Недавняя публикация компании Dolos Group, работающей в сфере информационной безопасности, показывает, что шифрование диска с помощью BitLocker и TPM не является абсолютной защитой от взлома. Один из клиентов поручил экспертам проверить корпоративный ноутбук, в котором использовался целый набор защитных механизмов.
Диск был зашифрован BitLocker — именно это привлекло экспертов: «…ноутбук загружается непосредственно на экран входа в Windows 10. Это, в сочетании с шифрованием BitLocker, означает, что ключ дешифрования диска извлекается только из TPM, пользовательский PIN-код или пароль не требуется, что является значением по умолчанию для BitLocker…».
Таким образом, одна из главных ошибок — отсутствие PIN-кода для ключа дешифрования, который Microsoft рекомендует устанавливать, но по умолчанию он не требуется. Также отмечается: «На момент написания этой статьи BitLocker не использует какие-либо функции зашифрованной связи стандарта TPM 2.0, что означает, что любые данные, поступающие из TPM, поступают в виде открытого текста, включая ключ дешифрования для Windows». Теперь понятно, почему Microsoft требует обязательного наличия TPM 2.0 для установки Windows 11.
Далее специалисты обнаружили, через какую шину чип TPM взаимодействует с процессором и нашли на ней другие микросхемы, что упростило физическое подключение к нужным контактам и перехват данных. Как несложно догадаться, ключ был найден, а диск успешно расшифрован. Как отмечают эксперты, заранее подготовленный специалист может сделать все это за 30 минут.
