BitLocker Drive Encryption a PIN - využití v organizacích
BitLocker Drive Encryption je na trhu již od vydání Windows Vista. S vydáním Windows 10 pak přešel z edice Enterprise i do edice Pro. V organizacích se rozšířil především jako ochrana před přístupem dat uložených na pevných discích, či vyměnitelných médiích (USB Flash) – kde se využívá BitLocker ToGo. Bezesporu se jedná o kvalitní technologii, jenž brání úniku dat. První otázkou, která by měla vyvstat je, před čím mne BitLocker chrání - primárním účelem ochrany je při ztrátě či odcizení zařízení.
BitLocker vyžaduje pro svůj chod TPM čip (Trusted Platform Module). Tento čip slouží pro uložení klíčů, které slouží k dešifrování informací na discích. BitLocker lze velmi snadno nasadit v organizacích k šifrování disků, které je pro koncového uživatele transparentní, tedy při startu počítače je disk automaticky odemčený a autentizace / autorizace uživatele probíhá v rámci přihlášení do operačního systému. Pokud je disk vyjmut z počítače, je nutné zadat „Klíč obnovení“, tedy data nejsou přístupná. To běžného „útočníka“ (tedy počítač odcizen či nalezen) obvykle odradí, počítač reinstaluje a data nejsou v ohrožení. BitLocker je také možné využít v kombinaci s PINem jako dalších faktorem ověření při startu počítače (PreBoot Authentication – PBA). Dalo by se snadno říct, že nejvyšší míry zabezpečení docílím právě při využití kombinace BitLocker a PINu, pravda však může být trochu jiná.
Co říkají standardy? SOX, PCI DSS, NIST zmiňují možnost využití BitLocker pro šifrování disků, využití PINu nevynucují. Má tedy využití PINu nějaké nevýhody či podmínky pro jeho využití? Proti čemu mě tedy další úroveň autentizace pomocí PINu chrání? Odpověď je více nežli snadná – proti útokům na data uložená v RAM – ale o tom za chvíli.
Aby PIN fungoval správně, není možné používat uspání počítače. BitLocker ve spojení s PINem je vynucován ve fázi tzv. PreBoot autentizace, tedy před tím, nežli startuje operační systém. Aby byl uživatel donucen k zadání PINu, je nutné, aby počítač při každém zapnutí prošel touto fází, tj. buď kompletní start operačního systému nebo obnovení paměti z disku z hibernace počítače. Využití sleep, tedy uspání počítače není přípustné.
A co aktualizace? Zde existují 2 možnosti – smířit se s tím, že řešení centrální aktualizace buď nebude možné, nebo po restartu budou počítače „zaseklé“ na zadání PINu. Druhá možnost je dočasně vypnout BitLocker při provádění aktualizací a po jejich ukončení opětovně obnovit. Zde osobně vidím riziko v tom, že uživatel odnese kompletně nešifrovaný počítač mimo organizaci.
A co na to uživatelé? Uživatel je člověk, člověk je tvor omylný, tedy pokud zvažujete zavedení PINu ve spojení s šifrováním BitLocker, myslete na vybudování kvalitní podpory pro uživatele, postupů a procedur, jak obnovit zapomenutý PIN do počítače. Nevýhodou také mohou být sdílené počítače, nebo počítače, o které pečuje externí dodavatel – BitLocker umožňuje pouze jediný PIN na počítač, tedy všichni tito uživatelé musí znát stejný PIN.
Proti čemu mě tedy PIN ve spojení s BitLocker chrání? Existuje několik typů útoků, které jsou spíše v teoretické rovině. Nejspíše největší obavou jsou útoky s přímým přístupem do RAM – tzv DMA attack (Direct Memory Access attack). V době, kdy byla běžně dostupná rozhraní FireWire, které přímo využívají technologie DMA, bylo možné, aniž by uživatel informován získat dešifrovací klíče. V dnešní době existuje moderní obdoba – ThunderBold, u které se toto riziko lépe řídí. Na úrovni organizace je možné řídit zařízení, která jsou povolena a mohou být připojena k zařízení. Nicméně tento útok může nastat i ve chvíli, kdy je PIN využíván – stačí, aby uživatel opustil počítač a nechal jej spuštěný a klidně uzamčený. Zde mitigace / opatření může být povolit porty USB, ThunderBolt, FireWire pouze ve chvíli, kdy je uživatel přihlášení, případně využívat pouze schválená externí zařízení typu Mass Storage. Tento princip je automaticky součástí Windows 10 sestavení 1803 a výše – pokud je počítač uzamčený, není možný DMA přístup.
A co ransomware či jiný škodlivý kód? Zde vás BitLocker nijak neochrání. Především proto, že šifrování celého disku je z pohledu operačního systému transparentní, tedy pokud je operační systém spuštěný, dešifrovací klíče jsou v RAM a žádné další ověření uživatele neprobíhá.
A jak tedy ochránit data? Pokud bychom diskutovali efektivní ochranu dat, pak není možné se pouze na BitLocker spolehnout. V tuto chvíli musí přijít organizační opatření – tj data, která jsou natolik citlivá, že se bojím jejich zcizení i v případě šifrovaného disku, měla by být zpracovávána pouze v „režimovém pracovišti“ tedy např. neopouštět budovu. Dalším vhodným krokem je využití DRM (Digital Rights Management), které je implementováno např v Azure Information Protection. Jednoduše by se dalo říci, že každý dokument je šifrovaný a pro přístup k dokumentu je zapotřebí autentizace / autorizace uživatele. Tedy tím ochráním data nejenom na počítači, ale i v případech, kdy jsou zaslána emailem, nebo nahrána na externí úložiště či cloudové úložiště. Prostě bez uživatelského přihlášení se k datům nedostanu.
Má tedy význam využívat PIN ve spojení s BitLocker? Odpovědět si musíte sami. Z mého pohledu bych dal přednost BitLocker bez PINu, v kombinaci s pravidelnou aktualizací operačních systémů u klasifikovaných dokumentů pak využití DRM / Azure AIP. Tím bude zajištěna skvělá ochrana při ztrátě či odcizení zařízení, což je více 95 % případů. PIN určitě přidává další úroveň ochrany / ověření před startem operačního systému. Určitě pomůže proti cíleným útokům pomocí DMA přístupu. Upřímně, v dnešní době existuje celá řada snazších metod, jak se pokusit získat data uživatele, nežli vlastnit speciální zařízení a znalosti nutné pro provedení DMA útoků. Zavedení PINu lze tedy doporučit pouze pro riziková zařízení / uživatele. Plošné nasazení preboot autentizace PINem je pak vykoupena menším uživatelským komfortem, v některých případech sníženou bezpečností (sdílení PINu, vypíná BitLocker při aktulalizacích) a zvýšenými náklady spojených se zavedením PINu – především spojených se zavedením uživatelské podpory a procesů spojených se zapomenutým PINem. Ve všech případech bych doporučil doplnit tyto ochranné mechanizmy směrnicí, která určí jaká data, za jakých podmínek se mohou vyskytnou na zařízení, stejně tak vhodného reportingu, že všechna zařízení mají šifrování disků aktivní.
Pokud shrnu využití BitLocker bez PINu:
- Chrání mne proti drtivé většině útoků způsobených ztrátou či odcizením počítače
- Téměř nulový dopad na koncového uživatele a infrastrukturu pro správu počítačů – BitLocker je transparentní
- Je nutné vybudovat řešení pro správu Recovery Keys – klíčů pro obnovu
- Identické šifrování pro přenosné a pevné počítače
Využití BitLoker s PINem:
- Přidává další úroveň ochrany proti velmi úzkému typů útoků
- Zvyšují se nároky na uživatele (musí si pamatovat další informaci), s tím spojená nutnost podpory uživatelů (v případě zapomenutého / ztraceného PIN)
- Zvyšuje se riziko odložení aktualizací koncových počítačů (obava z restartu), případně je pro restart šifrování pozastaveno (riziko, že organizaci opustí nešifrovaný počítač)
- Při práci na sdílených počítačích všichni znají stejný PIN
- Rozdílený způsob práce na mobilních a pevných počítačích (u pevného počítače je riziko odcizení / ztráty minimální, je nutné vynucovat PIN?)
Pro obě varianty platí:
- Technologii šifrování disků je potřeba doplnit směrnicí / způsobem, jakým uživatel pracuje s daty
- Doplnit o technologii šifrování vlastních dokumentů, aby se předešlo jejich úniku uživatelem
- BitLocker mne nechrání proti ransomware, který se šíří emailem / po síti – v tomto případě je počítač spuštěn
K dispozici je také seznam opatření, která je možné zavést pro zvýšení bezpečnosti ve spojení s řešení BitLocker https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures
Sdílej v médiích