Outro Segurança dos arquivos hiberfil.sys pagefile.sys versus memória RAM

Blumer Celta · 16 de outubro de 2023

Boa tarde pessoal, criei um programa que lê arquivos criptografados diretamente do disco.

Abro o programa, digito a senha, e o programa exibe o conteúdo do arquivo.

Em nenhum momento o arquivo é gravado em disco de forma descriptografada (pelo menos o meu programa usa tudo em memória (usando um tmemorystream), não grava direto no disco).

Ou seja, até então o arquivo descriptografado estaria somente residente na memória RAM, e, reiniciando o computador ele deveria sumir.

Mas aí me veio a seguinte questão:

Se a memória estiver muito cheia, o Windows vai começar a gravar (conteúdo da memória) no arquivo pagefile.sys, certo? Pelo menos acho que é assim a configuração básica dos PCs Windows.

Ou se o PC adormecer, o conteúdo da memória será gravada no hiberfil.sys né?

Já ví pessoas, (tem um cara aqui no serviço que faz), recuperarem arquivos contidos dentro do pagefile.sys (de um disco retirado de uma máquina)... Ou seja este arquivo é uma Pu... brecha de segurança.

E neste caso, um programa de recuperação de dados também encontrará os meus arquivos que estavam na memória e o Windows gravou em disco... certo?

Alguma dica do que fazer a respeito disso? ou estou errado na minha forma de pensar?

Existem outros arquivos que o Windows manipula desta forma?

*Desabilitar a paginação não seria possível, pois o programa será usado por terceiros e não tenho como ficar configurando cada PC.

Obrigado..

ricardo_br · 16 de outubro de 2023

@Blumer Celta Tem uma Diretiva de grupo que faz com que o arquivo de paginação seja apagado sempre que o computador é reiniciado, isso ajudaria a manter a segurança nesse caso.

Pelo editor de Diretivas de grupo (somente as versões pro do Windows):

Pressione as teclas WINDOWS + R para abrir o comando executar e digite:
gpedit.msc e pressione ENTER

Siga até Configurações do computador -> Configurações do Windows -> Configurações de segurança -> Politicas locais -> Opções de Segurança
Em: Desligamento: limpar arquivo de paginação de memória virtual = Habilitado

Nas versões home do Windows você pode habilitar essa mesma opção pelo registro do Windows:
Siga até:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
Marque o valor: ClearPageFileAtShutdown = 1
* Se o valor não existir crie um valor Dword com esse nome

bngomes · 16 de outubro de 2023

Acho que voce está certo na forma de pensar...

O arquivo de paginação faz copia de blocos de memória quando a memória principal está cheia...

O Hibernate faz a copia de toda RAM quando o windows é desligado..

então sim.. é possível recuperar o conteudo na RAM usando esses duas arquivos... se não tiver uma forma de desabilitar sempre vai ser inseguro...

W46n3r · 16 de outubro de 2023

34 minutos atrás, Blumer Celta disse:

Boa tarde pessoal, criei um programa que lê arquivos criptografados diretamente do disco.

Isso é um teste acadêmico ou está querendo transformar isso em produto? Porque a essência do que está fazendo o Bitlocker nativo do Windows já faz né?

Outra coisa para se pensar: A senha da criptografia fica na memória em algum lugar, correto? Se está pensando em hyberfil.sys e pagefile.sys... acho que deveria pensar nisso também, porque não deixa de ser mais um vetor de ataque.

Leitura que talvez ache interessante:

https://social.technet.microsoft.com/Forums/msonline/en-US/f7c84aec-ca57-4523-91a3-8b0dddd4a1ab/bitlocker-protection-and-sleep-mode-hibernation-security?forum=w8itprosecurity

O que torna o Bitlocker imune a problemas de hiberfil.sys e pagefile.sys é que estes serão gravados no disco mas também estarão criptografados. Então, não só o Bitlocker faz o que seu programa faz, mas é imune a este ataque especifico.

ricardo_br · 16 de outubro de 2023

O programa dele parece ser diferente do bitlocker no bitlocker só tem como criptografar uma partição inteira, se quiser criptografar um arquivo ou pasta só tem a criptografia nativa NTFS. Acho interessante isso de criptografar com apenas uma pasta ou arquivo com senha....

W46n3r · 16 de outubro de 2023

2 minutos atrás, ricardo_br disse:

Acho interessante isso de criptografar com apenas uma pasta ou arquivo com senha....

Bem... se for pensar que você consegue configurar o 7-zip para abrir arquivos criptografados sem gravar temporários... o programa que faz isso já existe certo? Com a vantagem da compactação ainda por cima.

Blumer Celta · 16 de outubro de 2023

3 horas atrás, ricardo_br disse:

Tem uma Diretiva de grupo que faz com que o arquivo de paginação seja apagado sempre que o computador é reiniciado, isso ajudaria a manter a segurança nesse caso.

Pelo editor de Diretivas de grupo (somente as versões pro do Windows):

Pressione as teclas WINDOWS + R para abrir o comando executar e digite:
gpedit.msc e pressione ENTER

Siga até Configurações do computador -> Configurações do Windows -> Configurações de segurança -> Politicas locais -> Opções de Segurança
Em: Desligamento: limpar arquivo de paginação de memória virtual = Habilitado

Nas versões home do Windows você pode habilitar essa mesma opção pelo registro do Windows:
Siga até:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
Marque o valor: ClearPageFileAtShutdown = 1
* Se o valor não existir crie um valor Dword com esse nome

Obrigado por passar mais estes conhecimentos, vou aplicar no meu pc pessoal.

3 horas atrás, bngomes disse:

Acho que voce está certo na forma de pensar...

O arquivo de paginação faz copia de blocos de memória quando a memória principal está cheia...

O Hibernate faz a copia de toda RAM quando o windows é desligado..

então sim.. é possível recuperar o conteudo na RAM usando esses duas arquivos... se não tiver uma forma de desabilitar sempre vai ser inseguro...

Valeu, obrigado pela resposta.

3 horas atrás, W46n3r disse:

Isso é um teste acadêmico ou está querendo transformar isso em produto?

É um programa simples que fiz para um colega. Ele tem uns arquivos que gostaria de manter ocultos e ele tem um pouco de teoria da conspiração, por isso não confia muito nos programas comerciais.

E ele me perguntou se eu dava certeza que não gravaria nada no disco, e eu alertei que achava que esta seria uma forma de acabar parando os arquivos no disco no final das contas.

3 horas atrás, W46n3r disse:

Porque a essência do que está fazendo o Bitlocker nativo do Windows já faz né?

Sim o bit parece uma ótima alternativa... talvez se ele aplicasse o bitlocker num pendrive... será que ficariam rastros na maquina onde ele espetar e colocar a senha do bit?

3 horas atrás, W46n3r disse:

Outra coisa para se pensar: A senha da criptografia fica na memória em algum lugar, correto? Se está pensando em hyberfil.sys e pagefile.sys... acho que deveria pensar nisso também, porque não deixa de ser mais um vetor de ataque.

ótima dica, vou pensar no que fazer a respeito.

3 horas atrás, W46n3r disse:

Leitura que talvez ache interessante:

Boa dica, vou estudar.

3 horas atrás, W46n3r disse:

O que torna o Bitlocker imune a problemas de hiberfil.sys e pagefile.sys é que estes serão gravados no disco mas também estarão criptografados. Então, não só o Bitlocker faz o que seu programa faz, mas é imune a este ataque especifico

Boa, se funcionar com o pendrive dará certinho para ele.

Entretanto ele pretende esconder certas coisas da esposa... se ela sabe que existe uma senha vai obriga-lo a fornecer.

O programa que fiz tem uma interface falsa. Quem abre pensa se tratar de um arquivo normal de planilha. e colocando a senha em um lugar certo, ele abre novas funções.

3 horas atrás, W46n3r disse:

Bem... se for pensar que você consegue configurar o 7-zip para abrir arquivos criptografados sem gravar temporários... o programa que faz isso já existe certo? Com a vantagem da compactação ainda por cima.

Muito interessante isso, não sabia que o 7zip tinha esta função. vou aplicar para meu uso pessoal.

O problema é se ele levar em um PC onde o compactador não esteja configurado assim.

ele não entende muito de informática, acho que não saberá achar o opção.

W46n3r · 17 de outubro de 2023

1 hora atrás, Blumer Celta disse:

Muito interessante isso, não sabia que o 7zip tinha esta função. vou aplicar para meu uso pessoal

É via linha de comando... então daria pra usar num .cmd ou .bat . Tem um exemplo aqui:

https://superuser.com/questions/1613860/unzip-and-7z-with-password-without-temporary-files

Blumer Celta · 17 de outubro de 2023

16 horas atrás, W46n3r disse:

É via linha de comando... então daria pra usar num .cmd ou .bat . Tem um exemplo aqui:

Obrigado vou dar uma olhada.

22 horas atrás, W46n3r disse:

Leitura que talvez ache interessante:

https://social.technet.microsoft.com/Forums/msonline/en-US/f7c84aec-ca57-4523-91a3-8b0dddd4a1ab/bitlocker-protection-and-sleep-mode-hibernation-security?forum=w8itprosecurity

lá eles citam sobre ataque DMA.

Tenho discos pessoais (externos USB - HDs em cases USB) criptografados com o bitlocker.

Mas, a máquina no qual os acesso não tem criptografia alguma (ainda),

se a pessoa tiver acesso aos (hiberfil.sys pagefile.sys), da minha máquina depois de acessar um disco destes (depois de ejetar o disco usb), será que poderá obter acesso ao password do bitlocker?

Pois se for o caso tenho que me apressar em criptografar minha máquina de uso também.

Obrigado.