Windows BitLocker: Microsoft gibt Schlüssel an Strafverfolger heraus

[hafa]

BitLocker: Microsoft gibt Schlüssel an Strafverfolger heraus​

https://www.heise.de/news/Microsoft...el-an-Strafverfolgungsbehoerden-11152988.html

 

[L0nestar]

Unser mittelständiges Maschinenbauunternehemen ist MS vollkommen ausgeliefert. Die wissen alles von unserer Technologie und unsere IT steht voll auf Cloudspeicherlösungen. Alles so schön einfach und bequem. Es fragt niemand ob es sinnvoll ist, unsere Konstruktion und Softwarelösungen auf Cloudspeichern offen zu legen.
Die komplette Kommunikation liegt dort. Vor ein paar Jahren hatten wir noch unsere eigenen Exchange Server im Haus. Alles angeblich zu teuer,
zuviel Administrationsaufwand.

Witzig, unser mittelständisches Maschinenbau-Unternehmen hostet noch einen Exchange-Server, die Hälfte der Belegschaft krebst noch mit Office 2013 herum und das alles, weil Software-as-a-service in den Augen des CFO "moderne Wegelagerei" ist.

 

[Ambrosius]

weil Software-as-a-service in den Augen des CFO "moderne Wegelagerei" ist

was ja auch irgendwo stimmt. Das alles-gibts-mitm-Abo Modell hat die Leute erschöpft. Es ist unnatürlich und steht dem menschlichen Naturell diametral entgegen. Es ist ein neokapitalistisches Instrument das der Illusion des grenzenlosen Wachstum nachempfunden ist und genauso alternativlos angeboten wird. Sehr zum Verdruss vieler Menschen. Aber es gibt Alternativen und ich hoffe doch sehr dass sie angenommen werden. Man wird nicht geholfen, ehe man nicht imstande ist sich selbst zu helfen

 

[KB19]

Luks bietet daher das Feature eines "Nuke"-Passworts, bei dessen Eingabe alle Schlüssel gelöscht werden, womit das Volume unzugänglich wird.
Der Haken daran: Das funktioniert höchstens einmal, und jemand der so tief in der IT steckt, um sich damit zu beschäftigen, hat garantiert Backups.

Dann nutzt der Angreifer halt ein selbst kompiliertes LUKS, bei dem dieses Feature entfernt wurde? Oder arbeitet sowieso nur mit ReadOnly-Images.

Das hilft maximal, wenn man irgendwo (unterwegs) angehalten und schnell zur Entsperrung des Datenträgers mit der vorhandenen eigenen Hard-/Software gezwungen wird. Sobald jemand genügend Zeit hat, ist man sowieso der Dumme.

 

[hoday]

Sobald jemand genügend Zeit hat, ist man sowieso der Dumme.

Weis nicht. Meine Passwörter für die LUKS Verschlüsselungen sind alle mindestens 15 Zeichen lang, Zeichen ohne offensichtlichem System, jede Platte anderes Passwort. Sind nirgends aufgeschrieben. Viel Glück mit Brute-Force.

Edit: Wollte noch ergänzen. Jemand hatte die Silk-Road Festnahme erwähnt. Als die ihn festgenommen haben, war sein Rechner an, entsperrt und er war gerade überall online eingeloggt. Die hatten das extra so gedreht, dass sie versucht haben ihn genau in solch einer Situation festzunehmen. Da hat also die Festplattenverschlüsselung keinerlei Rolle gespielt.

 

[hikaru]

[..] und das alles, weil Software-as-a-service in den Augen des CFO "moderne Wegelagerei" ist.

Zum Thema SaaS(S) hat sich Richard Stallman mal geäußert. [1]

Dann nutzt der Angreifer halt ein selbst kompiliertes LUKS, bei dem dieses Feature entfernt wurde? Oder arbeitet sowieso nur mit ReadOnly-Images.

Deshalb schrieb ich, dass die Sache einen Haken hat.

Weis nicht. Meine Passwörter für die LUKS Verschlüsselungen sind alle mindestens 15 Zeichen lang, Zeichen ohne offensichtlichem System, jede Platte anderes Passwort. Sind nirgends aufgeschrieben. Viel Glück mit Brute-Force.

Warte kurz, ich hol den Schraubenschlüssel!


[1] https://www.gnu.org/philosophy/who-does-that-server-really-serve.de.html

 

[hoday]

Warte kurz, ich hol den Schraubenschlüssel!

Und was machst du dann mit der ausgebauten Festplatte?

Beitrag automatisch zusammengeführt: Heute um 00:47

Gegenüber Strafverfolgern und Anderen, die ggf. in der Position sind, Gewalt gegen einen auszuüben, gilt letztendlich xkcd:Security [1], und die Vorstellung, solchen Methoden (im Extremfall bis zur Folter) standhalten zu können, ist illusorisch.

Luks bietet daher das Feature eines "Nuke"-Passworts, bei dessen Eingabe alle Schlüssel gelöscht werden, womit das Volume unzugänglich wird.
Der Haken daran: Das funktioniert höchstens einmal, und jemand der so tief in der IT steckt, um sich damit zu beschäftigen, hat garantiert Backups.


[1] https://xkcd.com/538/

Oder du setzt halt einfach bei jedem deiner Backups ein anderes Nuke-Passwort.

 

[KB19]

Und was machst du dann mit der ausgebauten Festplatte?

Das war wohl eher darauf bezogen: https://xkcd.com/538/

Und das meinte ich ebenfalls, dass man mit genügend Zeit der Dumme ist. Wir sind wahrscheinlich alle keine Jack Bauer, die jahrelanger Folter standhalten, ohne den Mund aufzumachen.

Falls Du dann die Nuke-Passphrase rausrückst, starten sie einfach von vorne und das Leiden geht weiter. Damit das wirklich klappt, müsste der Key schon ausschließlich in einem TPM o.ä. liegen und die Nuke-Funktion quasi in Hardware implementiert sein. Oder übersehe ich etwas?

Ok, eine Situation gibt es, wo sie helfen könnte: Wenn ich merke, dass sich etwas anbahnt, z.B. bei einer Grenzkontrolle, könnte ich das Gerät schnell einschalten und die Nuke-Passphrase eingeben. Noch bevor es jemand in die Finger bekommt. In dieser Situation wäre es unwahrscheinlich, dass die Personen Zugriff auf Backups haben.

 

[iks230]

Hier noch ein Video des Kanals "heise & c't" dazu:

Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.

Drittanbieter-Cookies akzeptieren

 

[hoday]

Das war wohl eher darauf bezogen: https://xkcd.com/538/

Und das meinte ich ebenfalls, dass man mit genügend Zeit der Dumme ist. Wir sind wahrscheinlich alle keine Jack Bauer, die jahrelanger Folter standhalten, ohne den Mund aufzumachen.

Falls Du dann die Nuke-Passphrase rausrückst, starten sie einfach von vorne und das Leiden geht weiter. Damit das wirklich klappt, müsste der Key schon ausschließlich in einem TPM o.ä. liegen und die Nuke-Funktion quasi in Hardware implementiert sein. Oder übersehe ich etwas?

Ok, eine Situation gibt es, wo sie helfen könnte: Wenn ich merke, dass sich etwas anbahnt, z.B. bei einer Grenzkontrolle, könnte ich das Gerät schnell einschalten und die Nuke-Passphrase eingeben. Noch bevor es jemand in die Finger bekommt. In dieser Situation wäre es unwahrscheinlich, dass die Personen Zugriff auf Backups haben.

Du kannst LUKS auch mit einem Hardwarekey einrichten. Dann könntest du schnell deinen Yubikey zerstören und die Festplatte wäre nicht mehr entschlüsselbar.

 

[Mornsgrans]

Das Problem mit der Weitergabe des Wiederherstellungsschlüssels kann m.E. aber nur dann auftreten, wenn bei der Aktivierung der Bitlocker-Verschlüsselung als Speicherort des Wiederherstellungsschlüssel das MS-Konto gewählt wird.
Wählt man hingegen den USB-Stick oder Drucker, sollte nach meinem Verständnis der Schlüssel nicht im MS-Konto abgelegt werden - oder sehe ich es falsch?

 

[StefanW.]

Wählt man hingegen den USB-Stick oder Drucker, sollte nach meinem Verständnis der Schlüssel nicht im MS-Konto abgelegt werden - oder sehe ich es falsch?

Genau - ausser man ist so clever und kopiert die Datei später dorthin.
(Ich bin mir aber nur sicher, wenn man mit einem lokalen Konto arbeitet (selbst wenn man dann im OneDrive angemeldet ist) - was bei Onlinekonten passiert, kann ich nicht sagen).

 

[linrunner]

Artikel zum Thema: https://arstechnica.com/gadgets/202...pcs-disk-without-giving-the-keys-to-microsoft

@mectst: Ich habe genau den Inhalt des einen Satzes von dir kritisiert und bleibe aufgrund deiner Reaktion dabei. Die angeblich von mir weggelassenen Zusammenhänge, wie Du behauptest, hast Du nicht erläutert. Offtopic hab ich nicht behauptet.

 

[ksk_halo]

Witzig, unser mittelständisches Maschinenbau-Unternehmen hostet noch einen Exchange-Server, die Hälfte der Belegschaft krebst noch mit Office 2013 herum und das alles, weil Software-as-a-service in den Augen des CFO "moderne Wegelagerei" ist.

Wie stehst du persönlich dazu ? Wir sind zwar schon ziemlich spezialisiert, aber die Konkurrenz wird immer härter. Wir sind ca. 200 MA und seit über 100 Jahren am Markt. Seit kurzem haben wir einen zweiten IT Mensch und natürlich auch externe Berater, die und uns mit gefakten Spam
E-Mails zumüllen, um herauszufiltern, wer wie oft auf dämliche Links wie z.B. "Achtung Vertraulich - Gehaltslitenaktualisierung" klickt um dann in der Vertriebsversammlung Statistiken zu veröffentlichen und uns anmahnen vorsichtiger im Netz zu interagieren. Gleichzeitig vertraut man sch MS komplett an und speichert Konstuktionszechnungen und die sämtliche Kommunikation auf US Cloud Servern.

 

[Strange]

Anekdote mit Thinkpad Bezug: Vor ca. 20 Jahren kapitulierte die Polizei (IT Sonder-Spezial Abteilung, wo die Geräte zum Auswerten hingeschickt werden) noch am ATA Passwort einer IBM Travelstar IDE HDD. Der Besitzer der Platte hatte Akteneinsicht und somit war das Scheitern schön amtlich dokumentiert nachzulesen.

Gleichzeitig vertraut man sch MS komplett an und speichert Konstuktionszechnungen und die sämtliche Kommunikation auf US Cloud Servern.

Aber die Mitarbeiter müssen eine scharf formulierte Verschwiegenheitsvereinbarung unterschreiben. Kenne ich auch so. Die Daten liegen dann unverschlüsselt bei MS und Dropbox.

 

[linrunner]

Damit das wirklich klappt, müsste der Key schon ausschließlich in einem TPM o.ä. liegen und die Nuke-Funktion quasi in Hardware implementiert sein. Oder übersehe ich etwas?

Bitlocker ist m.E. so implementiert. Damit man nicht vor jedem Systemstart ein Passwort eingeben muss, wird ein Key aus dem TPM verwendet um die Systemplatte zu entschlüsseln (vereinfacht ausgedrückt, ich hab nicht versucht es ganz zu durchdringen, Nuke weiß ich nicht).

Hardwarelösungen haben in der Regel immer Schwachstellen - der Allgemeinheit bekannte und unbekannte. So auch diese:

Bitlocker über TPM binnen 42 Sekunden mit Raspberry Pi Pico ermittelt

[English]Gute Nachrichten für Leute, die ihren Bitlocker-Schlüssel „irgendwie“ verloren haben und nicht mehr an verschlüsselte Medien heran kommen. Schlechte Nachrichten für Leute, die meinen „mit…

borncity.com

EDITH reicht einen deutlich älteren Artikel von 2019 nach, der am Ende auch darauf hinweist, dass es Gegenmaßnahmen gibt:

Extracting BitLocker keys from a TPM

Extracting BitLocker keys sealed with a TPM by sniffing the LPC bus

pulsesecurity.co.nz

BitLocker countermeasures

Learn about technologies and features to protect against attacks on the BitLocker encryption key.

learn.microsoft.com

Ich bleibe bis auf weiteres bei LUKS und der lästigen Passphrase-Eingabe bei jedem Start.

externe Berater, die und uns mit gefakten Spam
E-Mails zumüllen, um herauszufiltern, wer wie oft auf dämliche Links wie z.B. "Achtung Vertraulich - Gehaltslitenaktualisierung" klickt um dann in der Vertriebsversammlung Statistiken zu veröffentlichen und uns anmahnen vorsichtiger im Netz zu interagieren.

Das machen Firmen aufgrund einschlägiger Compliance-Gesetzgebung, die sie verpflichtet die Mitarbeiter regelmäßig zu schulen und die Wirkung der Maßnahmen auch zu überprüfen. Ist leider einfacher und billiger als sich aus der MS-Cloud zu verabschieden. Dass man die Mitarbeiter dann für vermeintliches Fehlverhalten an den Pranger stellt, soll wohl deren Unterwürfigkeit fördern , bewirkt aber eher, dass im Ernstfall eben nicht gemeldet wird.

 

[Schwartz]

Das mit dem Spam an die eigenen Leute schicken hab ich auch an anderer Stelle schon gehört. Wirklich albern wie manche Leute ihr Gehalt verdienen. Ist wie Müll produzieren damit man lernt Müll zu trennen.

 

[fakiauso]

Das mit dem Spam an die eigenen Leute schicken hab ich auch an anderer Stelle schon gehört. Wirklich albern wie manche Leute ihr Gehalt verdienen. Ist wie Müll produzieren damit man lernt Müll zu trennen.

Für irgendwas müssen die ja auch gut sein. Ich lösche das ganze Zeug immer. Dafür juckt es mir bei so manch anderem Zeug tierisch, auf den Phishing-Button in Outlook zu klicken;-)

 

[linrunner]

Das mit dem Spam an die eigenen Leute schicken hab ich auch an anderer Stelle schon gehört. Wirklich albern wie manche Leute ihr Gehalt verdienen. Ist wie Müll produzieren damit man lernt Müll zu trennen.

Nennt sich Red Team Phishing. Ich hatte oben ergänzt, warum Firmen gehalten sind, das zu tun.

An der Wirksamkeit sind Zweifel angebracht:

Verbesserung von nur 1,7 Prozent: Phishing-Training fast immer wirkungslos

Eine große Studie in einem US-Gesundheitsunternehmen zeigt, dass gängige Phishing-Trainings das Risiko kaum senken – egal wie intensiv oder interaktiv sie sind.

www.heise.de

Studie: [EXTERN]-Tags schützen nicht vor Phishing

Eine großangelegte Simulation an einer deutschen Universitätsklinik zeigt: Gängige Schutzmaßnahmen wie [EXTERN]-Tags versagen, technische Filter wirken.

www.heise.de

 

[ksk_halo]

Das machen Firmen aufgrund einschlägiger Compliance-Gesetzgebung, die sie verpflichtet die Mitarbeiter regelmäßig zu schulen und die Wirkung der Maßnahmen auch zu überprüfen. Ist leider einfacher und billiger als sich aus der MS-Cloud zu verabschieden.

Ja, das ist alles Irrsinn. Ich weiss gar nicht wieviele Ressourcen der ganze Müll schluckt, bzw. wieviel überflüssige Ressourcen verballert und/oder aufgestockt werden müssen um die Compliance-Anforderungen zur erfüllen, die die Konkurrenzfähig am Ende ins negative drücken, schlimmstenfalls die Existenz bedrohen. Am Ende ist es die Summe der Kleinigkeiten die dich zu Fall bringen.