29 gru 2015

Windows 10 bez wiedzy użytkownika przesyła kopię klucza odzyskiwania funkcji BitLocker na serwery Microsoft

7

Klucz odzyskiwania funkcji BitLocker to specjalny klucz, który można utworzyć podczas pierwszego włączenia szyfrowania dysków funkcją BitLocker na każdym z szyfrowanych dysków. Klucz odzyskiwania pozwala na uzyskanie dostępu do komputera, jeśli dysk z zainstalowanym systemem Windows (dysk z systemem operacyjnym) został zaszyfrowany funkcją BitLocker, a podczas uruchamiania komputera funkcja ta np. wykryła warunek uniemożliwiający odblokowanie dysku. Funkcja szyfrowania BitLocker w Windows 10 jest wbudowana i domyślnie włączona. Niestety nie ma sposobu na to, aby podczas instalacji Windows 10 i pierwszego logowania się na konto Microsoft zapobiec wysyłaniu klucza odzyskiwania BitLocker na serwery Microsoft. Zdrowy rozsądek podpowiada nam, że jedynym  podmiotem, który powinien ten klucz posiadać jesteśmy wyłącznie my sami, czyli użytkownicy tej funkcji. Microsoft przyjął jednak inaczej, mając co do tego odmienne zdanie. Jak zauważa The Intercept w swoim artykule z dnia wczorajszego, Microsoft w swoim najnowszym systemie operacyjnym Windows 10  przesyła kopię klucza odzyskiwania funkcji Bitlocker na serwery Microsoft, bez powiadamiania o tym fakcie użytkownika. Wysyłanie klucza realizowane jest, gdy na naszej stacji roboczej korzystamy z konta Microsoft, a nie z konta użytkownika lokalnego. Z jednej strony jest to forma ratunku w przypadku utraty przez nas takiego klucza, z drugiej strony każdy może sobie odpowiedzieć na poniższe pytanie: 
Czy byłby w stanie przekazać duplikaty kluczy do swojego domu firmie, która go zaprojektowała lub wybudowała?

Dlaczego możemy się martwić, że Microsoft posiada "nasz" klucz?
  • jeśli ktoś przejmie lub włamie się na nasze konto Microsoft, będzie posiadać dostęp do naszego klucza odzyskiwania, tym samym do naszych zaszyfrowanych danych;
  • nieuczciwy pracownik Microsoft z dostępem do kont użytkowników Microsoft ma dostęp do kluczy szyfrowania;
  • jeśli Microsoft zostanie zhakowany, hakerzy mogą uzyskać dostęp do kluczy odzyskiwania użytkowników;
  • agencje rządowe lub organy ścigania mogą przesłać zapytanie do firmy Microsoft o udostępnienie naszego klucza odzyskiwania - jeśli nie macie nic poważnego na sumieniu nie musicie się obawiać ;)
Korzystam z funkcji BitLocker oraz konta Microsoft na stacji roboczej Windows 10, jak żyć? 
Microsoft umożliwia użytkownikowi usunięcie klucza odzyskiwania BitLocker ze swoich serwerów, poprzez zalogowanie się na stronie:


Aby się zalogować, wpisujemy dane uwierzytelniające analogicznie jak podczas logowania do konta Microsoft na stacji roboczej (tak, Microsoft ma dostęp do naszych danych uwierzytelniających). Po zalogowaniu pojawi się lista kluczy odzyskiwania przypisana do konta, z możliwością pobrania na naszą stację oraz ich usunięcia. Oczywiście usunięcie klucza odzyskiwania z naszego konta Microsoft nie gwarantuje nam usunięcia go z serwerów Microsoft. Dlatego też możemy posunąć się do jeszcze jednego kroku. Możemy zaszyfrować funkcją BiLocker dysk na nowo (funkcja ta dostępna jest niestety tylko dla użytkowników Windows 10 w edycji Pro lub Enterprise) Co nam to da? Podczas ponownego szyfrowania możemy już wybrać, czy nasz klucz odzyskiwania ma być przesłany na serwery Microsoft:
Okienko z wyborem metody kopii zapasowej klucza BitLocker
 (źródło:
https://theintercept.com)
Wybierając opcję zapisu do pliku, nasz klucz odzyskiwania nie będzie przesłany na serwery Microsoft. 

Gdy pisaliśmy artykuł związany z dostosowaniem prywatności w Windows 10, jak pamiętacie odradzaliśmy korzystanie z konta Microsoft:

Ponadto zawsze możemy skorzystać z innych rozwiązań szyfrujących, np. Veracrypt czy też BestCrypt i tą opcję polecamy najbardziej.

Na koniec zacytujemy słowa profesora kryptografii Uniwersytetu Johna Hopkinsa, Matthew Greena:



Źródło:
https://theintercept.com
https://thehackernews.com
http://windows.microsoft.com

7 komentarze:

Anonimowy pisze...

Na koniec zacytujemy słowa profesora kryptografii Uniwersytetu Johna Hopkinsa, Matthew Greena:

Komputer jest tak bezpieczny, jak tej bazy danych kluczy przechowywanych przez Microsoft, co oznacza, że ​​może to być narażone na ataki hakerów , obcych rządów i ludzi , którzy mogą wymuszają pracowników firmy Microsoft

Anonimowy pisze...

naucz się pisać gamoniu

Cyr4x pisze...

Dlatego najlepiej korzystać z konta lokalnego, albo domenowego w przypadku Pro, o ile serwer z domeną posiadamy. Być może zablokowanie listy hostów telemetrycznych microsoft (krąży po internecie) na firewallu w routerze też zda egzamin.

Anonimowy pisze...

Ależ zawrót d..y! A kto z trzeźwych ludzi jeszcze wierzy w poufność MS czy jakąkolwiek ochronę danych czy anonimowość?! Puknijcie się wreszcie w czoło!

Marcin pisze...

Bardzo ciekawy i interesujący artykuł.

Anonimowy pisze...

Przydatne !
artykuł znacząco wpłynął na czynności jakie wykonałem - tuż po zakupie komputera z zainstalowanym windowsem.
(wyłączenie domyślnie zainstalowanego bitlockera i ...)

Borixon pisze...

Co jeśli nie zakładałem konta Microsoft? Mój klucz nie jest nigdzie przechowywany

Prześlij komentarz

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift