BZK: BitLocker aanval deert GOUD niet

Gepubliceerd: Dinsdag 8 december 2009

Dat de “onkraakbare” beveiliging van Bitlocker en TPM te omzeilen is, baart het ministerie van Binnenlandse Zaken geen zorgen voor GOUD. Beveiligers zijn daar niet zo zeker van.

Toon volledig artikel

linus4ever op Dinsdag 8 December 2009 15:39

Volgens Microsoft hoeft de gemiddelde gebruiker niet te rekenen op een dergelijke aanval.

1, De overheid is nu niet bepaald "de gemiddelde gebruiker";

2. Op het gebied van security leiden sussende woorden van Microsoft per definitie niet tot een gerustgesteld gevoel. Het track record van Microsoft op het terrein van security is beroerd.

Lekker verhaal weer over GOUD en weer een mooi stukje onderzoeks journalistiek. We gaan ons de komende jaren absoluut niet vervelen met GOUD en dan hebben we het nog neit eens over het afbreuk risico. Grote bedrijven gaan al niet meer over op volgende release van Microsoft.

-1 / 15

bokkie20000 op Dinsdag 8 December 2009 15:48

Grote bedrijven gaan al niet meer over op volgende release van Microsoft.

Op zich ben ik het wel met je eens (zeker op je punten 1 en 2) maar ik ben bang dat de "gewoonte" ook bij de "grote" bedrijven regeert en dat deze nog steeds als makke lammetjes achter MS aan blijven hobbelen :-(

-1 / 7

linus4ever op Dinsdag 8 December 2009 16:20

ik ben bang dat de "gewoonte" ook bij de "grote" bedrijven regeert en dat deze nog steeds als makke lammetjes achter MS aan blijven hobbelen

Just wait and see.

Een ken een grote Electriciteitsjongen met 60.000 die echt niet meer naar de volgende Windows release gaat.

-4 / 12

Anonymous Coward op Dinsdag 8 December 2009 17:25

60.000 volt?

Jouw dromen bepalen je beeld sterk... misschien tijd om eens wat rond te kijken en te zien dat het al licht is buiten ;)

0 / 14

eb0108 op Dinsdag 8 December 2009 17:29

LOL!

1 / 5

linus4ever op Dinsdag 8 December 2009 19:45

60.000 volt

SED +

OK, het leuk. Nee gebruikertjes natuurlijk.

Neemt niet weg dat het verhaal waar is en ook een teken aan de wand. Het zegt twee dingen:
1. Het automatisme, van het "dus" altijd maar weer automatisch naar de volgende Windows release gaan, is er uit;
2. Kennelijk zijn de nadelen van het hebben van Windows in een grotere organisatie zodanig dat ze het niet meer willen.

Ik kan me dat bij punt 2 ook goed voorstellen. Het is geen optie om in een productie-omgeving voor kern activiteiten op grote schaal Windows te gebruiken. Het is te onstabiel en te arbeidsintensief voor het beheer. Het allerbelangrijkste is echter het gedoe met incompatibiliteiten en ongecontroleerde wijzigingen in bestandsformaten en macro talen, deze trucjes om gebruikers te dwingen over te stappen op de nieuwe releases is verantwoordelijk voor de miljoenen verslindende migraties.

Het ging hier over GOUD. Ik moet het echt zien of ze het rond krijgen om overheidsbreed al die verschillende onderdelen met al die verschillende applicaties gelijk te richten. Her is in ieder geval een pijnlijk en uiterst kostbaar proces.

-2 / 8

Anonymous Coward op Dinsdag 8 December 2009 22:44

Het is geen optie om in een productie-omgeving voor kern activiteiten op grote schaal Windows te gebruiken. Het is te onstabiel en te arbeidsintensief voor het beheer Dit type opmerkingen zijn al jaren volledig achterhaald en tasten je geloofwaardigheid aan.
Als je aanmerkingen hebt over de kosten dan kan ik me daa riets bij voorstellen. Windows blijft te duur op een aantal gebeiden en daar zal MS dringend iets aan moeten doen.
Maar zaken als stabiliteit ( spelen eigenlijk al sinds windows 2000 geen rol meer) en arbeidsintensief ( juist de vergaande integratie maakt Windows gemakkelijk te beheren als je alles integraal gebruikt)
Kortom, je loopt jaren achter op de realiteit.. dus wake up call for you.

0 / 6

mspartner op Dinsdag 8 December 2009 23:38

Lekker verhaal weer over GOUD en weer een mooi stukje onderzoeks journalistiek. We gaan ons de komende jaren absoluut niet vervelen met GOUD en dan hebben we het nog niet eens over het afbreuk risico. Grote bedrijven gaan al niet meer over op volgende release van Microsoft.

Sjonge, nou nou, wat gaan we ons weer vermaken om GOUD.

Dus er is een waanzinnig moeilijke aanval ontdekt, waarbij niets werkelijk gekraakt is, maar een laptop tweemaal "bewerkt" moet worden door de hacker en de gebruiker daartussenin gevraagd wordt zijn bitlocker code opnieuw in te voeren. Dat is overigens een heel lange code die een gebruiker waarschijnlijk bij de helpdesk/beheerder moet opvragen, waarop hoogstwaarschijnlijk vragen gesteld worden hoe de gebruiker in die verdachte situatie terecht is gekomen.

En dit wordt gebruikt als argument tegen Windows 7 of GOUD?

Nee, gebruik dan Windows XP of Linux en vooral geen evil TPM!Maar dan hoeft de hacker helemaal niets te kraken! De data daarop leest iedere amateur met een usb bootstickje in een paar minuten uit.

Dit artikel heeft weer een hoog fud gehalte; ik zie er vooral een bewijs in dat Bitlocker heel moeilijk aan te vallen is ten opzichte van een op andere wijze beveiligd systeem. Misschien komt er nog een update die ook deze aanval onmogelijk maakt. Dat zou Windows nóg veiliger maken.

1 / 3

Anonymous Coward op Dinsdag 8 December 2009 16:41

Waarom kiest de overheid niet voor PGP encryptie(Pretty Good Privacy). Daarnaast zijn er ook flash usb drives als de Ironkey waarbij gegevens versleuteld worden met de zogenaamde Cryptochip (hardware matig). Of snap ik het weer niet? Trouwens, volgens mij is het Fraunhofer?

0 / 6

vinylat45 op Dinsdag 8 December 2009 17:13

Waarom kiest de overheid niet voor PGP encryptie(Pretty Good Privacy).
De overheid laat zich 'voorlichten' door ICT bedrijven en BitLocker vereist nu eenmaal veel meer support dan een managed PGP omgeving.

Het is dus een kwestie dat Bitlocker meer geld opbrengt voor ondersteunende ICT.

*en* 'Niemand is ooit ontslagen omdat hij MS software aanraadde'.

Echt jammer, want GPG gebruik ik al jaren en dit was een mooi moment geweest om een sterke encryptie standaard meer bekendheid te geven.

0 / 10

globetrotter op Dinsdag 8 December 2009 19:33

Onzin, bitlocker zit standaard in AD en kost dus niks extra in tegenbstelling tot GPG

Verder zou ik Truecrypt ook een prima oplossing vinden om computers mee te beveiligen, alleen zit je dan wel met het beheer van wachtwoorden, etc.

1 / 5

linus4ever op Dinsdag 8 December 2009 19:49

standaard in AD

Dus het Microsoft gebeuren is in beton gegoten. Elke stap die GOUD zet is fout, elke keer maken ze de keuze voor de gesloten producten en ze maken het zo met elke stap moeilijker om dat later weer te ontvlechten.

Denkpetje niet op gehad....

-1 / 9

vinylat45 op Dinsdag 8 December 2009 22:02

De prijs van Bitlocker mag dan wel inbegrepen zijn in de prijs van een craptop, maar om dit in je bedrijf effectief te integreren is wel een stukje onderhoud nodig. Als je 2000 computers wil encrypten, dan is een centraal geregeld key systeem wel een noodzaak. Dit is niet standaard bij Bitlocker.

Een centrale key management systeem is noodzakelijk, want gebruikers vergeten hun paswoord en je wilt *altijd* bij je eigen data kunnen komen; zeker de baas!

-2 / 4

globetrotter op Woensdag 9 December 2009 19:40

Je weet echt niet waar je over praat.
Je maakt een group policy hiervoor en koppelt dit aan de machines.
Als een gebruiker zijn wachtwoord vergeten is, dan kan de helpdeskmedewerker een speciale code uitprinten voor die computer en hiermee naar die computer gaan en decrypten.

0 / 0

cjkos op Dinsdag 8 December 2009 17:15

Misschien ligt het wel aan het woordje 'Privacy'.
Dat ligt denk ik niet zo goed op die ministeries.

-3 / 5

moppentappers op Dinsdag 8 December 2009 17:25

Bitlocker wordt gebruikt omdat deze in active directory makkelijk te beheren is.

2 / 4

globetrotter op Dinsdag 8 December 2009 19:29

Ja, dat is ook het voordeel.
Je kunt het remote uitrollen via AD en hoeft niet alle computers langs.
Ook hoef je dan de unlock codes verder niet te bewaren, want die zitten in AD.

Verder is de zwakste schakel toch de gebruiker.
Zolang er nog briefjes met wachtwoorden in een laptoptas zitten kun je het beveiligen wat je wilt, maar het helpt niks...

3 / 5

Hein op Dinsdag 8 December 2009 19:54

Tja, ik had wel verwacht dat bitlocker niet zo goed zou zijn als gedacht/ geadverteerd door MS. Het is heel vaak zo dat MS haar beloftes niet kan waarmaken. Het is ook weer heel typerend dat MS het probleem probeert te bagatelliseren. Het is misschien toch beter om te kiezen voor een niet MS oplossing als je voor veiligheid gaat.

Het is overigens wel zo dat (zoals globetrotter aangeeft) de gebruiker de zwakste schakel is, maar dat wil zeker niet zeggen dat je niet andere maatregelen moet treffen om je informatiebeveiliging op orde te hebben. Dit geldt zeker voor de overheid, die per definitie met gevoelige gegevens over de burgers werkt.

-1 / 5

Rowdy op Dinsdag 8 December 2009 20:42

De hack is wel omslachtig hoor.
Je laptop moet namelijk (relatief lang) gestolen worden, dan vind je hem plots weer terug, dan moet je inloggen en daarna moet je laptop weer gestolen worden.
Heb je dan ook nog een laptop met eventueel fingerprint-reader of power-on password, dan kost het omzeilen daarvan ook nog extra tijd en moet je laptop in eerste instantie nog langer uit je zicht zijn. Trouwens, doe je dat en verzegel je de schroeven, dan zit je sowieso veilig want de enige manier om zo'n power-on password te omzeilen is door de computer fysiek open te maken.
Het is vergelijkbaar met de voorzetstukjes en de camera'tjes die gebruikt worden bij het skimmen. Simpelweg een camera met tele-lens richten op iemand terwijl hij zijn paswoord invoert en dan gauw de laptop stelen, heeft hetzelfde effect.
Maargoed, het 'zou niet moeten kunnen', dat is natuurlijk waar... Anders zit je een TrueCrypt virtueel station op je geBitLockerde laptop met power-on fingerprintcontrole en dan versleutel je de bestanden in dat TrueCrypt volume nog eens met PGP. En dan is het uiteindelijk gewoon het recept van een appeltaart! Dat zal die hackers leren! :)

2 / 2

mr_blobby op Dinsdag 8 December 2009 20:46

Denkt iedereen dat je tegenwoordig inlogt met alleen een pin?

Weet niemand dat je na het invoeren van de de pin nog steeds moet inloggen met een gebruikersnaam en wachtwoord?

In het filmpje van het Fraunhover instituut hebben ze "voor het gemak" maar even de auto-logon feature gebruikt, maar in een bedrijfsnetwerk kom je toch echt niet bij je versleutelde data, zonder eerst nog in te loggen op het AD domein met je gebruikersnaam en wachtwoord.

3 / 5

Nickname op Dinsdag 8 December 2009 23:10

Euhm... die beveiliging is al helemaal niet water dicht.

1 / 3

Remark01 op Woensdag 9 December 2009 09:01

Er bestaat niet zo iets als 100% water dichte beveiliging. Er is altijd wel een manier om ergens binnen te komen. Enige wat je kan doen is het zo moeilijk mogelijk maken voor boefjes om ergens bij te komen. De hack is erg omslachtig en niet zomaar uit te voeren op een gestolen laptopje zonder verder informatie.

Het is een feit dat MS software erg populair is en dat hackers en bedrijven veel tijd besteden aan het proberen te hacken van deze software. Ik heb daarom ook eerder grote vraag tekens bij "andere" software waarvan veel minder bekend is/getest is of het eigenlijk wel zo goed dicht zit. MS-systemen zijn wel een van de weinige systemen die namelijk actief bezig zijn met het pro-actief wapenen tegen allerlei verdacht praktijken, iets wat op andere OSen en software gewoon weg niet gebeurt, vaak onder het mom van het gebeurt toch niet...

0 / 2

batlequeen op Woensdag 9 December 2009 11:20

neuh
Daarom liggen *nix-servers dagelijks onder vuur wat ze weerstaan
Daarom worden kritieke patches al dagen erna gepusht van elk stukje software op je pc.
Daarom wordt op de *nixen bijna onmogelijk gemaakt om grafisch als root in te loggen.

Droom een eind verder

Ter info truecrypt (open source) weerstond een poging van de FBI om het te kraken!

-3 / 3

Anonymous Coward op Woensdag 9 December 2009 16:06

soortgelijke omslachtige hack heeft al eerder plaats gevonden waarbij ook Truecrypt het onderspit moest delven.
truecrypt hack Of dat nu maatgevend is..net zo min als de bitlocker hack. Die is te omslachtijng om toe te passen en er zijn simpeler mogleijkheden.
Wat dnek je van een gehacked toetsenbord waar alle aanslagen in de interne chip opgeslagen wordt.
Of een klein tussen het toetsenbord en de computer te plaatsen chipje dat alles registreert.
Kortom,, dit soort ""hacks" kun je niet tegenhouden. Als er fysieke toegang tot het apparaat is dan stopt vrijwel alles.
Begin dus met dat te voorkomen en je bent een heel eind.

-1 / 1

anonymous_118315 op Woensdag 9 December 2009 22:56

waarbij ook Truecrypt het onderspit moest delven.Valt vast niet op dat ze opeens met vloeibare stikstof je laptop staan te koelen en demonteren om het geheugen uit te lezen. :)

0 / 0

CharlesN op Woensdag 9 December 2009 11:55

Een van de extra lagen beveiliging valt te kraken onder bepaalde condities.

Lijkt mij geen ramp. Het is een laag beveiliging bovenop de reeds aanwezige beveiliging. Bitlocker is te kraken.
Fatsoenlijk beleid zorgt er voor dat er sowieso niets op de harde schijf van een laptop/desktop staat. Offline folders, UMTS om (beveiligd) een verbinding te maken met het bedrijfsnetwerk.
Als er fatsoenlijk beleid is dan zorgt dit er in het ergste geval voor dat de profielen uitgelezen kunnen worden.