1. #1
    Cadet 3rd Year
    Dabei seit
    Sep 2010
    Beiträge
    48

    Frage zu Bitlocker

    Hallo liebe Experten,

    ich habe eine theoretische Frage zu Bitlocker. Ausgangslage: Jemand stiehlt mein Notebook und will an meine Daten auf der SSD gelangen.

    Fall A) Das Notebook ist lediglich mit einem Windows-Passwort gesichert.
    Fall B) Das Notebook ist mit keinem Windows-Passwort gesichert, aber mit Bitlocker mit aktiviertem TPM.
    Fall C) Das Notebook ist sowohl mit Windows-Passwort, als auch mit Bitlocker mit aktiviertem TPM gesichert.

    Frage: Ist es dem Dieb möglich, an meine Daten zu gelangen?

    Nun, ich denke Fall A und B kann man relativ einfach beantworten: Bei Fall A muss der Dieb einfach nur ein alternatives OS booten und hat Zugriff auf all meine unverschlüsselten Daten oder er baut die SSD aus und schließt sie an einen anderen PC an. Bei Fall B sind die Daten auf der SSD zwar verschlüsselt, aber alles, was er tun muss, ist das Notebook einzuschalten, und nachdem ja Bitlocker mit TPM per default kein weiteres Passwort verlangt, wird die Platte entschlüsselt und er hat Zugriff darauf.

    Aber wie sieht es mit Fall C aus? Gibt es eine Möglichkeit, von einem ausgeschalteten Notebook, welches mit Windows-Passwort, als auch mit Bitlocker mit aktiviertem TPM gesichert ist, Zugriff auf die Daten zu gelangen? (Von Bruteforce mal abgesehen)

    Lg

  2. Anzeige
    Logge dich ein, um diese Anzeige nicht zu sehen.
  3. #2
    Lt. Commander
    Dabei seit
    Jun 2004
    Beiträge
    1.922

    AW: Frage zu Bitlocker

    Hi,

    nein, da er dazu den Bitlocker Recovery Key bräuchte. Wenn er die Disk in einen anderen Rechner einbaut, kann er sie nicht booten (TPM im anderen PC hat den Entschlüsslungkey nicht). Über Boot-CD auf Festplatte zugreifen geht auch nicht, da sie ja verschhlüsselt ist und er Dieb den Recovery Key bräuchte um darauf zuzugreifen.
    Also kann er noch dein Windowspasswort knacken, wenn er die Platte in deinem PC lässt und bootet. Das aber nur durch ausprobieren. Bzw. durch das Einstecken virenverseuchter USB Sticks (o.ä.) die Sicherheitslücken ausnutzen die keine Userinteraktion vorraussetzen. Um das zu verhindern musst du noch einen Bitlocker Pin einrichten, der bei jedem Booten abgefragt wird. Dann kann der Dieb den Rechner gar nicht erst bis zum Windows Login Screen booten.

    Grüße,
    ntloader

  4. #3
    Lieutenant
    Dabei seit
    Feb 2015
    Beiträge
    563

    AW: Frage zu Bitlocker

    Zu Fall B) mit einem alternativen OS booten und drauf zugreifen geht nicht
    Fall C) falls das OS mit einem Microsoft Account verknüpft war liegt der Recovery Key wahrscheinlich bei OneDrive, damit ließe es sich entsperren. https://www.heise.de/newsticker/meld...d-3056977.html
    ASUS Z97 Pro Gamer • Core i7-4790K@4.4GHz • 2 x 8GB Corsair Vengeance Pro CMY16GX3M2A2400C11 / DDR3@2400 MHz • MSI GTX1070 / 8GB GDDR5 • Arctic Liquid Freezer 240
    fasziniert von Bugs & Backdoors

  5. #4
    Captain
    Dabei seit
    Dez 2013
    Ort
    Berlin
    Beiträge
    3.775

    AW: Frage zu Bitlocker

    Und dann ist es auch egal, ob du jetzt ein Windows-Passwort oder ein Bitlocker-Pin hast. Letzteres ist solange sicher, wie BitLocker nicht geknackt ist.
    signature.load()

  6. #5
    Captain
    Dabei seit
    Mai 2010
    Beiträge
    3.289

    AW: Frage zu Bitlocker

    Ja. Kommt darauf an, welches BS lief und wie es runtergefahren wurde.
    Denn theoretisch kann man aus dem RAM das PW auslesen.
    Da bei bestimmten Ruhezuständen der Inhalt des RAM auf die HDD gespeichert wird. wäre es theoretisch möglich, diesen auszulesen.
    Es sei denn man hat gesamte SSD verschlüsselt.
    Dann würde es nur gehen, wenn das Notebook eingeschaltet geklaut wird...
    In diesem Fall kann man den RAM Inhalt sichern und theoretisch das PW extrahieren.

    In der Praxis ist das natürlich eher unwahrscheinlich...

    Und ja, ich sowas schon einmal versuchsweise erfolgreich gemacht...
    Geändert von Bartmensch (09.11.2017 um 13:27 Uhr)
    Gamer PC: Phenom II X6-1090T Mhz, ASROCK A790GX128M,SB XiFi PCI,4*4GB 800 DDR2-RAM, MSI R9 280X GAMING, HDD 1 TB + 750B, CM Storm Scout+ 2*USB3.0 Front(PCIE),Win 7Prox64 und Win 10 Pro x64(240 GB SSD Cruzial M400),Multimedia PC: AMD FX8320 ,Gigabyte GA970UD3P, 2*4+2*8 GB DDR3-1600 RAM,Gigabyte G1 Gaming RX480 8GB ,SB Z,HDD 500GB ,240 GB SSD Transcend, Win 10x64

  7. #6
    Lieutenant
    Dabei seit
    Feb 2015
    Beiträge
    563

    AW: Frage zu Bitlocker

    @Bartmensch, das ginge nur in dem Fall, dass pagefile.sys auf einem unverschlüsselten Volume liegt.
    Aber auch dazu gibt's Abhilfe: https://www.ghacks.net/2011/04/04/en...rove-security/
    ASUS Z97 Pro Gamer • Core i7-4790K@4.4GHz • 2 x 8GB Corsair Vengeance Pro CMY16GX3M2A2400C11 / DDR3@2400 MHz • MSI GTX1070 / 8GB GDDR5 • Arctic Liquid Freezer 240
    fasziniert von Bugs & Backdoors

  8. #7
    Lt. Commander
    Dabei seit
    Jun 2004
    Beiträge
    1.922

    AW: Frage zu Bitlocker

    Und dann ist es auch egal, ob du jetzt ein Windows-Passwort oder ein Bitlocker-Pin hast. Letzteres ist solange sicher, wie BitLocker nicht geknackt ist.
    Nein, das macht einen großen Unterschied. Hast du zusätzlich noch einen Bitlocker Pin konfiguriert können dir Windows Sicherheitlücken egal sein, weil das Angreifer gar nicht erst soweit kommt, das OS zu booten.

  9. #8
    Cadet 3rd Year
    Ersteller dieses Themas

    Dabei seit
    Sep 2010
    Beiträge
    48

    AW: Frage zu Bitlocker

    Vielen Dank für eure Antworten!

    Zitat Zitat von ntloader Beitrag anzeigen
    Also kann er noch dein Windowspasswort knacken, wenn er die Platte in deinem PC lässt und bootet. Das aber nur durch ausprobieren. Bzw. durch das Einstecken virenverseuchter USB Sticks (o.ä.) die Sicherheitslücken ausnutzen die keine Userinteraktion vorraussetzen.
    Genau das interessiert mich. Gibt es tatsächlich solche Tools, die den Windows-Passwort-Schutz umgehen, ohne die SSD auszubauen? Hast du da was konkretes oder vermutest du nur?

    Zitat Zitat von TheLastHotfix Beitrag anzeigen
    Zu Fall B) mit einem alternativen OS booten und drauf zugreifen geht nicht
    Das habe ich auch nicht behauptet - bitte genau lesen.

    Zitat Zitat von TheLastHotfix Beitrag anzeigen
    Fall C) falls das OS mit einem Microsoft Account verknüpft war liegt der Recovery Key wahrscheinlich bei OneDrive, damit ließe es sich entsperren.
    Aber nur, wenn der Benutzer dies bei der Bitlocker Einrichtung explizit auswählt. [1] Wer das tut, ist selbst schuld.

    Zitat Zitat von Bartmensch Beitrag anzeigen
    Da bei bestimmten Ruhezuständen der Inhalt des RAM auf die HDD gespeichert wird. wäre es theoretisch möglich, diesen auszulesen. Es sei denn man hat gesamte SSD verschlüsselt. Dann würde es nur gehen, wenn das Notebook eingeschaltet geklaut wird.
    Natürlich würde ich mit Bitlocker die gesamte SSD verschlüsseln. [2] Und wie ich ja geschrieben habe, ist davon auszugehen, dass es ausgeschalten gestohlen wird.

    Zitat Zitat von ntloader Beitrag anzeigen
    Hast du zusätzlich noch einen Bitlocker Pin konfiguriert können dir Windows Sicherheitlücken egal sein, weil das Angreifer gar nicht erst soweit kommt, das OS zu booten.
    Sind dir solche Sicherheitslücken bekannt? Dass die Verwendung einer zusätzlichen PIN zu Bitlocker ratsam ist, ist mir klar.

    [1] https://youtu.be/5o9zGAOOg4c?t=7m36s
    [2] https://youtu.be/5o9zGAOOg4c?t=8m34s
    Geändert von Neo Phontane (09.11.2017 um 14:32 Uhr)

  10. #9
    Lt. Commander
    Dabei seit
    Jun 2004
    Beiträge
    1.922

    AW: Frage zu Bitlocker


  11. #10
    Cadet 3rd Year
    Ersteller dieses Themas

    Dabei seit
    Sep 2010
    Beiträge
    48

    AW: Frage zu Bitlocker

    Zitat Zitat von ntloader Beitrag anzeigen
    Der Artikel behandelt USB-Stick-Trojaner. Der beschriebene Angriffsvektor funktioniert nur dann, wenn bereits ein User in Windows angemeldet ist. Das ist in meinem beschriebenen Szenario nicht der Fall.

    Ich fand zwar so einige Berichte über Windows-Passwort-Sicherheitslücken (zB [1]), aber imho würde keine der beschriebenen Angriffe funktionieren, wenn Bitlocker aktiviert ist und der Angreifer noch keinen Zugriff auf das System hat. Da auch sonst niemand hier etwaige Sicherheitslücken aufgezeigt hat, scheint meine oben beschriebene Variante C) zumindest derzeit relativ sicher zu sein. Klar können immer neue Sicherheitlücken zu Windows bzw. Bitlocker auftauchen. Und klar ist Bitlocker mit PIN viel sicherer als ohne, aber mich hat eben interessiert, ob die Kombination Windows-Passwort und Bitlocker mit TPM theoretisch derzeit bereits ausreichend ist.

    [1] https://youtu.be/eIX1mtS2E88
    Geändert von Neo Phontane (10.11.2017 um 16:45 Uhr)

  12. #11
    Lt. Commander
    Dabei seit
    Jun 2004
    Beiträge
    1.922

    AW: Frage zu Bitlocker

    Dein verlinktes Video zeigt ja einen Angriff der so seit 20 Jahren funktioniert. Mit Bitlocker allerdings nicht. Die alte Regel: Ist dein Rechner gestartet (egal ob gebitlockert oder nicht) und der Angriffer kann physikalisch über das Gerät verfügen, hast du verloren.

  13. #12
    Cadet 3rd Year
    Ersteller dieses Themas

    Dabei seit
    Sep 2010
    Beiträge
    48

    AW: Frage zu Bitlocker

    Das ist völlig klar. Deswegen habe ich auch ausdrücklich geschrieben, dass das Szenario ein ausgeschaltetes Notebook ist.

  14. #13
    Lt. Commander
    Dabei seit
    Jun 2004
    Beiträge
    1.922

    AW: Frage zu Bitlocker

    Dann is ja alles klar

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Forum-Layout: Feste Breite / Flexible Breite