Witam serdecznie,
Od czasu pandemii pracuję z domu i ponieważ prawdopodobnie będę to robił już dość regularnie to zastanawiam się nad zabezpieczaniem komputera, z którego łączę się czasami zdalnie z firmą. Niektórzy namawiają mnie na veracrypt, lecz wydaje się nie działać najlepiej na Windows 10 i do tego często słyszałem o problemach po aktualizacji Windowsa (a robię to zawsze jak jest okazja). Bitlocker jest wbudowany w system Windows 10 Pro. Zastanawiam się na ile bezpieczne jest korzystanie z bitlockera pod Windowsem 10? (czytałem, że na SSD trzeba wyłączyć w programie hardwareowe szyfrowanie.)

Jeśli pracujesz zdalnie to nie masz danych na swoim dysku firmowym, przynajmniej tak powinno być. Zabezpieczenie danych to problem informatyka firmy. Mam nadzieję, że nie pracujesz na prywantym laptopie bo to już porażka bezpieczeństwa.

Wystarczająco bezpieczny.

Jednak jedyne co robi bitlocker to szyfrowanie danych na dysku, nie zabezpiecza więc on przed niepowołanym dostępem np. do już włączonego komputera którego użytkownik zapomniał wyłączyć i pozostawił bez opieki, nie zabezpiecza przed atakami z użyciem złośliwego oprogramowania itd.

Mam na myśli bezpośrednio kradzież komputera. I kwestia nie dotyczy tylko pracy i rzeczy z nią związanych, ale ogólnie bezpieczeństwa szeroko pojętego. Komputer mam bardzo prywatny i mnóstwo takich danych jest zapisanych bezpośrednio na komputerze.
Np. wcześniej czytałem, że można z MTP chyba wyciągnąć hasło i potem je złamać. Potem czytałem, że to usunęli i jak się sprzęt zmieni to nie pozwala dostać się do MTP. I kilka innych opinii/przypadków.

Hipotetycznie rzecz ujmując:
bardzo dobry, doskonały haker ukradł mi komputer (siłą rzeczy wyłączył). Całe pudło. Miałem hasło w stylu ‘mega_trudne_haslo_ni3_DO_ZLAMANIA_duzo_znakow9914231243123’. Jakie są szanse, że dane wpadną w niepowołane ręce?

Jeżeli komputer został odcięty od zasilania na przynajmniej kilkanaście minut, szanse są bliskie zera.

Jeżeli był w trybie uśpienia i zasilanie podtrzymywała np. bateria laptopa, istnieje duża szansa że uda się dobrać do danych.

Bitlocker to technologia niczym durszlak - wielokrotnie znajdywano w niej dziury i była łatana.

Jak cały Windows 10

Wystarczy odpalić kompa z płyty z softem typu kon boot i juz jest dostęp do twoich danych. Można też złamać bitlockera np. na płycie strelec jest do tego soft. Druga sprawa jak pisałem wcześniej twój informatyk w firmie powinien zadbać o bezpieczeństwo danych aby nie były fizycznie na twoim komputerze mam nadzieję, że to nie prywatny tylko firmowy. Hasło nie ma znaczenia jeśli chodzi o windows można to szybko obejść.

Zmartwiliście mnie…

To co jest bezpieczne?

Chętnie zobaczę demonstrację jak łamiesz tego bitlockera za pomocą bootowalnej płyty.

Fakt, bez secure boot jest pewna “luka” którą można wykorzystać do próby złamania tego rozwiązania, ale nie słyszałem o tego typu atakach.

Wpisz sobie w wyszukiwarkę tego forum “BitLocker” narzędzie niestety nie jest bezproblemowe na jakie wygląda.

VeraCrypt nie zaszyfruje Ci całego dysku w trybie bootowania EFI, tylko partycje systemową i ewentualnie potem możesz zamontować pozostałe zaszyfrowane wolumeny np. z jakimiś danymi.

Note: By default, Windows 7 and later boot from a special small partition. The partition contains files that are required to boot the system. Windows allows only applications that have administrator privileges to write to the partition (when the system is running). In EFI boot mode, which is the default on modern PCs, VeraCrypt can not encrypt this partition since it must remain unencrypted so that the BIOS can load the EFI bootloader from it. This in turn implies that in EFI boot mode, VeraCrypt offers only to encrypt the system partition where Windows is installed (the user can later manualy encrypt other data partitions using VeraCrypt). In MBR legacy boot mode, VeraCrypt encrypts the partition only if you choose to encrypt the whole system drive (as opposed to choosing to encrypt only the partition where Windows is installed).

Żadnemu programowi z dziedziny bezpieczeństwa nie można zaufać jeśli kod źródłowy jest niedostępny.

Mówiąc o dzisiejszych czasach, to BitLocker z TPM (2.0) jest dobrym wyborem.
Co prawda trafił do mnie użytkownik, który zaszyfrował sobie w ten sposób dysk i był z tej funkcji bardzo niezadowolony, ale wynikało to tylko z tego, że kiepski zasilacz spalił mu całą płytę główną i jego danych (z nienaruszonego dysku) nie dało się w żaden sposób odzyskać…

Do odzyskania danych wymagane są klucze odzyskiwania które bitlocker każe zapisać na nośniku zewnętrznym podczas szyfrowania dysku.

Za pomocą klucza odzyskiwania można zamontować zaszyfrowany nośnik np. w innym komputerze.

Zresztą, jedna z osób odpowiadających w tym temacie ma podobno jakiś magiczny sposób na bitlockera

Te były, natomiast nie było (i były niemożliwe do odzyskania) klucze ze spalonego modułu TPM z jego płyty głównej. Na tym polega to zabezpieczenie na płycie z TPM.

Ja używam Cryptomatora - zaszyfrowany pliko-dysk możesz trzymać nawet w publicznej chmurze.

Kopia danych na dysku zewnętrznym, który nie będzie szyfrowany, a dysk szyfrować Cryptomatorem.

Dane bezpieczne w miarę.

A coś świeższego niż sprzed 5 lat?
Poza tym:

Problem dotyczy komputerów, które należą do domeny wykorzystywanej w środowisku korporacyjnym – podczas autoryzacji dane są sprawdzane przez komputer zarządzający domeną, w przypadku braku połączenia z nim uwierzytelnienie wykorzystuje lokalną pamięć podręczną.

Nie spotkałem się z opinią, by bitlocker był technologią mało bezpieczną. Też bym z chęcią zweryfikował takie doniesienia.

BitLocker jest branżowym standardem, używanym masowo przez tuziny firm praktykujących VPNowe domeny AD i laptopy “na wynos”. Chętnie poznam rzekome dziury pozwalające na odszyfrowanie danych.

Zgodzę się, że auto-unlock via TPM i zawieszanie BitLockera podczas upgradu Windows to potencjalne słabości. Acz są one czysto teoretyczne w przypadku typowych wdrożeń, jakimi są szyfrowania z wykorzystaniem TPM i bez szyfrantów sprzętowych SSD, z mocnym algorytmem domyślnym i kluczem sprzętowym/hasłem do odblokowania.

Marudzenie na BitLockera, podobnie jak opinie, że “Windows 10 jest niebezpieczny”, to w większości sensacjonalizm.

Poza tym, prosta reguła: im więcej stron trzecich w łańcuchu zaufania, tym gorzej. Zewnętrzne, “genialne” narzędzia należy stosować tylko wtedy, gdy wbudowane są bezużyteczne/nieistniejące. Dlatego jestem bardzo sceptyczny wobec kwestii stosowania zewnętrznych szyfrantów, zewnętrznych antywirusów.