Vid ett uppdrag där NSEC utförde en sårbarhetsanalys så uppstod frågan hur säkert lösenordsskyddade hårddiskar egentligen är? Man hade valt att använda de inbyggda funktionerna hos datortillverkaren för att sätta ett lösenord vid uppstart av datorn. Detta fungerar så att hårddisken frågar efter ett lösenord innan åtkomst medges till hårddisken. Detta gäller oavsett om man startar från en diskett eller CD, alternativt flyttar hårddisken till en annan dator. Lösenordet krävs av hårddisken själv via ATA specifikationen. Lösenordet lagras i någon form på hårddisken för att sedan jämföras med det som användaren matar in.

Innehållet på hårddisken krypteras inte med denna lösning, det är endast ett elektroniskt skydd för att kommunicera med hårddisken. Det finns ett antal vägar runt detta skydd om man gör lite efterforskningar:

1) Tillverkaren erbjuder mot en mindre peng (ca 500 kr) en “password reset” tjänst , där man betalar en summa så nollställer de lösenordet. Det anges att man måste kunna visa att man är rättfärdig ägare av hårddisken/datorn så det avskräcker förhoppningsvis en angripare. Dock så betyder detta att tillverkaren har ett “master password” till alla hårddiskar samt att detta lösenord eller algoritm hur man får fram master password riskerar att läcka ut. Vilket redan är fallet i många fall….

2) läckta “Master password”. Om man googlar på tillverkaren för hårddisken hittar man ganska snabbt olika sätt att ange tillverkarens master password, det finns bla  youtube klipp samt färdiga skript att ladda ned helt gratis. Så om tillverkarens lösenord har läckts så är saken biff för en angripare helt gratis.

3) professionella verktyg för att låsa upp hårddisken. Det finns verktyg för ca 500 kr att köpa som låser upp hårddisken, det man gör är att man köper antal “upplåsningar” (ungefär som ett rabatthäfte). Så ju fler man vill knäcka desto billigare blir det. Det finns även specifik hårdvara som kan skriva över lösenordet på disken

Summa summarum:

 Om du vill skydda informationen på din hårddisk så bör den tänkta tjuven inte vara villig att betala ca 500 kr för att låsa upp hårddisken, då funkar lösenordsskyddet ok. Om angriparen/hotbilden kan anse att det är värt att betala 500 kr för informationen så skall du istället införa en ordentlig hårddiskkryptering på din hårddisk. Så frågan blir då, hur mycket är din information på hårddisken värd?

 /Mikael Fryksten

För att skydda information på sin bärbara PC kan man kryptera hårddisken. I vissa Windows Vista versioner finns BitLocker tillgängligt som gör just detta. Skyddet bygger på att man krypterar hårddisken på sektornivå, så att allt blir krypterat och man inte kan läsa ut data även om man t ex bootar datorn från en CD eller flyttar hårddisken till en annan dator.

En svag punkt gällande kryptering är hur man skyddar sitt lösenord och krypteringsnyckeln. Normalt används symmetrisk kryptering, med en statisk krypteringsnyckel. Längden kan variera men är normalt antingen 128-bitar eller 256-bitar beroende på algoritm. Dessa nyckellängder går i princip inte att knäcka. Så hur kommer man runt det?

För att hårddiskskrypteringen ska vara transparent (användaren ska kunna arbeta som vanligt) så måste krypteringsnyckeln finnas tillgänglig efter uppstart i det program som sköter kryptering och dekrypteringen i bakgrunden. Denna nyckel lagras då normalt i datorns arbetsminne (RAM). Här kommer kruxet. När man stänger av sin dator så rensas inte minnet direkt, det kan ta ett tag. Alltifrån några sekunder till flera minuter beroende på modell och omgivande temperatur.

Så om någon får tag på en dator när den fortfarande är på eller i “standby läge” så kan man helt enkelt stänga av datorn, starta om den och boota från CD eller en USB-disk. Sedan kör man ett program som läser ut data i minnet till en fil. Detta tar endast några sekunder, och kyler man ned minnet innan så har man i bästa fall flera minuter på sig.

Sedan letar man igenom minnesdumpen för att hitta den statiska krypteringsnyckeln. Voilá – när nyckeln har hittats kan man sedermera läsa innehållet på hårddisken.

Så för att detta ska lyckas så måste några förutsättningar finnas, datorn ska helst vara på eller nyligen avstängd. Man bör kunna boota datorn från en USB-enhet eller CD, alternativt ta ut minneskapseln och sätta den i en annan dator för att läsa ut data.

Jag kommer inte på något 100% sätt att skydda sig mot detta om man inte blandar in säker hårdvara som lagrar nyckeln och sköter själva krypteringsprocessen. Denna hårdvara ska då inte kunna släppa ifrån sig nyckeln. Detta är nog kostsamt och inget som man hittar i normala PC, dessutom måste prestandan vara mycket god så att datorn inte blir långsam.

Några alternativ för att få datorn lite säkrare och göra denna attack lite svårare:

1. Stäng av din dator när du lämnar den obevakad/oskyddad. Använd inte standby-läget. Låt några minuter passera innan du lämnar den.
2. Använd programvara som krypterar individuella mappar och filer. Se till att denna programvara stänger ned öppna mappar / filer efter en viss tid. Så om du arbetar med ett känsligt dokument som är krypterat och är klar, ska den lagras krypterat och lösenordet för denna fil rensas ut. Om någon då lyckas med ovanstående attack blir det svårare att läsa denna känsliga fil eftersom krypteringsnyckeln inte ska finnas kvar i minnet.
3. I vissa datormodeller finns möjlighet att låsa hårddisken till en fysisk dator med ett lösenord (Hard disk password). Detta gör det svårare för någon att lyfta ur hårddisken till annan dator, men är inte 100%-igt. Finns ofta sätt att knäcka dessa lösenord tyvärr.
4. Sätt startup-ordning i BIOS så att man inte kan boota från CD, floppy eller USB-enhet. Lösenordsskydda BIOS så att man inte enkelt kan ändra startup-ordningen.
5. Gör minnet “tamperproof”, limma in den med epoxi eller något liknande. OBS: Extrem åtgärd… . Men om man inte kan få loss minnet utan att det går sönder ökar ju chanserna att klara sig. Det tar ju åtminstone längre tid att ta ut minnet och förhoppningsvis hinner data i minnet försvinna under de dyrbara sekunderna.

Detta ger inte 100% skydd, men gör det svårare för någon att använda tekniken ovan.

Om du vill se hur man knäcker en Vista BitLocker kan du kolla här >>

PS. Inte endast Vista BitLocker är sårbart, de flesta lösningar för hårddiskkrypto är sårbara Ds.