BitLocker, krypteringsteknologien indbygget i Windows, har fået nogle hits på det seneste. En nylig udnyttelse demonstrerede fjernelse af en computers TPM-chip for at udtrække dens krypteringsnøgler, og mange harddiske bryder BitLocker. Her er en guide til at undgå BitLockers faldgruber.
Bemærk, at disse angreb alle kræver fysisk adgang til din computer. Det er hele pointen med kryptering – at forhindre en tyv, der stjal din bærbare computer, eller en anden i at få adgang til din stationære pc fra at se dine filer uden din tilladelse.
Indholdsfortegnelse
Standard BitLocker er ikke tilgængelig på Windows Home
Mens næsten alle moderne forbrugeroperativsystemer leveres med kryptering som standard, leverer Windows 10 stadig ikke kryptering på alle pc’er. Macs, Chromebooks, iPads, iPhones og endda Linux-distributioner tilbyder kryptering til alle deres brugere. Men Microsoft bundter stadig ikke BitLocker med Windows 10 Home.
Nogle pc’er kommer muligvis med lignende krypteringsteknologi, som Microsoft oprindeligt kaldte “enhedskryptering” og nu nogle gange kalder “BitLocker-enhedskryptering.” Vi dækker det i næste afsnit. Denne enhedskrypteringsteknologi er dog mere begrænset end fuld BitLocker.
Hvordan en angriber kan udnytte dette: Der er ikke behov for udnyttelser! Hvis din Windows Home-pc bare ikke er krypteret, kan en hacker fjerne harddisken eller starte et andet operativsystem på din pc for at få adgang til dine filer.
Løsningen: Betal $99 for en opgradering til Windows 10 Professional og aktivér BitLocker. Du kan også overveje at prøve en anden krypteringsløsning som VeraCrypt, efterfølgeren til TrueCrypt, som er gratis.
BitLocker uploader nogle gange din nøgle til Microsoft
Mange moderne Windows 10-pc’er kommer med en type kryptering kaldet “enhedskryptering.” Hvis din pc understøtter dette, bliver den automatisk krypteret, når du logger ind på din pc med din Microsoft-konto (eller en domænekonto på et firmanetværk). Gendannelsesnøglen uploades derefter automatisk til Microsofts servere (eller din organisations servere på et domæne).
Dette beskytter dig mod at miste dine filer – selvom du glemmer adgangskoden til din Microsoft-konto og ikke kan logge på, kan du bruge kontogendannelsesprocessen og få adgang til din krypteringsnøgle igen.
Hvordan en angriber kan udnytte dette: Dette er bedre end ingen kryptering. Dette betyder dog, at Microsoft kan blive tvunget til at afsløre din krypteringsnøgle til regeringen med en kendelse. Eller endnu værre, en angriber kan teoretisk misbruge en Microsoft-kontos gendannelsesproces for at få adgang til din konto og få adgang til din krypteringsnøgle. Hvis angriberen havde fysisk adgang til din pc eller dens harddisk, kunne de derefter bruge denne gendannelsesnøgle til at dekryptere dine filer – uden at have brug for din adgangskode.
Løsningen: Betal $99 for en opgradering til Windows 10 Professional, aktiver BitLocker via kontrolpanelet, og vælg ikke at uploade en gendannelsesnøgle til Microsofts servere, når du bliver bedt om det.
Mange Solid State-drev bryder BitLocker-kryptering
Nogle solid-state-drev annoncerer understøttelse af “hardwarekryptering.” Hvis du bruger et sådant drev i dit system og aktiverer BitLocker, vil Windows stole på, at dit drev udfører jobbet og ikke udfører sine sædvanlige krypteringsteknikker. Når alt kommer til alt, hvis drevet kan udføre arbejdet i hardware, burde det være hurtigere.
Der er kun et problem: Forskere har opdaget, at mange SSD’er ikke implementerer dette korrekt. For eksempel beskytter Crucial MX300 som standard din krypteringsnøgle med en tom adgangskode. Windows kan sige, at BitLocker er aktiveret, men det kan faktisk ikke gøre meget i baggrunden. Det er skræmmende: BitLocker bør ikke stille og roligt stole på, at SSD’er gør arbejdet. Dette er en nyere funktion, så dette problem påvirker kun Windows 10 og ikke Windows 7.
Hvordan en angriber kunne udnytte dette: Windows kan sige, at BitLocker er aktiveret, men BitLocker sidder måske passivt og lader din SSD fejle i at kryptere dine data sikkert. En angriber kan potentielt omgå den dårligt implementerede kryptering i dit solid state-drev for at få adgang til dine filer.
Løsningen: Skift indstillingen “Konfigurer brug af hardwarebaseret kryptering til faste datadrev” i Windows gruppepolitik til “Deaktiveret.” Du skal afkryptere og genkryptere drevet bagefter, for at denne ændring træder i kraft. BitLocker vil stoppe med at stole på drev og vil gøre alt arbejdet i software i stedet for hardware.
TPM-chips kan fjernes
En sikkerhedsforsker demonstrerede for nylig endnu et angreb. BitLocker gemmer din krypteringsnøgle i din computers Trusted Platform Module (TPM), som er et specielt stykke hardware, der formodes at være manipulationssikkert. Desværre kunne en angriber bruge et $27 FPGA-kort og noget open source-kode at udtrække det fra TPM. Dette ville ødelægge hardwaren, men ville tillade at udtrække nøglen og omgå krypteringen.
Hvordan en angriber kan udnytte dette: Hvis en angriber har din pc, kan de teoretisk omgå alle de smarte TPM-beskyttelser ved at manipulere med hardwaren og udtrække nøglen, hvilket ikke formodes at være muligt.
Løsningen: Konfigurer BitLocker til at kræve en pre-boot PIN i gruppepolitikken. Indstillingen “Kræv opstarts-PIN med TPM” vil tvinge Windows til at bruge en PIN-kode til at låse TPM’en op ved opstart. Du skal indtaste en PIN-kode, når din pc starter, før Windows starter op. Dette vil dog låse TPM’en med yderligere beskyttelse, og en hacker vil ikke være i stand til at udtrække nøglen fra TPM’en uden at kende din PIN-kode. TPM’en beskytter mod brute force-angreb, så angribere ikke bare vil være i stand til at gætte hver pinkode én efter én.
Sovende pc’er er mere sårbare
Microsoft anbefaler at deaktivere dvaletilstand, når du bruger BitLocker for maksimal sikkerhed. Dvaletilstand er fint – du kan få BitLocker til at kræve en PIN-kode, når du vækker din pc fra dvale, eller når du starter den normalt. Men i dvaletilstand forbliver pc’en tændt med sin krypteringsnøgle gemt i RAM.
Sådan kan en angriber udnytte dette: Hvis en angriber har din pc, kan de vække den og logge ind. På Windows 10 skal de muligvis indtaste en numerisk PIN-kode. Med fysisk adgang til din pc kan en hacker muligvis også bruge direkte hukommelsesadgang (DMA) til at få fat i indholdet af dit systems RAM og få BitLocker-nøglen. En angriber kan også udføre et koldstartangreb – genstart den kørende pc og få fat i nøglerne fra RAM, før de forsvinder. Dette kan endda involvere brugen af en fryser til at sænke temperaturen og bremse processen.
Løsningen: Gå i dvale eller luk din pc ned i stedet for at lade den ligge i dvale. Brug en PIN-kode før opstart for at gøre opstartsprocessen mere sikker og blokere koldstartangreb – BitLocker vil også kræve en PIN-kode, når den genoptager fra dvaletilstand, hvis den er indstillet til at kræve en PIN-kode ved opstart. Windows lader dig også “deaktiver nye DMA-enheder, når denne computer er låst” også gennem en gruppepolitikindstilling – der giver en vis beskyttelse, selvom en hacker får din pc, mens den kører.
Hvis du gerne vil læse mere om emnet, har Microsoft detaljeret dokumentation for sikring af Bitlocker på sin hjemmeside.