Провожаем BitLocker. Какие риски несёт популярное средство шифрования и как от них защититься

Руководитель департамента развития технологий "Аладдин Р.Д." Денис Суховей в статье, подготовленной для TAdviser, рассказывает о причинах популярности средства шифрования информации на дисках рабочих станций BitLocker, анализирует риски его применения в текущей ситуации, а также предлагает альтернативное решение на базе отечественных разработок.

Тема импортозамещения в ИТ в России тесно связана с переходом на использование ОС на базе ядра Linux, и это абсолютно оправдано. Операционная система – это один из базовых элементов ИТ-инфраструктуры. А ведущие отечественные операционные системы, например ОС Astra Linux, основаны именно на ядре свободной платформы Linux. Даже несмотря на то, что Astra Linux зрелое, развитое и хорошо зарекомендовавшее себя решение, реализация проектов по переходу на отечественное ПО занимает не менее двух-трёх лет. Все это время крупные компании вынуждены жить на старых, по сути, "небезопасных" средствах цифровизации и параллельно решать внезапно возникающие проблемы защиты информации.

В этой статье мы поговорим об одной из таких проблем. Речь пойдёт о массовом использовании удобного средства шифрования информации на дисках рабочих станций – BitLocker.

У высокой популярности данного защитного механизма есть причины, а также свои "тёмные стороны". Во‑первых, BitLocker является реальным средством защиты информации. К тому же, на рынке РФ компания Microsoft позиционировала его как бесплатное дополнение к ОС. Однако истинная причина такой лояльности к клиентам вовсе не является благородной – компания отказалась от необходимости сертификации BitLocker как СЗИ во ФСТЭК России и/или СКЗИ в ФСБ России и не имела возможности продавать BitLocker как продукт безопасности. Но вот от планов по ввозу и распространению в России этого средства Microsoft не отказывалась.

Во-вторых, BitLocker поставлялся в составе дистрибутива ОС Windows, и у клиентов складывалось ощущение, что это ПО встроено в операционную систему. Однако и это совсем не так – на практике BitLocker ведёт себя как стороннее ПО с низким уровнем интеграции в механизмы ОС Windows.

Продукт от Microsoft получил массовое распространение в отечественных организациях, десятки тысяч компьютеров были зашифрованы этим "удобным" и "бюджетным" средством защиты. Несмотря на информированность о глубинных угрозах ИБ, возникающих при использовании BitLocker (см. раздел "Вопросы эксперту"), заказчики предпочитали не рассматривать эти риски, полагаясь на аргумент о бесплатности продукта.

Когда в марте 2022 г. компания Microsoft объявила об уходе с рынка РФ, обходить острую проблему стороной стало невозможно. Именно с этого момента многие отечественные компании почувствовали всю важность импортозамещения, но, к сожалению, времени на поэтапный, мягкий переход больше не осталось. Возникла необходимость принимать экстренные антикризисные меры.

Поначалу фокус внимания бизнеса сконцентрировался на угрозе отзыва технической поддержки со стороны Microsoft. Но мало кто задумывался, что при продолжении использования BitLocker могут возникнуть проблемы посерьёзнее – например, угроза дистанционной блокировки компьютера. И действительно, сегодня уже существуют реальные примеры "включения" дистанционной блокировки зашифрованных компьютеров со стороны производителя. Даже появился соответствующий духу времени термин – "окирпичивание" компьютера. При такой блокировке ни пользователь, ни администратор компьютера не имеют доступ к зашифрованному содержимому. При этом совершенно не обязательно, что доступ к заблокированному содержимому в этот момент не имеют злоумышленники или сотрудники западных спецслужб.

В связи с такими чрезвычайными угрозами фокус внимания бизнеса перешёл на вопросы скорейшего замещения BitLocker отечественными средствами защиты информации. Масштаб таких преобразований огромен. По мнению некоторых производителей компьютерной техники парк рабочих станций в России, на начало 2022 г. превышал 5.5 млн компьютеров.

Безусловно, "окирпичивание" рабочих станций может стать крайне болезненным средством давления "коллективного запада" на опорные отечественные организации или ведомства, такие угрозы будут осуществляться не для показухи, они будут носить сугубо целевой характер и выводить из строя целые пользовательские сегменты инфраструктуры. Поэтому необходимо быстро заменить недоверенное средство защиты, которым зашифрованы все рабочие станции организации.

Каким требованиям должна соответствовать система защиты, с учётом необходимости осуществить переход в короткие сроки?

Современное средство защиты рабочих станций должно обладать следующими свойствами:

• Простота эксплуатации. Данное свойство сегодня имеет чуть ли не самое важное значение, так как замещать зарубежные средства защиты необходимо быстро и с наименьшими трудозатратами. Времени на долгую и сложную переквалификацию специалистов попросту нет.
• Функциональность. Отечественное средство защиты должно функционально быть равным или превосходить заменяемые западные продукты безопасности.
• Надёжность. Корректность механизмов защиты должна быть формально подтверждена регулирующими органами России. Средство защиты должно регулярно сертифицироваться в ФСТЭК России или ФСБ России.
• Поддержка нескольких платформ. Очевидно, что приобретение лицензий и сервиса технической поддержки продуктов компании Microsoft – вопрос тупиковый, и российские организации спешно переходят на альтернативные отечественные платформы. Поэтому заказчикам нужны средства защиты, поддерживающие соответствующие версии и для ОС Windows, и для ОС на базе Linux.
• Совместимость с сертифицированными ОС. Система защиты должна не просто поддерживать ОС семейства Linux, но быть актуальной для активно развивающихся сертифицированных операционных систем, например ОС Astra Linux. Совместимость с встроенными в ОС средствами защиты – так же вопрос немаловажный.

Вышеперечисленными свойствами обладают продукты компании "Аладдин Р.Д." линейки Secret Disk.

Как замещать с помощью Secret Disk?

Во-первых, необходимо оперативно избавиться от использования западных средств шифрования, заменив их функциональным аналогом – Secret Disk для ОС Windows (Secret Disk 5). Это позволит снять остроту проблемы в самое короткое время.

Во-вторых, для дальнейшего планомерного решения задач импортозамещения необходимо использовать специальное техническое решение компаний ГК "Астра" и "Аладдин Р.Д." – защищённая рабочая станция на базе ОС Astra Linux и Secret Disk, в котором применяется продукт Secret Disk Linux.

Какие преимущества даёт использование защищённой рабочей станции?

• Богатый инструментарий защиты "на борту" ОС. Наиболее заметной "фишкой" безопасности Astra Linux является защитный механизм МРД (мандатное управление доступом), который позволяет гибко определить правила доступа к файлам и папкам используя низкоуровневые механизмы ядра ОС. В дополнение к МРД используется механизм ограничения программной среды, позволяющий создать своеобразный профиль для каждого пользователя, выход за который будет попросту невозможен. Настройки параметров этих механизмов могут быть объединены в единую политику безопасности рабочей станции, которая управляется посредством графической консоли администратора безопасности.
• Глубоко интегрированное решение. Вышеперечисленные настройки позволяют обеспечить эффективный контроль доступа к ценной информации. В дополнение к этому, использование Secret Disk Linux позволяет обеспечить надёжную защиту конфиденциальности этой информации. Так как продукт Secret Disk Linux изначально создавался на платформе Astra Linux, все используемые механизмы шифрования и ключевая схема данного СКЗИ полноценно совместимы с средствами защиты Astra Linux.
• Замкнутая среда обработки ценной информации. Одновременное использование вышеперечисленных средств защиты позволяет создать полностью замкнутую среду обработки конфиденциальной информации. Причём, безопасная работа с такой информацией может осуществляться в недоверенной среде, например, на корпоративном ноутбуке, за пределами контролируемой зоны офиса.

Вывод

Криптографическая защита информации крайне важная мера защиты самого ценного, что есть у организации – конфиденциальной информации. Применение шифрования с помощью ненадёжных и потенциально опасных средств защиты является опрометчивым решением. Это особенно критично в период напряженной экономической и политической обстановки, поэтому вопрос замены зарубежных средств шифрования на комплексные надёжные отечественные решения, поддерживающие отечественные стандарты шифрования, требует быстрого и грамотного решения. Отечественные разработчики ПО объединяются и предлагают совместные проверенные "рецепты выживания", которые можно внедрять оперативно.

Вопросы эксперту

Насколько надёжной является защита с помощью ПО BitLocker?

Денис Суховей: Уязвимости BitLocker хорошо изучены отечественными экспертами. Ряд уязвимостей описан компанией Elcomsoft, которая выпускает специальную программу для вскрытия защиты BitLocker. Наиболее критичные уязвимости даже популяризованы некоторыми изданиями. Статья о проблемах безопасности BitL, программное средство Elcomsoft.

Денис Суховей: Максимальная стойкость BitLocker обеспечивается только тогда, когда это средство работает совместно с аппаратным модулем TPM 2.0 с запросом ПИН-кода перед загрузкой. Только в этом случае программа EFDD от Elcomsoft не может получить ключ шифрования BitLocker за секунды и предлагает взлом грубой силой – перебором пароля криптокопии ключа. В такой конфигурации модуль TPM выступает как постоянно подключённая смарт-карта, ПИН-код, который необходимо ввести для загрузки. Однако пользовательский ПИН-код у TPM один – его приходится сообщать всем пользователям компьютера, в том числе сервисному персоналу в случае ремонта или обслуживания компьютера.

Это обстоятельство равноценно уязвимости BitLocker – ПИН-код TPM сложно удержать в секрете в реальной жизни. Персональные смарт-карты и токены более надёжны, но TPM не позволяет BitLocker использовать токены для pre-boot аутентификации. Т.е., использование TPM накладывает ограничения, которые не повышают уровень защиты. Мало того, технология TPM имеет определенные проблемы безопасности, которые делают её ненадёжной. (статья о TPM и его взломе)

Действительно ли использование BitLocker является очень удобным?

Денис Суховей: Некоторая автоматизация в использовании BitLocker действительно реализована. Однако за эту автоматизацию придётся заплатить высокую цену. Уязвимость в BitLocker обусловлена "удобством для пользователя" – операционная система Windows фактически отключает защиту BitLocker при обновлениях Windows, когда система перезагружается. Вот как происходит это отключение, незаметное для пользователя: служба BitLocker расшифровывает мастер ключ системного раздела и записывает его в метаданные раздела в открытом виде, чтобы загрузчик и установщик обновлений могли смонтировать зашифрованный раздел, не отправляя запрос в TPM при перезагрузках в процессе обновления. После установки обновлений BitLocker удаляет открытый мастер-ключ и загрузка с запросом и вводом ПИН-кода возобновляется. В этой ситуации злоумышленнику достаточно присутствовать при установке обновлений или заставить систему начать их обновление, чтобы "поймать" систему в момент перезагрузки и получить мастер-ключ шифрования в открытом виде из системного раздела. И это не единственный способ получения ключа шифрования.

Какие ещё значимые уязвимости BitLocker стоит отметить?

Денис Суховей: Ещё одна уязвимость BitLocker связана с тем, как он отключает защиту. Этот процесс позволяет получить доступ к конфиденциальной информации после её удаления из компьютера. Например, при подготовке резервной копии защищённого файлового архива. При отключении защиты Windows не делает расшифрования защищённых дисковых разделов. Вместо этого продолжительного процесса ключ шифрования сохраняется в открытом виде, а сами данные фактически сохраняются зашифрованными. Зная, что конфиденциальные данные подлежат удалению с компьютера (например, для "безопасного обновления системы без риска утечки"), злоумышленник делает резервную копию защищённых разделов. После удаления конфиденциальных данных, отключения BitLocker, злоумышленник получает ключ шифрования из метаданных диска и расшифровывает им резервную копию, в которой находится интересующая его информация.