Stránky

pátek 29. února 2008

BitLocker hack ???

Na technet.cz nedávno psali o probourání se do technologie BitLocker a jí podobných, pomocí ochlazení paměti a z ní získání klíče pro decrypt disku. To je ale hodně zjednodušený postup.

Zpráva je to dozajista šokující, ale má několik ALE.

Útočník samozřejmě musí mít ke stroji fyzický přístup.
Což se dá po krádeži ntb zařídit poměrně jednoduše. :-)

Paměť notebooku musí být ihned po uspání podchlazena.
Pokud se tak nestane, data z paměti do několika málo minut úplně zmizí.

Notebook musí být ve sleep módu.
Toto může admin jednoduše zakázat pomocí GPO a povolit pouze hibernaci, při které je obsah paměti při vypnutí vymazán.

Uživatel nesmí zvolit vícefaktorovou před-startovací ochranu.
Pokud je totiž po startu nastavena ochrana na využití například PINu nebo USB klíče, popřípadě kombinací obou, jež podporuje Windows Vista SP1, tak není možné tento typ útoku úspěšně použít. Útočníkovy se totiž nepodaří nabootovat z žádného média, aby mohl paměť načíst v daném ntb.

Záleží tady na vás a na poměru jednoduchosti použití jednotlivých ochran pro uživatele a kvality zabezpečení vašich mobilních zařízení.


Video útoku

2 komentáře:

  1. Uživatel nesmí zvolit vícefaktorovou před-startovací ochranu.
    Pokud je totiž po startu nastavena ochrana na využití například PINu nebo USB klíče, popřípadě kombinací obou, jež podporuje Windows Vista SP1, tak není možné tento typ útoku úspěšně použít. Útočníkovy se totiž nepodaří nabootovat z žádného média, aby mohl paměť načíst v daném ntb.

    //

    dle mého názoru to na získání klíče nemá vliv, protože po podchlazení pamětí stačí paměti vložit do jiného notebooku a vytáhnout obsah paměti(jak je ukázáno ve videu). Tudíž tento bod považuju za neplatný :) IMHO

    OdpovědětVymazat
  2. Ahoj,
    samozřejmě. Asi jsem se vyjádřil nepřesně. Ale myslel jsem to tak, že není možné na notebooku, který ukradneš podchladit paměť a nabootovat tvůj systém, pokud je tam využita kombinovaná ochrana.
    Jedinou možností, jak útok úspěšně provést je, že...
    Musíš mít při krádeži uspaného ntb ještě druhý notebook. A během pár prvních minut (nejlépe vteřin), musíš paměť z ukradeného notebooku podchladit, přendat do svého ntb, do kterého musí jít paměť vložit a pak provést další kroky pro zjištění hesla.
    Samozřejmě přítomnost druhého vhodného notebooku při krádeži tento útok poměrně ztěžuje. Ale to jen v případě, že využíváš pre-boot ověření (usb/pin). Pokud toto nevyužíváš, tak se vše dá prolomit přímo na ukradeném notebooku.
    Jediné mé doporučení je zakázat na těchto klíčových zařízeních režim spánku.
    Tomáš

    OdpovědětVymazat