODы с рандомными ошибками. Выискивая инфу по инету, было проделано практически все что предлагалось:
— Переустановка системы (разные дистрибутивы, сейчас опять стоит официальная Win10. BSODы вылазили даже сразу после установки, когда еще не успевал даже первый полноценный запуск происходить)
— Откаты драйверов и их переустановка (в том числе драйвер Realtek, на который тоже жаловались люди в интернете)
— Проверка оперативной памяти встроенным в винду ПО и с помощью MemTest (ошибок не обнаружено)
— Несколько проверок системных файлов через командную строку (один раз было что-то обнаружено и исправлено, не помогло)
— Использован DISM /RestoreHealth (не помогло)
— Проверены жесткие диски с помощью встроенных в винду инструментов (не помогло)
— Проведены чистки реестра с помощью CCleaner
— Пробовал менять плашки памяти местами, оставить только одну, потом оставить только вторую, проверка контактов (не помогло)
— Пробовал установку винды на другой жесткий диск (не помогло)
— Проверка температур (все в норме)
— Сброс БИОС до значений по умолчанию
— Было обнаружено что частота памяти в биосе выставлена на 2400, установил на 3200 (не помогло, но тут я не силен, может при изменении предустановок частоты тайминги тоже нужно поменять?)
— Чиста системного блока
— Откаты обновлений винды
Я уже даже не помню точно всё что проделано. Сейчас у меня в голове остались только пара самых невероятных мыслей — замена батарейки биос, или же где-то на контакты попала кошачья шерстинка и развиваясь на ветру от кулеров замыкает контакты (полный бред, дальше скажу почему), и. всё. Все идеи кончились, я уже понятия не имею что не так? Я тупо в отчаянии, так как ущемлял себя во всем ради семьи 10 лет и не обновлял железо, а тут. все новое, все хорошее, все совместимо, все с*ка дорогое и такая хрень.
Я готов заплатить (в разумных пределах) тому кто реально сможет помочь. Приглашать мастера на дом — бред, так как начнется разводняк «установка драйвера 27 штук по 150 грн.». Нести в ремонтную мастерскую? Рискую остаться без парочки конденсаторов или чипов. Обратиться и сдать железо по гарантии? — Не примут, так как я понятия не имею что конкретно работает не так как должно — оперативка в норме, все остальное вроде тоже в норме, а так как собирал сам, то весь комп не считается готовым изделием, и на гарантийный ремонт могут принять только конкретную часть, при наличии жалоб на ее работу.
Почему начали вылазить синие экраны я тоже без понятия, ничего такого на копе не делал, стоял аваст и защитник виндовс, ПО только лицензии (ну кроме попыток установить разные дистрибутивы винды), использовал как игровую станцию.
Было опытным путем замечено что BSOD в 95% случаев появляется когда не запущены игры. То-есть — сидишь хоть целый день играешь и все хорошо, но стоит только выйти из игры, и в течении минуты вылетает BSOD. Либо вылетает при просмотре видео на ютубе и при обычном сёрфинге в инете. Или даже просто в режиме простоя. Логика подсказывает что все-таки что-то связано с оперативкой, так как видимо при освобождении оперативки от файлов игры и происходит стоп-ошибка. Но оперативка проверена тремя способами, и никаких ошибок и неисправностей не обнаружено. Еще я размышляю над вариантом неправильной работы какой-нибудь шины, через которые проходят данные, но как это проверить? И разве ошибка не должна быть одинаковой?
Я готов предоставить любую информацию по запросу тем, кто готов помочь — скрины биоса, настроек, температуры, фотки системного блока внутри. Надеюсь на Вашу помощь, и заранее спасибо!
Ниже ссылка на последние минидампы. Те которые с большим промежутком времени — это как раз то что я говорил — при запущенной игре все хорошо, после выхода — BSOD. Дампы за вчера — обычный сёрфинг в интернете и просмотр видео. И последний дамп — пока писал этот пост (удивительно что только один).
Изучаем и вскрываем BitLocker. Как устроена защита дисков Windows и как ее взломать
Технология шифрования BitLocker впервые появилась десять лет назад и менялась с каждой версией Windows. Однако далеко не все изменения в ней были призваны повысить криптостойкость. В этой статье мы подробно разберем устройство разных версий BitLocker (включая предустановленные в последние сборки Windows 10) и покажем, как обойти этот встроенный механизм защиты.
WARNING
Статья написана в исследовательских целях. Вся информация в ней носит ознакомительный характер. Она адресована специалистам по безопасности и тем, кто хочет ими стать.
Офлайновые атаки
Технология BitLocker стала ответом Microsoft на возрастающее число офлайновых атак, которые в отношении компьютеров с Windows выполнялись особенно просто. Любой человек с загрузочной флешкой может почувствовать себя хакером. Он просто выключит ближайший компьютер, а потом загрузит его снова — уже со своей ОС и портативным набором утилит для поиска паролей, конфиденциальных данных и препарирования системы.
В конце рабочего дня с крестовой отверткой и вовсе можно устроить маленький крестовый поход — открыть компы ушедших сотрудников и вытащить из них накопители. Тем же вечером в спокойной домашней обстановке содержимое извлеченных дисков можно анализировать (и даже модифицировать) тысячью и одним способом. На следующий день достаточно прийти пораньше и вернуть все на свои места.
Впрочем, необязательно вскрывать чужие компьютеры прямо на рабочем месте. Много конфиденциальных данных утекает после утилизации старых компов и замены накопителей. На практике безопасное стирание и низкоуровневое форматирование списанных дисков делают единицы. Что же может помешать юным хакерам и сборщикам цифровой падали?
Как пел Булат Окуджава: «Весь мир устроен из ограничений, чтобы от счастья не сойти с ума». Основные ограничения в Windows задаются на уровне прав доступа к объектам NTFS, которые никак не защищают от офлайновых атак. Windows просто сверяет разрешения на чтение и запись, прежде чем обрабатывает любые команды, которые обращаются к файлам или каталогам. Этот метод достаточно эффективен до тех пор, пока все пользователи работают в настроенной админом системе с ограниченными учетными записями. Однако стоит повысить права или загрузиться в другой операционке, как от такой защиты не останется и следа. Пользователь сам себя сделает админом и переназначит права доступа либо просто проигнорирует их, поставив другой драйвер файловой системы.
Есть много взаимодополняющих методов противодействия офлайновым атакам, включая физическую защиту и видеонаблюдение, но наиболее эффективные из них требуют использования стойкой криптографии. Цифровые подписи загрузчиков препятствуют запуску постороннего кода, а единственный способ по-настоящему защитить сами данные на жестком диске — это шифровать их. Почему же полнодисковое шифрование так долго отсутствовало в Windows?
От Vista до Windows 10
В Microsoft работают разные люди, и далеко не все из них кодят задней левой ногой. Увы, окончательные решения в софтверных компаниях давно принимают не программисты, а маркетологи и менеджеры. Единственное, что они действительно учитывают при разработке нового продукта, — это объемы продаж. Чем проще в софте разобраться домохозяйке, тем больше копий этого софта удастся продать.
«Подумаешь, полпроцента клиентов озаботились своей безопасностью! Операционная система и так сложный продукт, а вы тут еще шифрованием пугаете целевую аудиторию. Обойдемся без него! Раньше ведь обходились!» — примерно так мог рассуждать топ-менеджмент Microsoft вплоть до того момента, когда XP стала популярной в корпоративном сегменте. Среди админов о безопасности думали уже слишком многие специалисты, чтобы сбрасывать их мнение со счетов. Поэтому в следующей версии Windows появилось долгожданное шифрование тома, но только в изданиях Enterprise и Ultimate, которые ориентированы на корпоративный рынок.
Новая технология получила название BitLocker. Пожалуй, это был единственный хороший компонент Vista. BitLocker шифровал том целиком, делая пользовательские и системные файлы недоступными для чтения в обход установленной ОС. Важные документы, фотки с котиками, реестр, SAM и SECURITY — все оказывалось нечитаемым при выполнении офлайновой атаки любого рода. В терминологии Microsoft «том» (volume) — это не обязательно диск как физическое устройство. Томом может быть виртуальный диск, логический раздел или наоборот — объединение нескольких дисков (составной или чередующийся том). Даже простую флешку можно считать подключаемым томом, для сквозного шифрования которого начиная с Windows 7 есть отдельная реализация — BitLocker To Go (подробнее — во врезке в конце статьи).
С появлением BitLocker сложнее стало загрузить постороннюю ОС, так как все загрузчики получили цифровые подписи. Однако обходной маневр по-прежнему возможен благодаря режиму совместимости. Стоит изменить в BIOS режим загрузки с UEFI на Legacy и отключить функцию Secure Boot, и старая добрая загрузочная флешка снова пригодится.
Как использовать BitLocker
Разберем практическую часть на примере Windows 10. В сборке 1607 BitLocker можно включить через панель управления (раздел «Система и безопасность», подраздел «Шифрование диска BitLocker»).
Включение BitLocker
Другие статьи в выпуске: 
Xakep #216. Копаем BitLocker
Однако если на материнской плате отсутствует криптопроцессор TPM версии 1.2 или новее, то просто так BitLocker использовать не удастся. Чтобы его активировать, потребуется зайти в редактор локальной групповой политики (gpedit.msc) и раскрыть ветку «Конфигурация компьютера —> Административные шаблоны —> Компоненты Windows —> Шифрование диска BitLocker —> Диски операционной системы» до настройки «Этот параметр политики позволяет настроить требование дополнительной проверки подлинности при запуске». В нем необходимо найти настройку «Разрешить использование BitLocker без совместимого TPM. » и включить ее.
Настройка использования BitLocker без TPM
В соседних секциях локальных политик можно задать дополнительные настройки BitLocker, в том числе длину ключа и режим шифрования по стандарту AES.
Дополнительные настройки BitLocker
После применения новых политик возвращаемся в панель управления и следуем указаниям мастера настройки шифрования. В качестве дополнительной защиты можно выбрать ввод пароля или подключение определенной USB-флешки.
Настраиваем разблокировку компьютера при включении
На следующем этапе нам предложат сохранить копию ключа на случай восстановления.
По умолчанию предлагается отправить ее на серверы Microsoft, записать в файл или даже напечатать.
Сохранение ключа восстановления
Хотя BitLocker и считается технологией полнодискового шифрования, она позволяет выполнять частичное шифрование только занятых секторов. Это быстрее, чем шифровать все подряд, но такой способ считается менее надежным. Хотя бы потому, что при этом удаленные, но еще не перезаписанные файлы какое-то время остаются доступными для прямого чтения.
Полное и частичное шифрование
После настройки всех параметров останется выполнить перезагрузку. Windows потребует ввести пароль (или вставить флешку), а затем запустится в обычном режиме и начнет фоновый процесс шифрования тома.
Запрос пароля перед запуском Windows
В зависимости от выбранных настроек, объема диска, частоты процессора и поддержки им отдельных команд AES, шифрование может занять от пары минут до нескольких часов.
Шифрование BitLocker
После завершения этого процесса в контекстном меню «Проводника» появятся новые пункты: изменение пароля и быстрый переход к настройкам BitLocker.
Интеграция BitLocker в контекстное меню
Обрати внимание, что для всех действий, кроме смены пароля, требуются права администратора. Логика здесь простая: раз ты успешно вошел в систему, значит, знаешь пароль и имеешь право его сменить. Насколько это разумно? Скоро выясним!
BitLocker в панели управления
Как устроен BitLocker
О надежности BitLocker не следует судить по репутации AES. Популярный стандарт шифрования может и не иметь откровенно слабых мест, а вот его реализации в конкретных криптографических продуктах ими часто изобилуют. Полный код технологии BitLocker компания Microsoft не раскрывает. Известно лишь, что в разных версиях Windows она базировалась на разных схемах, а изменения никак не комментировались. Более того, в сборке 10586 Windows 10 он просто исчез, а спустя два билда появился вновь. Впрочем, обо всем по порядку.
Первая версия BitLocker использовала режим сцепления блоков шифртекста (CBC). Уже тогда были очевидны его недостатки: легкость атаки по известному тексту, слабая стойкость к атакам по типу подмены и так далее. Поэтому в Microsoft сразу решили усилить защиту. Уже в Vista к схеме AES-CBC был добавлен алгоритм Elephant Diffuser, затрудняющий прямое сравнение блоков шифртекста. С ним одинаковое содержимое двух секторов давало после шифрования одним ключом совершенно разный результат, что усложняло вычисление общего паттерна. Однако сам ключ по умолчанию использовался короткий — 128 бит. Через административные политики его можно удлинить до 256 бит, но стоит ли это делать?
Для пользователей после изменения ключа внешне ничего не изменится — ни длина вводимых паролей, ни субъективная скорость выполнения операций. Как и большинство систем полнодискового шифрования, BitLocker использует несколько ключей. и ни один из них пользователи не видят. Вот принципиальная схема BitLocker.
- При активации BitLocker с помощью генератора псевдослучайных чисел создается главная битовая последовательность. Это ключ шифрования тома — FVEK (full volume encryption key). Именно им отныне шифруется содержимое каждого сектора.
- В свою очередь, FVEK шифруется при помощи другого ключа — VMK (volume master key) — и сохраняется в зашифрованном виде среди метаданных тома.
- Сам VMK тоже шифруется, но уже разными способами по выбору пользователя.
- На новых материнских платах ключ VMK по умолчанию шифруется с помощью ключа SRK (storage root key), который хранится в отдельном криптопроцессоре — доверенном модуле (TPM, trusted platform module). У пользователя нет доступа к содержимому TPM, и оно уникально для каждого компьютера.
- Если отдельного чипа TPM на плате нет, то вместо SRK для шифрования ключа VMK используется вводимый пользователем пин-код или подключаемый по запросу USB-Flash-накопитель с предварительно записанной на нем ключевой информацией.
- Дополнительно к TPM или флешке можно защитить ключ VMK паролем.
Такая общая схема работы BitLocker сохранялась и в последующих выпусках Windows вплоть до настоящего времени. Однако способы генерации ключей и режимы шифрования в BitLocker менялись. Так, в октябре 2014 года Microsoft по-тихому убрала дополнительный алгоритм Elephant Diffuser, оставив только схему AES-CBC с ее известными недостатками. Поначалу об этом не было сделано никаких официальных заявлений. Людям просто выдали ослабленную технологию шифрования с прежним названием под видом обновления. Туманные объяснения этого шага последовали уже после того, как упрощения в BitLocker заметили независимые исследователи.
Формально отказ от Elephant Diffuser потребовался для обеспечения соответствия Windows требованиям федеральных стандартов обработки информации США (FIPS), однако один аргумент опровергает эту версию: Vista и Windows 7, в которых использовался Elephant Diffuser, без проблем продавались в Америке.
Еще одна мнимая причина отказа от дополнительного алгоритма — это отсутствие аппаратного ускорения для Elephant Diffuser и потеря в скорости при его использовании. Однако в прежние годы, когда процессоры были медленнее, скорость шифрования почему-то устраивала. Да и тот же AES широко применялся еще до того, как появились отдельные наборы команд и специализированные чипы для его ускорения. Со временем можно было сделать аппаратное ускорение и для Elephant Diffuser или хотя бы предоставить клиентам выбор между скоростью и безопасностью.
Более реалистичной выглядит другая, неофициальная версия. «Слон» мешал сотрудникам АНБ, которым хотелось тратить меньше усилий при расшифровке очередного диска, а Microsoft охотно взаимодействует с органами власти даже в тех случаях, когда их запросы не вполне законны. Косвенно подтверждает теорию заговора и тот факт, что до Windows 8 при создании ключей шифрования в BitLocker применялся встроенный в Windows генератор псевдослучайных чисел. Во многих (если не во всех) выпусках Windows это был Dual_EC_DRBG — «криптографически стойкий ГПСЧ», разработанный Агентством национальной безопасности США и содержащий ряд изначально заложенных в него уязвимостей.
Разумеется, тайное ослабление встроенного шифрования вызвало мощную волну критики. Под ее давлением Microsoft вновь переписала BitLocker, заменив в новых выпусках Windows ГПСЧ на CTR_DRBG. Дополнительно в Windows 10 (начиная со сборки 1511) схемой шифрования по умолчанию стала AES-XTS, иммунная к манипуляциям с блоками шифртекста. В последних сборках «десятки» были устранены и другие известные недочеты BitLocker, но главная проблема по-прежнему осталась. Она настолько абсурдна, что делает бессмысленными остальные нововведения. Речь идет о принципах управления ключами.
Лос-аламосский принцип
Задачу дешифрования дисков BitLocker упрощает еще и то, что в Microsoft активно продвигают альтернативный метод восстановления доступа к данным через Data Recovery Agent. Смысл «Агента» в том, что он шифрует ключи шифрования всех накопителей в пределах сети предприятия единым ключом доступа. Заполучив его, можно расшифровать любой ключ, а значит, и любой диск, используемый в той же компании. Удобно? Да, особенно для взлома.
Идея использовать один ключ для всех замков уже скомпрометировала себя многократно, однако к ней продолжают возвращаться в той или иной форме ради удобства. Вот как записал Ральф Лейтон воспоминания Ричарда Фейнмана об одном характерном эпизоде его работы над проектом «Манхэттен» в Лос-Аламосской лаборатории: «. я открыл три сейфа — и все три одной комбинацией. <. > Я уделал всех их: открыл сейфы со всеми секретами атомной бомбы — технологией получения плутония, описанием процесса очистки, сведениями о том, сколько нужно материала, как работает бомба, как получаются нейтроны, как устроена бомба, каковы ее размеры, — словом, все, о чем знали в Лос-Аламосе, всю кухню!».
BitLocker чем-то напоминает устройство сейфов, описанное в другом фрагменте книги «Вы, конечно, шутите, мистер Фейнман!». Самый внушительный сейф сверхсекретной лаборатории имел ту же самую уязвимость, что и простой шкафчик для документов. «. Это был полковник, и у него был гораздо более хитрый, двухдверный сейф с большими ручками, которые вытаскивали из рамы четыре стальных стержня толщиной три четверти дюйма. <. > Я осмотрел заднюю сторону одной из внушительных бронзовых дверей и обнаружил, что цифровой лимб соединен с маленьким замочком, который выглядел точно так же, как и замок моего шкафа в Лос-Аламосе. <. > Было очевидно, что система рычагов зависит от того же маленького стержня, который запирал шкафы для документов. <. >. Изображая некую деятельность, я принялся наугад крутить лимб. <. > Через две минуты — щелк! — сейф открылся. <. > Когда дверь сейфа или верхний ящик шкафа для документов открыты, очень легко найти комбинацию. Именно это я проделал, когда Вы читали мой отчет, только для того, чтобы продемонстрировать Вам опасность».
Криптоконтейнеры BitLocker сами по себе достаточно надежны. Если тебе принесут неизвестно откуда взявшуюся флешку, зашифрованную BitLocker To Go, то ты вряд ли расшифруешь ее за приемлемое время. Однако в реальном сценарии использования зашифрованных дисков и съемных носителей полно уязвимостей, которые легко использовать для обхода BitLocker.
Потенциальные уязвимости
Наверняка ты заметил, что при первой активации BitLocker приходится долго ждать. Это неудивительно — процесс посекторного шифрования может занять несколько часов, ведь даже прочитать все блоки терабайтных HDD быстрее не удается. Однако отключение BitLocker происходит практически мгновенно — как же так?
Дело в том, что при отключении BitLocker не выполняет расшифровку данных. Все секторы так и останутся зашифрованными ключом FVEK. Просто доступ к этому ключу больше никак не будет ограничиваться. Все проверки отключатся, а VMK останется записанным среди метаданных в открытом виде. При каждом включении компьютера загрузчик ОС будет считывать VMK (уже без проверки TPM, запроса ключа на флешке или пароля), автоматически расшифровывать им FVEK, а затем и все файлы по мере обращения к ним. Для пользователя все будет выглядеть как полное отсутствие шифрования, но самые внимательные могут заметить незначительное снижение быстродействия дисковой подсистемы. Точнее — отсутствие прибавки в скорости после отключения шифрования.
Интересно в этой схеме и другое. Несмотря на название (технология полнодискового шифрования), часть данных при использовании BitLocker все равно остается незашифрованной. В открытом виде остаются MBR и BS (если только диск не был проинициализирован в GPT), поврежденные секторы и метаданные. Открытый загрузчик дает простор фантазии. В псевдосбойных секторах удобно прятать руткиты и прочую малварь, а метаданные содержат много всего интересного, в том числе копии ключей. Если BitLocker активен, то они будут зашифрованы (но слабее, чем FVEK шифрует содержимое секторов), а если деактивирован, то просто будут лежать в открытом виде. Это всё потенциальные векторы атаки. Потенциальные они потому, что, помимо них, есть куда более простые и универсальные.
Ключ восстановления
Помимо FVEK, VMK и SRK, в BitLocker используется еще один тип ключей, создаваемый «на всякий случай». Это ключи восстановления, с которыми связан еще один популярный вектор атаки. Пользователи боятся забыть свой пароль и потерять доступ к системе, а Windows сама рекомендует им сделать аварийный вход. Для этого мастер шифрования BitLocker на последнем этапе предлагает создать ключ восстановления. Отказ от его создания не предусмотрен. Можно только выбрать один из вариантов экспорта ключа, каждый из которых очень уязвим.
В настройках по умолчанию ключ экспортируется как простой текстовый файл с узнаваемым именем: «Ключ восстановления BitLocker #», где вместо # пишется идентификатор компьютера (да, прямо в имени файла!). Сам ключ выглядит так.
Аварийный вход в BitLocker
Если ты забыл (или никогда не знал) заданный в BitLocker пароль, то просто поищи файл с ключом восстановления. Наверняка он будет сохранен среди документов текущего пользователя или на его флешке. Может быть, он даже напечатан на листочке, как это рекомендует сделать Microsoft. Просто дождись, пока коллега уйдет на перерыв (как всегда, забыв заблокировать свой комп) и приступай к поискам.
Вход с ключом восстановления
Для быстрого обнаружения ключа восстановления удобно ограничить поиск по расширению (txt), дате создания (если представляешь, когда примерно могли включить BitLocker) и размеру файла (1388 байт, если файл не редактировали). Найдя ключ восстановления, скопируй его. С ним ты сможешь в любой момент обойти стандартную авторизацию в BitLocker. Для этого достаточно нажать Esc и ввести ключ восстановления. Ты залогинишься без проблем и даже сможешь сменить пароль в BitLocker на произвольный, не указывая старый! Это уже напоминает проделки из рубрики «Западлостроение».
Смена пароля без ввода действующего
Вскрываем BitLocker
Реальная криптографическая система — это компромисс между удобством, скоростью и надежностью. В ней надо предусмотреть процедуры прозрачного шифрования с дешифровкой на лету, методы восстановления забытых паролей и удобной работы с ключами. Все это ослабляет любую систему, на каких бы стойких алгоритмах она ни базировалась. Поэтому необязательно искать уязвимости непосредственно в алгоритме Rijndael или в разных схемах стандарта AES. Гораздо проще их обнаружить именно в специфике конкретной реализации.
В случае Microsoft такой «специфики» хватает. Например, копии ключей BitLocker по умолчанию отправляются в SkyDrive и депонируются в Active Directory. Зачем? Ну, вдруг ты их потеряешь. или агент Смит спросит. Клиента неудобно заставлять ждать, а уж агента — тем более.
По этой причине сравнение криптостойкости AES-XTS и AES-CBC с Elephant Diffuser отходит на второй план, как и рекомендации увеличить длину ключа. Каким бы длинным он ни был, атакующий легко получит его в незашифрованном виде.
Получение депонированных ключей из учетной записи Microsoft или AD — основной способ вскрытия BitLocker. Если же пользователь не регистрировал учетку в облаке Microsoft, а его компьютер не находится в домене, то все равно найдутся способы извлечь ключи шифрования. В ходе обычной работы их открытые копии всегда сохраняются в оперативной памяти (иначе не было бы «прозрачного шифрования»). Это значит, что они доступны в ее дампе и файле гибернации.
Почему они вообще там хранятся? Как это ни смешно — для удобства. BitLocker разрабатывался для защиты только от офлайновых атак. Они всегда сопровождаются перезагрузкой и подключением диска в другой ОС, что приводит к очистке оперативной памяти. Однако в настройках по умолчанию ОС выполняет дамп оперативки при возникновении сбоя (который можно спровоцировать) и записывает все ее содержимое в файл гибернации при каждом переходе компьютера в глубокий сон. Поэтому, если в Windows с активированным BitLocker недавно выполнялся вход, есть хороший шанс получить копию ключа VMK в расшифрованном виде, а с его помощью расшифровать FVEK и затем сами данные по цепочке. Проверим?
Все описанные выше методы взлома BitLocker собраны в одной программе — Forensic Disk Decryptor, разработанной в отечественной компании «Элкомсофт». Она умеет автоматически извлекать ключи шифрования и монтировать зашифрованные тома как виртуальные диски, выполняя их расшифровку на лету.
Дополнительно в EFDD реализован еще один нетривиальный способ получения ключей — атакой через порт FireWire, которую целесообразно использовать в том случае, когда нет возможности запускать свой софт на атакуемом компьютере. Саму программу EFDD мы всегда устанавливаем на свой компьютер, а на взламываемом стараемся обойтись минимально необходимыми действиями.
Установка EFDD
Для примера просто запустим тестовую систему с активным BitLocker и «незаметно» сделаем дамп памяти. Так мы смоделируем ситуацию, в которой коллега вышел на обед и не заблокировал свой компьютер. Запускаем RAM Capture и меньше чем через минуту получаем полный дамп в файле с расширением .mem и размером, соответствующим объему оперативки, установленной на компьютере жертвы.
Делаем дамп памяти
Чем делать дамп — по большому счету без разницы. Независимо от расширения это получится бинарный файл, который дальше будет автоматически проанализирован EFDD в поисках ключей.
Записываем дамп на флешку или передаем его по сети, после чего садимся за свой компьютер и запускаем EFDD.
Запуск EFDD
Выбираем опцию «Извлечь ключи» и в качестве источника ключей вводим путь до файла с дампом памяти.
Указываем источник ключей
BitLocker — типичный криптоконтейнер, вроде PGP Disk или TrueCrypt. Эти контейнеры получились достаточно надежными сами по себе, но вот клиентские приложения для работы с ними под Windows мусорят ключами шифрования в оперативной памяти. Поэтому в EFDD реализован сценарий универсальной атаки. Программа мгновенно отыскивает ключи шифрования от всех трех видов популярных криптоконтейнеров. Поэтому можно оставить отмеченными все пункты — вдруг жертва тайком использует TrueCrypt или PGP!
EFDD нашла ключи
Спустя несколько секунд Elcomsoft Forensic Disk Decryptor показывает все найденные ключи в своем окне. Для удобства их можно сохранить в файл — это пригодится в дальнейшем.
Сохраняем найденные ключи
Теперь BitLocker больше не помеха! Можно провести классическую офлайновую атаку — например, вытащить жесткий диск коллеги и скопировать его содержимое. Для этого просто подключи его к своему компьютеру и запусти EFDD в режиме «расшифровать или смонтировать диск».
Дешифровка BitLocker
После указания пути до файлов с сохраненными ключами EFDD на твой выбор выполнит полную расшифровку тома либо сразу откроет его как виртуальный диск. В последнем случае файлы расшифровываются по мере обращения к ним. В любом варианте никаких изменений в оригинальный том не вносится, так что на следующий день можешь вернуть его как ни в чем не бывало. Работа с EFDD происходит бесследно и только с копиями данных, а потому остается незаметной.
BitLocker To Go
Начиная с «семерки» в Windows появилась возможность шифровать флешки, USB-HDD и прочие внешние носители. Технология под названием BitLocker To Go шифрует съемные накопители точно так же, как и локальные диски. Шифрование включается соответствующим пунктом в контекстном меню «Проводника».
Включаем шифрование на флешке
Для новых накопителей можно использовать шифрование только занятой области — все равно свободное место раздела забито нулями и скрывать там нечего. Если же накопитель уже использовался, то рекомендуется включить на нем полное шифрование. Иначе место, помеченное как свободное, останется незашифрованным. Оно может содержать в открытом виде недавно удаленные файлы, которые еще не были перезаписаны.
Процесс шифрования съемного накопителя
Даже быстрое шифрование только занятой области занимает от нескольких минут до нескольких часов. Это время зависит от объема данных, пропускной способности интерфейса, характеристик накопителя и скорости криптографических вычислений процессора. Поскольку шифрование сопровождается сжатием, свободное место на зашифрованном диске обычно немного увеличивается.
При следующем подключении зашифрованной флешки к любому компьютеру с Windows 7 и выше автоматически вызовется мастер BitLocker для разблокировки диска. В «Проводнике» же до разблокировки она будет отображаться как диск, закрытый на замок.
Запрос пароля BitLocker2Go
Здесь можно использовать как уже рассмотренные варианты обхода BitLocker (например, поиск ключа VMK в дампе памяти или файле гибернации), так и новые, связанные с ключами восстановления.
Если ты не знаешь пароль, но тебе удалось найти один из ключей (вручную или с помощью EFDD), то для доступа к зашифрованной флешке есть два основных варианта:
- использовать встроенный мастер BitLocker для непосредственной работы с флешкой;
- использовать EFDD для полной расшифровки флешки и создания ее посекторного образа.
Открываем флешку ключом восстановления
Первый вариант позволяет сразу получить доступ к записанным на флешке файлам, скопировать или изменить их, а также записать свои. Второй вариант выполняется гораздо дольше (от получаса), однако имеет свои преимущества. Расшифрованный посекторный образ позволяет в дальнейшем выполнять более тонкий анализ файловой системы на уровне криминалистической лаборатории. При этом сама флешка уже не нужна и может быть возвращена без изменений.
Расшифровываем флешку в EFDD и записываем посекторный образ
Полученный образ можно открыть сразу в любой программе, поддерживающей формат IMA, или сначала конвертировать в другой формат (например, с помощью UltraISO).
Анализ образа расшифрованного диска
Разумеется, помимо обнаружения ключа восстановления для BitLocker2Go, в EFDD поддерживаются и все остальные методы обхода BitLocker. Просто перебирай все доступные варианты подряд, пока не найдешь ключ любого типа. Остальные (вплоть до FVEK) сами будут расшифрованы по цепочке, и ты получишь полный доступ к диску.
Выводы
Технология полнодискового шифрования BitLocker отличается в разных версиях Windows. После адекватной настройки она позволяет создавать криптоконтейнеры, теоретически сравнимые по стойкости с TrueCrypt или PGP. Однако встроенный в Windows механизм работы с ключами сводит на нет все алгоритмические ухищрения. В частности, ключ VMK, используемый для дешифровки основного ключа в BitLocker, восстанавливается с помощью EFDD за несколько секунд из депонированного дубликата, дампа памяти, файла гибернации или атакой на порт FireWire.
Получив ключ, можно выполнить классическую офлайновую атаку, незаметно скопировать и автоматически расшифровать все данные на «защищенном» диске. Поэтому BitLocker целесообразно использовать только вместе с другими средствами защиты: шифрованной файловой системой (EFS), службой управления правами (RMS), контролем запуска программ, контролем установки и подключения устройств, а также более жесткими локальными политиками и общими мерами безопасности.