Gepubliceerd: Maandag 7 december 2009
Onderzoekers van het Faunhofer Instituut hebben manieren ontdekt om de BitLocker-encryptie in Windows te omzeilen.
Toon volledig artikel
De aanvallers hebben voor een succesvolle aanval wel twee keer fysieke toegang nodig tot de computer
En dit is serieus nieuws? Zo kan ik "alle" systemen kraken. Een programmaatje installeren die om het wachtwoord vraag en die dat dan naar mij verstuurd....
En de encryptie is al helemaal niet gekraakt.
Je hebt het niet helemaal begrepen.
Met bitlocker zou het juist niet mogelijk moeten zijn om de bootloader aan te passen met een trojan die het wachtwoord wegschrijft na het opstarten en vervolgens de bootloader weer terug zet in zijn originele vorm. Bitlocker zou namelijk moeten detecteren dat het bootsysteem is aangepast en dus niet moeten booten. Op deze wijze heb je helemaal niks aan Bitlocker en heeft drive encryptie dus helemaal geen zin. Bitlocker was juist bedoelt om te voorkomen dat mensen toegang krijgen tot je data.
Waar het nu op neer komt is dat je de laptop nooit onbeheerd achter mag laten, want dan loop je ondanks bitlocker risico dat je wachtwoord wordt gestolen.
"Transparent operation mode: This mode exploits the capabilities of Trusted Platform Module (TPM) 1.2 hardware to provide for a transparent user experience—the user powers up and logs onto Windows as normal. The key used for the disk encryption is sealed (encrypted) by the TPM chip and will only be released to the OS loader code if the early boot files appear to be unmodified"
Dit laatste klopt dus niet, want ze hebben de loadercode gewoon gewijzigd en het wachtwoord gestolen.
En "Zo kun je elk systeem kraken"
Ga je gang zou ik zeggen.
Maar je hebt gelijk als je zegt de encryptie is niet gekraakt. Maar wat ze wel hebben gekraakt is het bootloader systeem waar bitlocker op zou moeten blokkeren.
Denk dat jij het niet helemaal begrepen hebt, De bootloader word vervangen, dus BitLocker word niet opgestart. Na het intypen van de code word de orginele weer terug gezet, waarna de PC wel naar BitLocker opstart, omdat de orginele bootloader weer terug staat ziet BitLocker niet dat er iets gewijzigd is.
Dit zelfde zou natuurlijk ook bereikt kunnen worden met en camera boven het toetsenbord of een hardware keylogger, of misschien wel een andere manier.
De encriptie is in ieder geval niet gekraakt. Er is alleen een manier gevonden om iemand de code te ontfrutselen, het sturen van een E-Mail is soms ook al voldoende om iemand zijn gebruikers naam en password te verkrijgen.
Misschien dat een een scherm net na het opstarten van Windows die aangeeft dat BitLocker een error heeft gevonden die alleen op te lossen door nogmaals je code in te typen ook heel veel mensen verleid om de code af te staan.
Incorrect.
Het ontwerp van Bitlocker was erop gericht dat geen enkele aanpassing aan de data mogelijk was zonder een paswoord. Het kunnen vervangen van de bootloader toont aan dat Bitlocker niet volledig functioneert.
Of de terminologie 'kraken' hier echt gepast is, denk van niet!
Wel geeft het aan dat Bitlocker niet 100% doet, wat het zou moeten doen.
In dit geval wordt geen data vervangen, maar puur een bootloader. De bootloader moet nu eenmaal onversleuteld zijn. Direct nadat de trojan zijn werk heeft gedaan wordt het origineel weer geladen en wordt de boel gereboot. Het enige wat mogelijk is om dit te voorkomen is dat TMP het vervangen van een bootloader blokkeert, maar of dat de bedoeling is waag ik te betwijfelen.
Het is een redelijk creatieve trojan, maar ik ben het de diverse mensen hier eens. De encryptie is niet gekraakt maar omzeild.
Ik heb het heel goed begrepen. Bitlocker zou moeten zien dat de bootloader is aangepast. Sterker nog de hele pc zou gewoon niet moeten booten. De oplossing die ze hebben bedacht is gewoon te simpel voor woorden. Bitlocker zou ook de boorloader moeten beveiligen. Maar door simpelweg de bootloader te vervangen en de oude weer terug te zetten kraak je dus het hele systeem.
Zoals ik al zei: Je kunt je laptop dus niet onbeheerd achterlaten. De hele encryptie heeft zo dus geen enkele zin. Alleen als hij wordt gestolen wel, want dan weten ze je wachtwoord niet en ben je er dus niet om het in te toetsen.
In die zin werkt bitlocker wel. De vraag die rest: is wie op je werk wil op deze wijze achter je wachtwoord komen?
Wat duidelijk is is dat de encryptie van bitlocker dus niet gekraakt is. De titel van het artikel klopt dus niet.
Zal wellicht tot hetzelfde resultaat leiden. Alleen hoe installeer je die als de laptop uitstaat zoals in het filmpje?
Bv door een keylogger in het toetsenbord in te bouwen. Keyboard in de meeste laptops is vrij eenvoudig om te wisselen (er van uit gaande dat we access hebben tot de machine)
edit:
http://www.wirelesskeylogger.com/products.php voor standaard spul
bloody .... zocht effe op bluetooth skimmer daar valt vast wel wat fouts mee te maken.
Typisch gevalletje van Telegraaf koppen.
Er is helemaal niks gekraakt.
Er is alleen aangetoond dat wanneer iemand fysiek toegang heeft tot een PC systeem dat hij dan misschien eventueel de mogelijkheid heeft om de bootloader aan te passen.
Poeh poeh, moeilijk hoor.
Daar kan geen enkele softwarematige beveiliging iets aan doen.
Als je iemand fysiek aan je pc laat komen dan is alle "beveiliging" die je hebt teniet gedaan.
Encrypted of niet maakt totaal niks uit.
Het systeem is wel degelijk gekraakt: de informatie op schijf, die door middel van Bitlocker volledig veilig zou moeten zijn, is nu niet meer veilig! Het maakt een aanvaller niet uit hoe, als hij de gegevens maar kan krijgen.
Daar kan geen enkele softwarematige beveiliging iets aan doen.
Als je iemand fysiek aan je pc laat komen dan is alle "beveiliging" die je hebt teniet gedaan.
Dat is het nu juist: het grote verkoopargument is dat Bitlocker geen "puur softwarematige" beveiliging is, maar werkt samen met een hardware module op het moederbord, de zogenoemde TPM (Trusted Platform Module) waarin een aantal controlefuncties zijn ondergebracht. Dit zou het summum van veilig werken zijn: geen virussen meer, alleen goedgekeurde software, omdat de signature van een applicatie door de TPM gecontroleerd kan worden.
Niet dus!
Lees als achtergrond bv. Trusted Computing
Daar kan geen enkele softwarematige beveiliging iets aan doen. Als je iemand fysiek aan je pc laat komen dan is alle "beveiliging" die je hebt teniet gedaan.
lijkt me in geval van een gestolen laptop wel essentieel dat je een werkende encryptie hebt op je schijf.
truecrypt lijkt me handig. Maar een opleiding van je personeel is net zo belangrijk.
Kraken lijkt me een onjuiste term. Het lijkt meer op phishing; het achterhalen van een code op een "net doen alsof" manier. Zo kan ik een vingerafdruk van een glas halen, om zo een beveiliging met vingerafdruk te omzeilen. Maar om nu te beweren dat dan de beveiligingsmethode gekraakt is? Nee.
Ja, toen ik de kop las dacht ik ow shit das nie best. Maar dit is geen kraken dit is gewoon een omweggetje om bitlocker te omzeilen, het wordt daarna zelfs weer gewoon terug geactiveerd. Dus aan de encryptie wordt geeneens gezeten....
Webwereld is in mijn ogen een serieuze tech-website, hopelijk gaan ze niet teveel de Sensatie-koppen kant op want dan haak ik helaas af.
Titel kon ook gewoon "Duitsers omzeilen bitlocker functie" zijn
Zelfs de Bitlocker functie hebben ze niet omzeilt. Ze hebben alleen een manier gevonden om je wachtwoord te ontfutselen.
Als de HD helemaal door Bitlocker was encrypted en geblokkeerd dan hadden ze daar nooit het wachtwoord kunnen opslaan en was het gewoon niet gelukt.
Eigenlijk prutswerk van Microsoft.
Het is prutswerk van het Trusted Computing Platform.
Dit platform zou moeten voorkomen dat een computer van een andere dan een trusted drive kan booten (dus geen USB drives, CDROM, etc..) en zou ook moeten voorkomen dat de partitietabel van een hardeschijf wordt aangepast.
Dit laatste lijkt mij vrij eenvoudig te doen door een hash (beveiligd met de key en pin) van de partitietabel/MBR te maken en de signature in de partitietabel/MBR op te slaan. Zo voorkom je zelfs dat de harddisk buiten de beveiligde PC kan worden aangepast (door hem eruit te halen en in een andere PC te plaatsen).
Ik kom toch erg veel W32(warez) systemen tegen die hardcoded zijn 'besmet' met het e.o.a. dus is ook deze 'hack' is daarop geen uitzondering...
Plof...
In het artikel op de Fraunhofer site staat:
During the boot process, BitLocker needs to interact with the user to obtain a password, a key file from a USB memory stick, or both.
Maar dat klopt niet. Als je ervoor kiest om alleen TPM te gebruiken zonder PIN of USB keyfile, dan is er helemaal geen interactie met de gebruiker.
Dus oplossing: wel TPM, maar geen PIN of USB keyfile gebruiken, want dan heeft het geen zin om de bootloader te vervangen/hacken.
De betere beveiligingssystemen hebben een oplossing voor de Evil Maid techniek die hier in principe wordt toegepast. Namelijk een verschuiving van de toetsen waarmee je de code intypt. Normaal staat er op je numpad:
7 8 9
4 5 6
1 2 3
0
Maar als je nou virtueel die volgorde steeds willekeurig aanpast (shuffled), dan hebben zelfs keyloggers geen zin meer. Om het voor de gebruiker nog een beetje gemakkelijk te maken, kun je de cijfers van je pincode koppelen aan willekeurige letters.
Bijvoorbeeld, je pincode is 1 2 3 4 en op het scherm staat de volgende willekeurige koppeling van de cijfers:
1 = A
2 = B
3 = C
4 = D
Dan moet je A B C D intoetsen. Maar de volgende keer bij het opstarten is weer een nieuwe willekeurige volgorde, waardoor A B C D niet meer zal werken. Probleem opgelost. Als je nou echt paranoïde bent, dan kun je zelfs meerdere lijstjes op het scherm zetten, bijvoorbeeld in verschillende kleuren. De gebruiker weet dan dat hij altijd bijvoorbeeld het rode lijstje moet aanhouden, maar iemand die meekijkt kan dat niet weten.
Het is 'Fraunhofer Instituut' en geen Faunhofer. Fout komt twee keer voor in de tekst, wat op zich vreemd is. Het Fraunhofer Instituut is geen onbekende speler op ICT gebied. Je zal dan toch verwachten dat een medewerker van Webwereld toch op z'n minst wel de eigenaar van het mp3 bestandsformaat correct kan spellen?
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
