Názory k článku Postřehy z bezpečnosti: tučňák prosí o milost a dvojitý hack s výkupným

Myslím, že budu brzo potřebovat nějaké malé jednoduché "automatizované KVM", které bude schopné zadat PIN po restartu. Protože z toho, co je v článku napsáno, zase našim bezpečákům rupne v bedně a budou nám chtít natvrdo vnutit PIN. A já fakt nechci pokaždé při vzdáleném restartu jezdit do práce zadávat PIN, protože bezpečák „jen dělá svou práci“.

U nas to tak je. Bezpecaci delaji svou praci :-D
Na tom je pekne ze maji odpovednost za provoz nula ale jejich rozhodnuti ho muze vazne narusit.

Pokud je to server tak ten ma mit kvm a oddelenou management sit.

Jinak u vzdalenych serveru s vysokym zabexpecenim je taky nekdy nutna asistence k bootu. Kdyby nahodou nejakemu dobrotlacilovi ruplo v bedne a chtel sirit dobro pro nas vsechny za asistence statnich organu at uz jsou v jakkekoli jurisdikci.

19. 5. 2026, 12:48 editováno autorem komentáře

Při tom by úplně stačilo ty klíče do TPM ukládat tak, aby ho nemohlo odemknout každé bootnuté live medium. Ale to je holt pro ty nadstandardně placené bezpečnostní odborníky od Microsoftu, který narozdíl od opensource projektů má peníze na to, aby je platil - jak tu nedávno někdo v diskuzi předhazoval - moc těžké a moc práce :-)

Trosku zapadlo ze na Pwn2Own letos Firefox i Chrome odolaly utokum - potencialni zajemci to vzdali jeste pred soutezi. Mozna i diky zaplave AI oprav ktere jsme videli v predchozich mesicich.

Coz by mohlo znamenat ze s tim jsme vice mene hotovi.

Coz by mohlo znamenat ze s tim jsme vice mene hotovi.
Obávám se, že to tak jednoduché nebude. Že to bude podobné, jako když se po C objevily jazyky s automatickou správou paměti. Některé typy chyb to eliminovalo, ale o to větší smysl dávalo hledat jiné typy chyb – a nacházet je.

19. 5. 2026, 08:30 editováno autorem komentáře

K tomu Bitlockeru ono ani nejde o prolomení BitLockeru, ani TPM, ale o zneužití WinRE v konfiguraci TPM-only bez pre-boot PINu. Disk se totiž odemkne legitimně přes TPM a problém nastane až následně.

Jenže běžný firemní notebook v doméně mívá zamčené UEFI/BIOS, zakázaný boot z USB, Secure Boot a často i BitLocker s PINem.

A publikovaný zranitelnost míří na defaultní „consumer“ konfigurace Windows 11 “z elektrokramu” kde je důraz spíš na něčího pohodlí , než na odolnost proti útoku.

Takže spíš než „BitLocker je mrtvý“ se ukázalo , že default Windows 11 proti fyzickému přístupu není tak silný, jak si mnoho uživatelů myslí.

Secureboot je defaultně na počítačích zapnutý, počítám že WinRE je podepsané klíčem Microsoftu, takže to prostě bootne i s ním... Bitlocker jinak z uživatelské perspektivy ani jinak zapnout nejde. Teda možná zase nějakou powershellovou onanií nebo něčím podobným tam jde i něco nastavit, ale z pohledu běžného uživatele se ho to akorát zeptá jestli ho chce zapnout a donutí ho to uložit recovery klíč a to je všechno. Klíč do TPM to uloží, neptá se jestli má, neptá se jestli nechce zadat heslo... prostě další bezpečnostní zmetek :-)

Asi je treba aby autor zverejnil i tu variantu s pinem ... kdyby sis to totiz u nej precet, tak v tom neni rozdil. Pin totiz na to abys z tpm vymlatil ten kiic vubec nepotrebujes. Je to ciste placebo.