Το BitLocker, η τεχνολογία κρυπτογράφησης που είναι ενσωματωμένη στα Windows, έχει λάβει κάποιες επιτυχίες τον τελευταίο καιρό. Ένα πρόσφατο exploit έδειξε την αφαίρεση του τσιπ TPM ενός υπολογιστή για την εξαγωγή των κλειδιών κρυπτογράφησης και πολλοί σκληροί δίσκοι σπάζουν το BitLocker. Ακολουθεί ένας οδηγός για την αποφυγή των παγίδων του BitLocker.
Σημειώστε ότι όλες αυτές οι επιθέσεις απαιτούν φυσική πρόσβαση στον υπολογιστή σας. Αυτό είναι όλο το νόημα της κρυπτογράφησης—να αποτρέψετε έναν κλέφτη που έκλεψε τον φορητό υπολογιστή σας ή κάποιον να αποκτήσει πρόσβαση στον επιτραπέζιο υπολογιστή σας από το να βλέπει τα αρχεία σας χωρίς την άδειά σας.
Πίνακας περιεχομένων
Το Standard BitLocker δεν είναι διαθέσιμο στο Windows Home
Ενώ σχεδόν όλα τα σύγχρονα λειτουργικά συστήματα καταναλωτών διαθέτουν κρυπτογράφηση από προεπιλογή, τα Windows 10 εξακολουθούν να μην παρέχουν κρυπτογράφηση σε όλους τους υπολογιστές. Mac, Chromebook, iPad, iPhone, ακόμη και διανομές Linux προσφέρουν κρυπτογράφηση σε όλους τους χρήστες τους. Ωστόσο, η Microsoft εξακολουθεί να μην συνδυάζει το BitLocker με τα Windows 10 Home.
Ορισμένοι υπολογιστές ενδέχεται να διαθέτουν παρόμοια τεχνολογία κρυπτογράφησης, την οποία η Microsoft αρχικά ονόμασε “κρυπτογράφηση συσκευής” και τώρα μερικές φορές αποκαλεί “κρυπτογράφηση συσκευής BitLocker”. Θα το καλύψουμε στην επόμενη ενότητα. Ωστόσο, αυτή η τεχνολογία κρυπτογράφησης συσκευής είναι πιο περιορισμένη από το πλήρες BitLocker.
Πώς μπορεί ένας εισβολέας να το εκμεταλλευτεί αυτό: Δεν χρειάζονται εκμεταλλεύσεις! Εάν ο υπολογιστής σας με Windows Home δεν είναι κρυπτογραφημένος, ένας εισβολέας μπορεί να αφαιρέσει τον σκληρό δίσκο ή να εκκινήσει ένα άλλο λειτουργικό σύστημα στον υπολογιστή σας για πρόσβαση στα αρχεία σας.
Η λύση: Πληρώστε 99 $ για αναβάθμιση σε Windows 10 Professional και ενεργοποιήστε το BitLocker. Θα μπορούσατε επίσης να δοκιμάσετε μια άλλη λύση κρυπτογράφησης όπως το VeraCrypt, τον διάδοχο του TrueCrypt, η οποία είναι δωρεάν.
Το BitLocker μερικές φορές ανεβάζει το κλειδί σας στη Microsoft
Πολλοί σύγχρονοι υπολογιστές με Windows 10 διαθέτουν έναν τύπο κρυπτογράφησης που ονομάζεται “κρυπτογράφηση συσκευής”. Εάν ο υπολογιστής σας το υποστηρίζει, θα κρυπτογραφηθεί αυτόματα αφού συνδεθείτε στον υπολογιστή σας με τον λογαριασμό σας Microsoft (ή έναν λογαριασμό τομέα σε εταιρικό δίκτυο). Στη συνέχεια, το κλειδί ανάκτησης μεταφορτώνεται αυτόματα στους διακομιστές της Microsoft (ή στους διακομιστές του οργανισμού σας σε έναν τομέα).
Αυτό σας προστατεύει από την απώλεια των αρχείων σας—ακόμα κι αν ξεχάσετε τον κωδικό πρόσβασης του λογαριασμού Microsoft και δεν μπορείτε να συνδεθείτε, μπορείτε να χρησιμοποιήσετε τη διαδικασία ανάκτησης λογαριασμού και να αποκτήσετε ξανά πρόσβαση στο κλειδί κρυπτογράφησης.
Πώς μπορεί να το εκμεταλλευτεί ένας εισβολέας: Αυτό είναι καλύτερο από το να μην υπάρχει κρυπτογράφηση. Ωστόσο, αυτό σημαίνει ότι η Microsoft θα μπορούσε να αναγκαστεί να αποκαλύψει το κλειδί κρυπτογράφησης σας στην κυβέρνηση με ένταλμα. Ή, ακόμη χειρότερα, ένας εισβολέας θα μπορούσε θεωρητικά να κάνει κατάχρηση της διαδικασίας ανάκτησης ενός λογαριασμού Microsoft για να αποκτήσει πρόσβαση στον λογαριασμό σας και να αποκτήσει πρόσβαση στο κλειδί κρυπτογράφησης. Εάν ο εισβολέας είχε φυσική πρόσβαση στον υπολογιστή σας ή στον σκληρό δίσκο του, θα μπορούσε στη συνέχεια να χρησιμοποιήσει αυτό το κλειδί ανάκτησης για να αποκρυπτογραφήσει τα αρχεία σας—χωρίς να χρειάζεται τον κωδικό πρόσβασής σας.
Η λύση: Πληρώστε 99 $ για αναβάθμιση σε Windows 10 Professional, ενεργοποιήστε το BitLocker μέσω του Πίνακα Ελέγχου και επιλέξτε να μην ανεβάσετε ένα κλειδί ανάκτησης στους διακομιστές της Microsoft όταν σας ζητηθεί.
Πολλές μονάδες δίσκου στερεάς κατάστασης διακόπτουν την κρυπτογράφηση BitLocker
Ορισμένες μονάδες δίσκου στερεάς κατάστασης διαφημίζουν υποστήριξη για “κρυπτογράφηση υλικού”. Εάν χρησιμοποιείτε μια τέτοια μονάδα δίσκου στο σύστημά σας και ενεργοποιήσετε το BitLocker, τα Windows θα εμπιστεύονται τη μονάδα δίσκου σας για να κάνει τη δουλειά και δεν θα εκτελέσει τις συνήθεις τεχνικές κρυπτογράφησης. Σε τελική ανάλυση, εάν η μονάδα δίσκου μπορεί να κάνει τη δουλειά στο υλικό, αυτό θα πρέπει να είναι πιο γρήγορο.
Υπάρχει μόνο ένα πρόβλημα: Οι ερευνητές ανακάλυψαν ότι πολλοί SSD δεν το εφαρμόζουν σωστά. Για παράδειγμα, το Crucial MX300 προστατεύει το κλειδί κρυπτογράφησης με έναν κενό κωδικό πρόσβασης από προεπιλογή. Τα Windows μπορεί να λένε ότι το BitLocker είναι ενεργοποιημένο, αλλά μπορεί στην πραγματικότητα να μην κάνει πολλά στο παρασκήνιο. Αυτό είναι τρομακτικό: Το BitLocker δεν πρέπει να εμπιστεύεται σιωπηλά τους SSD για να κάνει τη δουλειά. Αυτή είναι μια νεότερη δυνατότητα, επομένως αυτό το πρόβλημα επηρεάζει μόνο τα Windows 10 και όχι τα Windows 7.
Πώς ένας εισβολέας θα μπορούσε να το εκμεταλλευτεί αυτό: Τα Windows μπορεί να λένε ότι το BitLocker είναι ενεργοποιημένο, αλλά το BitLocker μπορεί να κάθεται αδρανές και να αφήνει τον SSD να αποτύχει στην ασφαλή κρυπτογράφηση των δεδομένων σας. Ένας εισβολέας θα μπορούσε ενδεχομένως να παρακάμψει την κακώς εφαρμοσμένη κρυπτογράφηση στη μονάδα στερεάς κατάστασης για να αποκτήσει πρόσβαση στα αρχεία σας.
Η λύση: Αλλάξτε την επιλογή “Διαμόρφωση χρήσης κρυπτογράφησης βάσει υλικού για σταθερές μονάδες δεδομένων” στην πολιτική ομάδας των Windows σε “Απενεργοποιημένη”. Στη συνέχεια, πρέπει να καταργήσετε την κρυπτογράφηση και να κρυπτογραφήσετε ξανά τη μονάδα δίσκου για να τεθεί σε ισχύ αυτή η αλλαγή. Το BitLocker θα σταματήσει να εμπιστεύεται τις μονάδες δίσκου και θα κάνει όλη τη δουλειά σε λογισμικό αντί για υλικό.
Τα τσιπ TPM μπορούν να αφαιρεθούν
Ένας ερευνητής ασφαλείας έδειξε πρόσφατα μια άλλη επίθεση. Το BitLocker αποθηκεύει το κλειδί κρυπτογράφησης στη μονάδα Trusted Platform Module (TPM,) του υπολογιστή σας, η οποία είναι ένα ειδικό κομμάτι υλικού που υποτίθεται ότι είναι ανθεκτικό σε παραβιάσεις. Δυστυχώς, ένας εισβολέας θα μπορούσε να χρησιμοποιήσει μια πλακέτα FPGA $27 και λίγο κώδικα ανοιχτού κώδικα για να το εξαγάγετε από το TPM. Αυτό θα κατέστρεφε το υλικό, αλλά θα επέτρεπε την εξαγωγή του κλειδιού και την παράκαμψη της κρυπτογράφησης.
Πώς ένας εισβολέας μπορεί να το εκμεταλλευτεί αυτό: Εάν ένας εισβολέας έχει τον υπολογιστή σας, μπορεί θεωρητικά να παρακάμψει όλες αυτές τις φανταχτερές προστασίες TPM παραβιάζοντας το υλικό και εξάγοντας το κλειδί, κάτι που υποτίθεται ότι δεν είναι δυνατό.
Η λύση: Διαμορφώστε το BitLocker ώστε να απαιτείται PIN προεκκίνησης στην πολιτική ομάδας. Η επιλογή “Απαιτείται PIN εκκίνησης με TPM” θα αναγκάσει τα Windows να χρησιμοποιήσουν ένα PIN για να ξεκλειδώσουν το TPM κατά την εκκίνηση. Θα πρέπει να πληκτρολογήσετε ένα PIN κατά την εκκίνηση του υπολογιστή σας πριν από την εκκίνηση των Windows. Ωστόσο, αυτό θα κλειδώσει το TPM με πρόσθετη προστασία και ένας εισβολέας δεν θα μπορεί να εξαγάγει το κλειδί από το TPM χωρίς να γνωρίζει το PIN σας. Το TPM προστατεύει από επιθέσεις ωμής βίας, ώστε οι εισβολείς να μην μπορούν απλώς να μαντέψουν κάθε PIN ένα προς ένα.
Οι υπολογιστές ύπνου είναι πιο ευάλωτοι
Η Microsoft συνιστά την απενεργοποίηση της λειτουργίας αναστολής λειτουργίας κατά τη χρήση του BitLocker για μέγιστη ασφάλεια. Η κατάσταση αδρανοποίησης είναι καλή—μπορείτε να ζητήσετε από το BitLocker ένα PIN όταν ξυπνάτε τον υπολογιστή σας από την κατάσταση αδρανοποίησης ή όταν τον εκκινείτε κανονικά. Όμως, σε κατάσταση αναστολής λειτουργίας, ο υπολογιστής παραμένει ενεργοποιημένος με το κλειδί κρυπτογράφησης αποθηκευμένο στη μνήμη RAM.
Πώς ένας εισβολέας μπορεί να το εκμεταλλευτεί αυτό: Εάν ένας εισβολέας έχει τον υπολογιστή σας, μπορεί να τον αφυπνίσει και να συνδεθεί. Στα Windows 10, ενδέχεται να χρειαστεί να εισαγάγει ένα αριθμητικό PIN. Με φυσική πρόσβαση στον υπολογιστή σας, ένας εισβολέας μπορεί επίσης να μπορεί να χρησιμοποιήσει άμεση πρόσβαση στη μνήμη (DMA) για να αρπάξει τα περιεχόμενα της μνήμης RAM του συστήματός σας και να πάρει το κλειδί BitLocker. Ένας εισβολέας θα μπορούσε επίσης να εκτελέσει μια επίθεση ψυχρής εκκίνησης—να επανεκκινήσει τον υπολογιστή που λειτουργεί και να αρπάξει τα κλειδιά από τη μνήμη RAM προτού εξαφανιστούν. Αυτό μπορεί να περιλαμβάνει ακόμη και τη χρήση καταψύκτη για τη μείωση της θερμοκρασίας και την επιβράδυνση αυτής της διαδικασίας.
Η λύση: Αδρανοποιήστε ή τερματίστε τη λειτουργία του υπολογιστή σας αντί να τον αφήσετε να κοιμάται. Χρησιμοποιήστε ένα PIN πριν την εκκίνηση για να κάνετε τη διαδικασία εκκίνησης πιο ασφαλή και να αποκλείσετε τις επιθέσεις ψυχρής εκκίνησης—Το BitLocker θα απαιτεί επίσης ένα PIN κατά την επανέναρξη από την κατάσταση αδρανοποίησης, εάν έχει ρυθμιστεί να απαιτεί PIN κατά την εκκίνηση. Τα Windows σάς επιτρέπουν επίσης “απενεργοποιήστε τις νέες συσκευές DMA όταν αυτός ο υπολογιστής είναι κλειδωμένοςμέσω μιας ρύθμισης ομαδικής πολιτικής, επίσης—που παρέχει κάποια προστασία ακόμα κι αν ένας εισβολέας πάρει τον υπολογιστή σας ενώ εκτελείται.
Εάν θέλετε να διαβάσετε λίγο περισσότερο το θέμα, η Microsoft διαθέτει λεπτομερή τεκμηρίωση για εξασφάλιση Bitlocker στην ιστοσελίδα της.