Informatica Generale, Microsoft, privacy, Sicurezza Informatica

Bitlocker e il quel “buco” nel firmware

BitLocker è una funzionalità di protezione dei dati integrata nei sistemi operativi Microsoft. Per impostazione di default viene usato l’algoritmo di crittografia AES nella modalità CBC con una chiave di 128 bit.

BitLocker garantisce tre modalità operative. Le prime due modalità richiedono un dispositivo hardware per la cifratura, ovvero un Trusted Platform Module (versione 1.2 o successivo) e un BIOS compatibile:

a. Modo operativo trasparente: questa modalità sfrutta le capacità dell’hardware TPM 1.2 per garantire una esperienza di utilizzo trasparente; l’utente effettua il login al sistema operativo normalmente. La chiave usata per la criptazione del disco rigido viene memorizzata (in forma sempre crittografata) all’interno del chip TPM che viene restituita al loader del Sistema Operativo solo se i file di avvio appaiono non manomessi. I componenti pre-OS di BitLocker sfruttano la endorsement key.

b. Modo autenticazione utente: questa modalità richiede che l’utente inserisca una chiave di autenticazione nell’ambiente pre-boot in modo da poter avviare il sistma operativo. Due diversi modi di autenticazione sono supportati: un PIN inserito dall’utente oppure un dispositivo USB che contiene la chiave di avvio necessaria

c. Chiave USB: l’utente deve inserire un dispositivo USB che contiene la chiave di avvio nel computer per poter avviare il sistema operativo protetto. È da notare che questa modalità richiede che il BIOS sulla macchina protetta supporti la lettura dei dispositivi USB nell’ambiente pre-OS.

Fatto questo excursus tecnico passiamo alla pratica; BitLocker ha una senso di esistere in tutti quei dispositivi (personali o aziendali) che hanno la caratteristica di essere “portatili” e quindi soggetti all’esposizione ad ambiente extra-aziendale, è una valida soluzione per proteggere le info aziendali dato che sappiamo benissimo che la sola password di dominio non ha questa grandissima robustezza.

Attivare BitLocker è estremamente semplice, ma consiglio di eseguire l’operazione dopo aver letto questi punti fondamentali :

  1. BitLocker non si attiva da solo, se non siete avvezzi alla procedura o in generale vi sentite poco sicuri fatevi assistere/consigliare da un esperto;
  2. Se optate per l’autenticazione utente, dovrete scegliere una password che passerete al sistema di crittografia il quale, tramite algoritmo AES genererà una chiave numerica di 48 caratteri. Questa chiave vi verrà richiesta poi per accedere al PC in caso di problemi di sicurezza, senza questa chiave non accederete al PC.
  3. Leggete bene il punto 1) perché l’azione di BitLocker se fatta in modo errato è IRREVERSIBILE, al momento l’unico modo per riutilizzare il PC se si perde la chiave di ripristino è quello di formattare l’intero Hard Drive.

Vediamo quindi quali sono i passi per attivare questa funzionalità :

Per prima cosa dobbiamo andare in Computer (o Risorse del Computer se ante Win 8) e scegliere tra i vari dischi quale su quale unità vogliamo attivare il BitLocker. L’azione è semplice, tasto destro sull’unità e click sinistro su Attiva BitLocker.

Il sistema inizierà la procedura guidata e articolata per portare a termine l’operazione; si inizia scegliendo il metodo di sblocco, consiglio il primo ovvero una password dalla quale poi l’algoritmo genererà la chiave di ripristino, va ripetuta e va cliccato il pulsante ‘Avanti‘.

Secondo poi viene chieste un metodo per mettere al sicuro questa chiave, in modo che sia possibile all’utente accedervi anche qualora l’unità non fosse accedibile (appunto perché criptata) è possibile salvarla in un file .TXT (esportabile in un drive esterno) oppure stamparla su carta. Questa operazione è fondamentale a meno che non si prenda nota manualmente della chiave alla fine dell’operazione (cosa che sconsiglio in quanto basterebbe riportare male un carattere per compromettere tutto).

Il sistema chiede poi un ulteriore intervento all’utente invitandolo a scegliere se vuole applicare la codifica all’intera unità o solo alla porzione contenente dati. In questo caso la scelta impatterà sulla durata della codifica, per chi attiva il BitLocker ma utilizza già da tempo il PC è consigliabile crittografare l’intera unità per avere la certezza di proteggere tutto.

Ultima scelta riguarda la modalità di crittografia, si può decidere di usare a modalità XTS-AES introdotta dopo l’update 1511 di Windows 10, molto più efficiente ma non compatibili con le versioni precedenti oppure optare in sicurezza per una modalità compatibile.

Il procedimento termina con la richiesta finale di Avvio della crittografia e con gli avvisi di rito che Windows ci riporta.

Una volta cliccato su Avvia Crittografia questa partirà e terrà visibile a monitor una loading bar con la percentuale di avanzamento sino a conclusione.

Al termine di tutto l’unità sarà protetta, i file saranno crittografati.

Fino a qui tutto bene. O almeno fino a quando il firmware della macchina non si mette in mezzo.

Esiste infatti un “buco” noto e tale per cui senza un reale motivo apparente, BitLocker decida , all’avvio, di richiedere la chiave di ripristino come se stesse cercando di proteggere i dati.

In realtà il motivo esiste e ve lo spiego: questa situazione si genera a seguito di un cambio di versione di Firmware BIOS che modifica determinati parametri di Avvio.

BitLocker infatti monitora i cambiamenti nell’avvio e configurazione del sistema e quando rileva un nuovo dispositivo nell’elenco di avvio o un dispositivo di archiviazione esterno o una modifica nella gestione di questi, sollecita una chiave per motivi di sicurezza. Questo è il normale funzionamento, se atteso, un pò meno se si viene colti alla sprovvista, tipo qualora ci si trovi momentaneamente senza la chiave di ripristino e comunque è impensabile dover inserire una chiave di 48 caratteri ogni volta che si avvia il PC.

Le impostazioni in questione riguardano il supporto di avvio USB-C/Thunderbolt 3 (TBT) e il pre-avvio del TBT che nel salto di firmware probabilmente cambiando stato passando da non attivo ad attivo.

Disattivando queste opzioni nel BIOS, Thunderbolt /USB-C sono rimossi dall’elenco di avvio e BitLocker non li rileva.

Salvando e riavviando la macchina tutto tornerà a funzionare anche senza la chiave di ripristino.