НовостиСобытияКонференцииIT@Work
Безопасность:

Блог

О неожиданных последствиях шифрования диска в Windows: продолжение темы

Выявление очередной уязвимости ОС Windows давно перестало удивлять. Но из-за огромной распространенности этих операционных систем каждое такое событие не перестает быть практически важным. Тем более, если новая уязвимость связана с применением инструментов, которые, казалось бы, принципиально повышают уровень безопасности. Поэтому я решил несколько полнее раскрыть положения статьи Яна Хакена, на которую ссылается интересный пост Сергея Стельмаха про неожиданные последствия шифрования диска в Windows.

Известно, что основными источниками уязвимостей в программных продуктах являются ошибки в коде и стремление разработчиков повысить удобство использования программного продукта. По всей видимости, найденная Яном Хакеном уязвимость BitLocker является следствием второго случая.

Хочу отметить, что сам Ян Хакен в описании атаки указывает, что она срабатывает только если в BitLocker отключена предзагрузочная аутентификация (pre-boot authentication), то есть обязательный ввод пароля до загрузки операционной системы. Понятно, что с точки зрения пользователя этот режим более удобен и предпочтителен. Что, конечно, это не оправдывает наличие в работе BitLocker такого режима, в котором атака возможна.

Атака, предложенная Яном Хакеном, основана на уязвимости протокола Kerberos, используемого для аутентификации клиентских машин Windows в домене. При наличии физического доступа к атакуемой машине злоумышленник может подменить контроллер домена, чтобы при проверке пароля пользователя подмененный последний сообщал, что у учетной записи пользователя истек срок действия. После этого злоумышленник может ввести новый пароль и получить доступ к клиентской машине. Эта уязвимость известна еще со времен Windows 2000, для которой и был разработан протокол общения клиента с контроллером домена. Сам же BitLocker устроен таким образом, что ключ шифрования диска становится доступен после успешной аутентификации пользователя.

По мнению Яна Хакена, наличие такой уязвимости объясняется тем, что в модели угроз протокола Kerberos получение физического доступа к атакуемой машине означает ее компрометацию. Действительно, существует множество способов получить данные из компьютера при наличии прямого доступа к нему: загрузиться со съемного носителя и сменить пароль администратора, или просто вынуть жесткий диск и вставить его в другой компьютер.

Иначе дело обстоит, если данные на жестком диске компьютера зашифрованы, ведь шифрование дисков и было придумано для того, чтобы получение физического доступа к машине не означало получение данных из нее. Налицо классическое нарушение принципа непрерывности системы защиты: на пути злоумышленника стоит «бетонное здание» жесткого диска со «стальной дверью» в виде BitLocker, но зачем пытаться ее сломать, если можно залезть в окно (по протоколу Kerberos). Kerberos-то предполагает наличие непрерывного забора вокруг здания…
Donat Lipkovsky
Обожаю такие статьи. Волосы встают дыбом. Перед глазами мелькают кадры из фильма про Агента 007...
Вероятность практической реализация стремиться к нулю.
Donat Lipkovsky
Решил, пока есть время и настроение, дополнить свой предыдущий комментарий.
Итак у нас есть некие важные данные, к которым надо получить доступ. Причём важность их достаточно высока, так что применено шифрование диска BitLocker’ом. Так как речь идёт о домене, то это локальная сеть организации, а не домашний компьютер. Вот тут подступает первой сомнение. Навряд ли в организации для шифрования действительно важных данных будут применять такую простую вещь, как BitLocker. Если данные действительно важные, то применят какое-либо специализированное средство шифрования. Второе сомнение, что данные будут храниться локально. Обычно, или весь профиль или папка с Документами перенаправляется на файловый сервер. Зачем тогда шифровать диск рабочего компьютера?! Собственно тут сама идея этого подхода испаряется.
Но мы волевым усилием предположим, что данные важны, диск зашифрован и зашифрован BitLocker’ом. Он бесплатен, мы, типа, экономим.
Если в организации данные действительно, настолько важны, что для их для безопасности шифруют, то совершенно точно в организации существуют и другие меры, в том числе организационные. Уверен, что устройства видеонаблюдения, даже самые простые, встретят вас уже на подходе к зданию. Далее вам понадобиться пропуск на проходной, и магнитная карты для этажа и конкретной комнаты. На всём этом пути вы так же, скорее всего, будете сопровождаться средствами видеонаблюдения и, наконец, вы попадёте под их непосредственный взгляд в самой комнате. Это я всё о физическом доступе, который упоминается, как условие. Помимо видео, обычно ограничивают время пребывания сотрудника в помещении и на территории организации, а так же, время его работы за конкретным компьютером. Т.е. если вы не сотрудник, работающий на конкретном рабочем месте, то вы не получите доступ к компьютеру в отведённое время, ибо пересечётесь с реальным работником. Если же вас, реального работника, купили и вы собираетесь сами похитить данные, то вы и так авторизуетесь без всякого взлома. Но авторизовавшись, вы навряд ли сможете умыкнуть данные. Ибо, на рабочих местах, имеемых отношение к более-менее важным данным, обычно, запрещено подключение каких-либо съёмных и запоминающих устройств средствами Групповой политики, а системным блок закрыт специальным устройством. Кроме того, обычно ограничен или вообще закрыт доступ в Интернет. Да это вообще может быть рабочее место с терминальным доступом к важным данным.
В общем не буду описывать все перипетии данной детективной истории.
Вывод таков – при соблюдении элементарных и банальных организационно-технических мер ВОЗМОЖНОСТЬ использовать указанный метод равен НУЛЮ. При прочих условиях, равна НУЛЮ НЕОБХОДИМОСТЬ использовать данный метод.
У меня всегда возникал вопрос зачем обсуждать эти, очень узкоспециальные темы, вне узкой аудитории специалистов по безопасности?!
Лекшин Олег
Смысл заметки состоит исключительно в более подробном раскрытии результатов исследований Яна Хакена, чем это сделано у Сергея Стельмаха. Без какой-либо оценки возможности использования уязвимости. Хотя, если говорить об оценке, то я с Вами не согласен: возможность использовать данный метод нулю не равна. Помимо организационно защищенных стационарных компьютеров есть еще переносные ноутбуки, которые можно, например, украсть.