Forensisch experts gewaarschuwd voor standaard BitLocker-encryptie Windows 11
Forensisch experts moeten er rekening mee houden dat bijna alle in beslag genomen Windows 11-apparaten, ook in het consumentensegment, voortaan volledig versleuteld zijn. Dat komt omdat de schijfversleuteling door BitLocker in Windows 11 versie 24H2 standaard staat ingeschakeld, zo waarschuwt forensisch softwarebedrijf Elcomsoft. Dat levert onder andere forensische tools voor opsporingsdiensten.
"De Windows 11 24H2-update introduceert een verandering in Microsofts benadering van schijfversleuteling, een verandering die grote gevolgen voor digitaal forensisch onderzoek zal hebben", aldus Oleg Afonin van Elcomsoft. "Met deze release wordt BitLocker-encryptie automatisch ingeschakeld op de meeste moderne hardware wanneer Windows met een Microsoft Account wordt geïnstalleerd."
De versleuteling vindt plaats in de achtergrond en wordt ook toegepast bij de Home-edities en consumentenapparatuur, waar volledige schijfversleuteling meestal niet standaard plaatsvond, gaat de forensisch expert verder. Hij merkt op dat de schijfversleuteling alleen plaatsvindt bij nieuwe installaties van Windows 11 24H2, niet bij een update naar deze versie.
Microsoft heeft ook een workaround verwijderd waardoor gebruikers eenvoudig het gebruik van een Microsoft Account tijdens de installatie konden omzeilen, wat ook het omzeilen van de standaard schijfversleuteling lastiger maakt, stelt Afonin. De recovery keys om toegang tot een versleuteld systeem te krijgen worden voor persoonlijke apparatuur automatisch naar het Microsoft Account van de gebruiker geüpload. Opsporingsdiensten kunnen via juridische kanalen deze recovery keys opvragen, maar dit introduceert wel vertragingen en procedurele complicaties, gaat Afonin verder.
De forensisch expert waarschuwt dat de aanpassing van Microsoft langetermijngevolgen voor forensisch onderzoek zal hebben. Zo zullen in beslag genomen harde schijven onbruikbaar zijn, tenzij de recovery keys worden bemachtigd. Volgens Afonin moeten forensisch experts er dan ook rekening mee houden dat bijna alle in beslag genomen Windows 11-apparaten voortaan versleuteld zullen zijn, ook in het consumentensegment.
Voor de forensisch onderzoekers maakt het in dit geval niet veel uit. Niemand stelt in dat er een opstart wachtwoord nodig is om de schijf te ontsleutelen. Dat zou een hele kleine attack surface geven. In de meeste gevallen zal de machine opstarten waarna je Windows zelf als attack surface hebt. Ik ga niet beweren dat het dan een eitje is maar het is in ieder geval een stuk makkelijker dan een machine met een opstart wachtwoord.
Mensen raken continu wachtwoorden of keys kwijt, en als ze daardoor hun data verliezen is dat naar.
Voor bedrijfscomputers is Bitlocker echter wél weer verstandig.
Sinds kort wordt ook Bitlocker ingesteld bij Windows 11 Home bij het opnieuw installeren.
Je kan dat zien als een bewuste trap richting cloud, oftewel: zet je documenten veilig bij MS online.
Niet zo leuk als je een NSA whistleblower bent...
Even een request onder valse voorwendselen over een dissident aan Microsoft, en de schade is gedaan.
Microsoft met haar NSAkey root certificaten... Lol!
Het enige waar Microsoft goed in is, is haar gebruikers bespioneren.
Bron:
https://nl.linuxadictos.com/Anduinos-is-de-perfecte-Linux-voor-Windows-gebruikers-die-op-zoek-zijn-naar-een-probleemloze-overstap..html
Het is ontwikkeld door een Microsoft ingenieur die gelukkig wel beter weet. (-:
Bij diefstal van een laptop trekt de dief de SSD eruit en plaatst er een andere in. Soms kan ook de bios chip worden vervangen waardoor er geen enkele beveiliging meer aanwezig is. Misschien van lastig op een MAC maar ook daar zijn methoden voor te vinden.
Niet zo leuk als je een NSA whistleblower bent...
Juist, Bitlocker is alleen daarom al onveilig. Mijn schijven zijn met Veracrypt versleuteld en het wachtwoord zit veilig in mijn hoofd opgeslagen. Daar kun je met grof geweld ook bij maar niet achter mijn rug om.
Niet zo leuk als je een NSA whistleblower bent...
Juist, Bitlocker is alleen daarom al onveilig. Mijn schijven zijn met Veracrypt versleuteld en het wachtwoord zit veilig in mijn hoofd opgeslagen. Daar kun je met grof geweld ook bij maar niet achter mijn rug om.
Het hoeft niet perse in de MS-cloud opgeslagen te worden. Je kan bitlocker ook aanzetten met een key die lokaal wordt opgeslagen (b.v. een paswoordDB op een NAS of andere laptop).
En het is nog steeds mogelijk om Windows 11 zonder Microsoft account te installeren (twee weken geleden nog gedaan):
Tijdens het selecteren van een land is het mogelijk om via Shift + F10 de Windows command prompt te starten. Vervolgens zorgt het commando 'start ms-cxh:localonly' ervoor dat de installatie zonder Microsoft Account kan worden afgerond.
Maar in Home zit dus OOK bitlocker? hoe verhoudt zich dat dan nog tot de prijs / home editie?
Of is bitlocker wel standaard aan maar kan de gebruiker er niets mee?
https://www.microsoft.com/nl-nl/windows/compare-windows-11-home-vs-pro-versions#tabs1-2
het enige verschil tussen Home en Pro is Bitlocker, aldus dit overzicht.
Je kunt natuurlijk de Pro-versie ook in een domein hangen enzo, maar goed, dit overzicht toont echt alleen Bitlocker als verschil.
Daar zit je dan met je pro-versie als poweruser consument.
Niet zo leuk als je een NSA whistleblower bent...
Voor de meeste home gebruikers is dit dus een velige oplossing, maar niet voor iedereen.
Zwart wit denken is proachtig, maar in de security werled berijk je er niets mee want er zijn altijd mogelijkheden (in tijd)
Maar in Home zit dus OOK bitlocker? hoe verhoudt zich dat dan nog tot de prijs / home editie?
Of is bitlocker wel standaard aan maar kan de gebruiker er niets mee?
Je kan dat zien als een bewuste trap richting cloud, oftewel: zet je documenten veilig bij MS online.
ja totdat er weer een bug is die alles weggooit, was dat niet x jaar geleden met onedrive zo ^^
Maar in Home zit dus OOK bitlocker? hoe verhoudt zich dat dan nog tot de prijs / home editie?
Of is bitlocker wel standaard aan maar kan de gebruiker er niets mee?
Wat je niet kan is het hangen in een Windows server domein officieel en als bedrijf is het ook niet verstandig dat wel te proberen juridische kant etc. Als thuis gebruiker kan je het probably met veel moeite wel werkend krijgen als je een kopie van Pro hebt waar je de code uit kan halen voor integratie. Maar again zal niet makkelijk zijn.
Is het allemaal je tijd waard vs de 99 euro upgrade of de 200 directe aankoop probably not.
Maar bedenk goed wat je uberhaubt wilt doen met Windows. Als je het namelijk niet in een domein hoeft te hangen is er zeer weinig reden waarom je Pro zou nemen. Je hebt geen recht op directe support wat je met Enterprise wel kan extra kopen zoals een Designated Support engineer (DSE) of een Microsoft Unified Enterprise Support Service voor rapid response (schreewend duur begint bij 50K tot 6 Mil per jaar) dus eigenlijk betaal je grof geld voor bijna niks extra bij Pro.
Updates pushen over een netwerk kan je ook via een al ingekochte endpoint protection service bijvoorbeeld of een agent script. Beperkingen kan je ook pushen via script en zoals aangegeven group policy kan je dus ook gewoon werkend krijgen onder Home.
Dus ja wat is de meerwaarde ik weet het werkelijk niet *zolang je het niet in een domein hoeft te hangen*
Waarom zou je ook. MIcrosoft forceert het voor zichzelf.
De recovery keys staan bij Microsoft. (Europese) opsporingsdiensten kunnen via juridische procedures deze sleutels opvragen.. Maar de Amerikanen hebben onder FISA Section 702 gewoon toegang tot de recovery keys zonder juridische procedures https://en.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act. Daarmee hebben de Amerikanen toegang tot alle data die jij als Europeaan denkt te beveiligen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?