BitLocker, šifrovací technologie zabudovaná do Windows, v poslední době zaznamenala několik úspěchů. Nedávný exploit demonstroval odstranění čipu TPM počítače za účelem extrahování jeho šifrovacích klíčů a mnoho pevných disků prolomilo BitLocker. Zde je návod, jak se vyhnout nástrahám nástroje BitLocker.
Všechny tyto útoky vyžadují fyzický přístup k vašemu počítači. To je celý smysl šifrování – zabránit zloději, který vám ukradl notebook, nebo někomu v přístupu k vašemu stolnímu počítači, aby si prohlížel vaše soubory bez vašeho svolení.
Table of Contents
Standardní BitLocker není v systému Windows Home k dispozici
Zatímco téměř všechny moderní spotřebitelské operační systémy jsou standardně dodávány s šifrováním, Windows 10 stále neposkytuje šifrování na všech počítačích. Macy, Chromebooky, iPady, iPhony a dokonce i distribuce Linuxu nabízejí šifrování všem svým uživatelům. Microsoft ale stále nepřipojuje BitLocker k Windows 10 Home.
Některé počítače mohou být vybaveny podobnou technologií šifrování, kterou Microsoft původně nazýval „šifrování zařízení“ a nyní někdy nazývá „šifrování zařízení BitLocker“. Tomu se budeme věnovat v další části. Tato technologie šifrování zařízení je však omezenější než úplný BitLocker.
Jak to může útočník zneužít: Není potřeba exploitů! Pokud váš domácí počítač se systémem Windows není zašifrován, může útočník odstranit pevný disk nebo spustit jiný operační systém na vašem počítači, aby získal přístup k vašim souborům.
Řešení: Zaplaťte 99 USD za upgrade na Windows 10 Professional a aktivujte nástroj BitLocker. Můžete také zvážit vyzkoušení jiného řešení šifrování, jako je VeraCrypt, nástupce TrueCrypt, který je zdarma.
BitLocker někdy nahraje váš klíč do společnosti Microsoft
Mnoho moderních počítačů se systémem Windows 10 přichází s typem šifrování s názvem „šifrování zařízení“. Pokud to váš počítač podporuje, bude automaticky zašifrován poté, co se přihlásíte do počítače pomocí účtu Microsoft (nebo účtu domény v podnikové síti). Obnovovací klíč se poté automaticky nahraje na servery společnosti Microsoft (nebo na servery vaší organizace v doméně).
To vás chrání před ztrátou souborů – i když zapomenete heslo k účtu Microsoft a nebudete se moci přihlásit, můžete použít proces obnovení účtu a znovu získat přístup ke svému šifrovacímu klíči.
Jak to může útočník zneužít: Je to lepší než žádné šifrování. To však znamená, že společnost Microsoft by mohla být nucena prozradit váš šifrovací klíč vládě se zatykačem. A co je ještě horší, útočník by teoreticky mohl zneužít proces obnovy účtu Microsoft k získání přístupu k vašemu účtu a přístupu k vašemu šifrovacímu klíči. Pokud by měl útočník fyzický přístup k vašemu počítači nebo jeho pevnému disku, mohl by pak použít tento obnovovací klíč k dešifrování vašich souborů – aniž by potřeboval vaše heslo.
Řešení: Zaplaťte 99 USD za upgrade na Windows 10 Professional, povolte nástroj BitLocker prostřednictvím ovládacího panelu a po zobrazení výzvy zvolte nenahrání klíče pro obnovení na servery společnosti Microsoft.
Mnoho disků SSD porušuje šifrování BitLocker
Některé disky SSD propagují podporu „hardwarového šifrování“. Pokud ve svém systému používáte takový disk a povolíte BitLocker, systém Windows bude důvěřovat vašemu disku, že tuto práci provede a neprovede obvyklé šifrovací techniky. Koneckonců, pokud jednotka může dělat práci v hardwaru, měla by být rychlejší.
Je tu jen jeden problém: Výzkumníci zjistili, že mnoho SSD toto neimplementuje správně. Například Crucial MX300 ve výchozím nastavení chrání váš šifrovací klíč prázdným heslem. Windows může tvrdit, že BitLocker je povolen, ale ve skutečnosti toho na pozadí možná moc nedělá. To je děsivé: BitLocker by neměl tiše důvěřovat SSD, že tuto práci udělají. Toto je novější funkce, takže tento problém se týká pouze systému Windows 10 a nikoli systému Windows 7.
Jak to může útočník zneužít: Windows může tvrdit, že BitLocker je povolen, ale BitLocker může nečinně přihlížet a nechat SSD selhat při bezpečném šifrování vašich dat. Útočník by mohl pro přístup k vašim souborům potenciálně obejít špatně implementované šifrování na disku SSD.
Řešení: Změňte možnost „Konfigurovat použití hardwarového šifrování pro pevné datové jednotky“ v zásadách skupiny Windows na „Zakázáno“. Aby se tato změna projevila, musíte disk odšifrovat a znovu zašifrovat. BitLocker přestane důvěřovat jednotkám a veškerou práci bude dělat v softwaru místo hardwaru.
Čipy TPM lze vyjmout
Bezpečnostní výzkumník nedávno předvedl další útok. BitLocker ukládá váš šifrovací klíč do modulu Trusted Platform Module (TPM) vašeho počítače, což je speciální hardware, který má být odolný proti neoprávněné manipulaci. Útočník by to bohužel mohl využít deska FPGA za 27 $ a nějaký open-source kód extrahovat jej z TPM. To by zničilo hardware, ale umožnilo by to extrahovat klíč a obejít šifrování.
Jak to může útočník zneužít: Pokud má útočník váš počítač, může teoreticky obejít všechny ty luxusní ochrany TPM zásahem do hardwaru a extrahováním klíče, což by nemělo být možné.
Řešení: Nakonfigurujte BitLocker tak, aby v zásadách skupiny vyžadoval PIN před spuštěním. Možnost „Vyžadovat spouštěcí kód PIN s čipem TPM“ přinutí systém Windows k odemknutí čipu TPM při spuštění použít kód PIN. Při spouštění počítače před spuštěním systému Windows budete muset zadat kód PIN. Tím se však TPM uzamkne s další ochranou a útočník nebude moci získat klíč z TPM, aniž by znal váš PIN. TPM chrání před útoky hrubou silou, takže útočníci nebudou jen schopni uhodnout každý PIN jeden po druhém.
Spící počítače jsou zranitelnější
Společnost Microsoft doporučuje zakázat režim spánku při používání nástroje BitLocker pro maximální zabezpečení. Režim hibernace je v pořádku – můžete nastavit, aby nástroj BitLocker vyžadoval PIN, když počítač probudíte z hibernace nebo když jej normálně spustíte. V režimu spánku však počítač zůstává zapnutý se svým šifrovacím klíčem uloženým v paměti RAM.
Jak to může útočník zneužít: Pokud má útočník váš počítač, může ho probudit a přihlásit se. V systému Windows 10 může být nutné zadat číselný kód PIN. Díky fyzickému přístupu k vašemu počítači může být útočník také schopen použít přímý přístup do paměti (DMA) k získání obsahu paměti RAM vašeho systému a získání klíče BitLocker. Útočník by také mohl provést útok za studena – restartovat spuštěný počítač a získat klíče z paměti RAM, než zmizí. To může dokonce zahrnovat použití mrazničky ke snížení teploty a zpomalení tohoto procesu.
Řešení: Uložte počítač do režimu spánku nebo jej vypněte, místo abyste jej nechali uspat. Použijte předbootovací PIN, aby byl proces spouštění bezpečnější a blokovali útoky studeného spouštění – BitLocker bude také vyžadovat PIN při obnově z režimu spánku, pokud je nastaven tak, aby vyžadoval PIN při spouštění. Systém Windows také umožňuje „zakázat nová zařízení DMA, když je tento počítač uzamčen” také prostřednictvím nastavení zásad skupiny – které poskytuje určitou ochranu, i když útočník získá váš počítač, když je spuštěný.
Pokud byste si chtěli na toto téma přečíst více, společnost Microsoft má podrobnou dokumentaci zabezpečení Bitlockeru na jeho webových stránkách.