Partilhar via


Bitlocker kommentar

Nå har det vært nok mindre bra artikler i it-pressen om Bitlocker angrepet som ble kjent, så må nok kommentere litt på det, basert på den faktiske forskningsartikkelen som ble utgitt og egen Bitlocker kunnskap. Dette er også et generelt problem for HD krypteringsløsninger, så sant nøkkelen lagres i minnet, noe den nesten må for å sikre ytelsen. Gruppa har testet flere krypteringsløsninger og argumenterer også for at de som ikke er testet antagelig er like sårbare for samme angrep.

 

Angrepet

  • Man trenger å få fatt i maskinen mens den er i Standby eller helt på, enten det er med låst skjerm eller ikke. Det funker derimot ikke om maskinen er i hibernate/dvale.
  • Deretter putter man inn/kobler til bootbart media som inneholder de spesielle verktøyene de laget
  • Så tar man strømmen på systemet. Mange tror at RAM mister data med en gang strømmen er borte, men faktisk forsvinner disse gradvis, avhengig av tempratur og minneprodusent. For å bevare dataene lengre har de brukt kjøling av minnet, fra før de skrur av maskina.
  • Så starter man maskinen igjen fra det eksterne bootbare media istedetfor HD og verktøyene her dumper minne og leter gjennom etter krypteringsnøklene.

Enkelte i pressen har misforstått eller utrykkt seg noe klønete om den andre varianten av metoden, for å få tak i nøklene, som nevnes i artikkelen. De sier generelt at systemer som bruker TPM kan være mer sårbare... Bitlocker lagrer jo nøkkelen som krypterer disknøkkelen i TPM chipen. Dersom TPM'en settes opp uten ekstra beskyttelse, som PIN, vil nøkkelen bli frigitt og lagt i minnet i det maskinen starter. Man derimot da ikke boote direkte med disse verktøyene de har laget, da TPM'ens platform measurement ikke vil validere da. Da blir det nemlig detektert en annen botloader og nøkkelen blir ikke frigitt. Men, man kan boote maskina, kjøle RAM og kutte strømmen og deretter boote med disse verktøyene. Uten PIN e.l. er det en sårbarhet der ja. For privat bruk er det derimot mer enn godt nok.

Forhåndsregler / Beskyttelse

Det foreslås også enkelte mottiltak i artikkelen, som er helt i tråd med være anbefalninger.

  • Sett opp Bitlocker med ekstra autentisering. Dvs bruk PIN eller USB pinne med kode på. PIN er det jeg selv ville anbefalt og det vi også mener er best. For andre krypteringsløsninger kan det være andre måter å innføre denne autentiseringen på. Dette vil beskytte mot den ene varianten av angrepet, TPM'en vil da nemlig ikke frigi nøkkelen hvis ikke PIN oppgis korrekt.
  • Sett maskina til å gå i hibernate og ikke standby. Slik jeg ser det blir dette riktignok en avveining basert på trusselbildet for din bedrift. Ordinære tyver klarer ikke dette, men om man har identifisert en risiko for målrettede angrep kan det være verdt å tenke mer på. Dette gjelder spesielt om maskiner har/kan ha informasjon på seg som er av stor verdi for andre. (dette gjelder også for andre krypteringsløsninger enn Bitlocker).
  • Enkelte pc'er kan også settes opp til å wipe minnet som del av utvidet POST check ved oppstart. Dersom dette er mulig er nok det en bedre løsning enn kun å bruke hibernate, med tanke på brukervennligheten. Det må isåfall kunne settes opp slik at det ikke er mulig å hoppe over POST test og dermed memory wipe under oppstart.
  • En annen løsning er jo å låse ned muligheten til å starte fra andre media enn HD, da vil ikke verktøyene fungere.

Som med alt annet av sikkerhet, dette blir en balanse mellom ytelse, brukervennlighet, sikkerhet og risiko. Det som trengs ved implementering av en HD  krypteringsløsning er å ha et klart bilde av truslene/risikoene man skal beskytte seg mot eller ønsker å redusere sannsynligheten for. Deretter kan man ta et bevisst valg rundt løsning, konfigurasjon og hardware osv.

Ellers kan nok en følge av slike proof-of-concept verktøy også være nye metoder for å beskytte nøkkelen, mens den er i RAM, slik at man kan fortsette med god ytelse. Syns derfor slike tester er flott, det er med å drive teknologien videre:)