image

Hackers kraken Microsoft's BitLocker

zondag 6 december 2009, 10:54 door Redactie, 15 reacties

Beveiligingsonderzoekers van het Fraunhofer Instituut voor Secure Information Technology (SIT) zijn erin geslaagd om Microsoft's BitLocker encryptie te omzeilen. De aanval maakt het mogelijk de pincode van de versleutelde schijf te achterhalen, ook al wordt de Trusted Computing Module (TPM) gebruikt, die dit juist zou moeten voorkomen. Aanvallers hebben wel fysieke toegang tot de machine nodig, maar kunnen dan door het systeem vanaf een USB-stick te starten, de BitLocker bootloader vervangen. De nieuwe bootloader vraagt net als het origineel om de pincode, maar bewaart die in onversleutelde vorm op het systeem.

BitLocker controleert tijdens het opstarten van het systeem wel de integriteit van het systeem en Windows installatie, maar controleert niet de bootloader zelf, ook al is het systeem van een TPM voorzien. De aanval lijkt erg op die van Joanna Rutkowska's Evil Maid, maar is minder verfijnd. Rutkowska's aanval laat slachtoffers niets te merken, terwijl de methode van SIT dat wel doet. Zodra de nieuwe bootloader de pincode op de harde schijf heeft opgeslagen, zet die de originele bootloader in het Master Boot Record (MBR) terug en herstart het systeem. Dit kan het slachtoffer alert maken dat er iets mis is. Voor het ophalen van de bewaarde pincode moet de aanvaller voor de tweede keer toegang tot het systeem hebben.

Trusted Computing
Volgens onderzoekers laat hun aanval niet zien dat BitLocker geen goede encryptie is. "We misbruiken een aantal opeenvolgende acties die Trusted Computing niet voorkomt, wat meteen de beperkingen van deze technologie laat zien." Trusted Computing voegt dan ook weinig toe aan een goed ontworpen disk encryptie. "Onze aanval toont niet dat TPM helemaal nutteloos is. Het kan nog steeds voorkomen dat door een aanvaller geïnstalleerde malware, toegang tot het besturingssysteem krijgt. Althans, in één keer. Als de aanvaller terugkeert na zijn eerst poging en de gelekte sleutels gebruikt, dan is alles mogelijk. Maar het maakt aanvallen op z'n minst iets lastiger."

In totaal bespreken de onderzoekers in hun rapport 5 strategieën om BitLocker aan te vallen. Tevens maakten ze deze video die de aanval demonstreert.

Reacties (15)
06-12-2009, 14:07 door Lobker
Zo te zien is BitLocker helemaal niet gekraakt. Je hebt nog steeds de pincode nodig om de bestanden te decrypten. Wanneer je een laptop verliest, of als deze wordt gestolen, dan kan nogsteeds niemand bij de bestanden komen.

Wel goed trouwens om te zien dat je zo gemakkelijk iemand zijn pincode kunt verkrijgen. Als je computer reboot na het invoeren van de pincode, dan is het dus een mooi moment om je pincode aan te passen en je collega's in de gaten te houden.
06-12-2009, 19:29 door Syzygy
Inderdaad: "Hackers kraken Microsoft's BitLocker" is natuurlijk weer een Telegraaf kopje waar Security.nl zich de laatste tijd dierbaar van bediend om nog enig cachet te geven aan de onderwerpen.

De code is niet gekraakt, men weet dus gewoon het password af te vangen en dit te misbruiken.

We hadden ook kunnen schrijven: "Hackers kraken Microsoft's BitLocker" Door stiekem achter een gebruiker van een computer uitgerust met bitlocker te gaan staan en over zijn schouder mee te kijken terwijl hij zijn wachtwoord intypt hebben "slimme hackers"
de bitlocker encryptie weten te omzeilen.
06-12-2009, 20:39 door Preddie
bitlocker is dus nog niet gekraakt.

ze hebben een manier gevonden om de pincode te achterhalen met een aftreksel van de Evil Maid aanval. Leuk dat het nu ook mogelijk is met Bitlocker maar de eer blijft toch bij de mevrouw van Evil Maid :P
06-12-2009, 22:38 door spatieman
sinds waneer zijn ze bij frauenhofer hackers?????
06-12-2009, 23:10 door Anoniem
Bij ons op het werk kan niet geboot worden van randappartuur, dus simpelweg ervoor zorgen dat gebruikers niet van USB Sticks en/of DVD/CD kunnen opstarten verhelpt dit toch??????
07-12-2009, 07:47 door Anoniem
Inderdaad niet echt kloppende titel, volgende keer zeggen ze dat software gekraakt is d.m.v. een hardware keylogger...
07-12-2009, 08:35 door Anoniem
Door Syzygy: Inderdaad: "Hackers kraken Microsoft's BitLocker" is natuurlijk weer een Telegraaf kopje waar Security.nl zich de laatste tijd dierbaar van bediend om nog enig cachet te geven aan de onderwerpen.

Dat lijkt de laatste tijd inderdaad nogal het geval te zijn. De kwaliteit van het 'nieuws' hier loopt de laatste tijd nogal terug, naar mijn mening
07-12-2009, 09:02 door Syzygy
Door spatieman: sinds waneer zijn ze bij frauenhofer hackers?????

Semantiek !!!

In het bijzonder wordt het woord hacker gebruikt in volgende betekenissen:

1. Iemand die een programmeertaal of -omgeving zo goed kent dat hij zonder zichtbare moeite een programma kan schrijven

2. Iemand die een technologie bedenkt, ontwerpt, uitwerkt, implementeert, test, en verbetert

3. Iemand die onconventionele maar adequate oplossingen bedenkt tegen lekken, fouten en problemen van andere aard met behulp van beschikbare middelen

4. Iemand die tracht om via andere dan de officiële wegen een computersysteem binnen te dringen ten einde een beveiligingsprobleem te kunnen aantonen en mogelijk verhelpen


antwoord: omdat ze dus aan optie 4 voldoen !!
07-12-2009, 09:23 door martijno
Door spatieman: sinds waneer zijn ze bij frauenhofer hackers?????
Semantiek !!!
En syntax... ;)
07-12-2009, 09:26 door Victor69
Pfffwhoehahaha. Iemand het filmpje al gezien? Die twee gasten.....hilarisch! Hahaha.
07-12-2009, 12:22 door Anoniem
Door Victor69: Pfffwhoehahaha. Iemand het filmpje al gezien? Die twee gasten.....hilarisch! Hahaha.

Lol thx for the tip. Beavis and Butthead momentje....
07-12-2009, 13:43 door RickDeckardt
Klassieke evil maid attack, zo moest truecrypt er ook aan geloven. Nu nog becrypt
08-12-2009, 23:05 door cryptomannetje
Door RickDeckardt: Klassieke evil maid attack, zo moest truecrypt er ook aan geloven. Nu nog becrypt

"Volgens onderzoekers laat hun aanval niet zien dat BitLocker geen goede encryptie is."

De Fraunhofer aanval zegt inderdaad helemaal niets over de kwaliteit van de encryptie zelf. De aanvallers buiten een zwakheid in de pre-boot software uit die toe te passen op al dergelijke beveiligingsprogramma's. DIt werd inderdaad al eerder door Joana Rutkowska aangetoond bij het programma TrueCrypt. Het is dus noodzaak om de integriteit van deze pre-boot software te garanderen. In principe zou een TPM-chip dit moeten kunnen doen, maar klaarblijkelijk maakt Bitlocker daar geen gebruik van; een gemist kans zou ik zeggen. By the way je computer moet wel zijn uitgerust met zo'n TPM chip en niet iedere PC beschikt hierover.
21-05-2010, 16:33 door Anoniem
Dus als ik het goed begrijp, als ik mijn usb stick verlies is en blijft hij VEILIG?
20-07-2010, 10:14 door Anoniem
In zekere zin wordt Bitlocker wel gekraakt. Doordat Bitlcoker TPM niet gebruikt om de integriteit van de bootloader vast te stellen, is het mogelijk deze te vervangen en daarbij het systeem te laten functioneren.

Dat de encryptie van Bitlocker niet is gekraakt is correct, dat wordt echter nergens gesteld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.