»

Windows dobiva ukaz 'sudo' iz Linuxa

Slo-Tech - Microsoftov aktualni operacijski sistem Windows 11 bo kmalu dobil ukaz sudo, ki ga poznamo iz Linuxa, je napovedal Jordi Adoumie iz Microsofta. Gre za priročen ukaz, ki pomeni superuser do in omogoča poganjanje posameznih programov ali opravil z višjimi privilegiji, kot jih ima uporabnik sicer. S tem lahko razvijalci preizkušajo skripte in popravljanje določene sistemske nastavitve, ne da bi bili ves čas prijavljeni kot administratorji, kar je tvegano.

V Windows 11 bo ukaz omogočil poganjanje orodij s povišanimi privilegiji neposredno iz ukazne vrstice, ki bo sicer tekla z osnovnimi uporabnikovimi privilegiji. Doslej je bila pot do povišanja privilegijev nekoliko bolj okrogla, saj je bilo treba najprej zagnati novo instanco ukazne vrstice kot administrator, nato pa so se tako v njej izvajali vsi ukazi.

Novost je za zdaj na voljo v kanalu Canary, kjer so prihajajoče verzije Windows dostopne razvijalcem. Splošna javnost bo torej novosti deležna proti koncu leta, če gre verjeti...

16 komentarjev

Privzeto vključeni BitLocker v Windows 11 upočasnjuje SSD-je

Slo-Tech - V Windows 11 Pro je privzeto vključeno šifriranje podatkov na disku, kar prinaša varnostne prednosti, a hkrati upočasnjuje delovanje SSD-jev. Na Tom's Hardware so v preizkusih opazili, da se SSD-ji upočasnijo tudi do 45 odstotkov pri naključnih bralnih in pisalnih operacijah, kar je ključno merilo odzivnosti. Uporabniki Windows 11 Home si lahko oddahnejo, ker njihov operacijski sistem šifriranja z BitLockerjem ne omogoča. Podobno velja za Windows 10 Pro, ki ga sicer podpira, a privzeto ni vključen.

Primerjali so tri scenarije: brez šifriranja, s programskim šifriranjem (BitLocker) in s strojno podprtim šifriranjem (OPAL). Izkaže se, da je strojno podprto šifriranje praktično enako hitro kakor delovanje brez šifriranja, medtem ko je programsko šifriranje - kjer vso delo opravlja centralni procesor - bistveno počasnejše. Status lahko preverimo z ukazom manage-bde -status v ukaznem pozivu (potrebujemo administratorske privilegije). Če pod Encryption Method piše XTS-AES, je šifriranje...

19 komentarjev

TPM se zlomi v pol ure

Slo-Tech - Od nekdaj je veljalo, da je računalnik, do katerega napadalec pridobi fizični dostop, slej ko prej kompromitiran. Z razvojem novih metod zaščite, od šifriranja do posebnih varnih enklav v čipih (Trusted Platform Module oz. TPM) se postavi vprašanje, ali ta problem še vedno ostaja. Raziskovalci iz Dolos Group so nedavno pokazali, da je prestrežen računalnik kljub vsem varnostnim ukrepom še vedno ranljiv.

Proučevali so scenarij, ko podjetje zaposlenim pripravi prenosne računalnike za delo od doma. Ti upoštevajo vsa znana priporočila NSA in NIST, kar vključuje šifriranje vsebine diska, uporabo varne (TPM) strojne opreme itd. Dobili so torej računalnik, ki je bil zaščiten, hkrati pa o njem niso vedeli ničesar. Ali ga je mogoče zlomiti?

Izkaže se, da v pol ure! Čeprav klasični prijemi niso delovali (napad prek DMA, obvoz avtentikacije, pridobivanje podatkov iz vmesnika ethernet/USB itd.), je šibek člen kar TPM. Računalnik je imel šifriran disk z BitLockerjem in se je avtomatično...

17 komentarjev

Microsoft pri šifriranju ne zaupa več proizvajalcem SSD-jev

Slo-Tech - Nekateri proizvajalci SSD-jev svoje izdelke reklamirajo kot sposobne avtomatičnega šifriranja podatkov. Podatkov na takih diskov načeloma ni treba še enkrat šifrirati, če jih želimo zaščititi, pri čemer pa moramo seveda zaupati proizvajalčevi implementaciji. Microsoftov program za šifriranje BitLocker je doslej to spoštoval. Če je disk oglaševal sposobnost šifriranja, BitLocker ni še enkrat programsko šifriral datotek. To se je sedaj spremenilo.

Od 24. septembra (posodobitev KB4516071) bo BitLocker predpostavljal, da noben disk ničesar ne šifrira ne glede na informacijo, ki jo bo dobil. Spremembo bomo opazili na novih diskov, medtem ko bo na obstoječih stanje ostalo nespremenjeno.

Zakaj se je Microsoft odločil za to potezo, ni težko razumeti. V preteklosti so raziskovalci že večkrat pokazali, da je proizvajalčevo šifriranje v diskih često nezanesljivo ali luknjičasto. Nekateri so uporabljali slabe algoritme, drugi so imeli luknjičasto implementacijo. Pogosto so uporabljali...

2 komentarja

Samsungovi in Crucialovi SSD-ji ne znajo varno šifrirati

Slo-Tech - Raziskovalci z Univerze Radbound na Nizozemskem so pokazali, da imajo številni SSD-ji z vgrajenim šifriranjem velike varnostne luknje. Gre za pogone, ki imajo avtomatično šifriranje, ki se izvaja z namenskim čipom na samem pogonu (SED - self-encrypting drives). Popularni so postali zlasti v zadnjih letih, ko se je povečalo število napadov na programsko šifriranje podatkov, saj lahko v takem primeru šifrirni ključ prestrežemo v pomnilniku. Toda nova raziskava kaže (članek), da so SED še slabša rešitev.

Ranljivi so SED, ki uporabljajo specifikaciji ATA security ali TCG Opal. Glavni očitek je obstoj tovarniškega gesla, ki poleg...

31 komentarjev

Nova verzija Windows 10 onesposobila šifriranje

Neowin - Ta mesec je Microsoft izdal prvi večji paket popravkov za nov operacijski sistem Windows 10, ki opravlja enako funkcijo kot servisni paketi v prejšnjih izdajah. Običajno je prvi paket popravkov zelo pomemben, saj se številne organizacije in posamezniki šele tedaj odločijo za nadgradnjo, ker predvidevajo, da so vsaj največji hrošči zakrpani. To pot je Microsoft nekoliko zavozil, saj nadgradnja onemogoči sistem BitLocker, ki je namenjen šifriranju podatkov v Windows 10.

Kdor namesti najnovejšo verzijo Windows 10 Build 10586 in poizkusi vključiti BitLocker, ga pričaka sporočilo, da se tega ne da storiti zaradi "napačnega parametra". Če je bil BitLocker vključen že pred nadgradnjo, ostane vključen, a se ga ob morebitni izključitvi ne da ponovno vključiti. Napaka...

99 komentarjev

Raziskovalci uspeli zaobiti BitLocker zaščito tudi ob uporabljenem TPM modulu

ZDNet - Raziskovalci Fraunhoferjevega Institute for Secure Information Technology so pred kratkim objavili članek z naslovom Attacking the BitLocker Boot Process, v katerem razkrivajo kako je mogoče zaobiti BitLocker šifriranje in to celo če BitLocker uporablja TPM (Trusted Platform Module).

Njihov napad sicer temelji na Evil Maid napadu, novost pa je, da so raziskovalci uspeli onesposobiti BitLocker zaščito diska tudi v primeru uporabe strojnega TPM modula.

Enako kot pri Evil Maid napadu mora tudi tukaj napadalec najprej zagnati ciljni računalnik s pomočjo zagonskega USB ključka, nato pa mora zamenjati zagonsko kodo (tim. boot code) BitLockerja svojo. Le-ta nato ukrade geslo ter ga shrani na trdi disk, napadalec pa geslo pridobi ob naslednjem "obisku".

Očitno ima torej tudi TPM določene omejitve...

15 komentarjev