image

Five Eyes-landen adviseren BitLocker te activeren wegens ransomware

donderdag 15 september 2022, 12:49 door Redactie, 20 reacties

Bedrijven en organisaties doen er verstandig aan om Microsofts encryptiesoftware BitLocker op al hun netwerken in te schakelen en de encryptiesleutel bij zowel Microsoft als een offline back-up te bewaren, zo adviseren verschillende overheidsinstanties van de Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland, die bij elkaar de Five Eyes-landen vormen.

Aanleiding voor het advies, dat mede afkomstig is van de FBI, NSA en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), zijn aanvallen van een groep die aan de Iraanse Revolutionaire Garde gelieerd zou zijn. De groep weet via bekende kwetsbaarheden in Log4j, Microsoft Exchange Server en Fortinet FortiOS toegang tot organisaties te krijgen. Vervolgens worden er allerlei gegevens gestolen en bestanden versleuteld.

Zo werd begin dit jaar een Amerikaans luchtvaartbedrijf via één of meerdere Log4j-kwetsbaarheden gecompromitteerd en kon er allerlei informatie worden gestolen, zo laat de waarschuwing van de Five Eyes-landen weten. Bij een andere aanval werden de Log4j-kwetsbaarheden gebruikt om de systemen van een Amerikaanse stad te compromitteren en die onder andere voor cryptomining te gebruiken.

Naast het stelen van data maakt de groep ook gebruik van Microsofts BitLocker om bestanden te versleutelen. Organisaties moeten vervolgens losgeld betalen voor de decryptiesleutel. Onlangs maakte Microsoft al melding van deze groep aanvallers die het DEV-0270 noemt. Om aanvallen tegen te gaan geven de NSA, FBI en CISA allerlei bekende adviezen, zoals het installeren van beschikbare beveiligingsupdates, het maken van back-ups, toepassen van netwerksegmentatie en gebruik van multifactorauthenticatie.

Aangezien de betreffende groep gebruikmaakt van BitLocker geven de Five Eyes-landen organisaties ook het specifieke advies om BitLocker zelf op alle netwerken te activeren, zodat de aanvallers dit niet meer kunnen doen. Vervolgens wordt organisaties aangeraden om hun BitLocker-sleutels bij zowel Microsoft als een aparte, offline back-up te bewaren. Microsoft stelt dat het encryptiesleutels niet aan de autoriteiten verstrekt als die hierom vragen.

Reacties (20)
15-09-2022, 13:34 door Anoniem
Wat een slecht advies, microsoft software installeren. Elke patch dinsdag laat zien waarom!
15-09-2022, 14:06 door johanw
Vervolgens wordt organisaties aangeraden om hun BitLocker-sleutels bij zowel Microsoft als een aparte, offline back-up te bewaren. Microsoft stelt dat het encryptiesleutels niet aan de autoriteiten verstrekt als die hierom vragen.

Ja vast wel. De five-eyes spionagediensten willen het zichzelf makkelijk maken.
15-09-2022, 14:11 door Anoniem
Er zitten backdoors in Bitlocker. En puur omdat het gewoon closed-source is. Gebruik Veracrypt mensen!
15-09-2022, 14:43 door Anoniem
BitLocker op al hun netwerken in te schakelen
Hoe dan? Bitlocker op netwerken? Encryption in motion doe je bv. met TLS maar zeker niet met Bitlocker, dat is bedoeld voor schrijfencryptie! En ja, schijfencryptie is een goede maatregel om data at rest te versleutelen voor het geval de (virtuele)machine gestolen wordt.

Nu maar hopen dat de groep die gelieerd is aan de Iraanse Revolutionaire Garde geen disk encryptie met VeraCrypt gaat gebruiken want dan wordt het volgende advies vanuit de five-eyes om dat te gaan gebruiken!?
15-09-2022, 15:04 door Anoniem
Door Anoniem: Er zitten backdoors in Bitlocker. En puur omdat het gewoon closed-source is. Gebruik Veracrypt mensen!
Hoewel ik het met je eens ben wat betreft VeraCrypt, heb ik problemen met je argumentatie over backdoors in Bitlocker... "puur omdat het closed source is"?
Kan ik stellen dat je uit je nek kletst, puur omdat je anoniem reageert?
15-09-2022, 15:28 door Anoniem
Vaag advies, aangezien het niet uitmaakt, of Bitlocker encryptie aan staat, of niet; als malware eenmaal admin-rechten heeft verkregen binnen Windows, heeft het gewoon vrij spel.
En voor een backup vd. keys kun je terugvallen op Active Directory & goede (externe!) backups. Dit "goed bedoelde advies" is natuurlijk ingefluisterd door al die diensten met "spannende" afkortingen...
15-09-2022, 15:35 door Anoniem
Door Anoniem:
Door Anoniem: Er zitten backdoors in Bitlocker. En puur omdat het gewoon closed-source is. Gebruik Veracrypt mensen!
Hoewel ik het met je eens ben wat betreft VeraCrypt, heb ik problemen met je argumentatie over backdoors in Bitlocker... "puur omdat het closed source is"?
Kan ik stellen dat je uit je nek kletst, puur omdat je anoniem reageert?

Yep, uit je nek kletsen lukt deze anoniem blijkbaar goed. Proof ofanders is de uitspraak niet waar.
Dat in de voorloper TrueCrypt backdoors zaten was ook al geopperd maar na uitvoerige controle bleek dat er geen backdoor in zat, wel wat andere kwetsbaarheden.
15-09-2022, 16:06 door Anoniem
Ik ben een andere anoniem

Bitlocker is gewoon een goed product.

Dat neemt niet weg dat de USA overheid nogal de reputatie heeft om regelgeving te hebben waarmee de USA overheid inzage kan krijgen in databestanden. Sommige regelgeving is bekend. Zoals de regelgeving waardoor Amerikaanse overheid aan de Amerikaanse beurs genoteerde internationale bedrijven gegevens kunnen opeisen die bij dochterbedrijven in buitenlandse datacentra zijn opgeslagen. En als onverhoopt data wordt opgevraagd, dan is dit feit alleen al een Amerikaans nationaal geheim en de data-eigenaar mag niet op de hoogte worden gesteld (begrijpelijk, maar toch).

Ook ik heb signalen ontvangen (nooit bewijs gekregen) dat Amerikaanse diensten en producten voorzien moeten zijn van backdoor achtige constructies.

Hier niets mee te maken hebbend: Daarnaast weet ik nog dat Dick Cheney de VN Veiligheidsraad onbewust heeft voorgelogen over de militaire potentieel van Irak/Saddam Hoessein. Dit heeft de 2e Irak oorlog veroorzaakt.

Daarom heb ik voor mezelf een uitgangspunt geformuleerd
- als mijn informatie bekend mag zijn bij de Amerikaanse overheid, dan gebruik ik graag de Amerikaanse producten (en porcessen). De Amerikaanse overheid beschouw ik overwegend als betrouwbaar en soms ook als opportunistisch met doorgeslagen Amerikaanse politieke correctheid.
- Als ik informatie heb (zou hebben) dat ik niet graag bij de Amerikaanse overheid bekend zie, dan zou ik in dit geval ook liever VeraCrypt gebruiken.
15-09-2022, 16:20 door Erik van Straten
Uit https://www.cisa.gov/uscert/ncas/alerts/aa22-257a:
Activate BitLocker on all networks and securely back up BitLocker keys with Microsoft and with an independent offline backup.
Het is verstandig om, van elke computer, de Bitlocker Rescue key offline te back-uppen (bijvoorbeeld in een Keepass kluis waar een klein aantal vertrouwde mensen het wachtwoord van kent), bijv. voor het geval dat een moederbord (met TPM-chip) kapot gaat. Maar of dat veel helpt tegen de hier bedoelde aanvallen, betwijfel ik.

Het is voor aanvallers (met admin-toegang tot een computer) namelijk waarschijnlijk erg eenvoudig om het Bitlocker gebruikerswachtwoord (of pincode) te wijzigen; als dat zo is kost dat veel minder tijd dan het (voor het eerst of opnieuw) versleutelen van een schijf.

Microsoft houdt namelijk niet van "best practices". Of het in de laatste Windows versies nog steeds zo is weet ik niet zeker, maar in https://youtu.be/1sl2eEVrnRU (bevestigd door [1]) kun je zien dat, om jouw Bitlocker wachtwoord te wijzigen, je niet eerst jouw oude wachtwoord hoeft in te voeren.

Tip bij deze video als je niet van de muziek houdt waar cybercriminelen naar luisteren tijdens dit soort aanvallen: klik op "Mute" (de maker van deze video was sprakeloos).

Nb.#1 als een collega gaat lunchen zonder zelfs maar het scherm te locken, zou je dit dus ook kunnen doen (LOL komt ie pas de volgende werkdag achter) maar dan loop vooral jij het risico op een veel eerder "pensioen" dan gepland.

Nb.#2 er bestaat ongetwijfeld een API voor het wijzigen van een Bitlocker wachtwoord, waardoor je de "instellingen"-schermen niet voorbij hoeft te zien komen als een aanvaller dit via het netwerk doet.

Hoe moeilijk het voor aanvallers is om een Bitlocker rescue code te wijzigen, weet ik niet. Maar het zou mij niet verbazen als dat niet veel moeilijker is dan het wijzigen van het gebruikerswachtwoord.

Het voordeel van een versleutelde schijf zou kunnen zijn dat computers vaker worden uitgezet voordat mensen ze ongebruikt achterlaten (immers, pas dan heb je echt wat aan die versleuteling, en kunnen aanvallers er niet bij via het netwerk). Maar ja, die zijn weer lastiger te updaten als de luser (local user ;-) de computer niet heeft opgestart en het Bitlocker wachtwoord niet heeft ingevoerd.

"Gelukkig" kunnen beheerders WOL (Wake On Lan) en "Bitlocker Network Unlock" ([2]) inzetten. Maar aanvallers die domain admin zijn, kunnen dat natuurlijk ook, alsmede back-ups van Bitlocker keys in AD wijzigen.

Makkelijker kunnen we het niet maken, wel veiliger...

[1] https://docs.microsoft.com/en-us/microsoft-desktop-optimization-pack/mbam-v2/using-your-pin-or-password#changing-your-pin-or-password

[2] https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-how-to-enable-network-unlock

P.S. Iets hoger in [1] las ik ook:
• If you forget your PIN, you will have to enter the first eight digits of the recovery key ID, which will appear in the BitLocker Recovery console. The BitLocker Recovery console is a pre-Windows screen that will be displayed if you do not enter the correct PIN.
Ik dacht altijd dat je de hele recovery key moest invoeren. Weet iemand of 8 chars echt volstaat? Dat zou absurd weinig zijn, en brute-forceable.
15-09-2022, 17:58 door Anoniem
moeten we niet verwonderd en met afgrijzen reageren op het feit dat onze bondgenoten een clubje van 5 hebben zonder hun vrienden? je hebt schijnbaar vrienden en echte vrienden in de westerse wereld.. en je vrienden tap je af, je verzwakt hun encryptie enz... en dat. doen ze met hun vrienden....

een vriendenclub waar uitzonderingen zijn, zijn dat wel vrienden?
15-09-2022, 18:18 door Anoniem
Veracrypt is open source, weet je tenminste zeker dat er geen backdoor in zit (na elke update wordt de bron code goed doorgespitst door professionals). Met bitlocker kunnen ze een keer een update uitvoeren met een backdoor erin terwijl jij het niet weet, niemand kan namelijk controleren wat er in die broncode staat.
16-09-2022, 09:55 door Anoniem
Door Anoniem: Veracrypt is open source, weet je tenminste zeker dat er geen backdoor in zit (na elke update wordt de bron code goed doorgespitst door professionals).

Dit is de grootste onzin en een droom van vele Open Source aanhangers. Ik ben ook OS aanhanger maar heb die droom allang niet meer!

TrueCrypt is in 2008(s1) op de markt gekomen en jaren later (2014) nadat er twijfels waren of Backdoors is er pas een *echte* Audit op de software gedaan (s2). In de tussenliggende jaren is iedereen vanuit gegaan dat de andere het wel zouden controleren!

s1= https://nl.wikipedia.org/wiki/TrueCrypt
s2= https://www.schneier.com/blog/archives/2015/04/truecrypt_secur.html
16-09-2022, 12:09 door Anoniem
Door Erik van Straten: Uit https://www.cisa.gov/uscert/ncas/alerts/aa22-257a:
Activate BitLocker on all networks and securely back up BitLocker keys with Microsoft and with an independent offline backup.
Het is verstandig om, van elke computer, de Bitlocker Rescue key offline te back-uppen (bijvoorbeeld in een Keepass kluis waar een klein aantal vertrouwde mensen het wachtwoord van kent), bijv. voor het geval dat een moederbord (met TPM-chip) kapot gaat. Maar of dat veel helpt tegen de hier bedoelde aanvallen, betwijfel ik.

Het zal zeker wel helpen tegen de aanvallen *as is* .
Of het ook helpt wanneer de aanvallers hun strategie aanpassen om "iets" te doen met bestaande bitlocker volumes is een andere vraag .


Hoe moeilijk het voor aanvallers is om een Bitlocker rescue code te wijzigen, weet ik niet. Maar het zou mij niet verbazen als dat niet veel moeilijker is dan het wijzigen van het gebruikerswachtwoord.

Interessante vraag . Ik kon het antwoord zo niet 1-2-3 vinden.

De "lange" manier om een ander recovery pw te krijgen is bitlocker uitzetten en weer aanzetten.
Het lijkt erop dat dit ook zonder een volledige decrypt/encrypt cycles gaat , maar dus wel met een disable/enable van bitllocker.

Waarschijnlijk is direct op het filesystem dan inderdaad de recovery key te wijzigen of wipen.

Een hoop meer details over de architectuur vond ik in
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc732774%28v=ws.10%29

Een recovery key is dus de sleutel voor één van de Master Volume Keys waarmee de FVEK key gecrypt is. (Full Volume Encryption Key - dat is de key waarmee de data feitelijk gecrypt is) .



Het voordeel van een versleutelde schijf zou kunnen zijn dat computers vaker worden uitgezet voordat mensen ze ongebruikt achterlaten (immers, pas dan heb je echt wat aan die versleuteling, en kunnen aanvallers er niet bij via het netwerk). Maar ja, die zijn weer lastiger te updaten als de luser (local user ;-) de computer niet heeft opgestart en het Bitlocker wachtwoord niet heeft ingevoerd.

"Gelukkig" kunnen beheerders WOL (Wake On Lan) en "Bitlocker Network Unlock" ([2]) inzetten. Maar aanvallers die domain admin zijn, kunnen dat natuurlijk ook, alsmede back-ups van Bitlocker keys in AD wijzigen.

Makkelijker kunnen we het niet maken, wel veiliger...

Wel Duh, Disk Encryption is geen oplossing voor ALLE problemen.

Disk encryption - en daarbij sterke startup authentication - zijn een oplossing voor het probleem van gestolen of verloren devices. Typisch laptops gejat uit de kofferbak, of vergeten in de trein .
Voorheen was het altijd zo dat disken gewoon gelezen konden worden met een andere computer .
Een aanvaller die aanwezig binnen het OS dat diskencryptie gebruikt wordt niet of amper gehinderd door disk encryptie .



[1] https://docs.microsoft.com/en-us/microsoft-desktop-optimization-pack/mbam-v2/using-your-pin-or-password#changing-your-pin-or-password

[2] https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-how-to-enable-network-unlock

P.S. Iets hoger in [1] las ik ook:
• If you forget your PIN, you will have to enter the first eight digits of the recovery key ID, which will appear in the BitLocker Recovery console. The BitLocker Recovery console is a pre-Windows screen that will be displayed if you do not enter the correct PIN.
Ik dacht altijd dat je de hele recovery key moest invoeren. Weet iemand of 8 chars echt volstaat? Dat zou absurd weinig zijn, en brute-forceable.

Zie

https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-organization-for-bitlocker-planning-and-policies#bitlocker-key-protectors

De PIN gaat blijkbaar altijd samen met een TPM chip waar de rest van de bitlocker key in zit .
17-09-2022, 21:53 door Erik van Straten
Door Anoniem:
Door Erik van Straten:
• If you forget your PIN, you will have to enter the first eight digits of the recovery key ID, which will appear in the BitLocker Recovery console. The BitLocker Recovery console is a pre-Windows screen that will be displayed if you do not enter the correct PIN.
Ik dacht altijd dat je de hele recovery key moest invoeren. Weet iemand of 8 chars echt volstaat? Dat zou absurd weinig zijn, en brute-forceable.

Zie

https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-organization-for-bitlocker-planning-and-policies#bitlocker-key-protectors

De PIN gaat blijkbaar altijd samen met een TPM chip waar de rest van de bitlocker key in zit .
Dank voor het uitzoekwerk!

Nu maar hopen dat zo'n TPM-chip, net als bij een aantal foute PIN-codes, bij een aantal foute recovery key ID's (de eerste 4 hexadecimale bytes van de hele key, een GUID) eveneens de feitelijke symmetrische sleutel wist.
17-09-2022, 23:22 door Anoniem
Door Erik van Straten:
Door Anoniem:
Door Erik van Straten:
• If you forget your PIN, you will have to enter the first eight digits of the recovery key ID, which will appear in the BitLocker Recovery console. The BitLocker Recovery console is a pre-Windows screen that will be displayed if you do not enter the correct PIN.
Ik dacht altijd dat je de hele recovery key moest invoeren. Weet iemand of 8 chars echt volstaat? Dat zou absurd weinig zijn, en brute-forceable.

Zie

https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-organization-for-bitlocker-planning-and-policies#bitlocker-key-protectors

De PIN gaat blijkbaar altijd samen met een TPM chip waar de rest van de bitlocker key in zit .
Dank voor het uitzoekwerk!

Nu maar hopen dat zo'n TPM-chip, net als bij een aantal foute PIN-codes, bij een aantal foute recovery key ID's (de eerste 4 hexadecimale bytes van de hele key, een GUID) eveneens de feitelijke symmetrische sleutel wist.

Ik weet niet of dat een optie is . Maar ik zou dat niet snel willen .

Een beetje dikke vingers (caps lock), of gewoon een ijverige kleuter of de kat op het toetsenbord en dan potientieel een lastige recovery of restore in moeten is niet snel de juiste policy . De A uit C I A moet niet vergeten worden.
18-09-2022, 11:38 door Erik van Straten - Bijgewerkt: 18-09-2022, 11:50
Door Anoniem:
Door Erik van Straten: Nu maar hopen dat zo'n TPM-chip, net als bij een aantal foute PIN-codes, bij een aantal foute recovery key ID's (de eerste 4 hexadecimale bytes van de hele key, een GUID) eveneens de feitelijke symmetrische sleutel wist.

Ik weet niet of dat een optie is .
Wel voor een pincode, uit [1] (die nu redirect naar [2]) met aangepaste layout:
BitLocker authentication methods
[...]
Authentication method: TPM + PIN
Requires user interaction: Yes
Description: TPM validates early boot components. The user must enter the correct PIN before the start-up process can continue, and before the drive can be unlocked. The TPM will enter lockout if the incorrect PIN is entered repeatedly to protect the PIN from brute force attacks. The number of repeated attempts that will trigger a lockout is variable.
Of "variable" instelbaar betekent of fixed - afhankelijk van de fabrikant, weet ik niet. En het gaat hier niet om een pincode, maar om de eerste 8 chars van een rescue key ID, en ik zou willen weten of en na hoeveel fouten de TPM op slot gaat.

[1] https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-organization-for-bitlocker-planning-and-policies#bitlocker-key-protectors

[2] https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-organization-for-bitlocker-planning-and-policies#bitlocker-key-protectors

Door Anoniem: Maar ik zou dat niet snel willen .
Ik wel. Het zou bezopen zijn als een aanvaller mijn FDE kan unlocken door 8 hexadecimale "cijfers" te brute-forcen, in plaats van mijn 20 karakters lange wachtwoord (alfanummeriek + leestekens).

Door Anoniem: Een beetje dikke vingers (caps lock), of gewoon een ijverige kleuter of de kat op het toetsenbord en dan potientieel een lastige recovery of restore in moeten is niet snel de juiste policy . De A uit C I A moet niet vergeten worden.
Mijn C is veel belangrijker dan mijn A. Bovendien heb ik back-ups, en bij deze TPM-trucs hoor je gewoon een back-up van je rescue key te hebben.

Jouw bankpas en SIM-kaart worden ook niet voor niets geblokkeerd na een drietal foute codes.
18-09-2022, 14:54 door Anoniem
Door Anoniem: Wat een slecht advies, microsoft software installeren. Elke patch dinsdag laat zien waarom!
Grapjurk.
Het advies is juist om bitlocker in te schakelen als je toch al windows gebruikt, waar veel organisaties al een lock-in op hebben. Dat is er zodat de attacker het niet meer voor je kan aanzetten met z'n een sleutel die jij niet hebt, maar de attacker mogelijk wel bewaart (en jij juist buitengesloten wordt).
18-09-2022, 15:03 door Anoniem
Door Anoniem:Ook ik heb signalen ontvangen (nooit bewijs gekregen) dat Amerikaanse diensten en producten voorzien moeten zijn van backdoor achtige constructies.
Bij Australische diensten schijnt dat in de wetgeving verankerd te zijn. Daar moet alles wat versleuteld is, een backdoor hebben waar alleen de australische overheid bij kan. De politicy daar hebben besloten dat dat mogelijk is.
18-09-2022, 15:13 door Anoniem
Door Anoniem: moeten we niet verwonderd en met afgrijzen reageren op het feit dat onze bondgenoten een clubje van 5 hebben zonder hun vrienden?
Ach, er is ook een clubje 9 Eyes en 14 Eyes, en nederland doet ook mee daarin.
18-09-2022, 15:31 door Anoniem
Jouw bankpas en SIM-kaart worden ook niet voor niets geblokkeerd na een drietal foute codes.
Jawel, wel pasje geblokkeerd, maar de bank zal dan niet meteen mijn saldo naar 0 resetten (hier is wel aangenomen dat het om een positief saldo gaat)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.