Jak chronić pliki zaszyfrowane funkcją BitLocker przed atakującymi.

BitLocker, technologia szyfrowania wbudowana w system Windows, ostatnio trochę pobiła. Niedawny exploit wykazał usunięcie układu TPM komputera w celu wyodrębnienia jego kluczy szyfrujących, a wiele dysków twardych łamie funkcję BitLocker. Oto przewodnik, jak unikać pułapek BitLockera.

Należy pamiętać, że wszystkie te ataki wymagają fizycznego dostępu do komputera. O to właśnie chodzi w szyfrowaniu: aby uniemożliwić złodziejowi, który ukradł twój laptop lub komuś innemu, uzyskanie dostępu do twojego pulpitu, przeglądanie jego plików bez jego zgody.

Jak chronić pliki zaszyfrowane funkcją BitLocker przed atakującymi

Standardowa funkcja BitLocker nie jest dostępna w systemie Windows Home

Chociaż prawie wszystkie nowoczesne konsumenckie systemy operacyjne są domyślnie dostarczane z szyfrowaniem, system Windows 10 wciąż nie zapewnia szyfrowania na wszystkich komputerach. Komputery Mac, Chromebooki, iPady, iPhone’y, a nawet dystrybucje Linuksa oferują szyfrowanie wszystkim swoim użytkownikom. Ale Microsoft nadal nie dołącza funkcji BitLocker do systemu Windows 10 Home.

Niektóre komputery mogą być wyposażone w podobną technologię szyfrowania, którą firma Microsoft pierwotnie nazywała „szyfrowaniem urządzeń”, a obecnie nazywa się ją „szyfrowaniem urządzeń funkcją BitLocker”. Omówimy to w następnej sekcji. Jednak ta technologia szyfrowania urządzeń jest bardziej ograniczona niż pełna funkcja BitLocker.

Jak chronić pliki zaszyfrowane funkcją BitLocker przed atakującymi

Jak atakujący może to wykorzystać: Nie ma potrzeby wykorzystywania exploitów! Jeśli komputer z systemem Windows Home po prostu nie jest zaszyfrowany, osoba atakująca może usunąć dysk twardy lub uruchomić inny system operacyjny na komputerze, aby uzyskać dostęp do plików.

Poprawka: zapłać 99 USD, aby uaktualnić do systemu Windows 10 Professional i włączyć funkcję BitLocker. Możesz także rozważyć wypróbowanie innego rozwiązania szyfrującego, takiego jak VeraCrypt, następca TrueCrypt, który jest bezpłatny.

Jak chronić pliki zaszyfrowane funkcją BitLocker przed atakującymi

BitLocker czasami przesyła swój klucz do firmy Microsoft

Wiele nowoczesnych komputerów z systemem Windows 10 jest wyposażonych w rodzaj szyfrowania zwany „szyfrowaniem urządzenia”. Jeśli Twój komputer obsługuje tę funkcję, zostanie on automatycznie zaszyfrowany po zalogowaniu się na komputerze za pomocą konta Microsoft (lub konta domeny w sieci firmowej). Klucz odzyskiwania jest następnie automatycznie przesyłany na serwery firmy Microsoft (lub na serwery Twojej organizacji w domenie).

Chroni to przed utratą plików; Nawet jeśli zapomnisz hasła do konta Microsoft i nie możesz się zalogować, możesz skorzystać z procesu odzyskiwania konta i odzyskać dostęp do klucza szyfrowania.

Jak chronić pliki zaszyfrowane funkcją BitLocker przed atakującymi

Jak atakujący może to wykorzystać: To lepsze niż brak szyfrowania. Oznacza to jednak, że Microsoft może zostać zmuszony do ujawnienia rządowi swojego klucza szyfrującego na mocy nakazu sądowego. Lub, co gorsza, atakujący mógłby teoretycznie nadużyć procesu odzyskiwania konta Microsoft, aby uzyskać dostęp do konta i klucza szyfrowania. Jeśli osoba atakująca miała fizyczny dostęp do komputera lub dysku twardego, mogłaby użyć tego klucza odzyskiwania do odszyfrowania plików bez konieczności podawania hasła.

Rozwiązanie: zapłać 99 USD za uaktualnienie do systemu Windows 10 Professional, włącz funkcję BitLocker w Panelu sterowania i po wyświetleniu monitu nie przesyłaj klucza odzyskiwania na serwery firmy Microsoft.

Wiele dysków półprzewodnikowych łamie szyfrowanie BitLocker

Niektóre dyski półprzewodnikowe reklamują wsparcie dla „szyfrowania sprzętowego”. Jeśli używasz takiego dysku w swoim systemie i włączysz funkcję BitLocker, system Windows będzie ufał, że dysk wykona swoją pracę i nie wykona zwykłych technik szyfrowania. W końcu, jeśli dysk może wykonać zadanie sprzętowo, powinien być szybszy.

Jak chronić pliki zaszyfrowane funkcją BitLocker przed atakującymi

Jest tylko jeden problem: naukowcy odkryli, że wiele dysków SSD nie implementuje tego poprawnie. Na przykład Crucial MX300 domyślnie chroni swój klucz szyfrujący pustym hasłem. System Windows może powiedzieć, że funkcja BitLocker jest włączona, ale w rzeczywistości może niewiele robić w tle. To przerażające: BitLocker nie powinien po cichu polegać na dyskach SSD, aby wykonać zadanie. Jest to nowsza funkcja, więc ten problem dotyczy tylko systemu Windows 10, a nie systemu Windows 7.

Jak osoba atakująca może to wykorzystać: system Windows może powiedzieć, że funkcja BitLocker jest włączona, ale funkcja BitLocker może być wyłączona i spowodować, że dysk SSD nie będzie mógł bezpiecznie zaszyfrować danych. Osoba atakująca może potencjalnie ominąć źle zaimplementowane szyfrowanie na dysku SSD, aby uzyskać dostęp do plików.

Poprawka: Zmień opcję „Konfiguruj, aby używać szyfrowania sprzętowego dla stałych dysków danych” w zasadach grupy systemu Windows na „Wyłączone”. Następnie musisz odszyfrować i ponownie zaszyfrować dysk, aby ta zmiana zaczęła obowiązywać. BitLocker przestanie ufać dyskom i wykona całą pracę w oprogramowaniu zamiast w sprzęcie.

Jak chronić pliki zaszyfrowane funkcją BitLocker przed atakującymi

Chipy TPM można usunąć

Badacz bezpieczeństwa niedawno zademonstrował kolejny atak. Funkcja BitLocker przechowuje klucz szyfrowania w module Trusted Platform Module (TPM) komputera, który jest specjalnym elementem sprzętu, który ma być odporny na manipulacje. Niestety osoba atakująca może go użyć do wyodrębnienia go z modułu TPM. To zniszczyłoby sprzęt, ale pozwoliłoby na wyodrębnienie klucza i obejście szyfrowania.

Jak atakujący może to wykorzystać: jeśli atakujący ma twój komputer, może teoretycznie ominąć wszystkie te wymyślne zabezpieczenia TPM, modyfikując sprzęt i wydobywając klucz, co nie powinno być możliwe.

Rozwiązanie: ustaw funkcję BitLocker tak, aby wymagała kodu PIN przed uruchomieniem systemu w zasadach grupy. Opcja „Wymagaj kodu PIN uruchamiania z modułem TPM” zmusi system Windows do użycia kodu PIN w celu odblokowania modułu TPM podczas uruchamiania. Będziesz musiał wprowadzić kod PIN podczas uruchamiania komputera przed uruchomieniem systemu Windows. Spowoduje to jednak zablokowanie modułu TPM z dodatkową ochroną, a osoba atakująca nie będzie mogła wyodrębnić klucza z modułu TPM bez znajomości kodu PIN. Moduł TPM chroni przed atakami siłowymi, więc osoby atakujące nie będą mogły po prostu odgadnąć każdego kodu PIN jeden po drugim.

Śpiące komputery są bardziej podatne na ataki

Firma Microsoft zaleca wyłączenie trybu uśpienia podczas korzystania z funkcji BitLocker w celu zapewnienia maksymalnego bezpieczeństwa. Tryb hibernacji jest w porządku: funkcja BitLocker może pytać o kod PIN po wybudzeniu komputera ze stanu hibernacji lub przy normalnym uruchamianiu. Ale w trybie uśpienia komputer pozostaje włączony z kluczem szyfrowania przechowywanym w pamięci RAM.

Jak chronić pliki zaszyfrowane funkcją BitLocker przed atakującymi

Jak osoba atakująca może to wykorzystać: Jeśli osoba atakująca ma Twój komputer, może go aktywować i zalogować. W systemie Windows 10 może być konieczne wprowadzenie numerycznego kodu PIN. Dzięki fizycznemu dostępowi do komputera osoba atakująca może również użyć bezpośredniego dostępu do pamięci (DMA) w celu przechwycenia zawartości systemowej pamięci RAM i uzyskania klucza funkcji BitLocker. Osoba atakująca może również przeprowadzić atak zimnego rozruchu: zrestartować działający komputer i pobrać klucze z pamięci RAM, zanim znikną. Może to nawet obejmować użycie zamrażarki do obniżenia temperatury, aby spowolnić ten proces.

Rozwiązanie: Hibernuj lub wyłącz komputer zamiast go uśpić. Użyj kodu PIN przed uruchomieniem, aby zwiększyć bezpieczeństwo procesu rozruchu i zablokować ataki zimnego rozruchu; BitLocker będzie również wymagał kodu PIN podczas wybudzania ze stanu hibernacji, jeśli jest skonfigurowany tak, aby wymagał kodu PIN podczas uruchamiania. System Windows umożliwia również „”przejście przez ustawienie zasad grupy, które zapewnia pewną ochronę, nawet jeśli osoba atakująca przejmie komputer podczas jego działania.

Jeśli chcesz przeczytać więcej na ten temat, Microsoft ma szczegółową dokumentację na jego stronie internetowej.

Jak chronić pliki zaszyfrowane funkcją BitLocker przed atakującymi