Rootkit-expert: BitLocker is beste encryptie-software
De Poolse rootkit-expert Joanna Rutkowska maakte onlangs de overstap van Windows Vista naar Mac OS X, maar ze mist de BitLocker encryptie-software van Microsoft. Alle andere encryptie oplossingen zijn namelijk bagger, zo laat de Poolse weten. Het grote verschil met de concurrentie, is dat BitLocker als enige een trusted boot proces toepast. In dit geval wordt er geboot van een stukje firmware code die altijd te vertrouwen is. De code start een proces waarbij elk component in de keten de volgende controleert.
De firmware berekent de hash van de BIOS, die weer de waarde van de PCI EEPROM en de MBR controleert voordat die aan de slag mogen. Dan volgt de bootloader en daarna de loader voor het besturingssysteem. BitLocker gebruikt dit proces om ervoor te zorgen dat alleen een vertrouwd systeem toegang tot de decryptiesleutel krijgt. "In andere woorden, BitLocker vertrouwt de Trusted Platform Module dat het de decryptiesleutel alleen maar beschikbaar stelt als de status van de gekozen PCR registers hetzelfde is als het was toen de decryptiesleutel aan de TPM werd toegevoegd."
EEPROM aanval
Volgens Rutkowska biedt dit proces bescherming tegen een eenvoudige twee-fase aanval, waarbij een aanvaller de onbeheerd achtergelaten laptop vanaf een USB-stick start en een backdoor in het EEPROM of de MBR plaatst die de encryptiesleutel probeert te achterhalen. De tweede keer dat de aanvaller terugkomt kan die zijn backdoor uitlezen en heeft hij toegang tot het systeem. De manier waarop BitLocker werkt zorgt ervoor dat deze aanval niet is uit te voeren. Het zal sinds de aanpassing van het EEPROM geen wachtwoordvenster tonen.
Rutkoswka merkt op dat de software van Microsoft in theorie zo hoort te werken, omdat ze de beschreven aanval nog niet zelf heeft uitgevoerd. "Dat komt omdat er nog geen klanten zijn gekomen waarvoor we de BitLocker implementatie moesten evalueren. Daarnaast wil ik vermelden dat ik niet door Microsoft betaald ben om dit artikel te schrijven." De Poolse hoopt dat andere aanbieders van encryptie-software, zoals TrueCrypt en Apple, een soortgelijk proces zullen implementeren.
BIOS wachtwoord
Sommige critici zullen zeggen dat als je een BIOS wachtwoord instelt, de aanval niet is uit te voeren, aangezien er niet van de USB-stick gestart kan worden. "Dat is een geldig punt, maar het vertrouwen in BIOS wachtwoorden om je gegevens te beschermen is niet zo'n goed idee." Rutkowska doelt dan op de standaard wachtwoorden die in veel BIOS software aanwezig zijn.
Daarnaast kan de aanvaller het CMOS-geheugen legen en dan de MBR herprogrammeren zodat er een vals wachtwoordvenster wordt getoond. BitLocker biedt geen bescherming tegen MBR virussen of BIOS/PCI rootkits, iets wat Microsoft had kunnen voorkomen. Dat neemt niet weg dat de Poolse lovend over de software is. "BitLocker is gewoon het tofste onderdeel van Vista en iets dat ik echt mis in alle andere besturingssystemen."
Bitlocker is gewoon closed source. Je weet dus helemaal niet wat het doet. MS beweert maar wat, en daar moet je vanuit gaan? Wat een flauwekul! Wie weet zit het vol met backdoors, keyloggers etc. Wie weet blijkt bitlogger een betere naam te zijn.
Security-software is per definitie NIET (en ook nooit) secure als het closed source is. Punt uit!
Groeten,
Hopsa.
Vertrouwd systeem op m'n hardware? Zie ik ook niet echt het punt van in. Ieder systeem mag mijn hardware gebruiken. Het is toch maar hardware! Zolang *die* bestanden maar versleuteld zijn waar het echt om gaat: persoonlijke bestanden van gebruikers, wachtwoorden, etc.
Complete systemen lopen versleutelen vind ik een erg naïeve manier van beveiliging.
http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html
ps: niet betaald door MS, maar wel dezelfde vrouw die bitlocker vorig jaar zo aan het afvallen was (blackhat)?? Not convinced.
Bitlocker is gewoon closed source. Je weet dus helemaal niet wat het doet. MS beweert maar wat, en daar moet je vanuit gaan? Wat een flauwekul! Wie weet zit het vol met backdoors, keyloggers etc. Wie weet blijkt bitlogger een betere naam te zijn.
Security-software is per definitie NIET (en ook nooit) secure als het closed source is. Punt uit!
Groeten,
Hopsa.
Dit was het eerste wat door mij heen ging toen ik dit artikel las! 100% mee eens!!
bitlocker goed........
volgens mij heeft ze nog nooit gekeken/gehoord naar/van Safeboot (nu van McAfee was een Nederlands bedrijf). 256bits AES encryptie op de hardeschijf. Data is alleen toegangkelijk met een username/password en zelf nog beter obv een eToken met certificaat + pincode.
(btw ben pro Microsoft)
Lang leve closed source.....
Ik blijf bij DiskCryptor (diskcryptor.net) wat overigens snel 50 tot 80% sneller is als truecrypt en tevens de bootdisk can encrypten (iets wat truecrypt niet kan onder non-vista+ systemen)
Volgens Rutkowska biedt dit proces bescherming tegen een eenvoudige twee-fase aanval, waarbij een aanvaller de onbeheerd achtergelaten laptop vanaf een USB-stick start en een backdoor in het EEPROM of de MBR plaatst ...[/quote]
Met de nadruk op het starten van die USB brandhout zou ik denken.
Een andere duidelijke beschrijving van de beveiligingsstappen vindt men trouwens op http://www.raymond.cc/blog/archives/2008/04/24/protect-windows-from-usb-autoruninf-virus-with-usb-firewall/nl/.
Een van de weinige (en) slimme Apple-gebruikers zag op 5 mrt 2008 wel een handige toepassing voor Autorun.inf: Couple that with the recent USB/FW DMA exploit, and you've got an automated password stealer. Plug in, wait a moment, and walk away with passwords.
Procesbescherming zou niet nodig zijn als autorun uit zou staan. Recentelijk zijn daar enkele voorbeelden van te vinden.
Rutkowska doelt dan op de standaard wachtwoorden die in veel BIOS software aanwezig zijn.
Bij alle moederborden die ik versleten heb, was er niet een met een standaard wachtwoord.
De standaard wachtwoorden zijn in het geval van sommige server-hardware in elk geval random strings.
BitLocker is gewoon het tofste onderdeel van Vista en iets dat ik echt mis in alle andere besturingssystemen.
Bruce Schneier dacht daar in 2006 misschien anders over:
You could look at BitLocker as anti-Linux because it frustrates dual boot ... Vista will bring forward security improvements, but cautioned that technical advances are less important than improvements in how technology is presented to users[/i (http://www.theregister.co.uk/2006/04/27/schneier_infosec/).
En in 2006 waarschuwde Bruce Schneier ook al dat A lot of work needs to be done on the user interface, Wat heeft madame Prutjeskoffie daarover gemeld destijds?
Lang leve closed source.....
Ik blijf bij DiskCryptor (diskcryptor.net) wat overigens snel 50 tot 80% sneller is als truecrypt en tevens de bootdisk can encrypten (iets wat truecrypt niet kan onder non-vista+ systemen)
Je bent duidelijk niet goed geinformeerd:
Ook een systeemschijf (bootdisk) onder een non-Vista-systeem, zoals XP, kan je gewoon versleutelen.
Sterker zelf, ik heb het hier draaien onder XP en Server 2003.
Voortaan jezelf vooraf iets beter informeren voordat je onzin hier neerzet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
