BitLocker - na ile bezpieczny?

Żeby nie było wątpliwości, cały czas uważnie śledzę dyskusję.

Mógłbyś rozwinąć myśl? Auto-unlock via TPM? Zawieszanie się podczas upgradu?

Nie zawieszanie się tylko zawieszanie ochrony podczas nienadzorowanych aktualizacji :slight_smile:
Autounlock polega na tym, że BL domyślnie nie prosi o poświadczenia przy rozruchu. Odblokowuje go TPM, jeżeli pomiary nie są zaburzone (jądro niezmienione, BIOS ten sam, ustawienia takie same, Secure Boot nienaruszony). Wtedy chroni nas tylko hasło ekranu logowania.

Czyli żeby odszyfrować dysk wystarczy podstawić jakiś serwer aktualizacji, np. WSUS?

Najpierw trzeba by go było do tego WSUSa zaciągnąć :slight_smile:

Czyli WSUSem można, ciekawe to dosyć, nie wiedziałem, a udając serwer MS update?

Umiesz udawać serwer WU? Zerodium czeka na ciebie z wagonem dolarów! :smiley:

Były aktywatory Windows udające serwer WU czy tam aktywacyjny, więc teoretycznie jest to możliwe? :thinking: Ja nie potrafię, dlatego pytam. No ale taki serwer nie musi być jakiś super wspaniały, bo do jego weryfikacji trzeba odszyfrować dysk komputera? :thinking:

Aktywatory działały po obu stronach. Zarówno stawiały fejkowy KMS, jak i przestawiały systemowy WAS, by go sluchać :slight_smile:

Podobnie sprawa by się miała z WSUS/WU. Jeżeli jesteś w stanie przestawić OS tak, by z nich korzystał, to znaczy że i masz wystarczające prawa, żeby tego BitLockera sobie po prostu wyłączyć ^^

No ale powiedzmy, że korzystamy z WSUS, to takiemu użytkownikowi można odszyfrować dysk bez hasła i klucza?

Jeśli kogoś interesuje potencjalne łamanie BL to polecam lekturę:

1 polubienie

Nie wszystko zrozumiałem, ale się uśmiałem :smiley: Wincyj takich omówień! :joy:

Czyli co, Bitlocker zabezpieczy dane w przypadku “przypadkowego znalezienia bezpańskiego laptopa przez Sebę”, ale odrobina wysiłku i są gotowe narzędzia na otwarcie dysku…

Aż tak źle nie jest… Ten artykuł trochę straszy. Potrzebny jest zbiór sprzyjajacych okolicznosci. Korpo-wdrożenia je eliminują.

Ciekawe jaki jeszcze musiałbyś dostać dowód, że otwarcie takiego dysku jest stosunkowo łatwe, żebyś zmienił zdanie :joy:

Jak mi ktoś odszyfruje dysk, to uwierzę. Jak tysiące firm przestaną tego używać też.
Zwracam uwagę na to, co według autora tamtych tekstów uchodzi za “łatwe”:

  • kradzież fizycznego klucza odzyskiwania
  • zamrożenie kości RAM w ciekłym azocie, odkręcenie ASLR i odbudowanie klucza z takiego zrzutu
  • włamanie na konto Microsoft
  • włamanie ze zdalnym wykonaniem kodu na podniesionych uprawnieniach do uruchomionego komputera przy wdrożeniu bez hasła
  • brute force (!) na hasło używając wydobytych plików hybrydowej hibernacji z rzadko (sparsely) zaszyfrowanej partycji na komputerze bez Secure Boot
  • wydobycie pomiarów PCR z niezaktualizowanych, podatnych TPM (pisałem o tym tu: https://www.dobreprogramy.pl/uefi-kolejne-luki,News,99852.html )

Seriously? :smiley:
Przecież jeżeli ktoś tak bardzo chcialby się dostać do moich danych, łatwiej i taniej byłoby urządzić porwanie i po prostu bić mnie kluczem francuskim aż się wygadam z hasła

1 polubienie

Chodziło mi o tę metodę i zestaw narzędzi BitLeaker, która jest opisana w prezentacji. Do tego już nie potrzeba zdeterminowanego hakjera policyjnego - wystarczy scriptkid :wink:

Nigdy nie interesowałem się tematem, ale ciekawe czy jest więcej takich prostych metod.

W przypadku TPM 2.0 - niestety tak. Ich implementacje są dziurawe. BIOS/UEFI/FW/AMT zawierają ich aktualizacje, ale nie są one dostępne dla każdego.
Ale to nie jest słabość BitLockera. To słabość dedykowanego sprzętu, który miał dostarczać bezpieczeństwo :smiley:
Dlatego porządne wdrożenia BL polegają na kilku składnikach szyfrujących jednocześnie.

Skoro Bitlocker pozwala zaszyfrować w ten sposób dysk nie widząc żadnego problemu, to jest to jak najbardziej podatność tego programu, a szeregowy użytkownik nie będzie się zastanawiał czy ma odpowiedni bios/uefi/fw/amt, tylko chce prostą odpowiedź, której nie ma, bo to czy bitlocker jest skuteczny zależy od różnych czynników.
W takiej sytuacji lepiej jednak wybrać sprawdzone rozwiązanie firm trzecich, którego nie można obejść jednym bootowalnym pendrive dostępnym dla każdego.

To nieprawda (jedno i drugie). Zewnętrzne narzędzia po pierwsze również mogą używać TPM, po drugie dodają zewnętrzny komponent do łańcucha zaufania, a po trzecie jeżeli ktoś się włamie do systemu i ukradnie klucze bo Windows nie dostał u niego aktualizacji od 2015 roku, to podobnie jak w przypadku TPM, również nie będzie to podatność BitLockera, a czego innego.

BL nie ma bazy podatności wszystkich potencjalnych przeszłych i przyszłych problemów z implementacjami TPM. Dostaje sprzęt do szyfrowania, więc z niego korzysta. Jakby nie korzystał, to byłby krzyk, że nie używa dedykowanego układu :smiley: Na Windowsa zawsze jest krzyk.

Natomiast, BitLocker przestał korzystać ze sprzętowych szyfrantów w samych dyskach, gdy okazało się, że są beznadziejnie dziurawe.

Istnieje też zasada grupy umożliwiająca konfiguracje BL bez TPM.

No faktycznie argumenty ciekawe przedstawiasz :joy:
Windows wie, że robi źle, ale nie przestanie, bo byłby krzyk :smiley:

Z mojej strony EOT, bo nie mam na tyle wiedzy, żeby podejmować z tobą dalszą dyskusję, a dowiedziałem się tego, co mnie interesowało.
Pozdrawiam.

1 polubienie

Zapoznałem się (mniej lub więcej) z treścią obydwu linków.

Z pierwszego linku:
O ile dobrze rozumiem to zakładając, że komputer był wyłączony (a niech dodam, że nie posiadam pliku hibernacji, nie usypiam sprzętu, wyłączam) to nie da się z pamięci RAM ‘zrzucić’ odszyfrowanego FVEK.
Jeżeli używam uwierzytelnienia przy pomocy TPM (moja płyta obsługuje) + dość skomplikowanego hasła PIN to wśród dostępnych metod ataku pozostaje jedynie opcja “BitLocker Recovery Key” (zakładam, że 25 znakowego hasła nie da się złamać metodą brute force). Zatem trzeba też dobrze ochronić Microsoft Account.
To już chyba uczyni dysk zabezpieczonym. Dobrze zrozumiałem?

Z drugiego linku:
Jeżeli wyłączę S3 sleep mode i nie można się dostać do TPM kolegi z pracy (lol?) to nie da się odzyskać hasła. Dobrze rozumiem?

Podsumowując:
Wyłączyć S3 sleep mode,
Wyłączyć logowanie z/do domeny,
W BitLokerze wyłączyć automatyczne szyfrowanie hardwarowe,
W BitLokerze ustawić na TPM + PIN,
Pilnować konta Microsoft Account.

Ten zestaw gwarantuje bezpieczeństwo?