Задумавшись, как же поздравить друзей с Новым Годом, я сначала думал спеть песню, записать и разослать им копию. Но мой голос может оказаться не тем, что Вам понравилось бы:
Следующей идеей было станцевать, но что-то пошло не так:
Хотя, если задуматься, все могло быть еще хуже:
Потому я просто решил притвориться Дедом Морозом
и поздравить Вас с Новым Годом.
Здоровья, счастья и всего-всего-всего =)
Итак, как я писал в предыдущем сообщении, вторым фактом, обсуждаемым онлайн прессой, который подвиг меня на написание этой короткой серии, стало исследование Fraunhofer Institute for Secure Information Technology. В этом исследовании было показано как можно получить доступ к информации, защищенной Bitlocker, даже с применением TPM. Практически, можно сказать, взлом века!
Особенно для тех, кто не дает себе труда прочитать отчет о самом исследовании, а предпочитает получать сведения от журналистов (ох уж эти мне журналисты, включая меня самого ;) ).
Итак, как уже нетрудно догадаться, никакого взлома именно Bitlocker или TPM не произшло. Что же послужило причиной возбуждения онлайн-прессы? На самом деле исследование вышеощначенной группы показывает возможности получения PIN кода от пользователя с последующим использованием данного кода для дешифрации защищенного контента диска. Я еще раз подчеркиваю: получить код предлагалось от пользователя. То есть пользователь должен был ввести этот код на скомпрометированном компьютере. Мало того, практически все варианты “взлома”, описанные в исследовании требуют множественного физического доступа к компьютеру. Впрочем, давайте по порядку.
Итак, в исследовании были рассмотрены следующие варианты:
1) Атакующий модифицирует код Bitlocker, внедряя в него бекдор. Это, разумеется, будет обнаружено при следующем запуске компьютера и пользователь будет вынужден запустить процедуру восстановления, которая приведет к записи кода на незащищенный раздел, после чего злоумышленнику остается только еще раз получить доступ к компьютеру, чтобы забрать этот код. Итого – дважды дойти до компьютера ножками. Да плюс еще, процедура восстановления не должна быть завязана на TPM. Не слишком часто реализуемаый сценарий, хотя и не невероятный. Где тут взлом Bitlocker? Нигде.
2) Так же модифицируется Bitlocker, но на сей раз чтобы сымитировать окно ввода ключа и/или ключа восстановления. Скорее, второе, так как пока Bitlocker модифицирован TPM не даст расшифровать информацию, пока не получит код восстановления. Опять-таки необходимо дважды добраться физически до компьютера. Опять-таки ни малейших следов взлома Botlocker.
3) Один из наиболее интересных, с точки зрения исследователей, вариантов: все то же самое, но после первого запуска модифицированное ПО удаляет следы своего присутствия и перезагружает компьютер, имитируя сбой. То есть Вы включаете компьютер, вводите ПИН или ПИН восстановления, выводится сообщение об ошибке, происходит перезагрузка и потом все идет нормально. За исключением того, что где-то на открытом разделе в недрах Вашего компьютера лежит ПИН. Остается лишь навестить Ваш компьютер вторично и извлечь ПИН вместе с информацией, винчестером, а то и самим компьютером. Опять дважды нужно получить доступ к компьютеру и, что удивительно, никакого следа взлома Bitlocker.
4) Четвертый вариант требует однократного доступа к Вашему компьютеру, причем злоумышленник должен украсть его, да не просто украсть, а заменить его таким же или, как минимум, неотличимым для пользователя. Подложный компьютер принимает Ваш ПИН, после чего транслирует его каким-то образом взломщику. Собственно – всего один, так сказать, акт физического доступа, но зато намного сложнее в плане подготовки: найти практически идентичный по виду ноутбук достаточно сложно. Модифицировать его так, чтобы он отсылал данные, введенные пользователем тоже непросто. Кроме того факт кражи данных вскрывается тут же, а злоумышленник должен, в большинстве случаев либо находиться рядом сам, либо разместить устройство, которое будет служить релеем для “подкидыша”.
5) Последний путь “взломать” Bitlocker требует модификации ОС и/или загрузчика до активации защиты. Фактически, нужно подсадить вредоносный код до включения шифрования. После этого можно, разумеется, складывать ключи от Bitlocker пачками на незашифрованные разделы. Возникает только вопрос: зачем после того, как я смог разместить вредоносный код на чужом компьютере, мне может понадобиться еще возиться с Bitlocker? Сливать данные по сети, просто расшифровать диск и в дальнейшем только имитировать ввод ПИН… Это может оказаться много удобнее, чем выкрадывать ноутбук.
Итак, какой можно подвести итог? Да очень простой: Bitlocker по прежнему неуязвим ни для каких технических атак, которые не подразумевают получения ключевой информации напрямую от пользователя. С тем же успехом, как в описанных тут методах мы могли бы подключить к калвиатуре пользователя аппаратный кейлоггер, попробовать подобрать ПИН исходя из звукового рисунка набираемой на клавиатуре информации или попросту подвесив над пользователем камеру и записав, что он там вводит.
Как мы видим, ни одна из атак не направлена на, собственно Bitlocker или TPM. Все они направлены на обман пользователя. Да, наверное, было бы сложно говорить о том, что данные реализации идеальны: именно их несовершенство, на обозначение которого и направлено исследование, позволяет все-таки получить доступ к данным, обманув пользователя. Однако остальные реализации подвержены этим ошибкам ничуть не меньше. Даже использование многофакторной аутентификации, особенно для мобильных устройств уязвимо такими же образами: никто не мешает нам узнать PIN для смарткарты и украсть потом эту смарткарту, заменив на похожую. Будет похоже на четвертый вариант. Результат: данные у нас.
Так что же – исследование бессмысленно? Отнюдь! В очередной раз показывается, что свободный физический доступ злоумышленника к Вашему компьютеру (а трудно назвать двойной доступ с возможностью модификации системы не свободным) означает снижение безопасности информации на порядки. То есть защитив данные Bitlocker’ом, EFS’ом и каким-нибудь PGP до кучи, но бросая свой ноутбук где ни попадя Вы все-таки обречены поделиться с кем-нибудь своей информацией, если только этот кто-то захочет. Защита RODC шифрованием вовсе не означает, что этот контроллер можно поставить на улице, “чтобы места не занимал и охлаждение получше было”. Просто можно не строить защищенную серверную, а достаточно лишь обеспечить обычный присмотр за сервером. Но в любом случае – не стоит полагаться на технические средства защиты сверх меры, забывая о людях и их слабостях.
Будьте бдительны, люди =)
Сначала я не хотел писать на эту тему, но, как говорится, пришлось. Два «взлома» Bitlocker за один месяц это, все-таки, немного трудно пережить даже мне.
Сначала в сети поднялся шум и гвалт по поводу выпуска компанией Passware новой версии их утилиты Passware Kit Forensic, которая позволяет «восстановить ключи шифрования для дисков, защищенных Bitlocker» и, следовательно, дешифровать эти диски. Разумеется, онлайн журналисты всех мастей не смогли пройти мимо такой новости, а так как читать и думать многим из них лень, то родилась «сенсация»: хваленый Bitlocker взломан. К чести пишущей братии, надо сказать, что многие из них написали потом в дополнении к своим публикациям, что понимать это надо все-таки не так, как они написали, а вовсе даже по другому. Что же на самом деле позволяет сделать новая версия программы? А ничего особенного, она действительно позволяет расшифровать диск, который зашифрован Bitlocker. Но для этого нам необходимы, внимание:
1) Сам зашифрованный диск (что логично: нужно же нам что-то расшифровывать)
2) И полный дамп памяти включенного компьютера.
И вот этот второй пункт перечеркивает почти все возможности к упоминанию о взломе BitLocker. В самом деле, чтобы получить этот самый дамп, злоумышленнику нужен
1) Физический доступ к включенному компьютеру (а мы прекрасно помним о рекомендациях выключать или переводить в hibernation компьютеры с шифрованными дисками)
2) Доступ не только к включенному компьютеру, но еще и открытая сессия с правами администратора.
Собственно, объясните мне, зачем при таких условиях вообще нужен какой-то там программный продукт, чтобы что-то там ломать или дешифровать? Да скопируйте эту информацию на любой внешний носитель – и всех дел. Единственный вариант, который приходит в голову это если украден включенный, ноутбук с заблокированной сессией и включенным интерфейсом Fire Wire. В этом случае злоумышленник может получить доступ к содержимому памяти напрямую. Однако даже считая такой сценарий вероятным, можно, с моей точки зрения, считать его вероятность невысокой (тем не менее я бы рекомендовал отключить FireWire на переносных компьютерах ;) ).
Итак, в результате тщательного прочтения получаем вывод:
Единственная сфера применения нового ПО это дешифрация разделов на компьютерах, для которых
1) PIN Bitlocker’а утерян,
2) но компьютер все еще включен,
3) административный доступ есть
4) хочется сохранить этот компьютер без переиснталляции.
Достаточно узкий спектр задач, не находите? На это, собственно, и намекает слово Forensic в названии программы.
Однако, как я уже говорил, я не стал бы писать только об этом, благо, публикаций на данную тему было множество, как в русскоязычном сегменте Интернета, так и в зарубежном. Однако, буквально вчера я увидел очередную публикацию.
Но об этом в следующем сообщении.
… что NAP был доступен начиная с Windows Server 2008 (уж я-то точно знаю), так же как и ISATAP в DNS. Чего я не знаю, так это как оно проскользнуло в итоговый текст =(
Ну это для тех, кто заметит =)
