Windows har en inbyggd krypteringsfunktion som kallas Bitlocker. Den förhindrar att tjuvar som stjäl datorer kommer åt filerna som ligger sparade på datorerna. Tjuvarna kan på sin höjd rensa datorerna och sälja dem som stöldgods.
Detta är åtminstone tanken med Bitlocker. Tyvärr har säkerhetsforskaren Stacksmashing visat att flera Windows-datorer har en brist som sätter Bitlocker-skyddet ur spel. Bristen gör att resursstarka hotaktörer kan läsa filerna på Bitlocker-skyddade datorer.
I veckans poddavsnitt pratar Peter och Nikka om vad som orsakar Bitlocker-bristen, varför den inte påverkar alla datorer samt hur den kan åtgärdas. De pratar också om en falsk Lastpass-app, nya framsteg för passkeys och den oväntade nedläggningen av e-posttjänsten Skiff.
Kapitel i avsnittet
- 00.00 Inledning
- 00.43 Falsk Lastpass-app i App Store
- 06.12 Uppföljning av Lastpass dataläcka
- 07.24 Discourse stödjer passkeys
- 11.18 Inga skadeprogram i bildfiler
- 18.08 Skiff förvärvas av Notion
- 23.06 Brister i Microsoft Bitlocker
Omtalat i avsnittet
- Nyheten om falsk Lastpass-kopia i App Store
- Senaste poddavsnittet om passkeys
- Konflikten om vem som hittade på tandborsttramset
- Nytt exempel på Pegasus-attack mot journalister
- Skiffs nedläggningsnotis
- Stacksmashings video Breaking Bitlocker
- Ars Technicas artikel om Bitlocker-bristen
- Krypteringsmjukvaran Veracrypt
Vilka datorer påverkas?
Datorer påverkas av bristen ifall de har en säkerhetsprocessor (TPM) som inte är inbyggd i den huvudsakliga processorn.
Du kan undersöka om din dator är berörd genom att öppna appen Windows-säkerhet, klicka på ”Enhetssäkerhet” och välja ”Information om säkerhetsprocessor” (se 30:04 i avsnittet). Om tillverkaren av säkerhetsprocessorn är Intel, AMD eller Microsoft är säkerhetsprocessorn med högsta sannolikhet inbyggd, vilket innebär att din dator inte är sårbar. I annat fall tillhör datorn datormodellerna som påverkas av bristen.
Vad kan jag göra åt bristen?
Om din dator kör Pro- eller Enterprise-versionen av Windows 10 eller Windows 11 kan du motverka bristen genom att lägga till en kompletterande pinkod. Detta gör du genom att aktivera två gruppolicyer. Ars Technica skriver vilka gruppolicyer som du ska aktivera.
I organisationssammanhang kan IT-avdelningen rulla ut dessa gruppolicyer till alla berörda datorer i ett svep.
Jag (Karl Emil Nikka) testade gruppolicylösningen på min Lenovo Thinkpad T470 och den fungerade utmärkt. Det uppstod inte heller något problem av att jag valde ett långt lösenord i stället för en kort och knäckbar pinkod.
Finns det någon lösning för Windows Home-datorer med enhetskryptering?
Det finns ingen inbyggd lösning för Windows Home-datorer som använder Windows-funktionen Enhetskryptering. För att kunna spara filer på sådana datorer utan minsta risk för dataläckage behövs tredjepartsverktyg såsom Veracrypt.
Hej Nikka!
Vet du om det finns något säkert sätt att skydda sig mot keyloggers samt att om man matar in sitt bitlookerlösenord inne i windows så att det inte han sniffas upp på så vis?
Känner ni till någon gratis två stegs variant till Veracrypt samt Cryptomator för att undvika andledningen ovan.
Samt är det säkert att bitlooker dekryperings chippen sitter inne i processorn för tänker att det ändå alltid kan finnas någon form av backdoor?
Mvh, Erik
Hej. Har en fråga om LastPass och efterspelet efter senaste läckan. Sedan flera år har vi i familjen nyttjat tjänsten. I familjen finns en person med en omfattande ”funktionsvariation” som bl.a. innebär att det är svårt, MYCKET svårt, att lära om till nya system och rutiner. Personen kan dock nyttja mobila enheter och spelkonsoler så personen är ute på nätet, nyttjar flertalet tjänster, mm. Personen är dock ”långsam”, litar på alla, snäll och vänlig. Vi jar exempel på där LastPass varit av stor betydelse för att personen inte blivit lurad på inloggningsuppgifter och lösenordshanteraren gör att personen kan hålla sig med bra lösenordsrutiner.
Sedan LastPass föll från din och några utländska ”IT-influensers” rekommendation över rekommenderade lösenordshanterare har jag och min fru funderat över om det är värt att gå över till 1passwor. En sådan manöver skulle för familjemedlemmen med ändringssvårigheter få betydande konsekvenser under säkerligen mer än ett år.
Vi har lyssnat på dina avsnitt om LastPass-läckan om och om igen samt läst vad andra har att säga flera gånger men vi lyckas inte bli ”trygga” i om LastPass är att nu anse som så dåligt att det måste överges helt eller om det är bättre fortsätta med LastPass än att utsätta familjemedlemen för ett skifte. I ett äldre avsnitt efter att det framkommit att LastPass inte krypterade webbadresserna sägs det i Bli säker podden något i stil med att även om LastPass inte är optimalt och inte längre rekommenderas så är det bättre än ingen lösenordshanterare alls. Vi har läst liknande slutsatser och kommentarer även på andra ställen.
Hur skulle du resonera kring LadtPass om du även skulle ta hänsyn till användare som under stor möda lärt sig LastPass och fått upp en rutin i det systemet mot att lära om, vilket i praktiken betyder att personen behöver börja om med att lära sig en ny layout, nya symboler/ikoner och färger som troligrn tar över 1 år för att använda en annan tjänst? Under denna tid kommer personen antingen ha MYCKET svårt att agera självständigt med uppkopplade enheter som primärt spelkonsoler och mobila enheter alternativt vara sårbar för diverse ”lurendrejeri” från personer som vet om personens svagheter eller inser vilka de är. Frågan här är väl i grunden om ”boten är värd insatsen och riskerna det för med sig eller om boten är värre än åkomman”?
Tack för en bra fråga och för ett mycket klokt sätt att väga fördelar mot nackdelar.
När det gäller Lastpass så är tjänsten fortfarande säker. Den kommer att fortsätta användas av multinationella bolag. I situationen som du beskriver hade jag definitivt fortsatt att använda Lastpass. Ett byte från Lastpass skulle inte stärka säkerheten, tvärtom.
Det som gjorde att Lastpass föll från tronen var kombinationen av en lögn och flera dåliga beslut från Logmein (företaget som förvärvade Lastpass). Första dåliga beslutet var att begränsa gratismodellen. Andra dåliga beslutet var att skrota stödet för svenska språket i stället för att göra en ordentlig svensk översättning.
Lögnen låg i deras tekniska white-paper. I det skrev de att ”all känslig valvdata krypteras och dekrypteras uteslutande på användarens lokala enhet”. Detta visade sig inte vara sant i och med att webbadresser kunde läcka. Eftersom Lastpass inte har öppen källkod måste vi kunna lita på dokumentationen, vilket gör lögner som denna oacceptabla.
När konkurrenten Bitwarden blev stabil och kunde erbjuda en bättre tjänst med öppen källkod till ett lägre pris blev Lastpass erbjudande dessutom tämligen oattraktivt för nya användare.
Med det sagt är Lastpass inte sämre idag än tidigare. Det är framför allt konkurrensen som har blivit bättre. Så länge ni är medvetna om att Lastpass kan råka läcka webbadresserna ser jag inget skäl för er att byta lösning. Vi vet också att Lastpass arbetar på att åtgärda denna brist. 1password hade samma brist men åtgärdade den för tio år sedan. Det borde Lastpass också borde ha gjort då, men låt oss säga att det är bättre sent än aldrig att de fixar det.
För att svara på frågan: boten är värre än åkomman. Hade jag varit i er situation hade jag fortsatt att använda Lastpass. Passkeys är på ingång, så jag hade kört med Lastpass fram tills passkeys kan användas överallt. Då blir passkeys nästa stora förändring för personen i fråga.