Захист ваших даних: виявлення слабких місць BitLocker
BitLocker, як технологія шифрування, інтегрована в операційну систему Windows, останнім часом зіткнулася з певними викликами. Нещодавні інциденти показали, як можна обійти захист, вилучивши чіп TPM комп’ютера для доступу до ключів шифрування, а також виявлено, що деякі жорсткі диски неналежно працюють з BitLocker. Давайте розглянемо, як можна мінімізувати ризики, пов’язані з використанням BitLocker.
Важливо пам’ятати, що всі описані атаки вимагають фізичного доступу до вашого пристрою. Основна мета шифрування полягає в тому, щоб запобігти несанкціонованому доступу до ваших файлів, якщо ноутбук вкрали або хтось отримав доступ до вашого настільного комп’ютера.
Стандартний BitLocker недоступний у версії Windows Home
Незважаючи на те, що майже всі сучасні операційні системи для споживачів вже мають вбудоване шифрування за замовчуванням, Windows 10 все ще не пропонує таку опцію для всіх персональних комп’ютерів. Пристрої Mac, Chromebook, iPad, iPhone та навіть дистрибутиви Linux мають шифрування, доступне для всіх своїх користувачів. Однак Microsoft досі не включає BitLocker у версію Windows 10 Home.
Деякі комп’ютери можуть мати технологію шифрування, спочатку відому як “шифрування пристрою”, а тепер іноді називають “шифрування пристрою BitLocker”. Ми розглянемо її докладніше в наступному розділі. Проте, цей тип шифрування має обмежені можливості порівняно з повноцінним BitLocker.
Як зловмисник може скористатися цим? Немає потреби в складних експлойтах! Якщо ваш домашній ПК на Windows не зашифрований, зловмисник може вилучити жорсткий диск або завантажити іншу операційну систему, щоб отримати доступ до вашої інформації.
Рішення: Розгляньте можливість придбання оновлення до Windows 10 Professional за 99 доларів та активації BitLocker. Як альтернативу, ви можете використовувати безкоштовні рішення для шифрування, такі як VeraCrypt, який є наступником TrueCrypt.
BitLocker інколи завантажує ваш ключ на сервери Microsoft
Багато сучасних комп’ютерів з Windows 10 мають шифрування, яке називається “шифрування пристрою”. Якщо ваш ПК підтримує цю функцію, він буде автоматично зашифрований після входу в систему за допомогою облікового запису Microsoft (або облікового запису домену в корпоративній мережі). Потім ключ відновлення автоматично зберігається на серверах Microsoft (або серверах вашої організації в домені).
Це захищає вас від втрати файлів, навіть якщо ви забудете пароль свого облікового запису Microsoft і не зможете увійти. Ви можете скористатися процесом відновлення облікового запису, щоб отримати доступ до свого ключа шифрування.
Як зловмисник може скористатися цим? Це краще, ніж взагалі не мати шифрування, але це також означає, що Microsoft може бути змушена розкрити ваш ключ шифрування уряду за рішенням суду. Крім того, зловмисник теоретично може зловживати процесом відновлення облікового запису Microsoft, щоб отримати доступ до вашого облікового запису та до ключа шифрування. Маючи фізичний доступ до вашого комп’ютера чи жорсткого диска, зловмисник міг би використовувати цей ключ відновлення для розшифрування ваших даних без необхідності знати ваш пароль.
Рішення: Розгляньте можливість оновлення до Windows 10 Professional за 99 доларів, увімкніть BitLocker через панель керування і відмовтеся від завантаження ключа відновлення на сервери Microsoft, коли буде запропоновано.
Проблеми з шифруванням на деяких твердотільних накопичувачах
Деякі твердотільні накопичувачі (SSD) стверджують, що підтримують “апаратне шифрування”. Якщо ви використовуєте такий диск і вмикаєте BitLocker, Windows буде покладатися на ваш диск, а не використовувати свої звичайні методи шифрування. Зрештою, якщо диск може виконувати апаратну роботу, це має бути швидше.
Але є проблема: дослідження показали, що багато SSD не виконують це належним чином. Наприклад, Crucial MX300 за замовчуванням зберігає ваш ключ шифрування з порожнім паролем. Windows може показувати, що BitLocker ввімкнений, але насправді він може не виконувати потрібних дій. Це серйозна проблема: BitLocker не повинен мовчки довіряти SSD для виконання шифрування. Це нова функція, тому ця проблема стосується лише Windows 10, а не Windows 7.
Як зловмисник може скористатися цим? Windows може показувати, що BitLocker увімкнено, але натомість ваш SSD може не належним чином шифрувати ваші дані. Зловмисник може обійти це слабке шифрування SSD та отримати доступ до ваших файлів.
Рішення: Змініть параметр “Налаштувати використання апаратного шифрування для фіксованих дисків даних” у груповій політиці Windows на “Вимкнено”. Після цього потрібно розшифрувати та повторно зашифрувати диск. BitLocker перестане покладатися на диски та виконуватиме всю роботу за допомогою програмного забезпечення.
Чіпи TPM можна вилучити
Нещодавні дослідження в галузі безпеки виявили ще одну вразливість. BitLocker зберігає ваш ключ шифрування в модулі довіреної платформи (TPM), спеціальному апаратному забезпеченні, яке має бути захищеним від втручання. Проте, зловмисник може використати FPGA-плату за 27 доларів і деякий відкритий код, щоб отримати ключ із TPM. Хоча це знищить апаратне забезпечення, це дозволить вилучити ключ та обійти шифрування.
Як зловмисник може скористатися цим? Якщо зловмисник має ваш комп’ютер, він теоретично може обійти захист TPM, втрутившись в апаратне забезпечення та вилучивши ключ, що, по суті, не повинно бути можливим.
Рішення: Налаштуйте BitLocker на запит PIN-коду перед завантаженням через групову політику. Параметр “Вимагати PIN-код запуску з TPM” змусить Windows використовувати PIN-код для розблокування TPM під час запуску. Вам потрібно буде ввести PIN-код під час завантаження ПК перед запуском Windows. Це додасть додатковий захист TPM і зловмисник не зможе отримати ключ без знання PIN-коду. TPM захищений від атак грубої сили, тому зловмисники не зможуть просто вгадати кожен PIN-код один за іншим.
Сплячі ПК більш вразливі
Microsoft рекомендує вимикати сплячий режим під час використання BitLocker для максимальної безпеки. Режим глибокого сну є безпечним, оскільки ви можете налаштувати BitLocker на запит PIN-коду, коли ви виводите комп’ютер із режиму глибокого сну або коли завантажуєте його в звичайному режимі. У сплячому режимі комп’ютер залишається увімкненим, а ключ шифрування зберігається в оперативній пам’яті.
Як зловмисник може скористатися цим? Якщо зловмисник має фізичний доступ до вашого комп’ютера, він може розбудити його та увійти. У Windows 10 йому, можливо, доведеться ввести цифровий PIN-код. Зловмисник також може використати прямий доступ до пам’яті (DMA), щоб захопити вміст оперативної пам’яті та отримати ключ BitLocker. Іншим способом є атака “холодного завантаження” – перезавантаження працюючого ПК та захоплення ключів з оперативної пам’яті, до того, як вони зникнуть. Цей процес може включати використання морозильної камери для зниження температури.
Рішення: Переводьте комп’ютер у режим глибокого сну або вимикайте його, а не залишайте у сплячому режимі. Використовуйте PIN-код перед завантаженням для додаткового захисту під час запуску та запобігання атакам “холодного завантаження”. BitLocker також вимагатиме PIN-код під час виходу з режиму глибокого сну, якщо він налаштований на запит PIN-коду при завантаженні. Windows також дозволяє вам “вимкнути нові пристрої DMA, коли цей комп’ютер заблоковано” через налаштування групової політики – це забезпечує певний захист, навіть якщо зловмисник отримає доступ до комп’ютера під час його роботи.
Для отримання більш детальної інформації про захист BitLocker, ви можете ознайомитися з документацією Microsoft.