Microsoft: RAM-aanval maakt BitLocker niet waardeloos
Vorige week demonstreerden onderzoekers hoe ze sleutels uit het geheugen van een uitgeschakelde computer kunnen halen om de encryptie van programma's zoals Microsoft' BitLocker, TrueCrypt en Apple's FileVault te "kraken". BitLocker is een van de verkooppunten van Windows Vista, het is dan ook logisch dat de softwaregigant met een reactie komt. Volgens Russ Humphries, hoofdontwikkelaar van Microsoft's Remote File Systems team, is het concept waar de onderzoekers hun aanval op baseerden al veel langer bekend en een probleem voor de gehele industrie.
We moeten het oude adagium in het achterhoofd houden dat er een balans moet zijn tussen security, bruikbaarheid en risico, laat Humphries weten. In het geval van BitLocker kan de beveiliging worden aangescherpt, maar gaat dat ten koste van het gebruiksgemak.
Een bijkomend punt is dat een aanvaller fysieke toegang tot de machine moet hebben. De laptop in sleep mode moet staan, de gebruiker geen multi-factor pre-boot authenticatie gebruikt en de aanvaller geïnteresseerd is in de inhoud van de disk. Iets wat bij de meeste gevallen niet het geval is. Dit geldt echter niet voor gerichte aanvallen, zo merkt Humphries op.
Naast een aantal tips voor BitLockers te hebben gegeven besluit de ontwikkelaar met het volgende pleidooi, waarin hij zegt dat de aanval BitLocker niet waardeloos maakt. "Laat me duidelijk maken dat goed beveiligingsonderzoek onze klanten en de beveiligingsindustrie in het algemeen helpt om veiliger te worden en dat juich ik toe. Laten we ook in het achterhoofd houden dat technologieën zoals BitLocker een waardevolle dienst zijn voor gebruikers en ze helpt bij het beschermen van data op hun computer."
blaast iemand het slot op en verkrijgt diegene toch toegang tot de inhoud.
Maar de vraag is, hoe groot is de kans dat iemand dat doet of dat zoiets je
overkomt?
Inderdaad...een kluis (zelfs met tijdslot) is ook niet
veilig. Voor je het weet
blaast iemand het slot op en verkrijgt diegene toch toegang
tot de inhoud.
Maar de vraag is, hoe groot is de kans dat iemand dat doet
of dat zoiets je
overkomt?
'Dat' word bepaald door de waarde die de mogelijk
versleutelde gegevens vertegenwoordigen.
Zo loopt een premier en/of minister etc. meer risico om het
slachtoffer te worden van een cracker dan mijn nichtje van 8
die versleuteling toepast op haar dagboekje.
Fred
Ps.
Mijn nichtje van 8 gebruikt 256bit AES disk versleuteling en
een versleutelde container voor haar dagboekje op een Linuxbox.
Helaas is versleuteling van data nog geen gemeengoed in
DenHaag....
van Sleep Mode...Dus gebruik ik het ook niet.
ontbreken van pre-boot authenticatie op een BitLocker machine resulteert
in problemen, zoals in het filmpje is aangetoond.
Daarbij is het inderdaad, zoals altijd, de vraag wat het risico is dat mensen
willen lopen, en wat een acceptabel restrisico is. Dat is per persoon
verschillend. Bepaalde mensen zullen menen dat laptops worden gejat
door junks die niet geinteresseerd zijn in data die op de laptop staat, of dat
de data die op de laptop staat weinig tot niets waard is (past overigens
prima in het "ik heb niets te verbergen dus mij mogen ze in de gaten
houden" adagium). Prima.
Voor banken en dergelijke zal dat wellicht anders liggen. Hun restrisico is
anders, en hun risico analyse ook. Maak voor jezelf een risico afweging,
blijf kritisch nadenken, en weet dat het kan voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.