вторник, 22 декабря 2009 г.

Многочисленные взломы Bitlocker’а.

clip_image001 Сначала я не хотел писать на эту тему, но, как говорится, пришлось. Два «взлома» Bitlocker за один месяц это, все-таки, немного трудно пережить даже мне.

Сначала в сети поднялся шум и гвалт по поводу выпуска компанией Passware новой версии их утилиты Passware Kit Forensic, которая позволяет «восстановить ключи шифрования для дисков, защищенных Bitlocker» и, следовательно, дешифровать эти диски. Разумеется, онлайн журналисты всех мастей не смогли пройти мимо такой новости, а так как читать и думать многим из них лень, то родилась «сенсация»: хваленый Bitlocker взломан. К чести пишущей братии, надо сказать, что многие из них написали потом в дополнении к своим публикациям, что понимать это надо все-таки не так, как они написали, а вовсе даже по другому. Что же на самом деле позволяет сделать новая версия программы? А ничего особенного, она действительно позволяет расшифровать диск, который зашифрован Bitlocker. Но для этого нам необходимы, внимание:

1) Сам зашифрованный диск (что логично: нужно же нам что-то расшифровывать)

2) И полный дамп памяти включенного компьютера.

И вот этот второй пункт перечеркивает почти все возможности к упоминанию о взломе BitLocker. В самом деле, чтобы получить этот самый дамп, злоумышленнику нужен

1) Физический доступ к включенному компьютеру (а мы прекрасно помним о рекомендациях выключать или переводить в hibernation компьютеры с шифрованными дисками)

2) Доступ не только к включенному компьютеру, но еще и открытая сессия с правами администратора.

Собственно, объясните мне, зачем при таких условиях вообще нужен какой-то там программный продукт, чтобы что-то там ломать или дешифровать? Да скопируйте эту информацию на любой внешний носитель – и всех дел. Единственный вариант, который приходит в голову это если украден включенный, ноутбук с заблокированной сессией и включенным интерфейсом Fire Wire. В этом случае злоумышленник может получить доступ к содержимому памяти напрямую. Однако даже считая такой сценарий вероятным, можно, с моей точки зрения, считать его вероятность невысокой (тем не менее я бы рекомендовал отключить FireWire на переносных компьютерах ;) ).

Итак, в результате тщательного прочтения получаем вывод:

Единственная сфера применения нового ПО это дешифрация разделов на компьютерах, для которых

1) PIN Bitlocker’а утерян,

2) но компьютер все еще включен,

3) административный доступ есть

4) хочется сохранить этот компьютер без переиснталляции.

Достаточно узкий спектр задач, не находите? На это, собственно, и намекает слово Forensic в названии программы.

Однако, как я уже говорил, я не стал бы писать только об этом, благо, публикаций на данную тему было множество, как в русскоязычном сегменте Интернета, так и в зарубежном. Однако, буквально вчера я увидел очередную публикацию.

clip_image002

Но об этом в следующем сообщении.

4 комментария:

Владимир Безмалый комментирует...

Саша, на самом деле в сценарии о котором ты говоришь, не нужен ключ вообще. Если ты обладаешь правами админа и комп шифрованный загружен, кто мешает тебе сменить ключ bitLocker или расшифровать диск? НИКТО! Потому данное ПО на мой взгляд просто бесполезно!
PS
Я уже писал об том на своем блоге :) После разговора с тобой :)

Alexander Trofimov комментирует...

Говорил, но так и не сказал мне, требуется ли PIN при попытке расшифровать диск. А экспериментировать у меня сейчас времени просто нет, тем более нет машины с TPM, а просто с флешкой эксперимент был бы не полным.

Unknown комментирует...

http://testlab.sit.fraunhofer.de//downloads/Publications/Attacking_the_BitLocker_Boot_Process_Trust2009.pdf

Ссылка из последней «Компьютерры», где описано, как оно работает. Подменяется загрузчик и пин считывается кейлоггером.

Alexander Trofimov комментирует...

Я эту ссылку нашел в другом месте и даже прочитал. Там описано 5 методов. Впрочем - в следующем выпуске все подробнее =)