Ako odstrániť šifrovanie disku bitlocker. Ako obnoviť údaje zašifrované nástrojom BitLocker v prípade straty tokenu

01.05.2019

Šifrovacia technológia BitLocker sa prvýkrát objavila pred desiatimi rokmi a menila sa s každou verziou Windowsu. Nie všetky zmeny v ňom však boli navrhnuté tak, aby zvýšili kryptografickú silu. V tomto článku sa bližšie pozrieme na rôzne verzie nástroja BitLocker (vrátane tých, ktoré sú predinštalované v najnovších zostavách systému Windows 10) na zariadení a ukážeme vám, ako obísť tento vstavaný ochranný mechanizmus.

Offline útoky

BitLocker bol odpoveďou spoločnosti Microsoft na rastúci počet offline útokov, ktoré bolo obzvlášť jednoduché vykonať na počítačoch so systémom Windows. Každý, kto má, sa môže cítiť ako hacker. Jednoducho vypne najbližší počítač a potom ho znova spustí - už s vlastným operačným systémom a prenosnou sadou nástrojov na vyhľadávanie hesiel, dôverných údajov a pitvanie systému.

Na konci pracovného dňa môžete pomocou skrutkovača Phillips dokonca usporiadať malú krížovú výpravu - otvorte počítače odchádzajúcich zamestnancov a vytiahnite z nich jednotky. V ten istý večer, v pohodlí vášho domova, možno obsah vysunutých diskov analyzovať (a dokonca modifikovať) tisíc a jedným spôsobom. Na druhý deň stačí prísť skôr a vrátiť všetko na svoje miesto.

Nie je však nutné otvárať cudzie počítače priamo na pracovisku. Po recyklácii starých počítačov a výmene diskov uniká množstvo dôverných údajov. V praxi málokto robí bezpečné mazanie a nízkoúrovňové formátovanie vyradených diskov. Čo môže zabrániť mladým hackerom a zberateľom digitálnych mršin?

Ako spieval Bulat Okudžava: "Celý svet je zložený z obmedzení, aby sa nezbláznil od šťastia." Hlavné obmedzenia vo Windowse sú nastavené na úrovni prístupových práv k objektom NTFS, ktoré nijako nechránia pred offline útokmi. Systém Windows jednoducho skontroluje povolenia na čítanie a zápis pred spracovaním akýchkoľvek príkazov, ktoré pristupujú k súborom alebo adresárom. Táto metóda je celkom efektívna, pokiaľ všetci používatelia bežia na systéme nakonfigurovanom správcom s obmedzenými účtami. Ak však nabootujete do iného operačného systému, po takejto ochrane nezostane žiadna stopa. Používateľ si sám pridelí prístupové práva alebo ich jednoducho ignoruje inštaláciou iného ovládača súborového systému.

Existuje mnoho doplnkových metód na boj proti offline útokom, vrátane fyzickej ochrany a video sledovania, ale najúčinnejšie z nich vyžadujú použitie silnej kryptografie. Digitálne podpisy bootloaderov zabraňujú spusteniu nečestného kódu a jediný spôsob, ako skutočne ochrániť samotné údaje na pevnom disku, je zašifrovať ich. Prečo vo Windowse tak dlho chýbalo úplné šifrovanie disku?

Od Visty po Windows 10

V Microsofte pracujú rôzne typy ľudí a nie všetci kódujú zadnou ľavou nohou. Bohužiaľ, konečné rozhodnutia v softvérových spoločnostiach už dávno nerobia programátori, ale marketéri a manažéri. Jediné, čo pri vývoji nového produktu skutočne zohľadňujú, je objem predaja. Čím ľahšie je pre ženu v domácnosti porozumieť softvéru, tým viac kópií tohto softvéru sa môže predať.

„Len si pomyslite, že pol percenta zákazníkov sa obáva o svoju bezpečnosť! Operačný systém je už komplexný produkt a stále strašíte cieľové publikum šifrovaním. Zaobídeme sa bez neho! Zvykli sa obchádzať!“ - takto mohol argumentovať vrcholový manažment Microsoftu až do momentu, kedy sa XP stal populárnym v korporátnom segmente. Medzi administrátormi už príliš veľa špecialistov premýšľalo o bezpečnosti na to, aby zľavili zo svojho názoru. Dlho očakávané objemové šifrovanie sa preto objavilo v ďalšej verzii Windowsu, no len v edíciách Enterprise a Ultimate, ktoré sú zamerané na firemný trh.

Nová technológia sa nazýva BitLocker. Možno to bol jediný dobrý komponent Vista. BitLocker zašifroval celý zväzok, vďaka čomu boli používateľské a systémové súbory nečitateľné, čím sa obišiel nainštalovaný operačný systém. Dôležité dokumenty, obrázky mačiek, register, SAM a BEZPEČNOSŤ - všetko sa ukázalo ako nečitateľné pri vykonávaní offline útoku akéhokoľvek druhu. V terminológii Microsoftu „zväzok“ nie je nevyhnutne disk ako fyzické zariadenie. Zväzok môže byť virtuálny disk, logický oddiel alebo naopak - kombinácia niekoľkých diskov (rozložený alebo pruhovaný zväzok). Aj obyčajný flash disk možno považovať za pripojený zväzok, na ktorého end-to-end šifrovanie existuje počnúc Windows 7 samostatná implementácia – BitLocker To Go (podrobnosti nájdete na bočnom paneli na konci článku ).

S príchodom nástroja BitLocker sa sťažilo zavedenie operačného systému tretej strany, pretože všetky zavádzače boli digitálne podpísané. Riešenie je však stále možné vďaka režimu kompatibility. Oplatí sa zmeniť v BIOSe režim bootovania z UEFI na Legacy a vypnúť funkciu Secure Boot a opäť príde vhod stará dobrá bootovacia flashka.

Ako používať BitLocker

Analyzujme praktickú časť na príklade systému Windows 10. V zostave 1607 je možné povoliť BitLocker cez ovládací panel (časť „Systém a zabezpečenie“, podčasť „Šifrovanie jednotiek BitLocker“).

Ak však základná doska nemá TPM verzie 1.2 alebo novšej, tak BitLocker nebude možné len tak použiť. Ak ju chcete aktivovať, budete musieť prejsť do editora zásad miestnej skupiny (gpedit.msc) a rozbaliť vetvu „Konfigurácia počítača -> Šablóny pre správu -> Komponenty systému Windows -> Šifrovanie jednotiek BitLocker -> Jednotky operačného systému“ na nastavenie „ Toto nastavenie politiky vám umožňuje nakonfigurovať požiadavku dodatočného overenia pri spustení“. V ňom musíte nájsť nastavenie „Povoliť používanie BitLockera bez kompatibilného TPM ...“ a povoliť ho.

V susedných častiach miestnych zásad môžete nastaviť ďalšie nastavenia BitLocker vrátane dĺžky kľúča a režimu šifrovania AES.

Po použití nových zásad sa vrátime na ovládací panel a budeme postupovať podľa pokynov sprievodcu nastavením šifrovania. Ako dodatočnú ochranu si môžete zvoliť zadanie hesla alebo pripojenie konkrétneho USB flash disku.

Hoci sa BitLocker považuje za technológiu úplného šifrovania disku, umožňuje len čiastočné šifrovanie rušných sektorov. Je to rýchlejšie ako šifrovanie všetkého, ale táto metóda sa považuje za menej bezpečnú. Už len preto, že v tomto prípade vymazané, no ešte neprepísané súbory, zostávajú nejaký čas k dispozícii na priame čítanie.

Úplné a čiastočné šifrovanie

Po nastavení všetkých parametrov zostáva reštartovať. Systém Windows bude vyžadovať zadanie hesla (alebo vloženie jednotky USB Flash) a potom sa spustí v normálnom režime a spustí sa proces šifrovania zväzku na pozadí.

V závislosti od zvolených nastavení, veľkosti disku, frekvencie procesora a podpory určitých príkazov AES môže šifrovanie trvať od niekoľkých minút až po niekoľko hodín.

Po dokončení tohto procesu sa v kontextovej ponuke Prieskumníka objavia nové položky: zmena hesla a rýchly prechod do nastavení BitLocker.

Upozorňujeme, že všetky akcie, okrem zmeny hesla, vyžadujú práva správcu. Logika je tu jednoduchá: keďže ste sa úspešne prihlásili do systému, znamená to, že poznáte heslo a máte právo ho zmeniť. Aké rozumné je to? To sa dozvieme už čoskoro!

Ako funguje BitLocker

Spoľahlivosť BitLockeru by sa nemala posudzovať podľa reputácie AES. Populárny šifrovací štandard nemusí mať úprimne slabé miesta, ale jeho implementácie v konkrétnych kryptografických produktoch nimi často sú plné. Microsoft nezverejňuje úplný kód pre technológiu BitLocker. Je len známe, že v rôznych verziách Windowsu to vychádzalo z rôznych schém a zmeny neboli nijako komentované. Navyše v zostavení 10586 Windowsu 10 jednoducho zmizol a po dvoch zostavách sa znova objavil. Najprv však.

Prvá verzia nástroja BitLocker používala režim blokového reťazenia šifrovaného textu (CBC). Už vtedy boli zjavné jeho nedostatky: jednoduchosť útoku na známy text, slabá odolnosť voči útokom podľa typu substitúcie atď. Microsoft sa preto okamžite rozhodol posilniť ochranu. Už vo Vista bol do schémy AES-CBC pridaný algoritmus Elephant Diffuser, čo sťažuje priame porovnávanie blokov šifrovaného textu. Pri ňom rovnaký obsah dvoch sektorov dal po zašifrovaní jedným kľúčom úplne iný výsledok, čo skomplikovalo výpočet spoločného vzoru. Samotný predvolený kľúč bol však krátky – 128 bitov. Prostredníctvom administratívnych politík sa dá rozšíriť na 256 bitov, ale stojí to za to?

Pre používateľov sa po zmene kľúča navonok nič nezmení – ani dĺžka zadávaných hesiel, ani subjektívna rýchlosť operácií. Ako väčšina systémov na šifrovanie celého disku, aj BitLocker používa viacero kľúčov... a žiadny z nich nie je viditeľný pre používateľov. Tu je schematický diagram nástroja BitLocker.

Keď sa BitLocker aktivuje pomocou generátora pseudonáhodných čísel, vygeneruje sa hlavná bitová sekvencia. Toto je šifrovací kľúč zväzku – FVEK (šifrovací kľúč plného objemu). Je to on, kto teraz šifruje obsah každého sektora.
Na druhej strane je FVEK zašifrovaný pomocou iného kľúča - VMK (hlavný kľúč zväzku) - a uložený v zašifrovanej forme medzi metadáta zväzku.
Samotný VMK je tiež šifrovaný, ale rôznymi spôsobmi podľa výberu používateľa.
Na nových základných doskách je kľúč VMK štandardne šifrovaný pomocou kľúča SRK (koreňový kľúč úložiska), ktorý je uložený v samostatnom kryptoprocesore – module dôveryhodnej platformy (TPM). Používateľ nemá prístup k obsahu TPM a ten je jedinečný pre každý počítač.
Ak na doske nie je samostatný čip TPM, potom sa namiesto SRK na zašifrovanie kľúča VMK použije užívateľom zadaný PIN kód alebo USB flash disk na požiadanie s predpísanými informáciami o kľúči.
Okrem TPM alebo flash disku môžete kľúč VMK chrániť heslom.

Tento všeobecný model fungovania nástroja BitLocker pokračoval v nasledujúcich vydaniach systému Windows až do súčasnosti. Zmenilo sa však generovanie kľúčov a režimy šifrovania nástroja BitLocker. Takže v októbri 2014 Microsoft potichu odstránil dodatočný algoritmus Elephant Diffuser a ponechal iba schému AES-CBC so známymi nedostatkami. Spočiatku k tomu neboli poskytnuté žiadne oficiálne vyhlásenia. Ľudia jednoducho dostali pod rúškom aktualizácie oslabenú šifrovaciu technológiu s rovnakým názvom. Vágne vysvetlenia tohto kroku nasledovali po tom, čo si nezávislí výskumníci všimli zjednodušenia v BitLockeri.

Formálne bolo odstránenie Elephant Diffuser potrebné na zabezpečenie súladu Windows s americkými federálnymi štandardmi spracovania informácií (FIPS), ale jeden argument túto verziu vyvracia: Vista a Windows 7, ktoré používali Elephant Diffuser, sa v Amerike predávali bez problémov.

Ďalším pomyselným dôvodom odmietnutia dodatočného algoritmu je chýbajúca hardvérová akcelerácia pre Elephant Diffuser a strata rýchlosti pri jeho používaní. V predchádzajúcich rokoch, keď boli procesory pomalšie, im však rýchlosť šifrovania z nejakého dôvodu vyhovovala. A rovnaký AES bol široko používaný ešte predtým, ako existovali samostatné inštrukčné sady a špecializované čipy na jeho zrýchlenie. Postupom času bolo možné urobiť hardvérovú akceleráciu aj pre Elephant Diffuser, alebo dať zákazníkom aspoň na výber medzi rýchlosťou a bezpečnosťou.

Iná, neoficiálna verzia vyzerá realistickejšie. „Slon“ sa postavil do cesty zamestnancom NSA, ktorí chceli vynaložiť menej úsilia na dešifrovanie ďalšieho disku, a Microsoft ochotne spolupracuje s úradmi aj v prípadoch, keď ich požiadavky nie sú úplne legitímne. Nepriamo potvrdzuje konšpiračnú teóriu a fakt, že pred Windows 8 sa pri vytváraní šifrovacích kľúčov v BitLockeri používal generátor pseudonáhodných čísel zabudovaný vo Windows. V mnohých (ak nie vo všetkých) vydaniach Windowsu to bol Dual_EC_DRBG – „kryptograficky silný PRNG“ vyvinutý Národnou bezpečnostnou agentúrou USA a obsahujúci množstvo inherentných zraniteľností.

Samozrejme, tajné oslabenie vstavaného šifrovania vyvolalo silnú vlnu kritiky. Pod jej tlakom Microsoft znova prepísal BitLocker a nahradil PRNG CTR_DRBG v nových vydaniach Windowsu. Okrem toho v systéme Windows 10 (od zostavenia 1511) je predvolená schéma šifrovania AES-XTS, ktorá je odolná voči manipulácii s blokmi šifrovaného textu. V najnovších zostavách „desiatok“ boli opravené ďalšie známe nedostatky BitLockera, ale hlavný problém stále zostal. Je to také absurdné, že to robí ostatné inovácie bezvýznamnými. Ide o princípy manažmentu kľúčov.

Princíp Los Alamos

Úlohu dešifrovania jednotiek BitLocker uľahčuje aj skutočnosť, že spoločnosť Microsoft aktívne propaguje alternatívny spôsob obnovenia prístupu k údajom prostredníctvom nástroja Data Recovery Agent. Význam „Agenta“ je, že šifruje šifrovacie kľúče všetkých diskov v rámci podnikovej siete jediným prístupovým kľúčom. Keď ho máte, môžete dešifrovať ľubovoľný kľúč, a teda akýkoľvek disk, ktorý používa tá istá spoločnosť. Pohodlne? Áno, najmä na hackovanie.

Myšlienka použitia jedného kľúča pre všetky zámky už bola mnohokrát ohrozená, ale z dôvodu pohodlia sa stále vracia v tej či onej forme. Takto Ralph Leighton zaznamenal spomienky Richarda Feynmana o jednej charakteristickej epizóde jeho práce na projekte Manhattan v laboratóriu v Los Alamos: “...otvoril som tri trezory – a všetky tri s jednou kombináciou.<…>Urobil som ich všetky: otvoril som trezory so všetkými tajomstvami atómovej bomby – technológiou získavania plutónia, popis procesu čistenia, informácie o tom, koľko materiálu treba, ako funguje bomba, ako sa vyrábajú neutróny, ako bomba je naaranžovaná, aké má rozmery – skrátka všetko, čo v Los Alamos poznali, celá kuchyňa!“.

BitLocker trochu pripomína bezpečné zariadenie opísané v inom fragmente knihy „Samozrejme, že žartujete, pán Feynman!“. Najimpozantnejší trezor v prísne tajnom laboratóriu mal rovnakú zraniteľnosť ako jednoduchá kartotéka. „... Bol to plukovník a mal oveľa zložitejší, dvojdverový trezor s veľkými madlami, ktoré ťahali štyri oceľové tyče hrubé trištvrte palca z rámu.<…>Pozrel som sa na zadnú časť jedných z impozantných bronzových dverí a zistil som, že digitálny ciferník je spojený s malým visiacim zámkom, ktorý vyzeral presne ako zámok na mojej skrini v Los Alamos.<…>Bolo zrejmé, že pákový systém závisel od tej istej malej tyče, ktorá zamykala kartotéky.<…>. Znázorňujúc nejakú aktivitu, začal som náhodne krútiť končatinou.<…>O dve minúty neskôr – kliknite! - Trezor bol otvorený.<…>Keď sú otvorené dvierka trezoru alebo horná zásuvka kartotéky, je veľmi ľahké nájsť kombináciu. To som urobil, keď si si prečítal moju správu, len aby som ti ukázal nebezpečenstvo.".

Kryptomeny BitLocker sú samy o sebe celkom bezpečné. Ak vám niekto prinesie flash disk, ktorý pochádza odnikiaľ, zašifrovaný pomocou BitLocker To Go, je nepravdepodobné, že ho dešifrujete v primeranom čase. V skutočnom scenári s použitím šifrovaných jednotiek a vymeniteľných médií však existuje veľa zraniteľností, ktoré sa dajú ľahko použiť na obídenie nástroja BitLocker.

Potenciálne zraniteľnosti

Možno ste si všimli, že pri prvej aktivácii BitLockera budete musieť dlho čakať. To nie je prekvapujúce - proces sektorového šifrovania môže trvať niekoľko hodín, pretože ani nie je možné rýchlejšie prečítať všetky bloky terabajtových HDD. Vypnutie nástroja BitLocker sa však deje takmer okamžite – ako to?

Faktom je, že keď je nástroj BitLocker zakázaný, nedešifruje údaje. Všetky sektory zostanú zašifrované kľúčom FVEK. Jednoducho, prístup k tomuto kľúču už nebude nijako obmedzený. Všetky kontroly budú deaktivované a VMK zostane zaznamenaný medzi metadátami čistého textu. Pri každom zapnutí počítača načítač OS načíta VMK (bez kontroly TPM, vyžiadania kľúča na flash disku alebo hesla), automaticky s ním dešifruje FVEK a potom všetky súbory, keď sa k nim pristupuje. Pre používateľa bude všetko vyzerať ako úplný nedostatok šifrovania, no tí najpozornejší si môžu všimnúť mierny pokles výkonu diskového subsystému. Presnejšie - nedostatok zvýšenia rýchlosti po vypnutí šifrovania.

V tejto schéme je ešte niečo zaujímavé. Napriek názvu (technológia úplného šifrovania disku) zostávajú niektoré údaje pri používaní nástroja BitLocker stále nezašifrované. MBR a BS zostávajú v otvorenej forme (pokiaľ disk nebol inicializovaný v GPT), chybné sektory a metadáta. Otvorený bootloader dáva priestor fantázii. Rootkity a iný malvér je vhodné skryť do pseudozlých sektorov a metadáta obsahujú množstvo zaujímavých vecí vrátane kópií kľúčov. Ak je BitLocker aktívny, budú šifrované (ale slabšie ako FVEK šifruje obsah sektorov) a ak je vypnutý, budú jednoducho ležať v čistote. Toto všetko sú potenciálne vektory útoku. Sú potenciálne, pretože okrem nich existujú oveľa jednoduchšie a univerzálnejšie.

obnovovací kľúč

Okrem FVEK, VMK a SRK používa BitLocker ďalší typ kľúča, ktorý sa generuje „pre každý prípad“. Toto sú kľúče na obnovenie, s ktorými je spojený ďalší populárny vektor útoku. Používatelia sa boja zabudnúť heslo a stratiť prístup do systému a samotný Windows im odporúča núdzové prihlásenie. Na tento účel vás Sprievodca šifrovaním BitLocker v poslednom kroku vyzve na vytvorenie kľúča na obnovenie. Odmietnutie jeho vytvorenia nie je poskytnuté. Môžete si vybrať iba jednu z kľúčových možností exportu, pričom každá z nich je veľmi zraniteľná.

V predvolenom nastavení sa kľúč exportuje ako jednoduchý textový súbor s rozpoznateľným názvom: „Kľúč obnovy BitLocker #“, kde je namiesto # napísané ID počítača (áno, priamo v názve súboru!). Samotný kľúč vyzerá takto.

Ak ste zabudli (alebo ste nikdy nevedeli) heslo nastavené v nástroji BitLocker, vyhľadajte súbor s kľúčom na obnovenie. Určite sa uloží medzi dokumenty aktuálneho používateľa alebo na jeho flash disk. Možno je to dokonca vytlačené na papieri, ako odporúča Microsoft. Len počkajte, kým si váš kolega urobí prestávku (ako vždy zabudne zamknúť počítač) a začnite hľadať.

Prihláste sa pomocou kľúča na obnovenie

Pre rýchle nájdenie obnovovacieho kľúča je vhodné obmedziť vyhľadávanie podľa prípony (txt), dátumu vytvorenia (ak si viete predstaviť, kedy mohol byť BitLocker približne zapnutý) a veľkosti súboru (1388 bajtov, ak súbor nebol upravený) . Keď nájdete kľúč na obnovenie, skopírujte ho. S ním môžete kedykoľvek obísť štandardnú autorizáciu v BitLockeri. Ak to chcete urobiť, stlačte kláves Esc a zadajte kľúč na obnovenie. Bez problémov sa prihlásite a dokonca budete môcť zmeniť svoje heslo BitLocker na ľubovoľné bez zadania starého! To už pripomína triky z nadpisu „Západné stavebníctvo“.

Otvára sa nástroj BitLocker

Skutočný kryptografický systém je kompromisom medzi pohodlím, rýchlosťou a spoľahlivosťou. Mal by poskytnúť postupy pre transparentné šifrovanie s dešifrovaním za chodu, metódy na obnovenie zabudnutých hesiel a pohodlnú prácu s kľúčmi. To všetko oslabuje akýkoľvek systém, bez ohľadu na to, na akých silných algoritmoch je založený. Preto nie je potrebné hľadať zraniteľnosti priamo v Rijndaelovom algoritme alebo v rôznych schémach štandardu AES. Je oveľa jednoduchšie ich odhaliť v špecifikách konkrétnej implementácie.

V prípade Microsoftu toto „špecifikum“ stačí. Napríklad kópie kľúčov BitLocker sa predvolene odosielajú do SkyDrive a ukladajú sa do služby Active Directory. Za čo? Čo ak ich stratíte... alebo sa pýta agent Smith. Je nepohodlné nechať klienta čakať, a ešte viac agenta.

Z tohto dôvodu ustupuje do pozadia porovnávanie kryptografickej sily AES-XTS a AES-CBC s Elephant Diffuser, ako aj odporúčania na zvýšenie dĺžky kľúča. Bez ohľadu na to, aká je dlhá, útočník ju ľahko získa v obyčajnom texte.

Získanie uložených kľúčov z účtu Microsoft alebo AD je hlavným spôsobom, ako prelomiť BitLocker. Ak používateľ nezaregistroval účet v cloude spoločnosti Microsoft a jeho počítač nie je v doméne, stále existujú spôsoby, ako extrahovať šifrovacie kľúče. Pri bežnej prevádzke sú ich otvorené kópie vždy uložené v pamäti RAM (inak by neexistovalo žiadne „transparentné šifrovanie“). To znamená, že sú dostupné v jej výpise a súbore hibernácie.

Prečo ich tam vôbec držia? Ako je to smiešne - pre pohodlie. BitLocker bol navrhnutý tak, aby chránil iba pred offline útokmi. Vždy sú sprevádzané reštartom a pripojením disku k inému OS, čo vedie k vyčisteniu RAM. V predvolenom nastavení však OS vypíše pamäť RAM, keď dôjde k zlyhaniu (ktoré môže byť vyprovokované) a zapíše celý jeho obsah do súboru hibernácie vždy, keď počítač prejde do hlbokého spánku. Preto, ak ste sa nedávno prihlásili do systému Windows s aktivovaným nástrojom BitLocker, existuje veľká šanca získať dešifrovanú kópiu kľúča VMK a použiť ju na dešifrovanie FVEK a potom samotných údajov v reťazci. Skontrolujme to?

Všetky vyššie opísané metódy hackovania BitLocker sú zhromaždené v jednom programe - Forensic Disk Decryptor, ktorý vyvinula domáca spoločnosť Elcomsoft. Dokáže automaticky extrahovať šifrovacie kľúče a pripojiť šifrované zväzky ako virtuálne disky, pričom ich dešifruje za chodu.

EFDD navyše implementuje ďalší netriviálny spôsob získania kľúčov – útok cez FireWire port, ktorý je vhodné použiť, keď nie je možné spustiť váš softvér na napadnutom počítači. Samotný program EFDD si vždy nainštalujeme do svojho počítača a na napadnutom sa snažíme zaobísť s minimom potrebných úkonov.

Napríklad len spustíme testovací systém s aktívnym BitLockerom a „neviditeľne“ urobíme výpis pamäte. Budeme teda simulovať situáciu, v ktorej kolega vyšiel na obed a nezamkol si počítač. Spustíme RAM Capture a za menej ako minútu dostaneme kompletný výpis v súbore s príponou .mem a veľkosťou zodpovedajúcou množstvu RAM nainštalovanej v počítači obete.

Vytváranie výpisu pamäte

Ako urobiť skládku - vo veľkom bez rozdielu. Bez ohľadu na príponu sa ukáže, že ide o binárny súbor, ktorý potom EFDD automaticky analyzuje pri hľadaní kľúčov.

Výpis zapíšeme na USB flash disk alebo ho prenesieme cez sieť, potom si sadneme k počítaču a spustíme EFDD.

Vyberte možnosť „Extrahovať kľúče“ a ako zdroj kľúčov zadajte cestu k súboru s výpisom pamäte.

Zadajte zdroj kľúčov

BitLocker je typický kryptografický kontajner, ako napríklad PGP Disk alebo TrueCrypt. Tieto kontajnery sa ukázali ako celkom spoľahlivé samy o sebe, ale klientske aplikácie na prácu s nimi pod Windowsom obsahujú šifrovacie kľúče v RAM. Preto je v EFDD implementovaný scenár univerzálneho útoku. Program okamžite vyhľadá šifrovacie kľúče zo všetkých troch typov populárnych krypto kontajnerov. Preto môžete nechať všetky položky začiarknuté – čo ak obeť tajne používa TrueCrypt alebo PGP!

Po niekoľkých sekundách Elcomsoft Forensic Disk Decryptor zobrazí všetky nájdené kľúče vo svojom okne. Pre pohodlie je možné ich uložiť do súboru - v budúcnosti sa to bude hodiť.

BitLocker už nie je prekážkou! Môžete uskutočniť klasický offline útok – napríklad vytiahnuť kolegovi harddisk a skopírovať jeho obsah. Ak to chcete urobiť, jednoducho ho pripojte k počítaču a spustite EFDD v režime „dešifrovať alebo pripojiť disk“.

Po zadaní cesty k súborom s uloženými kľúčmi EFDD vykoná úplné dešifrovanie zväzku alebo ho ihneď otvorí ako virtuálny disk. V druhom prípade sa súbory dešifrujú, keď sa k nim pristupuje. Tak či onak, na pôvodnom zväzku sa nerobia žiadne zmeny, takže ho môžete na druhý deň vrátiť, akoby sa nič nestalo. Práca s EFDD prebieha bez stopy a iba s kópiami údajov, a preto zostáva neviditeľná.

BitLocker To Go

Počnúc "sedmičkami" v systéme Windows bolo možné šifrovať flash disky, USB-HDD a ďalšie externé médiá. Technológia s názvom BitLocker To Go šifruje vymeniteľné jednotky rovnakým spôsobom ako lokálne jednotky. Šifrovanie je povolené príslušnou položkou v kontextovej ponuke Prieskumníka.

Pre nové disky môžete použiť šifrovanie iba obsadenej oblasti - napriek tomu je voľný priestor oddielu plný núl a nie je tam čo skrývať. Ak sa už disk používal, odporúča sa na ňom povoliť úplné šifrovanie. V opačnom prípade zostane miesto označené ako voľné nezašifrované. Môže obsahovať ako obyčajný text nedávno vymazané súbory, ktoré ešte neboli prepísané.

Aj rýchle šifrovanie len rušnej oblasti trvá niekoľko minút až niekoľko hodín. Tento čas závisí od množstva dát, šírky pásma rozhrania, vlastností disku a rýchlosti kryptografických výpočtov procesora. Keďže šifrovanie je sprevádzané kompresiou, voľné miesto na šifrovanom disku sa zvyčajne mierne zväčší.

Keď nabudúce pripojíte šifrovaný flash disk k akémukoľvek počítaču so systémom Windows 7 alebo novším, automaticky sa spustí sprievodca BitLocker na odomknutie disku. V Prieskumníkovi sa pred odomknutím zobrazí ako uzamknutá jednotka.

Tu môžete použiť už diskutované možnosti na obídenie nástroja BitLocker (napríklad vyhľadávanie kľúča VMK vo výpise pamäte alebo súbore hibernácie), ako aj nové možnosti súvisiace s kľúčmi na obnovenie.

Ak nepoznáte heslo, ale podarilo sa vám nájsť jeden z kľúčov (manuálne alebo pomocou EFDD), potom existujú dve hlavné možnosti prístupu k šifrovanej jednotke Flash:

použite vstavaného sprievodcu BitLocker na priamu prácu s jednotkou flash;
použite EFDD na úplné dešifrovanie flash disku a vytvorenie jeho sektora po sektore.

Prvá možnosť vám umožňuje okamžite pristupovať k súborom zaznamenaným na flash disku, kopírovať ich alebo meniť a tiež napaľovať svoje vlastné. Druhá možnosť sa vykonáva oveľa dlhšie (od pol hodiny), ale má svoje výhody. Dešifrovaný obraz sektor po sektore umožňuje ďalej vykonávať jemnejšiu analýzu súborového systému na úrovni forenzného laboratória. V tomto prípade už samotný flash disk nie je potrebný a možno ho vrátiť bez zmeny.

Výsledný obrázok je možné okamžite otvoriť v akomkoľvek programe, ktorý podporuje formát IMA, alebo najskôr previesť do iného formátu (napríklad pomocou UltraISO).

Samozrejme, že okrem nájdenia kľúča na obnovenie pre BitLocker2Go sú v EFDD podporované aj všetky ostatné metódy obchádzania BitLockera. Len iterujte cez všetky dostupné možnosti v rade, kým nenájdete kľúč akéhokoľvek typu. Zvyšok (až do FVEK) sa sám dešifruje v reťazci a vy získate plný prístup k disku.

závery

Technológia šifrovania celého disku BitLocker sa medzi verziami systému Windows líši. Po správnej konfigurácii vám umožňuje vytvárať krypto kontajnery, ktoré sú teoreticky svojou silou porovnateľné s TrueCrypt alebo PGP. Mechanizmus práce s kľúčmi zabudovanými do systému Windows však neguje všetky algoritmické triky. Najmä kľúč VMK, ktorý sa používa na dešifrovanie hlavného kľúča v BitLocker, obnoví EFDD v priebehu niekoľkých sekúnd z duplikátu uloženého v úschove, výpisu pamäte, súboru hibernácie alebo útoku na port FireWire.

Po prijatí kľúča môžete vykonať klasický offline útok, diskrétne skopírovať a automaticky dešifrovať všetky údaje na „chránenom“ disku. BitLocker by sa preto mal používať iba v spojení s inými ochranami: Systém šifrovania súborov (EFS), Služby správy práv (RMS), Kontrola spustenia programu, Kontrola inštalácie zariadenia a pripojenia a prísnejšie miestne zásady a všeobecné bezpečnostné opatrenia.

Posledná aktualizácia 28. februára 2017 .

Práve krádež notebooku je podľa odborníkov jedným z hlavných problémov v oblasti informačnej bezpečnosti (IS).

Na rozdiel od iných hrozieb kybernetickej bezpečnosti je povaha problémov s „ukradnutým notebookom“ alebo „ukradnutým flash diskom“ skôr primitívna. A ak náklady na zmiznuté zariadenia zriedka presahujú niekoľko tisíc dolárov, potom sa hodnota informácií, ktoré sú na nich uložené, často meria v miliónoch.

Podľa Dell a Ponemon Institute sa len na amerických letiskách ročne stratí 637 000 notebookov. A predstavte si, koľko flash diskov zmizne, pretože sú oveľa menšie a náhodne spadnutie flash disku je také jednoduché ako lúskanie hrušiek.

Keď sa stratí laptop patriaci vrcholovému manažérovi veľkej spoločnosti, škoda z jednej takejto krádeže môže dosiahnuť desiatky miliónov dolárov.

Ako ochrániť seba a svoju firmu?

Pokračujeme v sérii článkov o zabezpečení domény Windows. V prvom článku série sme hovorili o nastavení zabezpečeného prihlasovania do domény a v druhom článku sme hovorili o nastavení zabezpečeného prenosu dát v poštovom klientovi:

V tomto článku budeme hovoriť o nastavení šifrovania informácií uložených na pevnom disku. Pochopíte, ako zabezpečiť, aby nikto okrem vás nemohol čítať informácie uložené vo vašom počítači.

Málokto vie, že systém Windows má vstavané nástroje, ktoré vám pomôžu bezpečne ukladať informácie. Uvažujme o jednom z nich.

Niektorí z vás už určite počuli slovo „BitLocker“. Pozrime sa, čo to je.

Čo je BitLocker?

BitLocker (presný názov je BitLocker Drive Encryption) je technológia na šifrovanie obsahu počítačových jednotiek vyvinutá spoločnosťou Microsoft. Prvýkrát sa objavil v systéme Windows Vista.

Pomocou BitLocker bolo možné šifrovať zväzky pevných diskov, no neskôr sa vo Windows 7 objavila podobná technológia BitLocker To Go, ktorá je určená na šifrovanie vymeniteľných diskov a flash diskov.

BitLocker je štandardná funkcia verzií Windows Professional a Server systému Windows, čo znamená, že je už k dispozícii pre väčšinu prípadov podnikového použitia. V opačnom prípade budete musieť aktualizovať svoju licenciu Windows na Professional.

Ako funguje BitLocker?

Táto technológia je založená na šifrovaní celého objemu pomocou algoritmu AES (Advanced Encryption Standard). Šifrovacie kľúče musia byť uložené bezpečne a v BitLockeri na to existuje niekoľko mechanizmov.

Najjednoduchšou, no zároveň najnebezpečnejšou metódou je heslo. Kľúč sa získava z hesla zakaždým rovnakým spôsobom, a preto, ak niekto zistí vaše heslo, bude známy šifrovací kľúč.

Aby sa kľúč neukladal ako čistý text, môže byť zašifrovaný buď v module TPM (Trusted Platform Module) alebo na kryptografickom tokene alebo čipovej karte, ktorá podporuje algoritmus RSA 2048.

TPM je čip navrhnutý na implementáciu základných funkcií súvisiacich so zabezpečením, najmä pomocou šifrovacích kľúčov.

Modul TPM je zvyčajne nainštalovaný na základnej doske počítača, v Rusku je však veľmi ťažké kúpiť počítač so vstavaným modulom TPM, pretože dovoz zariadení bez upozornenia FSB do našej krajiny je zakázaný.

Použitie čipovej karty alebo tokenu na odomknutie disku je jedným z najbezpečnejších spôsobov kontroly toho, kto a kedy vykonal daný proces. Na odomknutie je v tomto prípade potrebná samotná smart karta a jej PIN kód.

Ako funguje BitLocker:

Keď sa BitLocker aktivuje pomocou generátora pseudonáhodných čísel, vygeneruje sa hlavná bitová sekvencia. Toto je šifrovací kľúč zväzku – FVEK (šifrovací kľúč plného objemu). Šifruje obsah každého sektora. Kľúč FVEK je držaný v najprísnejšej tajnosti.
FVEK je šifrovaný pomocou kľúča VMK (hlavný kľúč hlasitosti). Kľúč FVEK (zašifrovaný kľúčom VMK) je uložený na disku v metadátach zväzku. Nikdy by však nemal skončiť na disku v dešifrovanej podobe.
Samotný VMK je tiež šifrovaný. Spôsob šifrovania si volí používateľ.
VMK je štandardne šifrovaný SRK (koreňový kľúč úložiska), ktorý je uložený na kryptografickej čipovej karte alebo tokene. Podobne sa to deje s TPM.
Mimochodom, šifrovací kľúč systémovej jednotky v BitLocker nemožno chrániť pomocou čipovej karty alebo tokenu. Je to spôsobené tým, že na prístup k čipovým kartám a tokenom sa používajú knižnice od dodávateľa, ktoré samozrejme nie sú dostupné pred načítaním operačného systému.
Ak neexistuje modul TPM, BitLocker navrhuje uložiť kľúč systémovej oblasti na USB flash disk, čo, samozrejme, nie je najlepší nápad. Ak váš systém nemá modul TPM, neodporúčame šifrovanie systémových jednotiek.
Vo všeobecnosti je šifrovanie systémovej jednotky zlý nápad. Pri správnej konfigurácii sa všetky dôležité údaje uchovávajú oddelene od systémových údajov. To je aspoň pohodlnejšie z hľadiska ich zálohovania. Šifrovanie systémových súborov navyše znižuje výkon systému ako celku a nešifrovaný systémový disk so zašifrovanými súbormi funguje bez straty rýchlosti.
Šifrovacie kľúče pre iné nesystémové a vymeniteľné jednotky je možné chrániť pomocou čipovej karty alebo tokenu, ako aj TPM.
Ak neexistuje TPM alebo smart karta, tak namiesto SRK sa na zašifrovanie kľúča VMK použije kľúč vygenerovaný na základe vami zadaného hesla.

Pri spustení zo zašifrovaného zavádzacieho disku systém zisťuje všetky možné úložiská kľúčov – skontroluje TPM, skontroluje porty USB alebo v prípade potreby vyzve používateľa (čo sa nazýva obnovenie). Zisťovanie úložiska kľúčov umožňuje systému Windows dešifrovať VMK, ktorý dešifruje FVEK, ktorý už dešifruje údaje na disku.

Každý sektor zväzku je šifrovaný samostatne, pričom časť šifrovacieho kľúča je určená číslom sektora. Výsledkom je, že dva sektory obsahujúce rovnaké nezašifrované údaje budú v zašifrovanej podobe vyzerať odlišne, čo značne skomplikuje proces určovania šifrovacích kľúčov zapisovaním a dešifrovaním predtým známych údajov.

Okrem FVEK, VMK a SRK používa BitLocker ďalší typ kľúča, ktorý sa generuje „pre každý prípad“. Toto sú kľúče na obnovenie.

V prípade núdze (používateľ stratil token, zabudol svoj PIN atď.) BitLocker ponúka vytvorenie obnovovacieho kľúča v poslednom kroku. Odmietnutie jeho vytvorenia v systéme nie je poskytnuté.

Ako povoliť šifrovanie údajov na pevnom disku?

Pred pokračovaním v procese šifrovania zväzkov na pevnom disku je dôležité zvážiť, že tento postup bude nejaký čas trvať. Jeho trvanie bude závisieť od množstva informácií na pevnom disku.

Ak sa váš počítač počas šifrovania alebo dešifrovania vypne alebo prejde do hibernácie, pri ďalšom spustení systému Windows budú tieto procesy pokračovať tam, kde skončili.

Aj počas procesu šifrovania je možné použiť systém Windows, ale je nepravdepodobné, že vás bude môcť potešiť svojim výkonom. Výsledkom je, že po zašifrovaní sa výkon disku zníži približne o 10 %.

Ak je vo vašom systéme dostupný nástroj BitLocker, potom keď kliknete pravým tlačidlom myši na názov jednotky, ktorú chcete zašifrovať, položka sa zobrazí v ponuke, ktorá sa otvorí. Zapnite nástroj BitLocker.

Na serverových verziách systému Windows musíte pridať rolu BitLocker Drive Encryption.

Začnime s konfiguráciou nesystémového šifrovania zväzkov a chráňte šifrovací kľúč pomocou kryptografického tokenu.

Použijeme token vyrobený spoločnosťou Aktiv. Najmä token Rutoken EDS PKI.

I. Pripravte Rutoken EDS PKI na prácu.

Vo väčšine bežne konfigurovaných systémov Windows sa po prvom pripojení Rutoken EDS PKI automaticky stiahne a nainštaluje špeciálna knižnica pre prácu s tokenmi vyrobenými spoločnosťou Aktiv - Aktiv Rutoken minidriver.

Proces inštalácie takejto knižnice je nasledujúci.

Prítomnosť knižnice miniovládača Aktiv Rutoken je možné skontrolovať cez Správca zariadení.

Ak sa z nejakého dôvodu sťahovanie a inštalácia knižnice neuskutočnila, mali by ste nainštalovať súpravu Rutoken Drivers for Windows.

II. Zašifrujte údaje na disku pomocou nástroja BitLocker.

Kliknite na názov disku a vyberte položku Zapnite nástroj BitLocker.

Ako sme už povedali, na ochranu šifrovacieho kľúča disku použijeme token.
Je dôležité pochopiť, že ak chcete použiť token alebo čipovú kartu s nástrojom BitLocker, musí obsahovať kľúče RSA 2048 a certifikát.

Ak používate službu Certifikačná autorita v doméne Windows, potom šablóna certifikátu musí obsahovať rozsah certifikátu „Šifrovanie disku“ (viac o nastavení Certifikačnej autority v našej sérii článkov o zabezpečení domény Windows).

Ak nemáte doménu alebo nemôžete zmeniť politiku vydávania certifikátov, môžete použiť alternatívnu cestu pomocou certifikátu s vlastným podpisom, podrobnosti o tom, ako vydať certifikát s vlastným podpisom, sú opísané.
Teraz začiarknime príslušné políčko.

V ďalšom kroku zvolíme spôsob uloženia obnovovacieho kľúča (odporúčame zvoliť Vytlačte obnovovací kľúč).

Kúsok papiera s vytlačeným kľúčom na obnovenie musí byť uložený na bezpečnom mieste, najlepšie v trezore.

Ďalším krokom je spustenie procesu šifrovania disku. Po dokončení tohto procesu možno budete musieť reštartovať systém.

Keď je šifrovanie povolené, ikona šifrovaného disku sa zmení.

A teraz, keď sa pokúsime otvoriť túto jednotku, systém vás požiada o vloženie tokenu a zadanie jeho PIN.

Nasadenie a konfiguráciu BitLocker a TPM možno automatizovať pomocou nástroja WMI alebo skriptov Windows PowerShell. Spôsob implementácie skriptov bude závisieť od prostredia. Príkazy pre BitLocker v prostredí Windows PowerShell sú popísané v tomto článku.

Ako obnoviť údaje zašifrované nástrojom BitLocker v prípade straty tokenu?

Ak chcete otvoriť šifrované údaje v systéme Windows

Na to budete potrebovať kľúč na obnovenie, ktorý sme si predtým vytlačili. Stačí ho zadať do príslušného poľa a otvorí sa zašifrovaná sekcia.

Ak chcete otvoriť šifrované údaje v systémoch GNU/Linux a Mac OS X

Vyžaduje si to pomôcku DisLocker a kľúč na obnovenie.

Pomôcka DisLocker funguje v dvoch režimoch:

SÚBOR – celý oddiel šifrovaný nástrojom BitLocker sa dešifruje na súbor.
FUSE - dešifruje sa iba blok, ku ktorému pristupuje systém.

Použijeme napríklad operačný systém Linux a pomocný režim FUSE.

V nedávnych verziách bežných linuxových distribúcií je už v distribúcii zahrnutý balík dislocker, napríklad v Ubuntu od verzie 16.10.

Ak z nejakého dôvodu neexistoval žiadny odblokovací balík, musíte si stiahnuť obslužný program a skompilovať ho:

tar -xvjf dislocker.tar.gz

Otvoríme súbor INSTALL.TXT a skontrolujeme, ktoré balíčky potrebujeme nainštalovať.

V našom prípade musíme nainštalovať balík libfuse-dev:

sudo apt-get install libfuse-dev

Začnime zostavovať balík. Poďme do priečinka src a použite príkazy make a make install:

cd src/ make make install

Keď je všetko skompilované (alebo máte nainštalovaný balík), začnime ho nastavovať.

Poďme do priečinka mnt a vytvorte v ňom dva priečinky:

Encrypted-partition- pre šifrovaný oddiel;
Decrypted-partition - pre dešifrovaný oddiel.

cd /mnt mkdir Encrypted-partition mkdir Decrypted-partition

Poďme nájsť šifrovaný oddiel. Poďme ho dešifrovať pomocou pomôcky a presunúť ho do priečinka Encrypted-partition:

dislocker -r -V /dev/sda5 -p recovery_key /mnt/Encrypted-partition(nahraďte recovery_key svojím obnovovacím kľúčom)

Zobrazme zoznam súborov v priečinku Encrypted-partition:

ls Encrypted-partition/

Zadajte príkaz na pripojenie oddielu:

mount -o loop Driveq/dislocker-file Decrypted-partition/

Ak chcete zobraziť dešifrovaný oddiel, prejdite do priečinka Encrypted-partition.

Zhrnutie

Povolenie šifrovania zväzku pomocou nástroja BitLocker je veľmi jednoduché. To všetko sa deje bez námahy a zadarmo (samozrejme za predpokladu, že máte profesionálnu alebo serverovú verziu systému Windows).

Na ochranu šifrovacieho kľúča, ktorý šifruje disk, môžete použiť kryptografický token alebo čipovú kartu, čo výrazne zvyšuje úroveň zabezpečenia.

Pekný deň priatelia.

Nastavili ste heslo pre určité informácie v počítači a teraz ho chcete odstrániť? Neviete ako na to? Tento článok poskytuje jednoduché pokyny, ako deaktivovať Bitlocker - program, ktorý chráni vaše údaje pred hackermi.

Bitlocker je vstavaný nástroj v systémoch Windows navrhnutý tak, aby chránil citlivé informácie pred neoprávneným prístupom. Jeho inštaláciou vlastník počítača umiestni heslo na všetky alebo jednotlivé súbory. Aplikácia umožňuje uložiť si ho na externé médium alebo vytlačiť s cieľom nechať PIN len v pamäti, pretože vás môže aj sklamať.

Šifrovanie informácií spočíva v tom, že ich program prevedie do špeciálneho formátu, ktorý je možné prečítať až po zadaní hesla.

Ak sa pokúsite otvoriť súbor bez neho, uvidíte nesúvisiace čísla a písmená.

Spočiatku môžete nástroj nakonfigurovať tak, aby sa zámok uvoľnil po vložení jednotky flash s kľúčom. Je lepšie mať niekoľko médií s heslom.

Dôležité! Ak zabudnete a stratíte všetky kľúče, spolu s nimi navždy stratíte prístup ku všetkým údajom na disku (alebo flash disku).

Po prvýkrát začala aplikácia fungovať v prémiovej verzii Windows Vista. Teraz je dostupný pre ďalšie generácie tohto systému.

Spôsoby, ako vypnúť Bitlocker

Na zrušenie blokovania nemusíte byť hacker alebo profesionálny IT pracovník. Všetko sa robí jednoducho; samozrejme, ak ste si sami nastavili heslo a nechystáte sa hackovať údaje iných ľudí. Toto je pravda? Potom začnime diskusiu.

Existuje niekoľko spôsobov, ako odomknúť súbory. Ten najjednoduchší vyzerá takto:

Kliknite pravým tlačidlom myši na požadovanú jednotku a vo vyskakovacom okne kliknite na „Spravovať BitLoker“;

Otvorí sa nová ponuka, kde by ste mali vybrať položku „Vypnúť“ (vypnúť).

Keď preinštalujete Windows 10 alebo inú verziu OS, budete musieť pozastaviť šifrovanie. Ak ho chcete dokončiť, postupujte podľa pokynov nižšie:

Otvorte Štart - Ovládací panel - Systém a zabezpečenie - BitLocker Drive Encryption;
Vyberte „Pozastaviť ochranu“ alebo „Spravovať BitLocker“ a potom „Vypnúť BitLocker“ (vo Win7).
Kliknutím na „Áno“ potvrdíte, že ho zámerne deaktivujete.

Prostredníctvom toho istého menu môžete zámok úplne vypnúť kliknutím na príslušné tlačidlo.

Majte na pamäti, že Windows Vista a iné verzie systému môžu mať odlišné názvy pre časti opísané vyššie. Ale v každom prípade nájdete požadované nastavenia prostredníctvom ovládacieho panela. Napríklad v systéme Windows 8 ho môžete otvoriť takto:

Aby som bol úprimný, neviem, ako deaktivovať tento šifrovač, ak sa stratí heslo ... Môžem len odporučiť naformátovanie zariadenia - v dôsledku čoho bude disk k dispozícii na prácu. Ale v tomto scenári všetky údaje na ňom prirodzene zmiznú.

No, to je všetko, dúfam, že to pomohlo.

Do skorého videnia priatelia!