W dzisiejszym cyfrowym świecie ochrona prywatności i bezpieczeństwo danych są niezmiernie ważne. Wiele osób korzysta z różnorodnych narzędzi szyfrowania, aby zabezpieczyć swoje informacje przed niepowołanym dostępem. Jednym z popularnych narzędzi szyfrujących dostępnych dla użytkowników systemu Windows jest BitLocker. Koniecznie przeczytajcie, w jaki sposób można zabezpieczyć swoje dane przed omienieciem tego narządzia przez cyberprzestępców.
Luki w zabezpieczeniach Windows
Niedawno na kanale "stacksmashing" w serwisie YouTube pojawił się film przedstawiający łamanie wbudowanego szyfrowania w systemie Windows, na większości urządzeń korzystających z systemu operacyjnego Microsoftu za pomocą taniego narzędzia za 10 dolarów. W zaledwie 43 sekundy (rekordowym czasie) demonstruje się omijanie zabezpieczeń. I chociaż szyfrowanie uznawane było jako sztandarowym przykład skutecznej i bezpiecznej ochrony danych, obecnie wydaje się, że ma ono również swoje luki, mimo że opiera się na zaawansowanych funkcjach, takich jak moduły zaufanej platformy Trusted Platform Modules (TPM), które są obecnie wymagane także w najnowszych sytemie operacyjny Windows.
Ale czy tę lukę w zabezpieczeniach można odpowiednio ominąć? Na szczęście rozwiązanie jest stosunkowo łatwe i nie kosztuje tak dużo, jak w przypadku pełnego naruszenia bezpieczeństwa danych.
Omijanie szyfrowania
Metoda omijania szyfrowania została nazwana "BitLocker sniffing", od nazwy wbudowanego narzędzia szyfrującego BitLocker w systemie Windows. Zasadniczo dane z modułu TPM są ujawniane w magistrali i jeśli cokolwiek korzysta z modułu TPM, można wówczas „wywąchać” dane, które zostaną ujawnione w magistrali w pewnym momencie procesu deszyfrowania. Prawdopodobieństwo takiej sytuacji wrasta na starszych komputerach, zwłaszcza tych, których moduł TPM nie jest zintegrowany z procesorem.
Exploit funkcji BitLocker polega na tym, że oprócz modułu TPM nie używa on hasła ani żadnej innej metody dodatkowego uwierzytelniania. W przypadku przedstawionym na filmie https://youtu.be/wTl4vEednkQ komputer uruchamia się automatycznie, a moduł TPM zapewnia dostęp do klucza szyfrującego dysk (znanego również jako klucz główny woluminu – VMK). Podczas włączania komputera funkcja BitLocker automatycznie używa modułu TPM do odszyfrowania pliku VMK i niemal natychmiast uruchamia się do logowania do systemu Windows. Zatem VMK jest dostępny bezpośrednio na magistrali podczas uruchamiania systemu.
Mówiąc najprościej, komunikacja pomiędzy modułem TPM a procesorem komputera jest ujawniana podczas uruchamiania, co oznacza, że klucz szyfrowania może zostać odczytany przez osobę szpiegującą sygnał między modułem TPM a procesorem, co można zrobić za pomocą taniego narzędzia i oprogramowania sprzętowego.
Może to przypominać osobie znającej się na cyberbezpieczeństwie, niektóre przypadkach ataków typu man-in-the-middle, które „podsłuchują” połączenie internetowe/sygnał Bluetooth/RFID danej osoby podczas próby połączenia się z jakimś miejscem/kimś/czymś. Dzieje się tak, ponieważ strumień danych może zostać ujawniony podczas przesyłania do odbiornika, chyba że posiada się dodatkową formę zabezpieczenia, np. VPN podczas połączenia z publiczną siecią Wi-Fi, zapewniającą chronione ukryte połączenie. Zasadniczo wymagane jest dodanie kolejnej warstwy zabezpieczeń, aby zamaskować transfer danych.
Czy szyfrowanie nie wystarczy?
Problemem nie jest to, czy szyfrowanie stanowi wystarczającą zachętę do korzystania z najnowszych funkcji systemu operacyjnego, ale fakt, że jak dotąd zawsze był to element zwiększający bezpieczeństwo. Jednak w przypadku BitLocker sniffing wydaje się, że szyfrowanie może być kolejną nadmiarową funkcją … a może jednak nią jest?
Prawdę mówiąc, szyfrowanie jest niezbędnym – nie, obowiązkowym – środkiem bezpieczeństwa dla każdego użytkownika, który musi mieć pewność, że jego dane pozostaną bezpieczne i są bezpiecznie przechowywane, ograniczając potencjalne możliwości dostępu nawet po kradzieży urządzenia. Co więcej, jako dodatkowa warstwa, znacznie utrudnia oszustom działania, ponieważ opóźnia potencjalny czas dostępu, dając go więcej na reakcję osobom odpowiedzialnym za bezpieczeństwo.
Każda strategia bezpieczeństwa firmy musi obejmować szyfrowanie, ponieważ jest ono również wymagane w celu zapewnienia zgodności z przepisami i ubezpieczeniem cybernetycznym, gdzie co roku panuje tendencja do podnoszenia obowiązkowych standardów. Szyfrowanie nie wystarczy, gdyż każda strategia przeciwdziała złośliwym zagrożeniom wymaga wielu warstw zabezpieczeń - jest to jednak element niezbędny. Firmy muszą je uwzględnić w celu zapewnienia lepszej ochrony. Jednak szyfrowanie nie musi być takie, jakim jest, czyli pojedynczą warstwą bezpieczeństwa i istnieją sposoby, aby je chronić nawet przed „węszeniem” funkcją BitLocker.
Wszystko zależy od warstw
Już Shrek mówił: Ogry są… mniej więcej jak cebula!
Osioł: Śmierdzą?!
Shrek: Tak… nie!
Osioł: Bo się od nich płacze?
Shrek: Nie!
Osioł: Bo jak się je zostawi na słońcu, to robią się brązowe i rosną im włoski?
Shrek: NIE! Warstwy! Cebula ma warstwy! Dociera? Ogry mają warstwy…
Cóż, podobnie jak ogry, skuteczne aplikacje i środki zapewniające cyberbezpieczeństwo również mają charakter wielowarstwowy. Platforma ESET PROTECT jest tego przykładem, ponieważ sama w sobie zawiera wiele warstw technologii chroniących przed zagrożeniami, niezależnie od tego, czy są to zagrożenia typu zero-day, które nigdy nie ujrzały światła dziennego, czy znane złośliwe oprogramowanie, które stara się unikać wykrywania za pomocą nowszych technik unikania wykrycia.
W związku z tym ESET może również zagwarantować lepsze szyfrowanie dzięki prostej rzeczy – hasłu. Może się to wydawać prostym zabiegiem, ale ma ogromne możliwości, ponieważ dzięki włączeniu do programów ESET Full Disk Encryption (EFDE) i ESET Endpoint Encryption (EEE) chroni przed technikami takimi jak "BitLocker sniffing”. Technika ta opiera się na niechronionych komunikacjach pomiędzy dyskretnym układem TPM a procesorem. Dlatego każde dodatkowe uwierzytelnienie, które ma miejsce przed rozpoczęciem procesu, zapobiega ujawnieniu klucza szyfrowania.
Podczas normalnej pracy z EFDE i EEE użytkownik musi wprowadzić swoje hasło podczas uruchamiania komputera. Zasadniczo hasło jest używane w połączeniu z innymi danymi i szyfrowaniem TPM w celu odszyfrowania VMK. Zatem bez hasła użytkownika nie można uzyskać prawidłowego VMK. Tak, w pewnym momencie dane odszyfrowane przez moduł TPM będą dostępne w postaci zwykłej, nie może to jednak nastąpić bez znajomości hasła użytkownika.
Potężne szyfrowanie, bezpieczne systemy
Ostatecznie cyberbezpieczeństwo zawsze będzie musiało ewoluować, podobnie jak zagrożenia. Czasami jednak proste środki bezpieczeństwa mogą mieć znaczny wpływ.
Hasła zawsze stanowiły pierwszą linię obrony przed zewnętrznymi zagrożeniami (ponieważ uzyskanie dostępu do jednego konta może wywołać reakcję łańcuchową) i prawdopodobnie, tak będzie również w przyszłości.
Należy jednak przypomnieć – nigdy nie wybieraj słabych haseł, nigdy nie używaj ponownie jednego hasła do swoich kont lub szyfrowania i ogólnie pamiętaj o cyberbezpieczeństwie. Ogólnie rzecz biorąc, w przypadku firm zastanów się, jakiego poziomu bezpieczeństwa potrzebujesz – ponieważ tylko pojedynczy produkt lub jeden dodatkowy środek, taki jak silne hasło do szyfrowania, może mieć znaczenie.
O autorze: Wiesław Sołtysik
Product manager - Opiekun marki ESET
W branży IT od ponad 20 lat. Expert w prowadzeniu projektów z zakresu bezpieczeństwa IT. Prywatnie fascynje się technologią i motoryzacją.
