Шифрування в кінцевій точці: досить BitLocker “а?, Windows, Операційні системи, статті

У Європі обсяги втрачаються даних величезні; багато організацій по всьому світу стикаються з питаннями шифрування в кінцевій точці і продуктів, що використовуються для забезпечення безпеки даних. При обмеженому виборі в Vista BitLocker перетворився в один з варіантів. Питання в тому, чи немає тут підводних каменів, чи можемо ми довіряти тому, що є на даний момент. Чи достатньо BitLocker “а? У цій статті ми сконцентруємося на перевагах і недоліках BitLocker “а, а також обговоримо, наскільки важливо шифрування для серйозних організацій.


Зовсім нескладно витягти жорсткий диск із комп’ютера, помістити його в інший комп’ютер, щоб отримати доступ до файлів. Можна помістити жорсткий диск в usb / firewire-контейнер і переглянути вміст, або завантажитися з використанням засобів відновлення, або завантажитися через іншу операційну систему за допомогою спеціальних завантажувальних пристроїв, щоб відновити дані. Ці та багато інших техніки добре відомі хакерам та інформаційним злодіям. Технології стиснення начебто повного шифрування диска сьогодні стали необхідністю для забезпечення конфіденційності.


У нашій лабораторії ми протестували 32 шифрувальних продукту, і допомогли сформулювати звіти для відомих аналітичних компаній, а також звіти, які стануть базисом для контрагентів, що спеціалізуються на повному шифруванні диска, файлів і папок. Сотні годин тестувань і ретельних оцінок повинні виявити абсолютного переможця або групу кращих. Критерії для наших оцінок базувалися на кращих техніках забезпечення безпеки.


Після виходу операційної системи Windows 7 і BitLocker “а разом з нею виникли питання, на які потрібно відповісти.


Факти про BitLocker “е




  1. Transparent operation mode (Прозорий режим роботи): Використовується в TPM 1.2 для апробування роботи з користувачем: користувач входить в операційну систему Windows як завжди без будь-яких змін в роботі. Ключ, використовуваний для розблокування шифрування диска, зберігається в модулі TPM і випускається кодом завантажувача ОС у випадку, якщо первинні завантажувальні файли виявляються недоторканими. Додаткова інформація про режим Transparent operation mode: BitLocker здійснює його за допомогою Static Root of Trust, бо ключ відправляється ОС, розміщується в пам’яті і, таким чином, стає вразливим до атакам “холодної завантаження” – коли оперативна пам’ять заморожується за допомогою стиснутого повітря, а потім відключається від машини BitLocker “а і підключається до іншого комп’ютера, після цього запускається програма налагодження RAM, щоб вивантажити вміст пам’яті. Потім вміст перевіряється на наявність ключа, і ключ скидається в якій-небудь файл. Потім цей ключ можна використовувати для дешифрування жорсткого диска. Оригінальний текст доступний в Інтернеті (хоча цей режим зручний для користувача, він схильний відомим вразливостям).
  2. User authentication mode (Режим аутентифікації користувачів): Користувач повинен надати дані базової дозагрузочной середовищі, щоб завантажити операційну систему Windows. Користувач повинен представити PIN або дані, що зберігаються на USB-ключі.
  3. Без необхідності в TPM – Режим USB thumb drive: комп’ютера пропонується USB-пристрій, що містить ключ запуску, щоб почалося завантаження. BIOS повинна підтримувати читання з USB-пристроїв до завантаження. Той факт, що BitLocker використовує платформу windows як частину свого аутентифікаційні механізму, робить його небезпечним, так як періодично виявляються уразливості, що вимагає регулярного поновлення і зміни інфраструктури. Не так давно була виявлена ​​уразливість в Windows Vista і Windows 7, що дозволяє зловмисникові підключатися до комп’ютера в мережі і інфікувати його хробаком, який змінює привілеї і включає віддалений доступ до машини. Використання режиму transparent operation mode зробить BitLocker марним, якщо зловмисникові про це відомо. Це означає, що машина не отримувала оновлень проти цієї загрози, але це хороший аргумент для вендорів, які хочуть продавати більш серйозні технології.

На підставі вищесказаного в першому наближенні приходимо до висновку: схоже, BitLocker є відмінним шифрувальним супутником для операційної системи Windows. Він “безкоштовний” для деяких версій Windows, простий і інтегрований, але через слабкостей в windows, це не найкращий варіант, якщо серйозно ставитися до шифрування пристроїв. Ми впевнені, що з часом Microsoft розвине цю технологію.


Про що потрібно пам’ятати при роботі з BitLocker “ом



Згідно з інформацією на сайті Microsoft, BitLocker є тільки у версіях Ultimate і Enterprise систем Windows Vista і Windows 7.


Питання інформаційної безпеки


Оскільки BitLocker використовує Windows і систему аутентифікації windows в режимах без дозагрузочной аутентифікації, моя команда висловила сумніви в тому, що BitLocker є надійним рішенням для середовищ, вимагають захисту конфіденційних документів. Є вебсайти з атакуючим вихідним кодом, які ми протестували, і це підтвердило наявність подібного недоліку. Це виходить за рамки нашої статті. Крім того, той факт, що ключі управляються недбало, що вони статичні, і їх можна надрукувати і легко скопіювати на ненадійні носії будь-якого сорту – все це абсолютно не викликає впевненості в процесі прийняття рішення в області інформаційної безпеки. Вкрай рекомендується використовувати двофакторний контроль доступу, заснований на маркерах. Упевнений, уже скоро виробникам буде доступний API для розробок в даній сфері. Той факт, що у адміністраторів є подібний контроль над BitLocker “ом, теж змушує мене замислитися про поділ обов’язків. Більше того, BitLocker не підтримує неоднорідні середовища начебто Linux або Macintosh, які зараз все більше поширюються. У нас є замовники, у яких є 40 000 Mac “ів, і таке рішення просто не буде працювати для них.


Варто зауважити, що введення подібних інновацій роблять BitLocker цікавим рішенням для шифрування переносних пристроїв. Рішення не вимагає повного шифрування диска або використання модуля TPM.


Висновок


BitLocker – це обмежений продукт в своєму еволюційному розвитку. Для деяких організацій його цілком досить. Для організацій, що належать до інформаційної безпеки серйозно, ця технологія повинна бути доопрацьована значно до того, як її можна буде впевнено використовувати. У Microsoft багато працюють над тим, щоб зробити це реальністю, тому можна очікувати серйозні оновлення та зміни в цьому продукті в найближчі 24 місяці. BitLocker не безкоштовний, Ви платите за нього в ліцензії Enterprise / Ultimate: таке рішення було прийнято на етапі маркетингу продукту. Як і все, що інтегрується в операційну систему, велика частина функціональності – базова, і якщо вам потрібна більш складна функціональність з додатковими наборами засобів та широкою підтримкою, знайдіть третьестороннее рішення.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*