Windows Bitlocker: Bastler umgeht Schutz mit Raspberry Pi in Sekunden

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.961
Eigentlich soll Microsofts BitLocker-Verschlüsselung die Inhalte auf einem Datenträger vor äußerem Fremdzugriff schützen. Dass Microsofts Sicherheitskonzept dabei nicht immer aufgeht, hat nun ein findiger Bastler bewiesen, der unter Zuhilfenahme eines Raspberry Pi Pico, für weniger als 10 Euro, den Schutz der Verschlüsselung umgangen hat. Dabei benötigte er für den gesamten Vorgang nichtmal eine Minute. In den gemessenen 43 Sekunden bildeten zudem das Lösen der Schrauben und die Öffnung des Notebooks den Hauptteil der Zeit.
... weiterlesen
 
Zuletzt bearbeitet von einem Moderator:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Schon die zweite News heute, wo der "weiterlesen" Link auf nen 404er geht. :rolleyes:
Eventuell mal nen HTML-Grundkurs belegen?
duck-und-wech.gif
 
Da freut man sich als Enterprise-Admin, wenn der quasi Standard, der in den meisten Microsoft-Umgebungen genutzt wird, sich eigentlich als komplett sinnlos herausstellt.
Ist ja nicht die erste aufgedeckte Lücke, aber die letzten waren deutlich schwerer anzugehen - hier ist die Komplexität gleich Null...
 
Spätestens seit klar ist dass Windows deinen bitlocker key ganz ganz dringend in die MS Cloud synchronisieren will sollte doch der letzten alkoholgetränkten Kartoffel klar sein, dass Bitlocker nix taugt?
 
Verwende schon länger Bitlocker mit Passwort (kein Pin) anstelle VeraCrypt wegen der Performance. Es wird doch nur der Wiederherstellungsschlüssel im MS Konto gespeichert (sofern man es überhaupt zulässt)? Das Passwort brauch man zusätzlich um zu Entschlüsseln?

 
Zuletzt bearbeitet:
Microsoft verteidigt sich stets vehement gegen Aussagen, die die Sicherheit von Bitlocker in Zweifel ziehen und weist darauf hin, dass ein solcher Angriff einen langen physischer Zugang benötigt. Das veröffentlichte Video macht hingegen deutlich, dass von einem langen Zeitraum keine Rede sein kann.
Allerdings stellt sich die Frage, wie realistisch ein solcher Angriff dauerhaft noch ist. Denn zumeist ist das TPM bereits in moderne CPUs integriert. Die Übertragung findet dort nur noch innerhalb des Prozessors statt und lässt sich nicht, zumindest nicht so leicht, auslesen.

Alles was verschlüsselt werden kann wo Menschen mitgewirkt haben , lässt sich einfach Knacken . Verschlüsselungen sind bekannt und man hat auch dafür Mathematische Formeln die dann die Verschlüsselungen knacken können in Zeitrahmen von wenigen Minuten.
wer Microsoft vertraut ist verloren ,aber das will ja niemand glauben. erst wenn wer davon betroffen ist ist das Geheule groß
Man kann Warnen , Hinweisen, Informieren es hilft nichts. Man muss erst mit der Schnauzte auf die Fresse fliegen damit man es Kapiert.
Die Microsoft Surface ,knacke ich wie im Video dargestellt ähnlich.
Dabei Lösche ich das MS Windows drauf und ersetze es durch eine Linux Distribution.
Damit kann man mehr auf den teilen machen als mit MS Windoof drauf
 
Zuletzt bearbeitet:
Hat nichts mit der News zu tun, aber irgendwie ist euer RSS Feed für manche News kaputt.

Es verlinkt auf

Code:
https://www.hardwareluxx.de/index.php/news/software/anwendungsprogramme/62908-mg-windows-bitlocker-bastler-umgeht-schutz-mit-raspberry-pi-in-sekunden.html

wobei sich die News unter

Code:
https://www.hardwareluxx.de/index.php/news/software/anwendungprogramme/62908-mg-windows-bitlocker-bastler-umgeht-schutz-mit-raspberry-pi-in-sekunden.html

befindet.
 
"Microsoft verteidigt sich stets vehement gegen Aussagen, die die Sicherheit von Bitlocker in Zweifel ziehen und weist darauf hin, dass ein solcher Angriff einen langen physischer Zugang benötigt."
Was Müll ist.
Was ist der Punkt 1 / Unterpunkt A-Benutzer der den Datenträger verschlüsseln möchte? Jemand dem die Hardware leicht entwendet werden kann. Wer ist das? Jemand der mit einem Laptop unterwegs ist. Wenn das Ding weg ist stellen sich keine Fragen mehr nach der länge des physischen Zugriffs.

Aus der beliebten Serie Blanker Hohn

Manchmal hasse ich es aber trotzdem immer Recht zu behalten... Ich sprach intern davon, MEI scheint mir bisschen "uncertain" zu sein -> Paranoia. Ich sprach an seinem Anfang davon, WebGL scheint mir bisschen "uncertain" zu sein -> Paranoia. Ich sprach davon, UEFI scheint mir ziemlich "uncertain" zu sein -> "jetzt hör aber endlich mal auf" (dann wollte Google plötzlich keine Boards mit UEFI nutzen...)

Und die "sensitiven" Reisenden bei uns, nutzen teils eben von mir verschuldet... eine andere Lösung als Bitlocker 8-)

"Allerdings stellt sich die Frage, wie realistisch ein solcher Angriff dauerhaft noch ist. Denn zumeist ist das TPM bereits in moderne CPUs integriert."
Allerdings, stellt sich hier eine Frage. Warum wird das denn gemacht? Weil man schon ewig gleiches ahnte wie Google mit (U)EFI, trotzdem aber auf Biegen und Brechen dem Schaaf das TPM-Modul geradezu aufzwang?
 
Zuletzt bearbeitet:
Zur News selbst:

Clickbait - das Problem ist sein Jahren bekannt und was hier verschwiegen wird, ist die Tatsasche, dass das nur geht, wenn kein Passwort gesetzt wurde.

2021

Microsofts Part dabei ist im Übrigen folgender:
Das sei möglich, da "Bitlocker keine verschlüsselten Kommunikationsfunktionen des TPM 2.0-Standards" nutze. Entsprechend werde der Verschlüsselungskey unverschlüsselt über den SPI-Bus gesendet und könne beispielsweise an den Kontakten des TPMs abgefangen werden.
Dem ist ja heute, 3 Jahre später, scheinbar immer noch so. Da kann man dann wohl von Absicht sprechen.
 
Microsofts Part dabei ist im Übrigen folgender:
Genau das war damals mein Punkt. Mir stank das vom Anfang an.

@Shutterfly
Bester Kommentar (golem) dazu:
"Die eigentliche ‚Meisterleistung‘ besteht meiner Meinung nach auch nicht im entschlüsseln, sondern im öffnen des Notebooks in so kurzer Zeit" :LOL:
 
Ich habe mich mit TPM im Detail nicht beschäftigt.

Das Passwort muss irgendwo liegen.

  • Ob man jetzt den RAM ausliest - Ich behaupte mal, dass meine LUKS Verschlüsselung bei mir im RAM liegt. (Ich weis zwar wie die einzelnen Befehle meines teilweise selbstverfassten initramfs ablaufen, da muss das Passwort im Grunde dann im RAM liegen)
  • Oder das RAMSCH ASUS Mainboard x670-P Prime Mainboard das Einfallstor ist. Weil man nachweislich aufgrund der UEFI Update Liste auf Hwluxx, als letzter immer die sicherheitskritischen UEFI Updates bekommt mit einer durchschnittlichen zeitlichen Verzögerung von mindestens 2 - 4 Wochen.
  • Betriebssystem + Dateisystem mit vermutlichen Backdoors
  • Binärsoftware die man sich so gerne installiert
  • freiwillig "Schadsoftware" mitinstalliert da ASUS Armory Crate nach einem UEFI Update wieder aktiv ist.

Windows ist ein nettes XBOX Betriebssystem - deshalb gibt es ja diesen schönen XBOX Sachen. Eine XBOX Spielkonsole braucht nicht sicher sein.

Alles was verschlüsselt werden kann wo Menschen mitgewirkt haben , lässt sich einfach Knacken .

einfach Knacken wird sich vermutlich nicht auf eine Entschlüsselung unter 5 Minuten sich beziehen. Oder bezieht es sich auf die üblichen Methoden der Gewaltausübung in der Kommunistischen Union um vom Benutzer selbst den Schlüssel zu erhalten? Gewaltausübung kann sein ... .... .... ....
 
Zuletzt bearbeitet:
Scheinbar sind zumindest die AMD Fans fein raus, weil das fTPM in der CPU selbst sitzt. Hab auch irgendwo gelesen, das der Angriff so auch nur bei älteren Geräten möglich ist. Der Bitlocker verdient momentan seinen Namen anscheinend nicht, weil es ja seit Januar unter Windows 10 auch möglich ist, den Schutz zu umgehen. Unter Windows 11 wurde das glaube schon vor längerer Zeit behoben, weil irgendwie selbes Problem...

Und Verschlüsselung brechen ist mit vertretbaren Aufwand sprich Mitteln kaum zeitnah machbar; könnte fürchte ich Jahre dauern. Deswegen Angriff von der Seite oder wie in China rauspeitschen...
 
Doch tut es, wenn man einen zusätzlichen PIN verwendet.
Entweder der Key ist Sicherheitsrelevant - dann ist es fatal wenn er deine Hardware verlässt.

Oder er ist irrelevant - dann kann man sich das ganze aber von Anfang an sparen.

Ich tippe auf ersteres.
 
Zuletzt bearbeitet:
Und Verschlüsselung brechen ist mit vertretbaren Aufwand sprich Mitteln kaum zeitnah machbar; könnte fürchte ich Jahre dauern.
Wenn so etwas geht, gilt die Verschlüsselung/Implementierung als total gebrochen :fresse: Paar "Jahre" mit der bereits aktuellen Hardware ist aus Cryptosicht wie Klartext.
 
Ich tippe auf ersteres.
Gilt aber nur, wenn kein Pin/Passwort gesetzt ist. Ansonsten ist der Wiederherstellungskey sinnlos.

Als Genie habe ich schon öfters vergessen, Bitlocker vor ein UEFI-Update zu deaktivieren... dann geht der Key verloren und ich werde aufgefordert den Wiederherstellungsschlüssel einzugeben. Wenn ich diesen Eingegeben habe, will er anschließend das Passwort, ansonsten tut sich nichts...
 
Klingt ja nun nicht mehr wirklich sicher...
 
Naja, wer Bitlocker bisher ohne Pre-Boot-Authentication (z.B. Boot-PIN) hat sich mit der Thematik nicht wirklich auseinandergesetzt. Microsoft hat das eigentlich ziemlich ausführlich und offen dokumentiert.

Selbst bei fTMP (=TPM innerhalb der CPU) würde ich nicht auf Pre-Boot-Auth verzichten, damit der Entschlüsselungs-Key eben nicht ohne weiteres Zutun nach dem Boot direkt irgendwo im RAM landen und damit ggf. via DMA (Direct-Memory-Access) abgezogen werden kann. Wobei es mich schon stört, dass es als nicht-OEM nicht möglich zu sein scheint den Kernel-DMA-Schutz zu aktivieren... aber naja.

Das 0815-Bitlocker sollte immerhin gut genug sein, dass man eine Festplatte/SSD nicht einfach ausbauen und komplett lesen kann. Zumindest im Falle eines "einfachen" Diebstahls oder wenn man einen Datenträger aufgrund von Garantie/Gewährleistung einsenden muss.
 
Naja, wer Bitlocker bisher ohne Pre-Boot-Authentication (z.B. Boot-PIN) hat sich mit der Thematik nicht wirklich auseinandergesetzt. Microsoft hat das eigentlich ziemlich ausführlich und offen dokumentiert.
Weil das eine typische "Microsoft-Lösung" ist. Andere Lösungen überlassen es nicht dem Benutzer sich mit der Thematik auseinanderzusetzen, sondern erzwingen einen Boot-Pin.
 
Ich habe mich mit TPM im Detail nicht beschäftigt.

Das Passwort muss irgendwo liegen.
Problem ist nicht TPM als solches, sondern das die Kommunikation CPU <-> TPM per LPC Bus unverschlüsselt abläuft. Verzichtet man nun auf zusätzliche Preboot Authentifizierung durch Pin oder PW, wird das Volume beim Start automatisch entschlüsselt, wobei der Key durch den unverschlüsselten LPC Bus abgegriffen werden kann.
 
Andere Lösungen überlassen es nicht dem Benutzer sich mit der Thematik auseinanderzusetzen, sondern erzwingen einen Boot-Pin.
Stimmt schon. Wobei Bitlocker strenggenommen erst ab Windows Professional enthalten ist und idR. über Gruppenrichtlinien ausgerollt und konfiguriert wird. Ginge das Nutzerfreundlicher? Sicherlich. Denke der DAU ist da aber nicht die Zielgruppe.
 
@PlueschHardware
Das kann man auch ruhig mit der Realität abgleichen. Die Wahl, ist das Problem. Es setzt sich der CEO, der CTO und eben der CIO hin und der CTO mit CEO haben schon davor gequaselt und wollen jetzt, daß die Laptops verschlüsselt werden. Der CIO sieht nur die Arbeit. Und seine Leute die nur am meckern sind, weil sie die Arbeit auf sich kommen sehen, wenn die Leute das mit dem Boot-PIN versemmeln. Bzw. auch einfach nur über die IT wegen des "Schwachsinns" lästern.

Der CIO sagt also: "Na klar. Ist ja mit dabei. Ihr erinnert euch ja, daß ich schon letztes Jahr davon sprach. Machen wir natürlich." Dem folgt nochmal eine kurze Werbepause für Bitlocker (weil das für ihn am einfachsten ist) und das wars. Der Anwender soll ja am besten eh nichts davon merken und Geschweige deswegen etwas zusätzlich machen. Ist völlig ähh.. "transparent" Das Ergebnis? Es gibt keinen Boot-PIN. Wird idealerweise auch nicht erwähnt (!) Und der LPC-Bus läuft halt offen.
Es stimmt also schon. So läuft Bitlocker wirklich TRANSPARENT :poop:

Meine Erfahrung: Nahezu alle Konzerne machen groß data security :rolleyes2: und nutzen an WinClient halt Bitlocker. Das sehe ich mittlerweile in 9 von 10 Fällen. nur hab ich bis heute echt noch nie gesehen, daß jemand von Extern Boot-Pin eingeben musste. Nach paar Jahren hab ich auch aufgehört extra drauf zu achten. Vielleicht gibt es jetzt 1 von 20 dem sie das aufgezwungen haben. Kollegen haben es bei Externen von anderen Firmen jedenfalls auch noch nie gesehen.

Das zum Thema Dau vs. Gruppenrichtlinie. Ergo, "ATU". Und daher fing man an TPMs in den CPUs oder Chipsätzen :whistle: zu verbauen. Nicht wegen den Daus. Wegen den Specialists...
(von denen wie wir ALLE es hier nun erfahren haben, es eine ganze Menge auch bei Microsoft gibt)

PS:
 
Zuletzt bearbeitet:
Ich bleibe bei Veracrypt troz der Einschränkung das eine Vollverschlüsselung der Betriebssystemplatte nur in MBR bis 2TB Size geht (egal ob man den Bootloader inkludiert oder nicht was individuel zu prüfen ist)
 
Bitlocker ist doch nicht dazu da, um sicher zu sein.
Bitlocker soll doch nicht mal sicher sein. Wo kämen wir da hin?

Bitlocker ist dazu da, dass nicht jeder DAU alles lesen kann.
 
Bitlocker selber ist doch gar nicht das Problem, sondern der unverschlüsselte LPC Bus. Das weiß man allerdings auch nur, wenn man sich mit dem 15(?) Jahre altem Problem beschäftigt hat.
 

Ähnliche Themen

Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh