Countermeasures: Protecting BitLocker-encrypted Devices from Attacks

Un document proaspăt care demistifică (lipsa) pre-boot authn de pe tablete și eficiența BitLocker în scenarii mobile: http://www.microsoft.com/en-us/download/details.aspx?id=41671. 20 de pagini foarte bune pentru cei cu înclinații paranoice spre securitate. Din cuprins:

  • Attacks
    • Bootkit and rootkit attacks
    • Brute-force sign-in attacks
    • Direct memory access attacks
    • Hyberfil.sys    attacks
    • Memory remanence attacks
  • Countermeasures
    • Protection before startup
    • Protection during pre-boot: pre-boot authentication
    • Protection during startup
    • Protection after startup: DMA attack protection
  • Choosing the right countermeasures
  • Summary

Rezistă BitLocker din Windows la atacuri?

Depinde. Dacă este configurat cum trebuie, da, rezistă. Cât de restrictiv să-l configurați? Asta numai voi știți, fiindcă depinde de ce fel de atacuri vreți să vă apărați. Dacă vreți să vă apărați de atacurile sofisticate arătate săptămâna trecută la conferința Black Hat, atunci ar fi bine să configurați BitLocker măcar: 1) ca TPM-ul să ceară PIN și 2) să opriți mașina dacă nu o folosiți. Astea sunt suficiente pentru a opri atacurile de acest tip:

”desfă mașina, arde/taie chipul TPM cu acid sau unelte specializate, curăță-l să ajungi la circuite, îngheață-i memoria cu He lichid, fă conexiuni cu unelte specializate, extrage cheile din memorie etc„,

sau atacurile de orice alt tip din familia cu două sau mai multe ”vizite”. Dacă sunteți paranoici, atunci 3) configurați BitLocker să detecteze modificările din secvența de boot. Pe de altă parte, dacă dețineți informații atât de importante, ca să atrageți astfel de atacuri sofisticate, atunci aveți probleme mult mai grave decât BitLocker-ul din Windows. Poveștile astea mă duc cu gândul la scenariile în care cineva trebuie să transporte o sumă mare de cash sau documente importante într-o geantă și își leagă geanta de mână cu cătușe. Ei bine, dacă valoarea genții e foarte mare, credeți că un atacator ezită la tăierea unei mâini?

Pentru cei care încă nu știu, BitLocker este tehnologia de criptare a discurilor din Windows 7, Vista și Windows Server, bazată pe un microcontroler hardware, numit TPM. Acest TPM se ocupă și cu stocarea cheilor de criptare și este capabil să se autoizoleze, dacă detectează o intruziune.

Sunt curios cât va dura, până vom avea pe plăcile de bază TPM-uri, care să se autoizoleze, dacă sesizează intruziune fizică sau modificări majore de temperatură?

Herczeg. Zoli Herczeg