Előtelepített bitlocker

Microsoft Windows

Nem tudom más is beszopta e, de érdemes ellenőrizni.

Az egyik kolléga Dell notebookján bootkor egyszer csak bitlocker jelszót kért a windows.
Pislogtunk mint hal a szatyorban, mert elvileg nem lett bekapcsolva, aztán reinstall lett a vége.

Leellenőriztem a cégnél minden notebookot, és az utóbbi évben vásárolt Dell Win 10-el előre telepített gépek mindegyikén a bitlocker aktív volt.

Fórumon rákeresve elég nagy anyázódás hegyeket találtam a témában, szóval elég széleskörő lehet a dolog. És állítólag nem csak Dellnél, hanem más gyártóknál is előfordult.

Ez ugye két problémát vet fel

1. Beszopja az ember, mert nyilván nincs hozzá kulcsa
2. Ha preinstalled, akkor a kulcs hol és kinek kinek van még meg.

Ha O365 fiók van használva a gépen, akkor a kulcs az Azure AD-ból kiszedhető, mert a gép előzékenyen lementi a felhóbe.

Ez a harmadik bazmeg faktor, de mondjuk egy másik kolléga adatait ez megmentette.
A bitlocker kódkérését jó eséllyel valami update aktiválhatta, mert 1 héten belül két gép is kérte.

Most épp megint egy új Dell noti érkezett, az első login után 1 perccel a bitlokker már az adatok 97%-át kódolta,

Ellenörzése egyszerű:

elevated command prompt
manage-bde -status

Kikapcsolása:
manage-bde -off c:

  • 4774 megtekintés

( gelei v | 2018. 11. 10., szo – 09:52 )

> Ha preinstalled, akkor a kulcs hol és kinek kinek van még meg.

TPM?

> Ha O365 fiók van használva a gépen, akkor a kulcs az Azure AD-ból kiszedhető, mert a gép előzékenyen lementi a felhóbe.
> Ez a harmadik bazmeg faktor

És ugye a csak fizikai hozzáféréssel használható kulcs mentése egy több ezer km-re levő gépre azért problémás, mert...?

> mondjuk egy másik kolléga adatait ez megmentette

De azért a k*rva anyját, ugye? :)

Amúgy mi lett helyette? Vagy csak kikapcsolgattátok a FDE-t az összes gépen, hátha nem lopják el egyik gépet sem?

"És ugye a csak fizikai hozzáféréssel használható kulcs mentése egy több ezer km-re levő gépre azért problémás, mert...?"

....mert a több ezer km-es gépre távolról be tudsz lépni, ha ellopod a megfelelő accountot, és már tudod is olvasni a tegnap lopott noti diszkjét.

egyébként meg nem vágod a lényeget.

Alapból be van kapcsolva egy diszk encryption, aminek a jelszava lehet hogy másol is megvan, csak épp a user nem tud róla, és neki nincs meg..

Hogy mi van helyette, kikapcsoltuk -e, az kurvára mindegy, ez a topic nem erről szól.

a szakmai vitát az különbözteti meg az üres szócsépléstől, hogy a szakmai vita a felvetett problémára fókuszál.

A lényeg az, hogy egy biztonsági megoldás a felhasználó szervezet tudtán kívül volt bekapcsolva, és ezért nem volt megfelelő kontroll alatt az, aminek kontroll alatt kell lenni egy ilyen esetben. Ez kockázati tényező és potenciális probléma forrás.

Minden más dolog ami egyébként fontos kérdés (adatmentés, mennyire bonyolult feltörni, kikapcsoltad -e mi van helyette, stb.) irreleváns ebben a témában.

egyébként meg nem szakmai vitaindítónak szántam a postot, csak úgy gondoltam, hogy ha már legalább 1 ember megspórol vele egy kínos helyzetet, akkor megérte megírni.

"Amúgy mi lett helyette? Vagy csak kikapcsolgattátok a FDE-t az összes gépen, hátha nem lopják el egyik gépet sem?"

Mondjuk úgy, még mindig bináris a gondolkodásod, pedig a MSFT torzítómező alól már jóideje kikerültél :)

Sok helyen a bitlocker megbízhatatlan / megjósolhatatlan "szeszélyes" viselkedése miatt inkább 3rd party FDE-t használnak.
--

> még mindig bináris a gondolkodásod

OP-nál nem tudtak róla, hogy van egy bekapcsolt FDE ==> esélyes, hogy sosem próbáltak meg FDE-t telepíteni, hiszen akkor kiderült volna, hogy már van ==> eddig nem volt rá igény (==> következtetés: ezután sem lesz?)

Pontosan egyébként mi megjósolhatatlan a BitLockerben? Vagy hogy ne legyen offtopik, ebben a konkrét helyzetben mi volt az, ami BitLocker issue, és nem a vendor hibája, vagy ne adj' Isten PEBKAC?

A windows 10 "össze-vissza" működő (elég, ha nem triviálisan kideríthető) önjáró hülyeségeire jó példa a többek által is említett bitlocker kérés nélkül, tájékoztatás nélkül bekapcsolódása.
A 3rd party FDE-t ott szoktâk elővenni, ahol 1-2-tucat alkalommal már megégették magukat a bitlocker ilyen hülyeségeivel.
--

( mrceeka v | 2018. 11. 10., szo – 10:16 )

Az adatok azért vesztek el, mert nem volt róluk mentés.

Üdv,
Marci

Aha. Újra kellett húzni. De mivel minden adat pótolva lett, ezért nem volt adatvesztés.
Csak kiesett munkaidő.
A másiknál meg meglett a kulcs, ezért ott sem volt adatvesztés.

A másik, az másik cég, közöm nincs hozzá, csak betaláltak a problémával hozzám is kínjukba.
Ott szerintem nem volt mentés, vagy csak régi, vagy a fene tudja.

( gozi | 2018. 11. 10., szo – 11:52 )

Ebbe a problémába több Dell gépnél is belefutottam néhány hete. Nemcsak az előtelepített Dell gépeken, hanem a később újratelepítetteken is beaktiválódott a Windows telepítés során a bitlocker! Ha jól emlékszem, az egyik fórumban azt írták, hogy a TPM képes gépek esetén automatikusan bekapcsol. A Gépház "Frissítések és biztonság" részen lesz ilyenkor egy Eszköztitkosítás menüpont, ahol teljesértékűen bekapcsolható, vagy deaktiválható.

Az elmondottak alapján frissítések telepítését követően jött elő a bitlocker recovery a gép indításakor. Ha helyi felhasználóként volt használva az előtelepített Windows-al a gép, akkor a bitlocker kulcs nem ismert, jöhet az újratelepítés... Otthoni felhasználóknál ritka a rendszeres mentés, így ez a helyzet talán még rosszabb, mint egy ransomware esetén.

A Dell álltal rárakott preinstall windows van így beállítva.
Ebben a történetben nem a Microsoft, hanem valószínűleg a Dell a sáros.

Most egy vadonat új notebook legelső bekapcsolásakor ez volt a legelső amit ellenőriztem, minden patchelés meg bármi más előtt kihúzott hálózattal, és mire lefutott a parancs, hogy írja ki a státuszt, már 90% felett járt az encrypt.

Ha egyszer kikapcsolja az ember, nem valószínű, hogy újra aktiválódik.
(bár ezek után a fene se tudja... :( )

"nagy" és "okos" emberek írták, hogy a bitlockert kb. értelmetlen használni, mert aki igazán akarja, úgyis "feltöri".

Ennek mennyi lehet a valóságtartalma?

Mondjuk fizikailag hozzáfér korlátozás nélkül a teljesen titkosított merevlemezhez. Utána? Nyilván a jelszó nincsen benne a default kali password listben, bruteforce-ot felejstük, van ebben valami köztudott hátsó kapu, amiről nem tudok?

Ha SSD-t használsz, akkor vannak bajok, mert a BitLocker arra épít.:

A linkelt cikk alapján a hiba a hw eszközben van, nem a bitlockerben. A bitlocker hibája itt annyi, hogy használja a hw által nyújtott lehetőséget, de arról nem maga a bitlocker tehet, hogy a hw gyártó elbaszta.

Meg elméletileg az ms-nek van másolata a kulcsból, de van workaround.
Ha jól olvasom, ez csak az OEM által előre bekapcsolt esetben van így nem? Ha te magadnak kapcsolod (és nem kéred, hogy a helyreállítási kulcsot rakja az MS fiókodhoz) nincs, vagy rosszul érteM?

Amikor bekapcsolod akkor kapsz egy recovery key-t. Ha be van jelentkezve microsoft fiókkal a gépre, akkor automatikusan menti a tárhelyedre, ha nem, akkor kérheted.

A bitlockert át lehet rakni szoftveres titkosítási módra, akkor nem számít, hogy a hardveres titkosítás szivárog.

> A linkelt cikk alapján a hiba a hw eszközben van, nem a bitlockerben. A bitlocker hibája itt annyi, hogy használja a hw által nyújtott lehetőséget, de arról nem maga a bitlocker tehet, hogy a hw gyártó elbaszta.

Ki mondta, hogy az ms hibája, hogy az SSD gyártó elbaszta? Az ms hibája az, hogy erre a lehetőségre épített.

> Ha jól olvasom, ez csak az OEM által előre bekapcsolt esetben van így nem? Ha te magadnak kapcsolod (és nem kéred, hogy a helyreállítási kulcsot rakja az MS fiókodhoz) nincs, vagy rosszul érteM?

Nem, a kulcsot a mikiszoft szipkázza fel tőled telepítéskor, csak utána le tudod törölni tőlük, ha belépsz az accountodba. Hogy aztán ők tényleg letörlik-e, azt fedje jótékony homály. (És jó sok konteó. :P )

Ami a lényeg, hogyha decrypteled a lemezt és utána újratitkosítod, akkor már megkérdezi (mert telepítéskor bezzeg nem tudta), hogy mit csináljon a kulccsal és ha nem az ms accountba mentést választod, akkor elvileg nem küldi el nekik. Hogy ez mennyire elvileg, azt is fedje homály és konteó. (Bár egyébként itt még konteót sem kell gyártani, az ms valószínűleg azért vezette be ezt a kulcsmentő akciót, mert annakidején a júzerek tömegei küldték az örök bitmezőkre az adataikat újratelepítéskor, mert annyi eszük volt, mint egy marék szárított lepkeszarnak és nem tették el maguknak a kulcsot. Mondjuk olyan is volt, hogy valaki csak újrarakta a win-t és hiába volt meg a kulcs, mégsem sikerült visszanyernie az adatait, mert a win10 valamit elkúrt...)

> Ki mondta, hogy az ms hibája, hogy az SSD gyártó elbaszta? Az ms hibája az, hogy erre a lehetőségre épített.

??? Ezt hogy érted: van egy hardveres funkció, és hiba, hogy arra épít a szoftver, hogy a hardver azt csinálja, amit mond? (Akkor HW-drivert már senki ne írjon.)

Nem az az MS hibája, hogy egy frissítés a háttérben kérdés nélkül bekapcsol egy titkosítást, amihez tartozó kulcsról rajta kívül senki nem tud?

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

> ??? Ezt hogy érted: van egy hardveres funkció, és hiba, hogy arra épít a szoftver, hogy a hardver azt csinálja, amit mond? (Akkor HW-drivert már senki ne írjon.)

Bocsánat, de ez nem driver, hanem titkosítás. Egy titkosító pedig maga titkosítson, ne függjön egy külső tényezőtől, mert ha annak valami baja van, akkor a titkosításnak is baja lesz: az egész annyira lesz megbízható, mint az a bizonyos ismeretlen biztonsági fokkal bíró külső tényező, tehát a titkosításra nem lehet egyértelműen rámondani, hogy biztonságos. És ezt nálam okosabbak mondják, nem én találtam ki. Az egészben az a szép, hogy a BitLocker egyébként támogatja is a szoftveres titkosítást, de nem az a default.

> Nem az az MS hibája, hogy egy frissítés a háttérben kérdés nélkül bekapcsol egy titkosítást, amihez tartozó kulcsról rajta kívül senki nem tud?

Az is, de ebben a threadben nem erről volt szó: a szálindító a titkosítás törhetőségét firtatta és én is arra válaszoltam.


hogy a TPM képes gépek esetén automatikusan bekapcsol.

Ezt cáfolnám, HP 250 G6 BIOS/EFI-ben TMP bekapcsolása utáni win install esetén a bitlockert kézzel kell aktiválni. A preinstall/reinstall már más tészta, simán el tudom képzelni, hogy ha talál kulcsot a TPM-ben, akkor reinstallnál bekapcsol.

( Higi v | 2018. 11. 10., szo – 16:53 )

A jelenséget megerősítem, és egyre aggasztóbb.
A héten 2 géppel találkoztam, Lenovo és Dell. Magángépek, előtelepített win 10-el. Az egyiknél még a recovery partíció is titkosítva volt, szóval ugrott a preinstalled win is.
Nem hiszem, hogy OEM probléma (részben az, mi faszé van bekapcsolva a bitlocker), itt valami win update baszhatott el valamit, forumok dugig vannak a hibával, és 1-2 hetesek.

---
az élet olyan, mint az ásás - mindig felbukkan néhány gyökér. Ásóval jól rájuk kell b@szni, és haladni tovább - amarillo

Maga az előtelepítés bitlocker 2-3 éves gépeket is érint. A hiba megjelenése, miszerint kizár a bitlocker a rendszerből 1-2 hete ütötte fel a fejét tömegesen.

---
az élet olyan, mint az ásás - mindig felbukkan néhány gyökér. Ásóval jól rájuk kell b@szni, és haladni tovább - amarillo

( robavad | 2018. 11. 11., v – 20:42 )

(feliratkozás) + Én is találkoztam egy ilyen Dell laptoppal!

Előfordul!
Legalábbis egy ismerősöm Lenovo gépén biztosan nem ő kapcsolta be, mert azt sem tudja hogy mi az.
MS fiókba belépve valamilyen azonosítsást kért, megadva a telefonszámot küldtek egy kódot, majd azt írta a fiók hogy 30 nap! múlva majd ellenőrzik az adatokat.
Addig nem lehet lekérni a recovery keyt.
Mrceeka kollégája az ms supporton azt a szakmai választ tudta adni hogy kapcsolja ki a BIOS-ban a Secure boot-ot.
Ez most tényleg komoly, hogy egy ilyen szintű cégnél ilyen válaszokat adnak?

( Nyosigomboc v | 2018. 11. 12., h – 18:29 )

Ez a bitlocker ssd vagy particio szinten aktivalodott? Ha van egy dual bootos gep (ext4 particioval), akkor hazavagja a masikat is, vagy csak sajat magat?
Illetve W10 home-ban elvileg nincs beepitve ilyen ransomware, akkor az nem lehet erintett, ugye?

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

Koszi!
Wikipedia alapjan nem volt egyertelmu.
"BitLocker is a logical volume encryption system. (A volume spans part of a hard disk drive, the whole drive or more than one drive.)"
https://en.wikipedia.org/wiki/BitLocker#Operation

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin