Wat een slecht advies, microsoft software installeren. Elke patch dinsdag laat zien waarom!

Ja vast wel. De five-eyes spionagediensten willen het zichzelf makkelijk maken.

Er zitten backdoors in Bitlocker. En puur omdat het gewoon closed-source is. Gebruik Veracrypt mensen!

Hoe dan? Bitlocker op netwerken? Encryption in motion doe je bv. met TLS maar zeker niet met Bitlocker, dat is bedoeld voor schrijfencryptie! En ja, schijfencryptie is een goede maatregel om data at rest te versleutelen voor het geval de (virtuele)machine gestolen wordt.

Nu maar hopen dat de groep die gelieerd is aan de Iraanse Revolutionaire Garde geen disk encryptie met VeraCrypt gaat gebruiken want dan wordt het volgende advies vanuit de five-eyes om dat te gaan gebruiken!?

Hoewel ik het met je eens ben wat betreft VeraCrypt, heb ik problemen met je argumentatie over backdoors in Bitlocker... "puur omdat het closed source is"?
Kan ik stellen dat je uit je nek kletst, puur omdat je anoniem reageert?

Vaag advies, aangezien het niet uitmaakt, of Bitlocker encryptie aan staat, of niet; als malware eenmaal admin-rechten heeft verkregen binnen Windows, heeft het gewoon vrij spel.
En voor een backup vd. keys kun je terugvallen op Active Directory & goede (externe!) backups. Dit "goed bedoelde advies" is natuurlijk ingefluisterd door al die diensten met "spannende" afkortingen...

Yep, uit je nek kletsen lukt deze anoniem blijkbaar goed. Proof ofanders is de uitspraak niet waar.
Dat in de voorloper TrueCrypt backdoors zaten was ook al geopperd maar na uitvoerige controle bleek dat er geen backdoor in zat, wel wat andere kwetsbaarheden.

Ik ben een andere anoniem

Bitlocker is gewoon een goed product.

Dat neemt niet weg dat de USA overheid nogal de reputatie heeft om regelgeving te hebben waarmee de USA overheid inzage kan krijgen in databestanden. Sommige regelgeving is bekend. Zoals de regelgeving waardoor Amerikaanse overheid aan de Amerikaanse beurs genoteerde internationale bedrijven gegevens kunnen opeisen die bij dochterbedrijven in buitenlandse datacentra zijn opgeslagen. En als onverhoopt data wordt opgevraagd, dan is dit feit alleen al een Amerikaans nationaal geheim en de data-eigenaar mag niet op de hoogte worden gesteld (begrijpelijk, maar toch).

Ook ik heb signalen ontvangen (nooit bewijs gekregen) dat Amerikaanse diensten en producten voorzien moeten zijn van backdoor achtige constructies.

Hier niets mee te maken hebbend: Daarnaast weet ik nog dat Dick Cheney de VN Veiligheidsraad onbewust heeft voorgelogen over de militaire potentieel van Irak/Saddam Hoessein. Dit heeft de 2e Irak oorlog veroorzaakt.

Daarom heb ik voor mezelf een uitgangspunt geformuleerd
- als mijn informatie bekend mag zijn bij de Amerikaanse overheid, dan gebruik ik graag de Amerikaanse producten (en porcessen). De Amerikaanse overheid beschouw ik overwegend als betrouwbaar en soms ook als opportunistisch met doorgeslagen Amerikaanse politieke correctheid.
- Als ik informatie heb (zou hebben) dat ik niet graag bij de Amerikaanse overheid bekend zie, dan zou ik in dit geval ook liever VeraCrypt gebruiken.

Uit https://www.cisa.gov/uscert/ncas/alerts/aa22-257a:
Het is verstandig om, van elke computer, de Bitlocker Rescue key offline te back-uppen (bijvoorbeeld in een Keepass kluis waar een klein aantal vertrouwde mensen het wachtwoord van kent), bijv. voor het geval dat een moederbord (met TPM-chip) kapot gaat. Maar of dat veel helpt tegen de hier bedoelde aanvallen, betwijfel ik.

Het is voor aanvallers (met admin-toegang tot een computer) namelijk waarschijnlijk erg eenvoudig om het Bitlocker gebruikerswachtwoord (of pincode) te wijzigen; als dat zo is kost dat veel minder tijd dan het (voor het eerst of opnieuw) versleutelen van een schijf.

Microsoft houdt namelijk niet van "best practices". Of het in de laatste Windows versies nog steeds zo is weet ik niet zeker, maar in https://youtu.be/1sl2eEVrnRU (bevestigd door [1]) kun je zien dat, om jouw Bitlocker wachtwoord te wijzigen, je niet eerst jouw oude wachtwoord hoeft in te voeren.

Tip bij deze video als je niet van de muziek houdt waar cybercriminelen naar luisteren tijdens dit soort aanvallen: klik op "Mute" (de maker van deze video was sprakeloos).

Nb.#1 als een collega gaat lunchen zonder zelfs maar het scherm te locken, zou je dit dus ook kunnen doen (LOL komt ie pas de volgende werkdag achter) maar dan loop vooral jij het risico op een veel eerder "pensioen" dan gepland.

Nb.#2 er bestaat ongetwijfeld een API voor het wijzigen van een Bitlocker wachtwoord, waardoor je de "instellingen"-schermen niet voorbij hoeft te zien komen als een aanvaller dit via het netwerk doet.

Hoe moeilijk het voor aanvallers is om een Bitlocker rescue code te wijzigen, weet ik niet. Maar het zou mij niet verbazen als dat niet veel moeilijker is dan het wijzigen van het gebruikerswachtwoord.

Het voordeel van een versleutelde schijf zou kunnen zijn dat computers vaker worden uitgezet voordat mensen ze ongebruikt achterlaten (immers, pas dan heb je echt wat aan die versleuteling, en kunnen aanvallers er niet bij via het netwerk). Maar ja, die zijn weer lastiger te updaten als de luser (local user ;-) de computer niet heeft opgestart en het Bitlocker wachtwoord niet heeft ingevoerd.

"Gelukkig" kunnen beheerders WOL (Wake On Lan) en "Bitlocker Network Unlock" ([2]) inzetten. Maar aanvallers die domain admin zijn, kunnen dat natuurlijk ook, alsmede back-ups van Bitlocker keys in AD wijzigen.

Makkelijker kunnen we het niet maken, wel veiliger...

[1] https://docs.microsoft.com/en-us/microsoft-desktop-optimization-pack/mbam-v2/using-your-pin-or-password#changing-your-pin-or-password

[2] https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-how-to-enable-network-unlock

P.S. Iets hoger in [1] las ik ook:
Ik dacht altijd dat je de hele recovery key moest invoeren. Weet iemand of 8 chars echt volstaat? Dat zou absurd weinig zijn, en brute-forceable.

moeten we niet verwonderd en met afgrijzen reageren op het feit dat onze bondgenoten een clubje van 5 hebben zonder hun vrienden? je hebt schijnbaar vrienden en echte vrienden in de westerse wereld.. en je vrienden tap je af, je verzwakt hun encryptie enz... en dat. doen ze met hun vrienden....

een vriendenclub waar uitzonderingen zijn, zijn dat wel vrienden?

Veracrypt is open source, weet je tenminste zeker dat er geen backdoor in zit (na elke update wordt de bron code goed doorgespitst door professionals). Met bitlocker kunnen ze een keer een update uitvoeren met een backdoor erin terwijl jij het niet weet, niemand kan namelijk controleren wat er in die broncode staat.

Dit is de grootste onzin en een droom van vele Open Source aanhangers. Ik ben ook OS aanhanger maar heb die droom allang niet meer!

TrueCrypt is in 2008(s1) op de markt gekomen en jaren later (2014) nadat er twijfels waren of Backdoors is er pas een *echte* Audit op de software gedaan (s2). In de tussenliggende jaren is iedereen vanuit gegaan dat de andere het wel zouden controleren!

s1= https://nl.wikipedia.org/wiki/TrueCrypt
s2= https://www.schneier.com/blog/archives/2015/04/truecrypt_secur.html

Het zal zeker wel helpen tegen de aanvallen *as is* .
Of het ook helpt wanneer de aanvallers hun strategie aanpassen om "iets" te doen met bestaande bitlocker volumes is een andere vraag .


Interessante vraag . Ik kon het antwoord zo niet 1-2-3 vinden.

De "lange" manier om een ander recovery pw te krijgen is bitlocker uitzetten en weer aanzetten.
Het lijkt erop dat dit ook zonder een volledige decrypt/encrypt cycles gaat , maar dus wel met een disable/enable van bitllocker.

Waarschijnlijk is direct op het filesystem dan inderdaad de recovery key te wijzigen of wipen.

Een hoop meer details over de architectuur vond ik in
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc732774%28v=ws.10%29

Een recovery key is dus de sleutel voor één van de Master Volume Keys waarmee de FVEK key gecrypt is. (Full Volume Encryption Key - dat is de key waarmee de data feitelijk gecrypt is) .


Wel Duh, Disk Encryption is geen oplossing voor ALLE problemen.

Disk encryption - en daarbij sterke startup authentication - zijn een oplossing voor het probleem van gestolen of verloren devices. Typisch laptops gejat uit de kofferbak, of vergeten in de trein .
Voorheen was het altijd zo dat disken gewoon gelezen konden worden met een andere computer .
Een aanvaller die aanwezig binnen het OS dat diskencryptie gebruikt wordt niet of amper gehinderd door disk encryptie .


Zie

https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-organization-for-bitlocker-planning-and-policies#bitlocker-key-protectors

De PIN gaat blijkbaar altijd samen met een TPM chip waar de rest van de bitlocker key in zit .

Dank voor het uitzoekwerk!

Nu maar hopen dat zo'n TPM-chip, net als bij een aantal foute PIN-codes, bij een aantal foute recovery key ID's (de eerste 4 hexadecimale bytes van de hele key, een GUID) eveneens de feitelijke symmetrische sleutel wist.

Ik weet niet of dat een optie is . Maar ik zou dat niet snel willen .

Een beetje dikke vingers (caps lock), of gewoon een ijverige kleuter of de kat op het toetsenbord en dan potientieel een lastige recovery of restore in moeten is niet snel de juiste policy . De A uit C I A moet niet vergeten worden.

Wel voor een pincode, uit [1] (die nu redirect naar [2]) met aangepaste layout:
Of "variable" instelbaar betekent of fixed - afhankelijk van de fabrikant, weet ik niet. En het gaat hier niet om een pincode, maar om de eerste 8 chars van een rescue key ID, en ik zou willen weten of en na hoeveel fouten de TPM op slot gaat.

[1] https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-organization-for-bitlocker-planning-and-policies#bitlocker-key-protectors

[2] https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-organization-for-bitlocker-planning-and-policies#bitlocker-key-protectors

Ik wel. Het zou bezopen zijn als een aanvaller mijn FDE kan unlocken door 8 hexadecimale "cijfers" te brute-forcen, in plaats van mijn 20 karakters lange wachtwoord (alfanummeriek + leestekens).

Mijn C is veel belangrijker dan mijn A. Bovendien heb ik back-ups, en bij deze TPM-trucs hoor je gewoon een back-up van je rescue key te hebben.

Jouw bankpas en SIM-kaart worden ook niet voor niets geblokkeerd na een drietal foute codes.

Grapjurk.
Het advies is juist om bitlocker in te schakelen als je toch al windows gebruikt, waar veel organisaties al een lock-in op hebben. Dat is er zodat de attacker het niet meer voor je kan aanzetten met z'n een sleutel die jij niet hebt, maar de attacker mogelijk wel bewaart (en jij juist buitengesloten wordt).

Bij Australische diensten schijnt dat in de wetgeving verankerd te zijn. Daar moet alles wat versleuteld is, een backdoor hebben waar alleen de australische overheid bij kan. De politicy daar hebben besloten dat dat mogelijk is.

Ach, er is ook een clubje 9 Eyes en 14 Eyes, en nederland doet ook mee daarin.

Jawel, wel pasje geblokkeerd, maar de bank zal dan niet meteen mijn saldo naar 0 resetten (hier is wel aangenomen dat het om een positief saldo gaat)