BitLocker, krypteringsteknologien innebygd i Windows, har fått noen treff i det siste. En nylig utnyttelse demonstrerte fjerning av en datamaskins TPM-brikke for å trekke ut krypteringsnøklene, og mange harddisker bryter BitLocker. Her er en guide for å unngå BitLockers fallgruver.
Merk at alle disse angrepene krever fysisk tilgang til datamaskinen din. Det er hele poenget med kryptering – for å stoppe en tyv som stjal den bærbare datamaskinen din eller noen fra å få tilgang til din stasjonære PC fra å se filene dine uten din tillatelse.
Innholdsfortegnelse
Standard BitLocker er ikke tilgjengelig på Windows Home
Mens nesten alle moderne forbrukeroperativsystemer leveres med kryptering som standard, gir Windows 10 fortsatt ikke kryptering på alle PC-er. Mac-, Chromebook-, iPad-, iPhone- og til og med Linux-distribusjoner tilbyr kryptering til alle brukerne. Men Microsoft pakker fortsatt ikke BitLocker med Windows 10 Home.
Noen PC-er kan komme med lignende krypteringsteknologi, som Microsoft opprinnelig kalte «enhetskryptering» og nå noen ganger kaller «BitLocker-enhetskryptering.» Vi skal dekke det i neste avsnitt. Imidlertid er denne enhetskrypteringsteknologien mer begrenset enn full BitLocker.
Hvordan en angriper kan utnytte dette: Det er ikke behov for utnyttelser! Hvis Windows Home PC-en din bare ikke er kryptert, kan en angriper fjerne harddisken eller starte et annet operativsystem på PC-en for å få tilgang til filene dine.
Løsningen: Betal $99 for en oppgradering til Windows 10 Professional og aktiver BitLocker. Du kan også vurdere å prøve en annen krypteringsløsning som VeraCrypt, etterfølgeren til TrueCrypt, som er gratis.
BitLocker laster noen ganger opp nøkkelen din til Microsoft
Mange moderne Windows 10-PCer kommer med en type kryptering kalt «enhetskryptering.» Hvis PC-en din støtter dette, blir den automatisk kryptert etter at du logger på PC-en med Microsoft-kontoen din (eller en domenekonto på et bedriftsnettverk). Gjenopprettingsnøkkelen blir deretter automatisk lastet opp til Microsofts servere (eller organisasjonens servere på et domene).
Dette beskytter deg mot å miste filene dine – selv om du glemmer passordet for Microsoft-kontoen din og ikke kan logge på, kan du bruke kontogjenopprettingsprosessen og få tilbake tilgang til krypteringsnøkkelen.
Hvordan en angriper kan utnytte dette: Dette er bedre enn ingen kryptering. Dette betyr imidlertid at Microsoft kan bli tvunget til å avsløre krypteringsnøkkelen din til myndighetene med en arrestordre. Eller enda verre, en angriper kan teoretisk misbruke en Microsoft-kontos gjenopprettingsprosess for å få tilgang til kontoen din og få tilgang til krypteringsnøkkelen. Hvis angriperen hadde fysisk tilgang til PC-en eller harddisken, kunne de bruke gjenopprettingsnøkkelen til å dekryptere filene dine – uten å trenge passordet ditt.
Løsningen: Betal $99 for en oppgradering til Windows 10 Professional, aktiver BitLocker via kontrollpanelet, og velg å ikke laste opp en gjenopprettingsnøkkel til Microsofts servere når du blir bedt om det.
Mange Solid State-stasjoner bryter BitLocker-kryptering
Noen solid-state-stasjoner annonserer støtte for «maskinvarekryptering.» Hvis du bruker en slik stasjon i systemet og aktiverer BitLocker, vil Windows stole på at stasjonen din gjør jobben og ikke utfører de vanlige krypteringsteknikkene. Tross alt, hvis stasjonen kan gjøre jobben i maskinvare, bør det være raskere.
Det er bare ett problem: Forskere har oppdaget at mange SSD-er ikke implementerer dette riktig. For eksempel beskytter Crucial MX300 krypteringsnøkkelen din med et tomt passord som standard. Windows kan si at BitLocker er aktivert, men det kan faktisk ikke gjøre mye i bakgrunnen. Det er skummelt: BitLocker bør ikke stole på at SSD-er gjør jobben. Dette er en nyere funksjon, så dette problemet påvirker bare Windows 10 og ikke Windows 7.
Hvordan en angriper kunne utnytte dette: Windows kan si at BitLocker er aktivert, men BitLocker kan sitte stille og la SSD-en din mislykkes med å kryptere dataene dine på en sikker måte. En angriper kan potensielt omgå den dårlig implementerte krypteringen i solid-state-stasjonen for å få tilgang til filene dine.
Løsningen: Endre alternativet «Konfigurer bruk av maskinvarebasert kryptering for faste datastasjoner» i Windows gruppepolicy til «Deaktivert.» Du må avkryptere og kryptere stasjonen på nytt etterpå for at denne endringen skal tre i kraft. BitLocker vil slutte å stole på stasjoner og vil gjøre alt arbeidet i programvare i stedet for maskinvare.
TPM-brikker kan fjernes
En sikkerhetsforsker demonstrerte nylig et nytt angrep. BitLocker lagrer krypteringsnøkkelen i datamaskinens Trusted Platform Module (TPM), som er en spesiell maskinvare som skal være manipulasjonssikker. Dessverre kan en angriper bruke et $27 FPGA-kort og noe åpen kildekode for å trekke den ut fra TPM. Dette ville ødelegge maskinvaren, men ville tillate å trekke ut nøkkelen og omgå krypteringen.
Hvordan en angriper kan utnytte dette: Hvis en angriper har PC-en din, kan de teoretisk omgå alle de fancy TPM-beskyttelsene ved å tukle med maskinvaren og trekke ut nøkkelen, noe som ikke er ment å være mulig.
Løsningen: Konfigurer BitLocker til å kreve en PIN-kode før oppstart i gruppepolicy. Alternativet «Krev oppstarts-PIN med TPM» vil tvinge Windows til å bruke en PIN-kode for å låse opp TPM ved oppstart. Du må skrive inn en PIN-kode når PC-en starter opp før Windows starter opp. Dette vil imidlertid låse TPM-en med ekstra beskyttelse, og en angriper vil ikke kunne trekke ut nøkkelen fra TPM-en uten å kjenne PIN-koden din. TPM beskytter mot brute force-angrep slik at angripere ikke bare kan gjette hver PIN-kode én etter én.
Sovende PC-er er mer sårbare
Microsoft anbefaler å deaktivere hvilemodus når du bruker BitLocker for maksimal sikkerhet. Dvalemodus er greit – du kan få BitLocker til å kreve en PIN-kode når du vekker PC-en fra dvalemodus eller når du starter den på vanlig måte. Men i hvilemodus forblir PC-en slått på med krypteringsnøkkelen lagret i RAM.
Hvordan en angriper kan utnytte dette: Hvis en angriper har PC-en din, kan de vekke den og logge på. På Windows 10 må de kanskje angi en numerisk PIN-kode. Med fysisk tilgang til PC-en din kan en angriper kanskje også bruke direkte minnetilgang (DMA) for å hente innholdet i systemets RAM og hente BitLocker-nøkkelen. En angriper kan også utføre et kaldoppstartsangrep – start den kjørende PC-en på nytt og hente nøklene fra RAM før de forsvinner. Dette kan til og med innebære bruk av en fryser for å senke temperaturen og senke prosessen.
Løsningen: Gå i dvale eller slå av PC-en i stedet for å la den ligge i dvale. Bruk en PIN-kode før oppstart for å gjøre oppstartsprosessen sikrere og blokkere kaldoppstartsangrep – BitLocker vil også kreve en PIN-kode når den gjenopptas fra dvalemodus hvis den er satt til å kreve en PIN-kode ved oppstart. Windows lar deg også «deaktiver nye DMA-enheter når denne datamaskinen er låst” også gjennom en gruppepolicyinnstilling – som gir en viss beskyttelse selv om en angriper får PC-en din mens den kjører.
Hvis du vil lese mer om emnet, har Microsoft detaljert dokumentasjon for sikring av Bitlocker på sin hjemmeside.