Analisi di rischio dell'attacco "cold boot" nei confronti di Bitlocker: dialogo con un security manager

re: Analisi di rischio dell'attacco "cold boot" nei confronti di Bitlocker: dialogo con un security manager

Claudio Criscione — Thu, 28 Feb 2008 21:02:03 GMT

Grazie per le delucidazioni! Però ti muovo un appunto: se vuoi fare debunking del FUD non puoi proprio partire dicendo che "Bitlocker ti mette al sicuro", se no rischi di essere visto come un sensazionalista dato che poi "non è vero", o almeno "non sempre".

In realtà la domanda esatta che ti volevo muovere è relativa al fatto che nè il paper nè la documentazione microsoft spiegano perchè non funzionino gli attacchi in presenza di PIN o USB: per caso hai più dettagli sugli internals di Bitlocker?

Posso immaginare che in caso di shutdown "normale" del sistema la FVEK venga sovrascritta espressamente da qualche routine, ma mi chiedevo: che succede se il sistema viene spento forzatamente (stacco la spina) ? La FVEK resta in memoria?

Mi sembra che sia lo scenario più probabile: il pc viene recuperato ancora acceso ma lockato, si stacca la spina e si procede al recovery. "Probabile" fino ad un certo punto, ovviamente, ma più probabile di una race condition :)

re: Analisi di rischio dell'attacco "cold boot" nei confronti di Bitlocker: dialogo con un security manager

Feliciano Intini — Fri, 29 Feb 2008 12:14:12 GMT

Ciao Claudio: sul voler fare un pelino di sensazionalismo, un po' è un atteggiamento voluto per combattere il FUD con le sue stesse armi; questo non vuol dire però esprimere concetti inesatti (ci tengo molto alla precisione logica delle mie considerazioni): il mio punto di vista cerca sempre di essere quello concreto del security advisor che deve aiutare i clienti a difendersi, mentre il tuo è probabilmente quello del ricercatore di sicurezza (punto di vista che comunque mi piace molto, come ho avuto già modo di dire http://blogs.technet.com/feliciano_intini/archive/2007/02/21/Un-parere-sullo-User-Account-Control-UAC-da-ingegnere-e-non-da-fisico.aspx ). Su questo tema dell'analisi di rischio e dei presupposti/requisiti da cui si parte, mi trovo d'accordo con Claudio Telmon (http://www.telmon.org/?p=305), che sta facendo interessanti riflessioni proprio a partire da questo tema della disk encryption.

Con questo mio particolare approccio dell'analisi di rischio Bitlocker (usato come si deve) mi mantiene ancora al sicuro.

Per venire al tuo dubbio tecnico: credevo di aver risposto con questo post di dettaglio. Bitlocker non credo implementi alcun meccanismo di azzeramento della chiave di cifratura (ma mi accerterò meglio), quindi gli scenari di PC acceso/stand-by sono a rischio (ma di nuovo, questo è documentato da tempo!). Visto che gli attacchi descritti dal paper partono da un PC acceso o spento da poco, se si ruba un PC spento che non ha modo di far caricare automaticamente le chiavi in memoria (da qui l'importanza di PIN/USB) l'attacco non funziona: certo, a meno di non venire affiancati dal pulmino del gelataio con un gruppo di hacker che ti assalta appena esci dall'ufficio...(ma niente è inviolabile se c'è qualcuno seriamente intenzionato ;-).

La sicurezza fisica non è un optional: attacco tramite la porta 1394-Firewire

Security Blog di Feliciano Intini — Wed, 05 Mar 2008 20:42:42 GMT

Guardate bene la porta denominata 1394 della foto, che quasi sicuramente avete anche sul vostro portatile: