Microsoft: BitLocker-aanvallen zeer onwaarschijnlijk
De afgelopen week zijn er twee aanvallen op Microsoft's BitLocker verschenen, maar volgens de softwaregigant hoeven gebruikers zich geen zorgen te maken. De eerste aanval was van de commerciële aanbieder Passware. De Passware Kit Forensic zou in staat zijn om de pincode die BitLocker gebruikt uit het geheugen te lezen. Iets wat niet zomaar kan, zegt Microsoft's Paul Cooke. "De tool gaat ervan uit dat een fysieke image van het geheugen toegankelijk is, wat niet het geval is als je de BitLocker best practices tips volgt."
Cooke laat weten dat Microsoft altijd duidelijk heeft gemaakt dat Windows BitLocker bedoeld is om "data in ruste" te beschermen, bijvoorbeeld als de machine is uitgeschakeld. "Als een forensische analist of dief fysieke toegang tot een draaiend systeem heeft, is het mogelijk om via een admin account een kopie van het computergeheugen te maken, of via een hardware-gebaseerde methode zoals direct memory access (DMA)."
Onwaarschijnlijk
De tweede aanval verscheen dit weekend en vereist ook dat een aanvaller fysieke toegang tot het systeem heeft. Die kan via een USB-stick de bootloader vervangen, zodat die de BitLocker pincode opslaat. Veruit de meeste gebruikers hoeven zich hier geen zorgen over te maken. "Dit soort gerichte aanvallen vormt een relatief klein risico voor mensen die BitLocker in de echte wereld gebruiken." De aanval van het Fraunhofer Instituut voor Secure Information Technology (SIT) is volgens Cooke oud nieuws, aangezien soortgelijke aanvallen sinds 2006 al gedemonstreerd zijn. "We zijn duidelijk tegenover onze klanten en partners geweest dat BitLocker niet tegen deze onwaarschijnlijke, gerichte aanvallen beschermt."
Slaapstand
BitLocker, zoals soortgelijke oplossingen, slaat de sleutel in het geheugen op om de gegevens meteen te kunnen ver- en ontsleutelen. "Net als andere encryptie producten, heeft een gemotiveerde aanvaller behoorlijke voordelen als hij fysieke toegang tot een computer heeft." Voor gebruikers die advies zoeken wijst Cooke naar de Data Encryptie Toolkit voor Mobiele PCs. Daarin wordt de balans tussen beveiliging en bruikbaarheid besproken en dat de veiligste manier om BitLocker te gebruiken in hibernate mode met een TPM+PIN configuratie is.
Bij een machine die uitstaat of in slaapstand is, is het niet mogelijk om de pincode uit het geheugen te halen. "Zelfs met alle fantastische verbeteringen in Windows 7, zoals BitLocker To Go, blijft het zo dat BitLocker alleen geen volledige beveiligingsoplossing is." Volgens Cooke vereist bescherming tegen dit soort gerichte aanvallen meer dan alleen techniek, maar ook het onderwijzen van gebruikers en fysieke beveiliging.
Ik denk dat de gemiddelde Bitlocker gebruiker zich wel degelijk zorgen dient te maken over deze aanvallen, net als de TrueCrypt gebruikers. Een gebruiker zet niet voor niets een dergelijk beveiligingsprogramma op zijn/haar computer; men wil voorkomen dat derden toegang krijgen tot hun data. Ook gaat hij voorbij aan het aanvallersprofiel, die wordt met dergelijke laagdrempelige aanvalsmogelijkheden wel erg ruim. Met andere woorden het komt voor een steeds grotere doelgroep gemakkelijk beschikbaar. Je hoeft geen high tech 'hacker' te zijn om je toegang te verschaffen.
Zoals ik al eerder pleitte op dit forum dient er een oplossing te komen, waarbij de integriteit van de pre-boot software verzekerd is. Dit kan wel degelijk worden gerealiseerd dmv een TPM-chip. Het is m.i. een gemiste kans dat Microsoft dit niet heeft geimplementeerd in hun Bitlocker oplossing. Een additionele fix is het booten vanaf een USB-stick of ander extern medium uit te sluiten in je BIOS en alleen vanaf de interne HD te laten booten. Zet vervolgens wel een strong password op je BIOS zodat de aanvaller deze bootvolgorde niet kan wijzigen.
Verdiep je nu eerst eens in de materie voordat je een oordeel geeft over deze technologie. Bovendien gaat het om data IN RUSTE.
Kijk maar eens naar de verschillende stages die het opstarten van een Windows machine met Bitlocker doorloopt in combinatie met de TPM. Dan heb je het antwoord.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.