Door Anoniem: Door Anoniem: Maar wat is het punt nou om dat op een vage manier te zeggen in een discussie die primair gaat over de mogelijkheden om de eindgebruiker van een systeem te beletten data ervan naar USB storage te brengen ?
Het punt was helemaal nooit dat de feature 'tpm+encrypted disk' een unieke windows-only feature was.
_wel_ dat die combinatie het de aanstaande datadief erg veel moeilijker maakt om de boel 'gewoon op een USB stick" te zetten wanneer USB mass storage uitgeschakeld is binnen het OS .
En de omzeiling "dan neem ik een eigen OS" maakt dan wel USB storage toegankelijk, maar de data ontoegankelijk.
Je had je hele punt kunnen maken "met - Ja, dat kan met Windows/bitlocker + TPM maar hetzelfde kan ook met Linux als desktop OS " .
Prima hoor - gelukkig, en we hadden bijna niets anders verwacht .
Ik zie wel mogelijkheden (attack-vectors) om data van een bedrijfslaptop te exfilteren met behulp van een USB poort. Met code die je zelf schrijft, of code die Microsoft in de toekomst gaat schrijven voor Ubuntu.
Hoeveel er mogelijk is - en met welke bitrate zal heel erg afhangen van het OS dat op dat moment draait .
Als een OS erg strak dicht zit - dan is het draaien van "code die je zelf schrijft" gewoon ook geen optie.
Dan is misschien het 'analoge lek' - als de gebruiker - wegens 'is z'n werk' de data moet zien kan die gewoon foto's van het scherm maken .
Maar dat is een heel wat lagere bitrate dan alles naar een USB stick dumpen.
Het grote nadeel van technologieën als Secure Boot en TPM is dat het de ontwikkeling van vrije software, zoals Debian, frustreert. En niet alles oplost wat het belooft.
Natuurlijk, het falen van Linux op de desktop is vanwege TPM ..
Ik weet niet precies welke beloften je toeschrijft aan secure boot/TPM , en welke daarvan dan niet gehaald zijn.
Ik probeer aan te tonen dat een groot deel van wat Wintel doet security by obscurity is en wensdenken dat crypto waar de gebruiker niet bij kan alles oplost.
Alles is een groot woord, maar met crypto plus een stuk 'trusted hardware' kun je inderdaad forse garanties geven dat derden of malicious gebruikers ergens niet of veel moeilijker bij kunnen.
Nu is praktisch gezien de TPM chip/implementatie niet _waanzinnig_ secure , maar de drempel is ontzettend veel hoger geworden dan 'gewoon booten van ander device' .
IIk heb je hier overigens geen voorbeelden zien 'aantonen' van security through obscurity .
...
Daarom ben ik wantrouwend naar technologie die Wintel introduceert. Als Microsoft met zijn marktaandeel linux de nek om zou draaien (of als het linux zou assimileren) dan zou ik dat heel erg vinden. Helaas gaat het wel deze kant op terwijl de Europese commissie zich druk maakt om stekkertjes en cookies.
Het vervelende is -
Met sommige van mijn petten (bezorgde/betrokken burger, deel van een IT organisatie etc) WIL ik de eigenschappen die een TPM/secure boot etc kan leveren :
Ik _wil_ dat een verloren device niet vanzelf een datalek is, als de beheerders hun werk gedaan hebben.
En ik _wil_ (met de organisatie pet op) dat de _gebruiker_ van het apparaat helemaal niet "alles" kan met data op het device - het is ons device en onze data . Die gebruiker moet gewoon beperkt zijn tot wat OS en applicatie 'm laten doen .
(voor het geval er nu een boze nerd wil gaan schrijven : stel je maar voor dat je laptops voor de GGD corona callcenter desk moest bouwen, of zo iets . Wil je precies dat dat die callcenter _gebruikers_ niks kunnen dumpen naar een USB stick) .
Alleen - met de pet op van device _eigenaar_ - en Linux gebruiker - wil ik geen hardware ecosysteem waarin Microsoft (of andere vendor) het gebruik van _mijn_ device controleert of blokkeert .
Werkte ik bij, zeg, Google, of FB , Netflix et.al - dan doet het BIOS wat ik bestel .
Maar als kleine klant heb ik te slikken wat de leveranciers maken , en dan is het zorgelijk wanneer dat Linux moeilijk maakt .