BitLocker Şifreli Dosyalarınızı Saldırganlardan Nasıl Korursunuz?

BitLocker, Windows'ta yerleşik şifreleme teknolojisi, son zamanlarda bazı isabetler aldı. Yakın zamanda yapılan bir istisna, şifreleme anahtarlarını çıkarmak için bilgisayarın TPM yongasını çıkarmayı gösterdi ve birçok sabit disk BitLocker'ı bozuyordu. İşte BitLocker'in tuzaklarından kaçınmak için bir rehber.

Bu saldırıların hepsinin bilgisayarınıza fiziksel erişim gerektirdiğini unutmayın. İşte şifrelemenin tamamı bu – dizüstü bilgisayarınızı veya masaüstü PC'nize erişim hakkı kazanan birisini hırsızlarınızı izniniz olmadan görüntülemekten korumak için.

Standart BitLocker, Windows Girişinde Kullanılamaz

Neredeyse tüm modern tüketici işletim sistemleri varsayılan olarak şifreleme ile gönderilirken, Windows 10 hala tüm bilgisayarlarda şifreleme sağlamaz. Mac'ler, Chromebook'lar, iPad'ler, iPhone'lar ve hatta Linux dağıtımları tüm kullanıcılarına şifreleme sunar. Ancak Microsoft hala BitLocker'ı Windows 10 Home ile birlikte vermiyor.

Bazı PC'ler, Microsoft'un orijinal olarak “cihaz şifrelemesi” olarak adlandırdığı ve şimdi bazen “BitLocker cihaz şifrelemesi” olarak adlandırdığı benzer şifreleme teknolojisi ile gelebilir. Bunu bir sonraki bölümde ele alacağız. Ancak, bu cihaz şifreleme teknolojisi, tam BitLocker'dan daha sınırlıdır.

Bir Saldırgan Bunu Nasıl Keşfedebilir : İstismarlara gerek yok! Windows Home PC'niz henüz şifrelenmemişse, bir saldırgan sabit diskinizi kaldırabilir veya dosyalarınıza erişmek için PC'nizde başka bir işletim sistemini önyükleyebilir.

Çözüm : Windows 10 Professional'a yükseltme için 99 $ ödeyin ve BitLocker'ı etkinleştirin. TrueCrypt'in halefi VeraCrypt gibi ücretsiz bir şifreleme çözümü kullanmayı da düşünebilirsiniz.

İLGİLİ: Neden herkes uzağa verirse, şifreleme için neden 100 dolar harcıyor?

BitLocker Bazen Anahtarınızı Microsoft'a Yüklüyor

Pek çok modern Windows 10 PC'de “cihaz şifrelemesi” adında bir şifreleme türü bulunur. PC'niz bunu destekliyorsa, Microsoft hesabınızla (veya bir şirket ağındaki bir etki alanı hesabıyla) PC'nize giriş yaptıktan sonra otomatik olarak şifrelenir. Kurtarma anahtarı daha sonra Microsoft'un sunucularına (veya kuruluşunuzun bir etki alanındaki sunucularına) otomatik olarak yüklenir.

Bu, dosyalarınızı kaybetmekten korur; Microsoft hesap şifrenizi unutsanız ve oturum açamıyor olsanız bile, hesap kurtarma işlemini kullanabilir ve şifreleme anahtarınıza yeniden erişebilirsiniz.

Bir Saldırgan Bunu Nasıl Keşfedebilir : Bu, şifrelemeden iyidir. Ancak bu, Microsoft'un şifreleme anahtarınızı bir emriyle hükümete ifşa etmek zorunda kalabileceği anlamına gelir. Veya daha da kötüsü, bir saldırgan, hesabınıza erişmek ve şifreleme anahtarınıza erişmek için bir Microsoft hesabının kurtarma işlemini teorik olarak kötüye kullanabilir. Saldırganın PC'nize veya sabit diskinize fiziksel erişimi varsa, o zaman şifrelerinize gerek kalmadan dosyalarınızı şifresini çözmek için bu kurtarma anahtarını kullanabilirler.

Çözüm : Windows 10 Professional'a yükseltme için 99 $ ödeyin, BitLocker'ı Denetim Masası üzerinden etkinleştirin ve istendiğinde Microsoft sunucularına bir kurtarma anahtarı yüklememeyi seçin.

İLGİLİ: Windows 10'da Tam Disk Şifrelemesi Nasıl Etkinleştirilir

Birçok Katı Hal Sürücüsü BitLocker Şifrelemesini Kırıyor

Bazı katı hal sürücüleri, “donanım şifrelemesi” için destek verir. Sisteminizde böyle bir sürücü kullanıyorsanız ve BitLocker'ı etkinleştirirseniz, Windows, işi yapmakta ve normal şifreleme tekniklerini uygulamamak için sürücünüze güvenecektir. Sonuçta, sürücü işi donanımda yapabilirse, bu daha hızlı olmalıdır.

Tek bir sorun var: Araştırmacılar birçok SSD'nin bunu doğru şekilde uygulamadığını keşfetti. Örneğin, Crucial MX300 şifreleme anahtarınızı varsayılan olarak boş bir parola ile korur. Windows, BitLocker’ın etkin olduğunu söyleyebilir, ancak gerçekte arka planda çok şey yapmıyor olabilir. Bu korkutucu: BitLocker, işi yapmak için SSD'lere sessizce güvenmemelidir. Bu daha yeni bir özelliktir, bu nedenle bu sorun Windows 7'yi değil, yalnızca Windows 10'u etkiler.

Bir Saldırgan Nasıl Exploit Yapabilir : Windows BitLocker'ın etkin olduğunu söyleyebilir, ancak BitLocker boşta oturuyor olabilir ve SSD'nizin verilerinizi güvenli bir şekilde şifrelemesinde başarısız olmasına izin verir. Bir saldırgan, dosyalarınıza erişmek için yarıiletken sürücünüzde kötü uygulanmış şifrelemeyi atlayabilir.

Çözüm : Windows grup ilkesindeki “Sabit veri sürücüleri için donanım tabanlı şifreleme kullanımını yapılandır” seçeneğini “Devre Dışı” olarak değiştirin. Bu değişikliğin geçerli olması için sürücünün şifresini çözüp yeniden şifrelemelisiniz. BitLocker, sürücülere güvenmeyi durduracak ve tüm işi donanım yerine yazılımda yapacak.

İLGİLİ: Windows 10'da SSD'nizi Şifrelemek İçin BitLocker'a Güvenemezsiniz

TPM Yongaları Çıkarılabilir

Bir güvenlik araştırmacısı son zamanlarda başka bir saldırı daha gösterdi. BitLocker, şifreleme anahtarınızı, kurcalamaya dayanıklı olması gereken özel bir donanım parçası olan bilgisayarınızın Güvenilen Platform Modülünde (TPM) saklar. Ne yazık ki, bir saldırgan, TPM'den çıkarmak için 27 dolarlık bir FPGA kartı ve bazı açık kaynaklı kodlar kullanabilir. Bu donanıma zarar verir, ancak anahtarın çıkarılmasına ve şifrelemenin atlanmasına izin verir.

Bir Saldırgan Bunu Nasıl Keşfedebilir : Eğer bir saldırgan PC'nize sahipse, donanıma zarar vererek ve bu mümkün olmayan anahtarı çıkartarak tüm bu şık TPM korumalarını teorik olarak atlayabilir.

Çözüm : BitLocker'ı grup ilkesinde önyükleme öncesi bir PIN gerektirecek şekilde yapılandırın. “TPM ile başlangıç PIN'i iste” seçeneği, Windows'u başlangıçta TPM'in kilidini açmak için bir PIN kullanmaya zorlar. Bilgisayarınız Windows başlatılmadan önce önyüklendiğinde bir PIN yazmanız gerekir. Ancak bu, TPM'yi ek koruma ile kilitler ve bir saldırgan PIN'inizi bilmeden anahtarı TPM'den çıkaramaz. TPM kaba kuvvet saldırılarına karşı korur, böylece saldırganlar her PIN'i birer birer tahmin edemezler.

İLGİLİ: Windows'ta Önyükleme Öncesi BitLocker PIN'i Nasıl Etkinleştirilir

Uyuyan PC'ler Daha Hassas Olabilir

Microsoft, maksimum güvenlik için BitLocker kullanırken uyku modunun devre dışı bırakılmasını önerir. Hazırda bekletme modu iyi — PC'nizi hazırda bekletme modundan çıkardığınızda veya normal şekilde başlattığınızda BitLocker'ın bir PIN kodu almasını sağlayabilirsiniz. Ancak, uyku kipinde PC, RAM'de saklanan şifreleme anahtarı ile açık kalır.

Bir Saldırgan Bunu Nasıl Keşfedebilir : Bir saldırgan PC'nize sahipse, onu uyandırabilir ve oturum açabilir. Windows 10'da, sayısal bir PIN girmeleri gerekebilir. PC'nize fiziksel erişim ile, bir saldırgan ayrıca sisteminizin RAM içeriğini kapmak ve BitLocker anahtarını almak için doğrudan bellek erişimini (DMA) kullanabilir. Saldırgan ayrıca soğuk önyükleme saldırısı gerçekleştirebilir; çalışan bilgisayarı yeniden başlatın ve kaybolmadan önce RAM'den anahtarları alın. Bu, sıcaklığı düşürmek ve işlemi yavaşlatmak için bir dondurucunun kullanılmasını da içerebilir.

Çözüm : Bilgisayarınızı uykuda bırakmak yerine, hazırda bekletme veya kapatma. Önyükleme işlemini daha güvenli hale getirmek ve soğuk önyükleme saldırılarını engellemek için önyükleme öncesi bir PIN kullanın. BitLocker, önyükleme sırasında bir PIN gerektirecek şekilde ayarlanmışsa, hazırda bekletme modundan çalışmaya devam ederken bir PIN isteyecektir. Windows ayrıca bir grup ilkesi ayarıyla “bu bilgisayar kilitlendiğinde yeni DMA aygıtlarını devre dışı bırakmanıza” izin verir; saldırgan PC'niz çalışırken PC'nize ulaşsa bile bazı koruma sağlar.

İLGİLİ: Dizüstü Bilgisayarınızı Kapatmalı mı, Uyutmalı mı veya Hazırda Bekletmeli mi?

Konuyla ilgili daha fazla okuma yapmak istiyorsanız, Microsoft'un Bitlocker'ı web sitesinde güvenceye almak için ayrıntılı belgeleri vardır.