Ein Blog rund um Microsoft Windows und allem, was sonst noch so anfällt...

BitLocker To Go für mehr Sicherheit

von Georg Binder 22. December 2009 08:00

Daten auf dem USB Stick. Unverschlüsselt?! Nicht so gut, wenn der Stick auch nur im Taxi aus der Tasche rutscht,.. oder jemand Interesse an der Hardware zeigt. Gerade bei USB Sticks ist es interessant: der Hardware Verlust… völlig egal, die paar EUR. Aber die Daten? Erst kürzlich wieder eine Geschichte, in diesem Fall eine nette Dame, deren Namen wir hier nicht nennen: obwohl unsichtbar im Kofferraum und gut versteckt: Auto aufgebrochen, Laptop weg. Wäre egal gewesen, weil BitLocker geschützt. Blöderweise war das aber der Tag wo die Backupfestplatte mit dabei war (die Person wollte just an diesem Tag wieder ein Backup durchführen, Murphy lässt grüßen). Und… richtig geraten: diese USB Platte war unverschlüsselt. Deswegen… BitLocker To Go.

Auch in HD verfügbar.

Backdoor?
Bob hat die Befürchtung, dass BitLocker eine Hintertür eingebaut hat und erwähnt das Tool COFEE, das Microsoft in Zusammenarbeit mit Strafverfolgungsbehörden entwickelte:

“Nun, kurz gefragt: Hat BitLocker eine Hintertür eingebaut? Als bekannt wurde, dass Microsoft verschiedenen Strafverfolgungsbehörden ein spezielles Werkzeug ("COFFEE") wurde ich sehr misstrauisch was die Sicherheit von BitLocker anging. Mit diesem COFFEE können entsprechende Behörden ohne jeglichen Aufwand in einen entsprechenden PC hinein. Sehr beunruhigend wurde es allerdings, als dieses Tool ins Internet gelangte und somit jedem zugänglich ist. Heißt das jetzt, dass meine Daten auf meinem Laptop doch nicht mehr sicher sind? “

Ich glaube, dass COFEE ein wenig überbewertet wird :)

Heise sagt dazu:

“Doch das einzige Betriebssystem, das man demnach mit COFEE offiziell untersuchen kann, ist Windows XP – von Vista oder gar Windows 7 ist nirgendwo die Rede. Die Verzeichnisstruktur der versionsspezifischen Tools enthält ebenfalls nur die Ordner win2k, win2k03 und winxp.”

Quelle: Ein Blick auf Microsofts entwischte Forensik-Tool-Sammlung

Demzufolge ist COFEE kein Tool BitLocker auszuhebeln (oder Vista bzw. Windows 7 generell anzugreifen)- Das einzige was als “Backdoor” zu bezeichnen wäre, ist der im Active Directory des jeweiligen Unternehmens gespeicherte Recovery Key, der dazu dient, im Falle eines Hardwarewechsels oder wenn das Passwort vergessen wird, die Verschlüsselung wieder aufzuheben. Da es sich dabei aber AD Schema Änderung handelt,.. nein, das ist keine Backdoor im Sinne, dass jemand unberechtigter auf Daten zugreifen kann.

Wirklich sicher?
Verschiedene Medien berichten über einen erfolgreichen Angriff auf BitLocker, indem der Bootloader geändert wird (der sich auf der unverschlüsselten Partition befindet). Prinzipiell richtig, praktisch aber mit fragwürdiger Wahrscheinlichkeit, denn der Angreifer braucht:

  • Physischen Zugriff auf den Rechner
  • Zugriff auf das BIOS um die Bootreihenfolge zu ändern, dann wird der Bootloader von USB Stick überschrieben
  • Rechner muss dem Opfer wieder zurückgegeben werden
  • Rechner muss wieder geklaut werden

Das ist – so sieht es jedenfalls Microsoft – doch schon recht aufwändig, mehrfacher physischer Zugriff auf den Rechner,… aber möglich. Genau so, wie schon der bisher bekannte Angriff, dass man einer Maschine die läuft, bzw. im Sleep-Modus ist (nicht Ruhezustand) und dann das auf –50 Grad gekühlte RAM ausbaut um den Schlüssel aus dem Speicher auszulesen (Research Paper dazu hier).

Aber selbst dafür gibt es Leitfäden, wie man einen Rechner sichert, dass auch diese Angriffe erschwert oder verunmöglicht werden, also z.B. BIOS sperren, Energiesparmodus (Sleep) nicht erlauben, RAM überschreiben beim Ausschalten bzw. vor dem Booten,… Lesestoff dazu:

Zudem: je nach Sicherheitsbedürfnis gibt es auch andere Methoden oder Vorgehensweise. Wie beispielsweise “Reise-Laptops” zu verwenden, wo keine sensiblen Daten drauf sind, z.B. für Reisen in unsichere Länder wie China oder USA, wo man ja mitunter seinen Laptop beim Zoll abgeben darf. Solche Reiselaptops werden dann ohne Nachzuschauen nach der Heimreise wieder plattgemacht,… und Daten werden zum Beispiel mit Hilfe von Steganographie oder anderen Methoden on demand über das (wohl ebenfalls überwachte) Netz geladen. Ist ja nicht so, dass es nicht genügend Methoden gäbe,..

10 unabänderliche Gesetze der Sicherheit
Es gibt Grundregeln, wenn es um die Sicherheit geht… lesenswert: 10 Immutable Laws of Security

Related Posts:

Weitere Information:

 

Comments (1) -

>

12/22/2009 1:21:32 PM#

Kleiner, nicht unwichtiger Hinweis:
Das Speichern der Recovery-KEys im AD erfolgt nicht automatisch und out-of-the box, da hierzu eine Schema-Änderung notwendig ist.
Muss eingeschalten und konfiguriert werden - nicht dass in 3 Monaten einer fragt, wie er den Key von der Festplatte seines Chefs aus dem AD bekommt....

Christian

Christian DeckerÖsterreich | Reply

Add comment

  Country flag

biuquote
Loading

Datenschutzhinweis: Sie stimmen durch "Kommentar speichern" der Speicherung Ihrer Angaben durch Microsoft Österreich für die Beantwortung der Anfrage zu. Sie erhalten dadurch keine unerwünschten Werbezusendungen. Ihre Emailadresse wird auf Ihren Wunsch dazu verwendet Sie über neue Kommentare zu informieren.

Microsoft respektiert den Datenschutz. Datenschutz & Cookies