U některých počítačů je možné na základní desku instalovat vlastní modul TPM. Jenom jsem zjistil, že tyto moduly se moc nevyrábí, tak je trochu obtížné je sehnat.
Jenže tohle měl vysvětlit MS v tom wizardu. Tedy uživatel by měl vědět, proti čemu je a proti čemu není chráněn při zvoleném způsobu použití. Ne asi ve formě "může se vám tam někdo napíchnout logickým analyzátorem", ale třeba "Nechrání proti získání přístupu k datům, pokud útočník získá přístup k celému i vypnutému počítači.". Na jak dlouho by útočník musel získat přístup k počítači, to už neplyne z principiálního návrhu a záleží víceméně jen na šikovnosti útočníka, takže to nemá smysl specifikovat a spoléhat na to. Kdyby na tohle byl uživatel upozorněn (a na všechny další známé podstatné okolnosti, které plynou z návrhu Bitlockeru), tak by všichni věděli, na čem jsou, s čím mají počítat apod.
Takže ve zkratce, když mi někdo ukradne ntb, mám jej šifrovaný dle defaultního nastavení, tak ten zloděj ta data uvnitř může stejně získat, když se bude snažit... To teda moc optimistické není
Ta problematika je právě dost složitá. Rozhodně se nedá napsat "Nechrání proti získání přístupu k datům, pokud útočník získá přístup k celému i vypnutému počítači." Protože to není pravda. Nestačí to. Záleží na tom, jak je ten počítač hardwarově udělaný. Protože řada PC má třeba "case intrusion", který se sepne když někdo sejme kryt. A v závislosti na použitého hardware, jeho zapojení, typu a verzi BIOSu/UEFI firmware, jeho nastavení... to může způsobit, že bude nutné zadat recovery kód a tento útok nebude fungovat. TPM nemusí být jako samostatný čip na desce, ale může být přímo součástí procesoru. V takovém případě tento útok podle mého názoru nebude fungovat, protože tam není drát, který by bylo možné napíchnout - je uvnitř procesoru (ale tím si nejsem stoprocentně jistý, to už je na mne moc low level hardware). Prostě je tam řada různých "pakliže" a "jestliže". Které navíc platí oběma směry. TPM vás třeba dokáže ochránit proti hardwarovému keyloggeru, pre-boot autentizace heslem nikoliv. USB key má zase jiné výhody i nevýhody... A uživatelské rozhraní průvodce pro běžné uživatele fakt není místo, kde by se tato edukace měla odehrávat. Jak už jsem psal v komentáři výše: pokud někdo používá jakýkoliv kryptografický software v defaultním nastavení nevěda čehož činí, je pitomec a zaslouží si všechno zlé, co mu toto rozhodnutí přinese. Je nutné se zamyslet, jaká nebezpečí hrozí a přijmout opatření, která je budou nějak mitigovat. Částí těch opatření je i nastavení BitLockeru. Ale skutečně jenom částí, musí jít i o režimová opatření, fyzickou ochranu a podobně.
@@ZTECHCZ Ty hardwarové udělátka typu "Case intrusion" mi přijdou jako fajn věc, které mohou pomoci proti nepřipravenému náhodném útočníkovi, ale reálně si nedovedu představit, jak by to mohlo být udělané, aby se tam nedalo nějak poměrně snadno prořezat nebo jinak se tam dostat, aniž by to senzor zachytil. Ale z videa jsem pochopil, že MS zřejmě ten Wizard zamýšlel pro běžné uživatele (odborníci pak mají více možností přes command-line nástroje). A od běžného uživatele nelze čekat, že si napřed nastuduje teorii a bude ji rozumět. Nebo, že si najme nějakého bezpečáka. On má počítač na práci, prostě si ho koupí, používá, a když mu Microsoft nabízí aktivování šifrování disku, tak by se tam měl dozvědět, proti čemu je chráněný, proti čemu není a co třeba závisí na konkrétním hw. Bitlocker totiž nepoužívají jen velké organizace apod., ale i malý živnostník, který v počítači má něco, co nechce, aby se dostalo někam ven. Nebo třeba uživatel počítače pro zcela soukromé účely. Dovolím si tvrdit, že v takovém případě bude nejčastější útok typu ztráta či odcizení počítače. Získat přístup k počítači a následně jej zase vrátit uživateli je složitější a s větším rizikem odhalení. Ale samozřejmě je třeba s tím též počítat. Dneska používá šifrování dat kde kdo třeba na mobilech. Také od toho uživatelé mají nějaká očekávání, ale otázka je, zda reálná (myslím, že v mnohem případech ne).
@@honzovavidea Všechno závisí na konkrétním hardware. To za prvé. A za druhé: potřebám typického uživatele dokonale vyhoví i to výchozí nastavení BitLockeru. Pokud je součástí vašeho threat modelu profesionální útočník vybavený speciálním hardwarem, nejste typický uživatel, pro kterého je určeno výchozí nastavení.
Jenomže aby vám ten průvodce tu možnost nabídl, musíte to nejdřív povolit, typicky přes group policy. Ve výchozím nastavení to bohužel nenabídne. Je možné, že máte na svém počítači nastavenou takovou policy, která to podporuje, může to nastavit třeba firma nebo OEM.
Díky. Rychlé. Jasné. Nadmíru srozumitelné podání. Jak je ostatně zde zvykem....
Super! 😍
Díky!
srozumitelné, věcné, jasné ... 👍
Skvělý výklad 👍 Pochopil jsem to i já 🙂
Diky za osvetu...
U některých počítačů je možné na základní desku instalovat vlastní modul TPM. Jenom jsem zjistil, že tyto moduly se moc nevyrábí, tak je trochu obtížné je sehnat.
Ano, to je pravda. Učinil jsem totéž zjištění, když jsem TPM sháněl. Moderní procesory už mívají TPM vestavěné, pokud vím.
Jenže tohle měl vysvětlit MS v tom wizardu. Tedy uživatel by měl vědět, proti čemu je a proti čemu není chráněn při zvoleném způsobu použití. Ne asi ve formě "může se vám tam někdo napíchnout logickým analyzátorem", ale třeba "Nechrání proti získání přístupu k datům, pokud útočník získá přístup k celému i vypnutému počítači.". Na jak dlouho by útočník musel získat přístup k počítači, to už neplyne z principiálního návrhu a záleží víceméně jen na šikovnosti útočníka, takže to nemá smysl specifikovat a spoléhat na to. Kdyby na tohle byl uživatel upozorněn (a na všechny další známé podstatné okolnosti, které plynou z návrhu Bitlockeru), tak by všichni věděli, na čem jsou, s čím mají počítat apod.
Takže ve zkratce, když mi někdo ukradne ntb, mám jej šifrovaný dle defaultního nastavení, tak ten zloděj ta data uvnitř může stejně získat, když se bude snažit... To teda moc optimistické není
Ta problematika je právě dost složitá. Rozhodně se nedá napsat "Nechrání proti získání přístupu k datům, pokud útočník získá přístup k celému i vypnutému počítači." Protože to není pravda. Nestačí to.
Záleží na tom, jak je ten počítač hardwarově udělaný. Protože řada PC má třeba "case intrusion", který se sepne když někdo sejme kryt. A v závislosti na použitého hardware, jeho zapojení, typu a verzi BIOSu/UEFI firmware, jeho nastavení... to může způsobit, že bude nutné zadat recovery kód a tento útok nebude fungovat. TPM nemusí být jako samostatný čip na desce, ale může být přímo součástí procesoru. V takovém případě tento útok podle mého názoru nebude fungovat, protože tam není drát, který by bylo možné napíchnout - je uvnitř procesoru (ale tím si nejsem stoprocentně jistý, to už je na mne moc low level hardware). Prostě je tam řada různých "pakliže" a "jestliže".
Které navíc platí oběma směry. TPM vás třeba dokáže ochránit proti hardwarovému keyloggeru, pre-boot autentizace heslem nikoliv. USB key má zase jiné výhody i nevýhody... A uživatelské rozhraní průvodce pro běžné uživatele fakt není místo, kde by se tato edukace měla odehrávat.
Jak už jsem psal v komentáři výše: pokud někdo používá jakýkoliv kryptografický software v defaultním nastavení nevěda čehož činí, je pitomec a zaslouží si všechno zlé, co mu toto rozhodnutí přinese. Je nutné se zamyslet, jaká nebezpečí hrozí a přijmout opatření, která je budou nějak mitigovat. Částí těch opatření je i nastavení BitLockeru. Ale skutečně jenom částí, musí jít i o režimová opatření, fyzickou ochranu a podobně.
@@ZTECHCZ Ty hardwarové udělátka typu "Case intrusion" mi přijdou jako fajn věc, které mohou pomoci proti nepřipravenému náhodném útočníkovi, ale reálně si nedovedu představit, jak by to mohlo být udělané, aby se tam nedalo nějak poměrně snadno prořezat nebo jinak se tam dostat, aniž by to senzor zachytil.
Ale z videa jsem pochopil, že MS zřejmě ten Wizard zamýšlel pro běžné uživatele (odborníci pak mají více možností přes command-line nástroje). A od běžného uživatele nelze čekat, že si napřed nastuduje teorii a bude ji rozumět. Nebo, že si najme nějakého bezpečáka. On má počítač na práci, prostě si ho koupí, používá, a když mu Microsoft nabízí aktivování šifrování disku, tak by se tam měl dozvědět, proti čemu je chráněný, proti čemu není a co třeba závisí na konkrétním hw. Bitlocker totiž nepoužívají jen velké organizace apod., ale i malý živnostník, který v počítači má něco, co nechce, aby se dostalo někam ven. Nebo třeba uživatel počítače pro zcela soukromé účely. Dovolím si tvrdit, že v takovém případě bude nejčastější útok typu ztráta či odcizení počítače. Získat přístup k počítači a následně jej zase vrátit uživateli je složitější a s větším rizikem odhalení. Ale samozřejmě je třeba s tím též počítat. Dneska používá šifrování dat kde kdo třeba na mobilech. Také od toho uživatelé mají nějaká očekávání, ale otázka je, zda reálná (myslím, že v mnohem případech ne).
@@honzovavidea Všechno závisí na konkrétním hardware. To za prvé. A za druhé: potřebám typického uživatele dokonale vyhoví i to výchozí nastavení BitLockeru. Pokud je součástí vašeho threat modelu profesionální útočník vybavený speciálním hardwarem, nejste typický uživatel, pro kterého je určeno výchozí nastavení.
Tohle studio je lepší😉
Asi budu kecací videa točit tady, je to vizuálně zajímavější :)
musel som si to pustit 2x zrychlene. Hned na zaciatku mi dosla trpezlivost.
Nevim jaky wokna pouzivate ale ja pouzivam key na flasce vytvorene pres pruvodce... Rekl bych ze konec videa je velka miss informace ;)
Jenomže aby vám ten průvodce tu možnost nabídl, musíte to nejdřív povolit, typicky přes group policy. Ve výchozím nastavení to bohužel nenabídne. Je možné, že máte na svém počítači nastavenou takovou policy, která to podporuje, může to nastavit třeba firma nebo OEM.