Vlákno názorů k článku
Nový problém Intel AMT, útočník dokáže obejít heslo BIOSu, TPM i BitLockeru
od Trupik - Ak je BitLocker "full disk encryption", ako sa...
-
j (neregistrovaný)
Silhavej, ze ses retardovanej to vsichni vedi ... ty totiz vubec netusis, co je to TPM a jak to ma fungovat ze? Tohle je zhruba na urovni bootu do widli v nouzaku ... cimz padem neni treba zadavat zadny hesla k sifrovanym datum ... Coz je nejspis podle tardu tvyho razeni bezny chovani.
-
j (neregistrovaný)
Spousta adminu od systemu ocekava, ze bydefault na nem neni zapnuty nic, k cemu by se dalo nejak prihlasit, a ze prihlasit se da jen k tomu, co sami nastavej.
Na normalnim tuxim distru ti taky bydefault nebezi ani ssh. Musis ho zapnout a tim padem delas vedome nejakou akci, o ktery vis, ze ma nejaky predpoklady - jako trebas ze root ma nastaveny heslo, pripadne ze znemoznis login na roota primo ...
Uz vubec pak admin neocekava, ze si bude muset ke kazdymu kusu HW fyzicky sednout, aby na nem musel neco menit, jednoduse proto, ze v korporatu o desitkach tisic kusu HW je neco takovyho naprosto nemyslitelny.
-
654 (neregistrovaný)
Šifrování je věc, kterou by bez spoluúčasti nebo předchozího souhlasu uživatele neměl mít možnost obejít ani admin. Záložní způsob odšifrování je běžná a rozumná praxe, ale rozhodně se to nedělá takovým způsobem, a vůbec ne bez možnosti to vypnout. Přece existují situace, kdy je lepší data ztratit, než riskovat vyzrazení. Například šéfy Microsoftu rozhodně nepotěší, že jim jejich admin může číst citlivé obchodní tajemství.
lidová moudrost: "dětem a blbcům sirky do rukou nepatří!" není přesná. Přesnější by bylo "dětem a blbcům nestrkej sirky do kapsy, když se nedívají"
-
Co nezlahcuje vaznost celej situacie. Dokonca uz aj vyrobcovia casti Wifi routerov sa naucili generovat pseudonahodne heslo pre pristup k administracnemu rozhraniu routerov, preto nevidim dovod, preco by sa nieco take nemohlo diat aj tu aj ide o featuru, ktora je implicitne zapnuta a ma bezpecnostne dopady.
A ak uz nieco take velmi hlupe spravim, tak do celeho sveta kricim, ze som to urobil.
-
Nad tím jsem také přemýšlel, ale to má jednu vadu. Celý postup je zneužitelný stejně jen při fyzickém přístupu k počítači a při zapnutém AMT. Za jedno, zapínat AMT, když nevím, co to je, je trochu hloupost. Za druhé, když Vám PC ukradnou, dostanou se i k informaci o heslu do AMT, nebo k tomu, z čeho je vypočítávána.
Potenciál této chyby je opravdu velmi malý, PC prakticky nemívají TPM, abychom se bavili o narušení bezpečnosti bitlockeru, a u notebooků je to také menšina, a když už je to využívané, tak v rukou admina.
-
Lol Phirae (neregistrovaný)
Bitlocker je pro šifrování prakticky nepoužitelný. V doméně si zazálohuje klič do AD, pokus se přihlašujete MS účtem, tak si pro jistotu zazálohuje klíč do cloudu (aby se tajné služby nemusely obtěžovat v případě potřeby). V režimu bez PINu jsem nikdy nepochopil, k čemu to kdo používá (krom zbytečné zátěže procesoru), no a s PINem je to pro změnu taky k ničemu kvůli těm úžasným entrprajs věcem, jako je AMT, krom toho je implementace tak geniální, že k zadání PINu to neumí použít numerickou klávesnici. Jediný tak nějak použitelný režim, kdy se klíč uloží na nějaké externí USB médium, tak ten je defaultně vypnutý, podpora něčeho jiného než USB (třeba SD karty, tokeny) je na nule. No, ale hlavně že se to snadno centrálně spravuje a můžeme si odfajfkovat "šifrování disku".
-
To vše se dá v AD nastavit na úroveň, jakou požadujete. Co znám firmy, tak jim nejvíc jde o ukradení notebooků (zapomenuté v autech, hotelích, ...), méně už pak o absolutní šifrování. Takže zálohování klíče do AD je právě pro tento účel pohodlné a řeší to právě ten nejpalčivější problém.
Kdo nechce mít klíč zálohovaný v AD, je to asi trojí kliknutí v politice domény.
-
Cek (neregistrovaný)
Takze si to zopakujme: V CEM je Bitlocker prakticky nepouzitelny? V tom, ze bezpecnostni politiku si neurcuje kazdy uzivatel sam, ale spravuje ji administrator? :-O To je snad vyzadovany stav....
Jeste jsem ochoten uznat ten cloud, zalohovat to tam je opravdu trosku neprakticke....
-
jouda (neregistrovaný)
Opět - žádné šifrování není všemocné, prostředky musí odpovídat tomu co a hlavně před čím chráním.
Jak už bylo řečeno, BitLocker bez pinu chrání v případě:
- Běžný zloděj ukradne firemní notebook a neadresně ho prodá.
- V notebooku odejde disk, a při výměně ho chce dodavatel vrátit.
Shodou okolností, ať se nám to líbí nebo ne, tohle je nejčastější use-case v korporátu, a pro ochranu běžných informací (s klasifikací na způsob internal only) je to naprosto dostatečné. Plus je poměrně snadno nasaditelné a spravovatelné, navíc v ceně multilicence. -
Trupik (neregistrovaný)
Ďakujem, o existencii a účele tejto "pomôcky" som netušil (TPM). Po preštudovaní dokumentácie som sa dozvedel, že okrem BitLockeru jeho "pomoc" dokáže využiť aj dm-crypt (!!!). So všetkými tými dierami poslednou dobou a takýmito skrytými "pomocníkmi", človek sa asi bude musieť vrátiť k 8-bitom, aby mal nejaké súkromie a bezpečie. :(
