Gepubliceerd: Vrijdag 24 april 2009
Windows 7 valt in een virtuele machine te hacken tijdens het opstarten. Volgens de ontdekkers is hier niets tegen te doen.
Toon volledig artikel
Daarvoor is wel fysieke toegang tot de computer nodig waarop de nieuwe Windows-versie draait. Dit omvat zowel reguliere inbraak als laptopdiefstal of -verlies.
Storm in een glas water dus, want als je laptop gestolen is, lijkt me dat de erger als dat windows gekraakt wordt. En als je om te kraken fysiek bij de computer moet zijn, is het dus niet hetzelfde als een remote hack.
Wat dacht je van gevoelige data die op de hdd van de laptop staat? Die kan vele malen meer waard zijn dan de waarde van de laptop zelf. Versleutelen met bitlocker heeft in deze situatie ook geen zin omdat windows gewoon wordt gestart zoals het hoort. Of na het starten ook eenvoudig in een account kan worden ingebroken is me niet duidelijk, wellicht dat dat nog wat roet in het eten van de cracker kan gooien. Weet iemand daar meer van?
Mee eens.
Een machine waar je fysiek aan kunt komen is altijd in te komen.
Linux systemen kun je ook het root wachtwoord van aanpassen als je fysiek aan de machine kunt door tijdens de reboot via grub.
Is by design.
Hier een recap van alle mogelijke manieren om een verloren root wachtwoord te resetten: http://linuxgazette.net/107/tomar.html
Nee, dit is een storm is een glas water.
Indien je je home dir dan niet enctrypted is is je data ook leesbaar.
Linux systemen kun je ook het root wachtwoord van aanpassen als je fysiek aan de machine kunt door tijdens de reboot via grub.
maar alleen omdat niemand zo slim is om een wachtwoord te zetten op Grub. Dus niet by design, maar eerder gewoon een beetje dom. Gebruik je een veilig os, zet je de voordeur open. =P
Een wachtwoord op je bios spreekt natuurlijk vanzelf. Geen oplossing, maar in elk geval een vertraging.
En echt gevoelige data hoort in principe natuurlijk op een truecrypt volume te staan. :)
maar alleen omdat niemand zo slim is om een wachtwoord te zetten op Grub. Dus niet by design, maar eerder gewoon een beetje dom.
Maar mijn grub op floppy trekt zich helemaal niets aan van het password op grub config in de mbr/HD-partitie.
MAW een volkomen nutteloze suggestie. Het enige wat werkt is zoals je zelf al aangeeft: encrypted filesystems.
Vandaar ook bootvolgorde in de bios en daar ook een wachtwoord op. Dan moet in elk geval de computer open om er bij te komen. Het is allemaal niet perfect, maar het is het best mogelijke.
Of jumpertje op moederbord even omzetten, zodat bios password gereset wordt. (zie moederbordmanual indien het zo'n password reset jumper heeft).
Dat dacht ik ook. maar op nieuwere biossen schijnen al die trucjes niet meer zo goed te werken getuige de discussie op Tweakers.
Bitlocker plus startup pin op een TPM 1.2 PC is wel degelijk veilig. Zie deze link.
Ruud de Jonge
Microsoft Nederland
Ik moet bekennen dat ik geen touw kan vastknopen aan het relaas achter de link. Maar het zou goed zijn als de soep iets minder heet zou zijn als dat ze wordt opgediend.
En hoe gaat Microsoft dit dan aanpakken?
http://tweakers.net/nieuws/59789/windows-7-kwetsbaarheid-volgens-onderzoekers-niet-te-repareren.html
Dat lijkt mij een groot probleem waar je niet onderuit kan en ook niet op voort bouwen.
Ik ben reuze benieuwd
Wat doe jij hier? Jij hoort toch in de advertorials thuis? Dat jij jezelf hier nog durft te vertonen zeg! Ik begin er haast bewondering voor te krijgen.
Toch vind ik dit goed nieuws:
Het gaat volgens hun om een fundamentele ontwerpfout.
Zo zie je maar weer, ook op dit punt is Windows maar weer lekker backwards compatible toch?
Wel geinig om te zien dat Microsoft Nederland er boven op zit als het om windows7 gaat. Want dat kunnnen we niet aan als de introductie al met een blooper begint.
Je hoeft helemaal niet fysiek in het datacenter te zijn. Windows7 staat voor b.v. vmware gewoon ergens als file op het SAN.
Dus copieren die hap (en dat gaat tegenwoordig lekker snel) en opstarten vanuit je eigen (gratis) vmware server.
Maar het lijkt mij, dat als het file systeem ge-encrypt is, er niks aan de hand is (op brute force hack na dan)
Deze "hack" is alleen mogelijk omdat op een virtuele machine het bootproces niet kan worden bewaakt door een TPM.
Zolang je de fysieke machine, waar de virtuele machine op draait, maar met Bitlocker plus TPM en PIN beveiligt, is er niets aan de hand, want dan komt niemand op de fysieke machine.
kans op fysieke toegang in het data center lijkt me ook vrij klein.
Kans op toegang tot het SAN waar de virtuele machines liggen opgeslagen lijkt mij veel groter. Het wachten is dus op een kraak van een VMWARE (of windows hypervisor natuurlijk) server om deze ¨ontwerp fout¨ uit te buiten.
Het lijkt mij ook meer een probleem voor op laptops, mocht men deze per ongeluk vergeten of gejat worden.
Ook met Macbooks als je deze kwijtraakt en geen FileVault hebt ingesteld dan kan je vrij eenvoudig in het systeem komen. Vandaar ik bij mij altijd FileVault in geschakeld heb.
Nadeel is ben je het wachtwoord kwijt dan kom je er ook op geen enkele manier meer erin.
Deze nadeel is tevens het grote voordeel.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
