Šifrování je často prezentováno jako účinný a bezpečný nástroj pro ochranu dat. Nyní se ukazuje, že má svá úskalí, přestože se opírá o pokročilé funkce, jako je čip TPM (Trusted Platform Modules), který vyžaduje i nejnovější verze operačního systému Windows.
Na YouTube kanálu stacksmashing bylo nedávno nahráno video o prolomení vestavěného šifrování ve Windows. V podstatě šlo o obejití šifrování disku na většině zařízení s celosvětově dominantním operačním systémem společnosti Microsoft pomocí levného nástroje za 10 dolarů. To vše za pouhých 43 sekund.
Co se dá s touto bezpečnostní dírou dělat? Řešení je naštěstí poměrně snadné, a také nestojí tolik, kolik by stálo úplné narušení dat.
Jak se dá prolomit šifrování?
Metoda obcházení šifrování byla nazvána „BitLocker sniffing“, pojmenovaná podle integrovaného šifrovacího nástroje systému Windows BitLocker. Data z čipu TPM (Trusted Platform Module) jsou vystavena na sběrnici, a pokud něco používá čip TPM, pak lze data v určitém okamžiku během procesu dešifrování odhalit. To se může stát u starších počítačů, konkrétně u těch, jejichž čip TPM není integrován do procesoru.
Zneužití nástroje BitLocker spočívá v tom, že vedle čipu TPM nepoužívá heslo ani jinou sekundární metodu ověřování. V případě prezentovaném ve videu se počítač spouští automaticky pouze s čipem TPM, který poskytuje přístup ke klíči pro šifrování disku (známému také jako Volume Master Key – VMK). Při zapínání počítače nástroj BitLocker automaticky použije čip TPM k dešifrování klíče VMK a téměř okamžitě se spustí přihlašování do systému Windows. VMK je tedy při spouštění systému vystaven na sběrnici.
Zjednodušeně řečeno, komunikace mezi čipem TPM a procesorem počítače je během spouštění nechráněná, což znamená, že šifrovací klíč může přečíst někdo, kdo sleduje signál mezi čipem TPM a procesorem, což lze provést pomocí levného nástroje a firmwaru.
Může to připomínat útoky typu man-in-the-middle, kdy může být odposloucháváno internetové připojení / bluetooth / RFID signál při snaze se někam nebo k něčemu připojit. K tomu dochází proto, že datový tok se může stát během cesty k přijímači odhaleným, pokud není zapojena nějaká forma dodatečného zabezpečení, například použití sítě VPN při připojení k veřejné Wi-Fi, která zajistí chráněné skryté připojení. Pro zamaskování je nutné přidat další vrstvu zabezpečení.
Je šifrování dostatečné?
Tato nová informace je velmi zajímavá, zejména proto, že použití bezpečnostního modulu nebo čipu TPM je nyní požadavkem operačního systému Windows 11. Proto mnoho zařízení se staršími procesory, které by tento požadavek nemusely splňovat, nemohlo instalaci nového operačního systému provést.
Nejde o to, zda je šifrování dostatečnou motivací pro to, aby někdo chtěl nejnovější funkce OS, ale o to, že zatím vždy bylo signálem zvýšené bezpečnosti. V souvislosti s BitLocker sniffingem se však zdá, že šifrování může být jen další zbytečnou bezpečnostní funkcí... nebo snad ne?
Pravdou je, že šifrování je nezbytným – ne, povinným – bezpečnostním opatřením pro každého uživatele, který musí zajistit ochranu a bezpečné uložení dat, a omezit tak možnosti přístupu i po odcizení zařízení. Navíc jako další bezpečnostní vrstva ztěžuje činnost podvodníkům, protože oddaluje dobu jejich potenciálního narušení a dává více času bezpečnostním specialistům.
Součástí každé firemní bezpečnostní strategie musí být šifrování, protože je vyžadováno také z důvodu dodržování předpisů a kybernetického pojištění, kde se v rámci tohoto trendu každoročně zvyšují povinné standardy.
Odpověď tedy zní – ne, šifrování nestačí. K tomu, aby jakákoli strategie proti hrozbám fungovala, je zapotřebí více bezpečnostních vrstev. Ale šifrování je nezbytnou součástí, kterou podniky musí zahrnout pro zajištění lepší ochrany. Nemusí však být jedinou bezpečnostní vrstvou a existují způsoby, jak jej chránit i proti sniffingu.
Vše je o vrstvách
Byl to Shrek, kdo řekl, že zlobři jsou vrstevnatí jako cibule? No, stejně jako zlobři jsou i úspěšné bezpečnostní aplikace a opatření vrstvené.
Příkladem toho je např. platforma ESET PROTECT, která sama o sobě obsahuje několik vrstev technologií, které chrání před hrozbami, ať už jde o zero-days, které nikdy předtím nespatřily světlo světa, nebo o známý malware, který se snaží pomocí novějších technik co nejlépe vyhnout detekci.
ESET jako takový může zaručit lepší šifrování i díky jednoduché věci – heslu. Může se to zdát jako jednoduchá vrstva, ale je velmi silná, protože díky svému začlenění do ESET Full Disk Encryption (EFDE) a ESET Endpoint Encryption (EEE) chrání před technikami, jako je BitLocker sniffing, který spoléhá na nechráněnou komunikaci mezi čipem TPM a procesorem. Jakékoli sekundární ověřování, ke kterému dojde před spuštěním procesu, tak zabraňuje veřejnému vystavení šifrovacího klíče.
Při běžném provozu s EFDE a EEE je uživatel povinen zadat heslo při spuštění počítače. Heslo se v podstatě používá ve spojení s dalšími údaji a šifrováním TPM k dešifrování VMK. Bez hesla uživatele tedy nelze získat správný VMK. Ano, v určitém okamžiku budou data dešifrovaná čipem TPM k dispozici v prosté podobě, to však nemůže proběhnout bez předchozí znalosti uživatelova hesla.
Výkonné šifrování, bezpečné systémy
Kybernetická bezpečnost se nakonec bude muset vždy vyvíjet, stejně jako se vyvíjejí hrozby. Někdy však mohou jednoduchá bezpečnostní opatření mít značný dopad.
První linií obrany proti kompromitaci zvenčí byla vždy hesla, protože získání přístupu k jedinému účtu může způsobit řetězovou reakci a pravděpodobně tomu tak bude i v budoucnu.
Nikdy proto nevybírejte slabá hesla, nikdy nepoužívejte jedno heslo napříč účty nebo šifrováním a obecně dbejte na zásady kybernetické bezpečnosti. Zvažte také, jakou úroveň zabezpečení požadujete, protože i jediný produkt nebo jediné dodatečné opatření, jako je silné heslo pro šifrování, může mít zásadní význam.