Monday, November 16, 2015

Bitlocker-encryptie was jarenlang onveilig

Bitlocker-encryptie was jarenlang onveilig

Het is maar te hopen dat niemand eerder ontdekt heeft wat Ian Haken afgelopen vrijdag liet zien: het Bitlocker-encryptietool dat Microsoft zakelijke klanten meelevert met Windows, was vanaf het begin te kraken.
Het probleem ontstond door de manier waarop Microsoft laptops beveiligde die normaal gesproken inloggen in een domein van hun bedrijfsnetwerk. Bij die domeingebaseerde authenticatie wordt het wachtwoord van de gebruiker gecheckt op de domeincontroller. Maar  voor gevallen dat de laptop extern wordt gebruikt, slaat de laptop lokaal ook inloggegevens op.
Haken slaagde erin om die lokale gegevens aan de pc te ontfutselen. Daarvoor moest hij wel weten wat de naam is van de domeincontroller waar de gestolen laptop gewoonlijk contact mee legt. Met die informatie kan hij een nep-domeincontroller opzetten waarop hij het gebruikersaccount aanmaakt dat hoort bij de laptop, met een wachtwoord dat ver in het verleden is aangemaakt. Wanneer de laptop dan contact maakt met die domeincontroller, wordt de gebruiker 'uitgenodigd' om een nieuw wachtwoord aan te maken. Dat wachtwoord vervangt het lokaal opgeslagen wachtwoord, zodat met dat nieuwe wachtwoord kan worden ingelogd zodra de laptop weer is losgekoppeld van het netwerk.

Bitlocker in gebruikelijke implementatie omzeild

Op die manier kan de dief toch toegang krijgen tot de laptop. Ook gebruik van Bitlocker helpt dan normaal gesproken niet om de inhoud van de harde schijf vertrouwelijk te houden. Als de dief eenmaal geauthenticeerd is, krijgt hij namelijk ook toegang tot de Bitlocker-sleutel die is opgeslagen in de zogeheten Trusted Platform Module.
Haken heeft zijn bevinding gedeeld met Microsoft. Dat heeft afgelopen dinsdag een patch verspreid die deze specifieke aanvalsvorm de pas af snijdt. Het is dus aan te raden om die patch zonder dralen aan te brengen. Nog beter is het om gebruik te maken van de mogelijkheid om gegevens op schijf extra te beschermen met een pincode of een speciale sleutel op een USB-stick. Veel bedrijven zien daarvan af om de gebruikers niet extra te belasten. Maar met zo'n extra beschermingsmaatregel moet bij een hack zoals Haken die nu toonde, toch een extra horde worden genomen.


http://www.automatiseringgids.nl/nieuws/2015/47/bitlocker-encryptie-jarenlang-onveilig 

No comments:

Post a Comment