Jak chronić pliki zaszyfrowane funkcją BitLocker przed atakującymi

BitLocker, technologia szyfrowania wbudowana w system Windows, ostatnio zyskała popularność. Niedawny exploit wykazał usunięcie układu TPM komputera w celu wyodrębnienia kluczy szyfrowania, a wiele dysków twardych łamie funkcję BitLocker. Oto przewodnik dotyczący unikania pułapek funkcji BitLocker.

Pamiętaj, że wszystkie te ataki wymagają fizycznego dostępu do komputera. O to właśnie chodzi w szyfrowaniu – aby powstrzymać złodzieja, który ukradł twój laptop lub inną osobę, przed uzyskaniem dostępu do twojego komputera stacjonarnego przed przeglądaniem twoich plików bez twojej zgody.

Standardowa funkcja BitLocker nie jest dostępna w systemie Windows Home

Podczas gdy prawie wszystkie nowoczesne systemy operacyjne dla konsumentów są domyślnie dostarczane z szyfrowaniem, system Windows 10 nadal nie zapewnia szyfrowania na wszystkich komputerach. Komputery Mac, Chromebooki, iPady, iPhone’y, a nawet dystrybucje Linuksa oferują szyfrowanie wszystkim swoim użytkownikom. Ale Microsoft nadal nie łączy funkcji BitLocker z systemem Windows 10 Home.

Niektóre komputery mogą być wyposażone w podobną technologię szyfrowania, którą firma Microsoft pierwotnie nazywała „szyfrowaniem urządzeń”, a teraz czasami nazywa ją „szyfrowaniem urządzeń BitLocker”. Omówimy to w następnej sekcji. Jednak ta technologia szyfrowania urządzeń jest bardziej ograniczona niż pełna funkcja BitLocker.

Jak atakujący może to wykorzystać: nie ma potrzeby wykorzystywania exploitów! Jeśli Twój komputer z systemem Windows Home po prostu nie jest zaszyfrowany, osoba atakująca może usunąć dysk twardy lub uruchomić inny system operacyjny na komputerze, aby uzyskać dostęp do plików.

Rozwiązanie: zapłać 99 USD za aktualizację do systemu Windows 10 Professional i włącz funkcję BitLocker. Możesz także rozważyć wypróbowanie innego rozwiązania szyfrującego, takiego jak VeraCrypt, następca TrueCrypt, który jest bezpłatny.

BitLocker czasami przesyła Twój klucz do firmy Microsoft

Wiele nowoczesnych komputerów z systemem Windows 10 jest wyposażonych w szyfrowanie o nazwie „szyfrowanie urządzeń”. Jeśli Twój komputer to obsługuje, zostanie automatycznie zaszyfrowany po zalogowaniu się do komputera za pomocą konta Microsoft (lub konta domeny w sieci firmowej). Klucz odzyskiwania jest następnie automatycznie przesyłany na serwery firmy Microsoft (lub serwery Twojej organizacji w domenie).

Chroni to Cię przed utratą plików – nawet jeśli zapomnisz hasła do konta Microsoft i nie możesz się zalogować, możesz skorzystać z procesu odzyskiwania konta i odzyskać dostęp do klucza szyfrowania.

Jak atakujący może to wykorzystać: To lepsze niż brak szyfrowania. Oznacza to jednak, że firma Microsoft może zostać zmuszona do ujawnienia rządowi klucza szyfrowania za pomocą nakazu. Lub, co gorsza, osoba atakująca może teoretycznie nadużyć procesu odzyskiwania konta Microsoft, aby uzyskać dostęp do Twojego konta i klucza szyfrowania. Jeśli osoba atakująca miała fizyczny dostęp do Twojego komputera lub jego dysku twardego, mogłaby użyć tego klucza odzyskiwania do odszyfrowania Twoich plików – bez konieczności posiadania hasła.

Rozwiązanie: zapłać 99 USD za uaktualnienie do systemu Windows 10 Professional, włącz funkcję BitLocker za pośrednictwem Panelu sterowania i nie przesyłaj klucza odzyskiwania na serwery firmy Microsoft po wyświetleniu monitu.

Wiele dysków półprzewodnikowych przerywa szyfrowanie funkcją BitLocker

Niektóre dyski półprzewodnikowe reklamują obsługę „szyfrowania sprzętowego”. Jeśli używasz takiego dysku w systemie i włączysz funkcję BitLocker, system Windows będzie ufał twojemu dyskowi, że wykona zadanie i nie wykona zwykłych technik szyfrowania. W końcu, jeśli dysk może wykonać pracę sprzętową, powinno to być szybsze.

Jest tylko jeden problem: naukowcy odkryli, że wiele dysków SSD nie implementuje tego poprawnie. Na przykład Crucial MX300 domyślnie chroni Twój klucz szyfrowania pustym hasłem. Windows może powiedzieć, że funkcja BitLocker jest włączona, ale w rzeczywistości może nie robić wiele w tle. To przerażające: funkcja BitLocker nie powinna po cichu ufać dyskom SSD do wykonania pracy. Jest to nowsza funkcja, więc ten problem dotyczy tylko systemu Windows 10, a nie systemu Windows 7.

Jak atakujący może to wykorzystać: system Windows może powiedzieć, że funkcja BitLocker jest włączona, ale funkcja BitLocker może siedzieć bezczynnie i pozwalać dyskowi SSD na niepowodzenie w bezpiecznym szyfrowaniu danych. Osoba atakująca może potencjalnie ominąć źle zaimplementowane szyfrowanie na dysku SSD, aby uzyskać dostęp do plików.

Rozwiązanie: Zmień opcję „Konfiguruj użycie szyfrowania sprzętowego dla stałych dysków danych” w zasadach grupy systemu Windows na „Wyłączone”. Aby ta zmiana zaczęła obowiązywać, musisz później odszyfrować i ponownie zaszyfrować dysk. Funkcja BitLocker przestanie ufać dyskom i wykona całą pracę w oprogramowaniu, a nie w sprzęcie.

Chipy TPM można usunąć

Badacz bezpieczeństwa niedawno zademonstrował kolejny atak. Funkcja BitLocker przechowuje klucz szyfrowania w module Trusted Platform Module (TPM) komputera, który jest specjalnym elementem sprzętu, który powinien być odporny na manipulacje. Niestety, atakujący przydałby się płyta FPGA za 27 dolarów i trochę kodu open source aby wyodrębnić go z TPM. Spowodowałoby to zniszczenie sprzętu, ale pozwoliłoby na wyodrębnienie klucza i ominięcie szyfrowania.

Jak atakujący może to wykorzystać: jeśli atakujący ma twój komputer, teoretycznie może ominąć wszystkie te wymyślne zabezpieczenia TPM, majstrując przy sprzęcie i wydobywając klucz, co nie powinno być możliwe.

Rozwiązanie: skonfiguruj funkcję BitLocker, aby wymagała przedrozruchowego kodu PIN w zasadach grupy. Opcja „Wymagaj startowego kodu PIN z TPM” zmusi system Windows do użycia kodu PIN do odblokowania modułu TPM podczas uruchamiania. Będziesz musiał wpisać kod PIN podczas uruchamiania komputera przed uruchomieniem systemu Windows. Jednak spowoduje to zablokowanie modułu TPM z dodatkową ochroną, a osoba atakująca nie będzie w stanie wyodrębnić klucza z modułu TPM bez znajomości Twojego kodu PIN. Moduł TPM chroni przed atakami siłowymi, więc atakujący nie będą w stanie odgadnąć każdego kodu PIN jeden po drugim.

Śpiące komputery są bardziej narażone

Firma Microsoft zaleca wyłączenie trybu uśpienia podczas korzystania z funkcji BitLocker w celu zapewnienia maksymalnego bezpieczeństwa. Tryb hibernacji jest w porządku – funkcja BitLocker może wymagać podania kodu PIN po wybudzeniu komputera ze stanu hibernacji lub po normalnym uruchomieniu. Jednak w trybie uśpienia komputer pozostaje włączony, a jego klucz szyfrowania jest przechowywany w pamięci RAM.

Jak atakujący może to wykorzystać: Jeśli atakujący ma Twój komputer, może go obudzić i zalogować się. W systemie Windows 10 może być konieczne wprowadzenie numerycznego kodu PIN. W przypadku fizycznego dostępu do komputera osoba atakująca może również być w stanie użyć bezpośredniego dostępu do pamięci (DMA), aby pobrać zawartość pamięci RAM systemu i uzyskać klucz BitLocker. Osoba atakująca może również wykonać atak zimnego rozruchu – zrestartować uruchomiony komputer i pobrać klucze z pamięci RAM, zanim znikną. Może to nawet wymagać użycia zamrażarki w celu obniżenia temperatury i spowolnienia tego procesu.

Rozwiązanie: Hibernuj lub wyłącz komputer zamiast pozostawiać go w stanie uśpienia. Użyj kodu PIN przed uruchomieniem, aby zabezpieczyć proces rozruchu i zablokować ataki podczas zimnego rozruchu – funkcja BitLocker będzie również wymagać kodu PIN podczas wznawiania ze stanu hibernacji, jeśli jest ustawiona na wymaganie kodu PIN podczas rozruchu. Windows pozwala także „wyłącz nowe urządzenia DMA, gdy ten komputer jest zablokowany”Również poprzez ustawienie zasad grupy, które zapewnia pewną ochronę, nawet jeśli osoba atakująca zdobędzie Twój komputer, gdy jest on uruchomiony.

Jeśli chcesz poczytać więcej na ten temat, firma Microsoft ma szczegółową dokumentację dla zabezpieczanie Bitlocker na swojej stronie internetowej.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *