O nouă controversă lovește Microsoft, după ce un specialist de securitate susține că gigantul american ar fi implementat în secret un mecanism de acces în BitLocker, soluția de criptare a unităților de stocare integrată în Windows. Totul a pornit de la publicarea unui exploit denumit BitPixie, care ar permite extragerea cheilor BitLocker fără ca utilizatorul să își dea seama. Thomas Lambertz afirmă că mecanismul folosit de Microsoft seamănă cu un backdoor și că vulnerabilitatea există de ani de zile.
Problema vizează în special sistemele care folosesc Trusted Platform Module (TPM) fără autentificare suplimentară prin PIN sau parolă. În anumite scenarii, un atacator cu acces fizic la dispozitiv poate intercepta comunicarea dintre TPM și procesor pentru a obține cheia de criptare. Practic, vulnerabilitatea nu permite spargerea criptării propriu-zise, ci exploatează modul în care cheia este transmisă în timpul pornirii sistemului. Cu alte cuvinte, este mai degrabă o problemă de implementare decât una de criptografie. Microsoft respinge însă ideea că ar fi vorba despre un backdoor intenționat. Compania spune că acest comportament este cunoscut și că sistemele configurate corect (cu PIN sau parolă) nu sunt afectate. În plus, astfel de atacuri necesită acces fizic la dispozitiv și echipamente specializate.
Chiar și așa, incidentul aduce din nou în discuție securitatea BitLocker și compromisurile făcute de Microsoft pentru a simplifica experiența de utilizare. Configurația implicită din Windows prioritizează comoditatea, însă asta poate reduce drastic nivelul de protecție în anumite scenarii. Situația este cu atât mai sensibilă cu cât BitLocker este folosit la scară largă atât de utilizatori casnici, cât și de companii și instituții. Pentru mulți, acesta reprezintă principala metodă de protecție a datelor în cazul accesului neautorizat sau furtului.
Sursa: Techspot
