Toon posts:

Klant pc beveiligen tegen kopiëeren - check mijn werkwijze

Pagina: 1
Acties:

Vraag

woensdag 29 december 2021 20:51

Acties:
  • 0Henk 'm!
  • Tiberium
  • Registratie: Oktober 2001
  • Laatst online: 02-03 14:22

Tiberium

/w Flux-Capacitor

Topicstarter
Ik heb een applicatie die op een pc staat en die pc komt bij een klant van me te staan. Die applicatie gebruikt bronbestanden die veel geld waard zijn en waarvan ik wil voorkomen dat er een kopie van wordt gemaakt (ivm reverse engineering). Maar die applicatie moet (gevoed door achterliggende bestanden) wel kunnen draaien bij die klant, want die betaalt mij daarvoor.

Ik wil de kans zo klein mogelijk maken dat bepaalde bestanden van die pc gekopieerd worden. Daarvoor heb ik een oplossing bedacht die ik graag bij jullie wil toetsen:

Ik wil een windows 10 (of 11) pc in kiosk modus laten draaien, waarbij alleen de ene applicatie die die klant nodig heeft op te starten is. Ik zet bitlocker op die pc en zorg dat er alleen van dat volume geboot kan worden. Uiteraard bios/uefi password erop. PC is uitgerust met fTPM.

De zwakke plek die ik hierin zie is dat iemand (kwaadwillende medewerker van dat bedrijf) een bios reset doet, van usb stick gaat booten (middels zo'n linux distro waarmee je windows passwords kan resetten) en dan administrator acces krijgt tot windows. Dan heeft het hele bitlocker geen zin meer (voor zover ik begrijp is dat alleen een offline attack preventie) en kunnen mijn files gekopieerd worden.

Die bios reset kan ik dan wel wat hinderen door een slot op de pc case te doen of met lock bolts te werken, maar echt voorkomen kan ik het niet.

Klopt mijn redenering?
Zijn er nog andere oplossingen om te voorkomen dat die files geript worden?
Is er niet een manier om een "koppeling" te maken middels een stukje software, waarmee ik die files kan encrypten en ze alleen maar te lezen zijn door die ene specifieke aplicatie?

"Watch this.... when this baby hits 88 Mph.... we're gonna see some serious shit"

Beste antwoord (via Tiberium op 29-12-2021 21:23)

woensdag 29 december 2021 21:18

  • osmosis
  • Registratie: December 2009
  • Laatst online: 29-03 10:17

osmosis

Via Linux kan je alleen een bitlocker volume benaderen als je de herstel sleutel hebt.

Ik neem aan dat je deze niet vrij geeft?

Alle reacties

woensdag 29 december 2021 20:56

Acties:
  • +8Henk 'm!
  • sypie
  • Registratie: Oktober 2000
  • Niet online

sypie

En wat als jij dat systeem host/laat hosten en de klant remote er op kan werken? Dan is er geen fysieke toegang tot het systeem en de klant kan wel z'n werk doen. Op die manier kun je zelf beheren wat de klant wel en niet kan doen op afstand.

woensdag 29 december 2021 20:59

Acties:
  • +1Henk 'm!
  • Kheos
  • Registratie: Juni 2011
  • Nu online

Kheos

Tiberium schreef op woensdag 29 december 2021 @ 20:51:
Ik wil de kans zo klein mogelijk maken dat bepaalde bestanden van die pc gekopieerd worden.
Daar ga je in de fout.
Ze kunnen de harde schijf eruit sleutelen, ze kunnen idd via Linux booten, ze kunnen 1001 zaken bedenken waar jij niet aan gedacht had.
Maar da's irrelevant. Wat jij niet wil is dat ze de bestanden kunnen lezen; kopiëren zou geen enkel probleem mogen zijn.
En als je dat wil oplossen kun je die bestanden toch gewoon versleutelen?

woensdag 29 december 2021 20:59

Acties:
  • 0Henk 'm!
  • Tiberium
  • Registratie: Oktober 2001
  • Laatst online: 02-03 14:22

Tiberium

/w Flux-Capacitor

Topicstarter
Thx voor je snelle reactie, helaas werkt dat niet, het betreft een VR applicatie en ik verwacht latency problemen die de ervaring gaat verstoren dan...

"Watch this.... when this baby hits 88 Mph.... we're gonna see some serious shit"

woensdag 29 december 2021 21:01

Acties:
  • 0Henk 'm!
  • Tiberium
  • Registratie: Oktober 2001
  • Laatst online: 02-03 14:22

Tiberium

/w Flux-Capacitor

Topicstarter
Kheos schreef op woensdag 29 december 2021 @ 20:59:
[...]

Daar ga je in de fout.
Ze kunnen de harde schijf eruit sleutelen, ze kunnen idd via Linux booten, ze kunnen 1001 zaken bedenken waar jij niet aan gedacht had.
Maar da's irrelevant. Wat jij niet wil is dat ze de bestanden kunnen lezen; kopiëren zou geen enkel probleem mogen zijn.
En als je dat wil oplossen kun je die bestanden toch gewoon versleutelen?
Als ze de hdd eruit halen is geen probleem, dan lopen ze tegen bitlocker aan.
Ja idd, ik wil de files heel graag versleutelen, maar het probleem is als ik dat doe, de applicatie die die files nodig heeft ze ook niet meer kan lezen?

"Watch this.... when this baby hits 88 Mph.... we're gonna see some serious shit"

woensdag 29 december 2021 21:03

Acties:
  • +1Henk 'm!
  • Kheos
  • Registratie: Juni 2011
  • Nu online

Kheos

Tiberium schreef op woensdag 29 december 2021 @ 21:01:
[...]


Als ze de hdd eruit halen is geen probleem, dan lopen ze tegen bitlocker aan.
Ja idd, ik wil de files heel graag versleutelen, maar het probleem is als ik dat doe, de applicatie die die files nodig heeft ze ook niet meer kan lezen?
Tenzij de applicatie die ontsleutelt voor hij die nodig heeft?

woensdag 29 december 2021 21:04

Acties:
  • 0Henk 'm!
  • Tiberium
  • Registratie: Oktober 2001
  • Laatst online: 02-03 14:22

Tiberium

/w Flux-Capacitor

Topicstarter
Kheos schreef op woensdag 29 december 2021 @ 21:03:
[...]

Tenzij de applicatie die ontsleutelt voor hij die nodig heeft?
Ja precies! zoiets zoek ik! zit er al een hele tijd naar te zoeken, maar nog niets gevonden wat dat kan. Heb je suggesties?

"Watch this.... when this baby hits 88 Mph.... we're gonna see some serious shit"

woensdag 29 december 2021 21:05

Acties:
  • 0Henk 'm!
  • sjaakwortel
  • Registratie: April 2009
  • Laatst online: 14:51

sjaakwortel

Kheos schreef op woensdag 29 december 2021 @ 21:03:
[...]

Tenzij de applicatie die ontsleutelt voor hij die nodig heeft?
Dit is toch ook hoe veel copy protection van games werkt. Ik denk dat je hier gewoon oplossingen van kan kopen, zoals denuvo enzo, maar de vraag is of het een wedloop is waar je aan mee wil doen. Term die je zoekt is in iedergeval drm.

[Voor 4% gewijzigd door sjaakwortel op 29-12-2021 21:09]

woensdag 29 december 2021 21:10

Acties:
  • 0Henk 'm!
  • Tiberium
  • Registratie: Oktober 2001
  • Laatst online: 02-03 14:22

Tiberium

/w Flux-Capacitor

Topicstarter
sjaakwortel schreef op woensdag 29 december 2021 @ 21:05:
[...]


Dit is toch ook hoe veel copy protection van games werkt. Ik denk dat je hier gewoon oplossingen van kan kopen, zoals denuvo enzo, maar de vraag is of het een wedloop is waar je aan mee wil doen.
Ah das een interessant idee inderdaad. punt is wel dat die applicatie niet door ons is ontwikkeld, die is van een andere partij... en bij mijn weten moeten dit soort anti piracy beveiligingen altijd geintegreerd worden in de applicatie zelf... maar ik ga ook eens wat op dit spoor zoeken dankje.

Om mijn vraag of mijn redenering klopt dat de bios reset idd de zwakke plek is, wat denk jij/jullie hiervan?

"Watch this.... when this baby hits 88 Mph.... we're gonna see some serious shit"

woensdag 29 december 2021 21:12

Acties:
  • +2Henk 'm!
  • sjaakwortel
  • Registratie: April 2009
  • Laatst online: 14:51

sjaakwortel

Tiberium schreef op woensdag 29 december 2021 @ 21:10:
[...]

Ah das een interessant idee inderdaad. punt is wel dat die applicatie niet door ons is ontwikkeld, die is van een andere partij... en bij mijn weten moeten dit soort anti piracy beveiligingen altijd geintegreerd worden in de applicatie zelf... maar ik ga ook eens wat op dit spoor zoeken dankje.

Om mijn vraag of mijn redenering klopt dat de bios reset idd de zwakke plek is, wat denk jij/jullie hiervan?
Als je tpm/secure boot gebruikt kan je niet zomaar de bios resetten toch ?

woensdag 29 december 2021 21:13

Acties:
  • +1Henk 'm!
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 16:11

HKLM_

sjaakwortel schreef op woensdag 29 december 2021 @ 21:12:
[...]

Als je tpm/secure boot gebruikt kan je niet zomaar de bios resetten toch ?
Waarom zou dat niet kunnen? Wij gebruiken op het werk TPM en SecureBoot en ik kan de bios gewoon een factory reset, geven als ik wil :P

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀

woensdag 29 december 2021 21:14

Acties:
  • 0Henk 'm!
  • Tiberium
  • Registratie: Oktober 2001
  • Laatst online: 02-03 14:22

Tiberium

/w Flux-Capacitor

Topicstarter
HKLM_ schreef op woensdag 29 december 2021 @ 21:13:
[...]


Waarom zou dat niet kunnen? Wij gebruiken op het werk TPM en SecureBoot en ik kan de bios gewoon een factory reset, geven als ik wil :P
ja dat leek mij ook. En dan kan je booten vanaf zo'n linux distro, windows admin acces krijgen... en dan is het gedaan met de koopman. Toch hoor ik meer mensen zeggen dat dat niet zou kunnen. Dat TPM dat tegen houdt, iemand zei zelfs dat je bios wachtwoord dan in je TPM zit... maar dat lijkt me heel onwaarschijnlijk. Toch hoop ik dat het wel zo werkt... 8)7

[Voor 26% gewijzigd door Tiberium op 29-12-2021 21:16]

"Watch this.... when this baby hits 88 Mph.... we're gonna see some serious shit"

woensdag 29 december 2021 21:18

Acties:
  • +1Henk 'm!
  • sjaakwortel
  • Registratie: April 2009
  • Laatst online: 14:51

sjaakwortel

Tiberium schreef op woensdag 29 december 2021 @ 21:14:
[...]


ja dat leek mij ook. En dan kan je booten vanaf zo'n linux distro, windows admin acces krijgen... en dan is het gedaan met de koopman. Toch hoor ik meer mensen zeggen dat dat niet zou kunnen. Dat TPM dat tegen houdt, iemand zei zelfs dat je bios wachtwoord dan in je TPM zit... maar dat lijkt me heel onwaarschijnlijk. Toch hoop ik dat het wel zo werkt... 8)7
https://security.stackexc...on-be-broken-by-live-boot als het goed is zou dat dus niet moeten werken.

woensdag 29 december 2021 21:18

Acties:
  • Beste antwoord
  • +4Henk 'm!
  • osmosis
  • Registratie: December 2009
  • Laatst online: 29-03 10:17

osmosis

Via Linux kan je alleen een bitlocker volume benaderen als je de herstel sleutel hebt.

Ik neem aan dat je deze niet vrij geeft?

woensdag 29 december 2021 21:18

Acties:
  • +10Henk 'm!
  • Dieks77
  • Registratie: November 2009
  • Laatst online: 14:36

Dieks77

Kun je het niet oplossen met een soort NDA met een dikke boete beding?

woensdag 29 december 2021 21:19

Acties:
  • +1Henk 'm!
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 16:11

HKLM_

Kan je de bestanden niet in een mountable VHDX plaatsen en deze read-only maken. En de applicatie naar die VHDX laten verwijzen? Of je applicatie draaien in een read-only docker container welke lokaal op de pc draait?

[Voor 25% gewijzigd door HKLM_ op 29-12-2021 21:21]

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀

woensdag 29 december 2021 21:20

Acties:
  • +2Henk 'm!
  • Trubo
  • Registratie: April 2005
  • Laatst online: 16:35

Trubo

Als Windows niet gestart is, dan is de schijf toch nog steeds encrypted. Hoe wil je dan met een tool het wachtwoord resetten?

Als dat wel zo is dan wil ik graag weten hoe het werkt :)

woensdag 29 december 2021 21:21

Acties:
  • 0Henk 'm!
  • Tiberium
  • Registratie: Oktober 2001
  • Laatst online: 02-03 14:22

Tiberium

/w Flux-Capacitor

Topicstarter
osmosis schreef op woensdag 29 december 2021 @ 21:18:
Via Linux kan je alleen een bitlocker volume benaderen als je de herstel sleutel hebt.

Ik neem aan dat je deze niet vrij geeft?
Zoals ik de werking van bitlocker begrijp (nog weinig gebruikt) is dat ik de drive ermee encrypt. Zolang deze drive benaderd wordt met het OS waarmee ie ook geencrypt is en er geen wijzigingen zijn aan de hardware: dan kan je gewoon windows opstarten als normaal en doen wat je wilt. Pas als je de drive in een andere pc hangt moet je de bitlocker code invoeren. Hoop dat dit klopt?
In dat geval nee, die key ga ik niet geven aan de klant dan, want die zou m nooit nodig hebben als ie zich aan onze afspraken houdt.

Maar jij suggereert dus... dat booten vanaf een linux distro dan geen zin heeft...omdat die de drive niet kan lezen omdat die geencrypt is?

"Watch this.... when this baby hits 88 Mph.... we're gonna see some serious shit"

woensdag 29 december 2021 21:21

Acties:
  • +1Henk 'm!
  • Tiberium
  • Registratie: Oktober 2001
  • Laatst online: 02-03 14:22

Tiberium

/w Flux-Capacitor

Topicstarter
Dieks77 schreef op woensdag 29 december 2021 @ 21:18:
Kun je het niet oplossen met een soort NDA met een dikke boete beding?
Absoluut, dat is al geregeld. Maar voorkomen is beter dan genezen leek me. Dus ik ga voor de double whammy >:)

"Watch this.... when this baby hits 88 Mph.... we're gonna see some serious shit"

woensdag 29 december 2021 21:23

Acties:
  • +1Henk 'm!
  • Tiberium
  • Registratie: Oktober 2001
  • Laatst online: 02-03 14:22

Tiberium

/w Flux-Capacitor

Topicstarter
Trubo schreef op woensdag 29 december 2021 @ 21:20:
Als Windows niet gestart is, dan is de schijf toch nog steeds encrypted. Hoe wil je dan met een tool het wachtwoord resetten?

Als dat wel zo is dan wil ik graag weten hoe het werkt :)
Dit had ik me niet gerealiseerd, net als net al gezegd werd inderdaad! Ik dacht dat bitlocker pas moeilijk ging doen als je fysiek de hardware wijzigt. Maar dat is dus niet zo?

"Watch this.... when this baby hits 88 Mph.... we're gonna see some serious shit"

woensdag 29 december 2021 21:23

Acties:
  • +1Henk 'm!
  • osmosis
  • Registratie: December 2009
  • Laatst online: 29-03 10:17

osmosis

Tiberium schreef op woensdag 29 december 2021 @ 21:21:
[...]

Maar jij suggereert dus... dat booten vanaf een linux distro dan geen zin heeft...omdat die de drive niet kan lezen omdat die geencrypt is?
Ja. Probeer het maar op een test laptop!
Bitlocker windows installatie en vervolgens booten met een Linux live usb.
Je kan niet de windows partitie ontgrendelen zonder herstelsleutel.

woensdag 29 december 2021 21:26

Acties:
  • +2Henk 'm!
  • Tiberium
  • Registratie: Oktober 2001
  • Laatst online: 02-03 14:22

Tiberium

/w Flux-Capacitor

Topicstarter
Osmosis en Trubo, jullie kwamen bijna tegelijk met de oplossingsrichting, super bedankt daarvoor. Ik ben al een stuk meer gerustgesteld hierdoor! Wist niet dat bitlocker ook werkt als je hem gewoon in de pc houdt... maar windows moet dus wel eerst booten om te unlocken. Weer wat geleerd. Al iets van 20 jaar actief op tweakers en iedere keer leer ik weer wat bij, bedankt iedereen, ook voor de meer exotische oplossingen _/-\o_

Wat voor mij nog open staat: als iemand nog meer "gaten" kan schieten in mijn beveiligingsplan hoor ik dat graag!!

[Voor 14% gewijzigd door Tiberium op 29-12-2021 21:27]

"Watch this.... when this baby hits 88 Mph.... we're gonna see some serious shit"

woensdag 29 december 2021 21:27

Acties:
  • +1Henk 'm!
  • Trubo
  • Registratie: April 2005
  • Laatst online: 16:35

Trubo

Flink versimpelde uitleg, de key waarmee Windows zichzelf opstart komt vanaf de TPM chip. Die doet een aantal checks, is het niet in orde dan wordt de key ook niet afgegeven en kan Windows de schijf niet ontgrendelen.

Overigens zijn er uiteraard uitzondering hierop, bijvoorbeeld als er geen TPM chip aanwezig is. Dan dien je handmatig tijdens het opstarten een key/wachtwoord op te geven.

[Voor 28% gewijzigd door Trubo op 29-12-2021 21:30]

woensdag 29 december 2021 21:29

Acties:
  • 0Henk 'm!
  • Tiberium
  • Registratie: Oktober 2001
  • Laatst online: 02-03 14:22

Tiberium

/w Flux-Capacitor

Topicstarter
Trubo schreef op woensdag 29 december 2021 @ 21:27:
Flink versimpelde uitleg, de key waarmee Windows zichzelf opstart komt vanaf de TPM chip. Die doet een aantal checks, is het niet in orde dan wordt de key ook niet afgegeven en kan Windows de schijf niet ontgrendelen.
Check! en als windows dus sowieso niet wordt opgestart, wordt bitlocker niet ontgrendeld. én zo'n linux distro (of welke andere o/s dan ook) kan die bitlocker key niet uitlezen uit de TPM chip en toepassen op de beveiligde drive?

"Watch this.... when this baby hits 88 Mph.... we're gonna see some serious shit"

woensdag 29 december 2021 21:31

Acties:
  • +2Henk 'm!
  • osmosis
  • Registratie: December 2009
  • Laatst online: 29-03 10:17

osmosis

Tiberium schreef op woensdag 29 december 2021 @ 21:29:
[...]

Check! en als windows dus sowieso niet wordt opgestart, wordt bitlocker niet ontgrendeld. én zo'n linux distro (of welke andere o/s dan ook) kan die bitlocker key niet uitlezen uit de TPM chip en toepassen op de beveiligde drive?
Theoretisch zou het mogelijk zijn om alsnog toegang te verschaffen door het kraken van de TPM module.
Maar dan hebben we het niet meer over een handige medewerker...
Hier een mooi artikel erover

Edit: En daarbij een oplossing voor deze nogal geavanceerde attack methode:
"Enabling BitLocker with a TPM+PIN protector should mitigate this vulnerability, however user’s will be required to enter a PIN at boot. Smart cards or USB keys used as an additional pre-boot authentication in addition to the TPM should mitigate this issue as well. I’d need to take a closer look at the different protector modes to be able to say for certain, maybe some future work."

[Voor 27% gewijzigd door osmosis op 29-12-2021 21:33]

woensdag 29 december 2021 21:36

Acties:
  • 0Henk 'm!
  • Oon
  • Registratie: Juni 2019
  • Niet online

Oon

Tiberium schreef op woensdag 29 december 2021 @ 21:26:
Osmosis en Trubo, jullie kwamen bijna tegelijk met de oplossingsrichting, super bedankt daarvoor. Ik ben al een stuk meer gerustgesteld hierdoor! Wist niet dat bitlocker ook werkt als je hem gewoon in de pc houdt... maar windows moet dus wel eerst booten om te unlocken. Weer wat geleerd. Al iets van 20 jaar actief op tweakers en iedere keer leer ik weer wat bij, bedankt iedereen, ook voor de meer exotische oplossingen _/-\o_

Wat voor mij nog open staat: als iemand nog meer "gaten" kan schieten in mijn beveiligingsplan hoor ik dat graag!!
Heel makkelijk, een bitlocker key is zonder veel moeite op te halen, zelfs een TPM 2.0 module is te sniffen.

Fysieke toegang == comped device, dat kun je gewoon niet voorkomen. Tenzij je het apparaat in een kluis zet met een zegel en een fiks boetebedrag zet op het doorbreken van die zegel door iemand anders dan door jou geauthoriseerd) kun je gewoon niet voorkomen dat er toegang tot de software verkregen kan worden.

Maar reverse engineeren kan ook zonder toegang tot de binary, je hebt alleen toegang tot de draaiende software nodig om de werking ervan te zien. Dan moet je het wel handmatig doen in plaats van via tools, maar als je software echt zoveel geld waard is dan is dat een waardige investering voor iemand die 'm wil kopiëren.

donderdag 30 december 2021 09:23

Acties:
  • 0Henk 'm!
  • oak3
  • Registratie: Juli 2010
  • Laatst online: 31-03 23:03

oak3

Voor die extra stap, stel bitlocker zo in dat je een pincode nodig hebt voor die boot. Anders kun je tegenwoordig alsnog 'vrij eenvoudig' bitlocker kraken.
Geen idee of de klant zo handig is, maar die stap van die pincode voorkomt dat en kost niets extra.

How to Enable a Pre-Boot BitLocker PIN on Windows

donderdag 30 december 2021 09:27

Acties:
  • 0Henk 'm!
  • mr_evil08
  • Registratie: December 2008
  • Laatst online: 16:25

mr_evil08

Als je er zo bang voor bent moet je dit niet willen en via streaming gaan werken naar de kiosk pc.
Dus de bestanden staan er in het geheel niet eens op.

[Voor 25% gewijzigd door mr_evil08 op 30-12-2021 09:28]

WP | SP, Daikin FTXM35M/RXM35M

donderdag 30 december 2021 12:42

Acties:
  • 0Henk 'm!
  • J2pc
  • Registratie: Oktober 2002
  • Niet online

J2pc

UT Tux Edition

Ik zou me eerder druk maken over een breakout op je kiosk dan over bitlocker.
Zoals al opgemerkt kom je er zonder de recovery key niet zomaar langs als je een tpm gebruikt.

Echter,
Vaak is het triviaal om toch code execution te krijgen op een 'kiosk', tenzij zowel het systeem, als de software hier volledig voor is ingericht.

@oak3
Bedoel je het uitlezen van de key uit de tpm via het proben van de pins? Niet echt triviaal, en de klant zal t ding toch moeten kunnen booten...

[Voor 41% gewijzigd door J2pc op 30-12-2021 12:48]

"The computer is incredibly fast, accurate, and stupid. Man is unbelievably slow, inaccurate, and brilliant. The marriage of the two is a challenge and opportunity beyond imagination." © Stuart G. Walesh

donderdag 6 januari 2022 20:16

Acties:
  • 0Henk 'm!
  • Tiberium
  • Registratie: Oktober 2001
  • Laatst online: 02-03 14:22

Tiberium

/w Flux-Capacitor

Topicstarter
Ik ben aardig op weg hier maar loop tegen een volgend probleem aan: in kiosk mode (assigned acces) kan je kennelijk alleen een select groepje windows apps kiezen als de te gebruiken app. In mijn geval gaat het om een andere app. Ik vermoed dat kiosk dus niet de way to go is? Heeft iemand suggesties over hoe dan te beveiligen? Kan ik niet op een andere manier een account maken met super weinig rechten, waarmee je echt alleen de app kunt starten die ik wil en alle andere dingen onmogelijk maakt?

"Watch this.... when this baby hits 88 Mph.... we're gonna see some serious shit"

donderdag 6 januari 2022 23:49

Acties:
  • 0Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Tiberium schreef op woensdag 29 december 2021 @ 21:14:
[...]


ja dat leek mij ook. En dan kan je booten vanaf zo'n linux distro, windows admin acces krijgen... en dan is het gedaan met de koopman. Toch hoor ik meer mensen zeggen dat dat niet zou kunnen. Dat TPM dat tegen houdt, iemand zei zelfs dat je bios wachtwoord dan in je TPM zit... maar dat lijkt me heel onwaarschijnlijk. Toch hoop ik dat het wel zo werkt... 8)7
Die Linux distro kan alleen windows admin access krijgen als hij de system disk kan lezen en schrijven. Als je die system disk met bitlocker geëncrypt hebt kan-ie al niet lezen, laat staan schrijven

QnJhaGlld2FoaWV3YQ==

donderdag 6 januari 2022 23:58

Acties:
  • 0Henk 'm!
  • Donaldinho
  • Registratie: November 2002
  • Laatst online: 09:43

Donaldinho

Tiberium schreef op donderdag 6 januari 2022 @ 20:16:
Ik ben aardig op weg hier maar loop tegen een volgend probleem aan: in kiosk mode (assigned acces) kan je kennelijk alleen een select groepje windows apps kiezen als de te gebruiken app. In mijn geval gaat het om een andere app. Ik vermoed dat kiosk dus niet de way to go is? Heeft iemand suggesties over hoe dan te beveiligen? Kan ik niet op een andere manier een account maken met super weinig rechten, waarmee je echt alleen de app kunt starten die ik wil en alle andere dingen onmogelijk maakt?
als ik even kort google vind ik dit: https://docs.microsoft.co...ndows-10-to-specific-apps

Misschien is dat iets? Blijkbaar werkt deze specifieke oplossing alleen op Windows 10.

You almost can’t blame him or the other diet gurus for leaning in on the techno-bullshit market; it’s hard to fill up a 300 page diet book on “eat a bit less and find a type of exercise that doesn’t make you hate life.”

vrijdag 7 januari 2022 00:22

Acties:
  • +1Henk 'm!
  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 31-03 22:09

jurroen

Security en privacy geek

De reeds aangedragen Bitlocker oplossing is minimaal een goede fundering. Of dat voldoende is hangt van het scenario af. Je hebt het over "veel geld"; dat is natuurlijk vrij subjectief. Wellicht heb je er 50K eigen centen in zitten - of is het een concept wat na doorontwikkeling miljoenen kan opleveren. Tussen die twee zit nogal een verschil ;)

Ook hiervoor is het zinvol om een threat model te maken. Het is niet onmogelijk om de Bitlocker key uit de TPM te extracten, mits de aanvaller daarvoor voldoende incentive en resources heeft. Maar zo ver hoeft het misschien niet eens te gaan, wellicht is het uitbuiten van een toekomstige vulnerability in Wondows voldoende om volledige toegang tot het systeem te krijgen en je applicatie op een USB stick te kopieren ;)

Als je echt verder wilt gaan hierin, kijk dan naar een combinatie aan verschillende factoren. Voeg bijvoorbeeld Denuvo (DRM) toe, mogelijk met het streamen van die data; zodat alleen op de lokale computer staat wat echt gebruikt wordt.

Mogelijkheden alom. De vraag is: wat is zinvol? Hoe ver wil je gaan - wetende dat het onmogelijk is om het perfect dich te timmeren en dat je enkel een zo hoog mogelijke drempel kunt opwerpen...

vrijdag 7 januari 2022 06:07

Acties:
  • +1Henk 'm!
  • KelvinX
  • Registratie: December 2019
  • Niet online

KelvinX

Wat zijn de juridische maatregelen die je getroffen hebt?

vrijdag 7 januari 2022 07:25

Acties:
  • +1Henk 'm!
  • nairolf
  • Registratie: Oktober 2019
  • Laatst online: 27-02 15:17

nairolf

Ik kan een vervelender scenario schetsen: de applicatie gebruikt de data, dus die moet (99% zeker) ingelezen worden in RAM. De klant heeft toegang tot de machine, dus tot RAM en kan dit dus uitlezen en zo de data terugwinnen.

Is dat niet waar je tegen wil beschermen? Dan zit je natuurlijk goed, maar het geeft aan wat er al eerder geopperd is; je moet een theat model maken om te bepalen waar je wel en niet tegen wil beschermen. Pas dan kan je achteraf een redenatie maken of iets veilig is. Doe je dit niet dan komt er altijd iemand aan met "Maar als dit en dat, dan is het niet veilig", terwijl dit door het theat model juist een scenario is waar je niet tegen wil beveiligen. Bijvoorbeeld; privilige escalation bugs/zero-days in windows.

Wil je ook beschermen tegen RAM access dan zou je wellicht kunnen denken aan een (vorm van) wat er al geopperd is; de dure 3rdparty applicatie hosten en de services daarvan via de server exposen. Dan blijft de 3rdparty data op een (door jou vertrouwde) server, en kan de rest van de applicatie wel op de windows PC draaien, die dan steeds requests maakt naar die server.

Disclaimer; ik ben geen security expert. Ook bovenstaande oplossing zal zn problemen hebben.

vrijdag 7 januari 2022 07:43

Acties:
  • 0Henk 'm!
  • Cave_Boy
  • Registratie: Augustus 2005
  • Laatst online: 14:27

Cave_Boy

Staar je niet blind op Bitlocker. Ja het is een methode maar zoals alles in de software wereld is er altijd weer een manier om toch weer iets te doen wat niet helemaal de bedoeling was.

Op YouTube (en andere sites) zijn diverse video's hoe je een HDD met Bitlocker kunt kopieren en ook de Bitlocker kunt cracken. Veel methodes gebruiken een programma wat ook moet uitgevoerd worden op de computer zelf (dat probeer jij te voorkomen of dat altijd helemaal lukt... Er blijft altijd een opening).

YouTube: How to: Crack Bitlocker encrypted drives

vrijdag 7 januari 2022 08:56

Acties:
  • +4Henk 'm!
  • PetervdM
  • Registratie: Augustus 2007
  • Niet online

PetervdM

als je die klant zó wantrouwt, wil je hem dan wel als klant hebben? lijkt me een nogal giftige relatie.
heb je eea ook al juridisch afgedekt? en dan niet met een eigen a4'tje maar een serieus juridisch waterdicht contract?
er waren vroeger pc's met "tamper protection" , geen idee of dat nog bestaat. het idee was dat bij het openen van de kast een alarm naar IT werd gestuurd, maar je kon het ook zo instellen dat de schijf werd gewist. bestaat dat nog?
en anders zoals al gezegd: pc in een stevige vegrendelde 19" kast met tamper protection.
dat je dit softwarematig kunt dichttimmeren denk ik wel, maar zodra er fysieke toegang tot die pc is ben je de klos.

vrijdag 7 januari 2022 09:59

Acties:
  • +1Henk 'm!
  • hackerhater
  • Registratie: April 2006
  • Laatst online: 14:00

hackerhater

100% veilig krijg je het nooit. De applicatie moet het kunnen lezen dus theoretisch kan je er altijd aan.
Maar flink afgrendelen + bitlocker geeft al een flinke drempel.
Mocht iemand toch die beveiliging omzeilen heb je het over moedwillig en is het voer voor de advocaten.
Zeker gecombineerd met die NDA.

vrijdag 7 januari 2022 11:48

Acties:
  • +1Henk 'm!
  • Blokker_1999
  • Registratie: Februari 2003
  • Laatst online: 14:14

Blokker_1999

Full steam ahead

hackerhater schreef op vrijdag 7 januari 2022 @ 09:59:
100% veilig krijg je het nooit. De applicatie moet het kunnen lezen dus theoretisch kan je er altijd aan.
Maar flink afgrendelen + bitlocker geeft al een flinke drempel.
Mocht iemand toch die beveiliging omzeilen heb je het over moedwillig en is het voer voor de advocaten.
Zeker gecombineerd met die NDA.
Dit dus, ik neem aan dat dit een B2B relatie is en de meeste bedrijven gaan zich echt niet zomaar branden aan het stelen van bronbestanden van anderen, aan reverse engineering. En net daarvoor stel je een goede koopovereenkomst op met die klant, of beter, je laat die opstellen door een advocaat. En als er dan ooit toch iets gebeurd, dan ga je met een goede advocaat aan de slag om alle schade te recupereren. Maar ik verwacht dat zoiets niet snel zal nodig zijn.

En ofwel vertrouw je je klant niet en dan moet je je afvragen of je die klant wel wenst, ofwel ben je extreem paranoide, maar moet je jezelf de vraag stellen of je wel met de juiste projecten bezig bent.

No keyboard detected. Press F1 to continue.

vrijdag 7 januari 2022 15:14

Acties:
  • 0Henk 'm!
  • locke960
  • Registratie: November 2004
  • Laatst online: 21-03 11:35

locke960

Blokker_1999 schreef op vrijdag 7 januari 2022 @ 11:48:
[...]

Dit dus, ik neem aan dat dit een B2B relatie is en de meeste bedrijven gaan zich echt niet zomaar branden aan het stelen van bronbestanden van anderen, aan reverse engineering. En net daarvoor stel je een goede koopovereenkomst op met die klant, of beter, je laat die opstellen door een advocaat. En als er dan ooit toch iets gebeurd, dan ga je met een goede advocaat aan de slag om alle schade te recupereren. Maar ik verwacht dat zoiets niet snel zal nodig zijn.
En de bronbestanden per klant personaliseren (bepaalde elementen per klant net iets anders, extra elementen, etc). Dan kun je later voor de rechter ook aannemelijk maken dat het deze specifieke klant was die ze gelekt heeft.

vrijdag 7 januari 2022 19:56

Acties:
  • 0Henk 'm!
  • Transportman
  • Registratie: Juli 2016
  • Laatst online: 16:16

Transportman

Misschien een stomme vraag, maar waarom zijn die bronbestanden zoveel waard? En wat is het risico dat een klant er daadwerkelijk mee aan de haal gaat en wat zijn de gevolgen daarvan? Want 100% veilig ga je het nooit krijgen, op enig moment moet die applicatie de bronbestanden toch onversleuteld hebben en hoe meer fysieke toegang de klant heeft, hoe meer mogelijkheden die zal hebben om jouw beveiligingen te omzeilen. Dus dan moet je de risico-afweging gaan maken, welke maatregelen beperken het risico tot een acceptabel niveau? Nu vraag je alleen de oplossing zonder eigenlijk te vertellen wat het achterliggende probleem is (behalve dat die bestanden dus heel veel waard zijn om een of andere reden).

vrijdag 7 januari 2022 21:40

Acties:
  • 0Henk 'm!
  • Tiberium
  • Registratie: Oktober 2001
  • Laatst online: 02-03 14:22

Tiberium

/w Flux-Capacitor

Topicstarter
Dank voor alle reacties, hieronder nog wat toelichting en mijn reactie: die bestanden bevatten bepaalde theoretische modellen die door ons ontwikkeld zijn en wij zijn momenteel wereldwijd uniek hierin. Onze klanten huren die modellen met een stukje hardware zodat ze het kunnen gebruiken om zelf hun klanten (consumenten) mee te helpen. Uiteraard zijn we jurdisch afgedekt met NDA's en bescherming van onze intellectual property, licentieovereenkomsten de hele reutemeteut... ja mogelijk ben ik gewoon wat te paranoide. Ik ben gewoon op zoek naar wat extra peace of mind, de gedachte was letterlijk een middagje rommelen met wat instellingen en ik maak het de gemiddelde computergebruiker aardig lastig onze modellen achterover te drukken. Natuurlijk realiseer ik me dat je je nooit 100% kunt beschermen, zelfs niet tegen torenhoge kosten. Mijn verstandhouding met deze partij is uitstekend, ik heb ook geen enkele reden te vermoeden dat ze kwaad willen hoor. Het is puur het opwerpen van een extra barriere.

Dank voor de de link @Donaldinho die had ik idd zelf ook al gevonden. Wat hier niet heel duidelijk in staat als dat nog steeds alleen diezelfde soort apps gekozen kunnen worden, je kunt dus niet elke willekeurige app kiezen. En dat is nu precies ook het probleem waar ik tegen aan loop.

Ik denk dat ik maar wat ga doen met user specific group policies om wat "ontmoediging" te doen, want echt beveiliging zal ik het niet noemen haha.

"Watch this.... when this baby hits 88 Mph.... we're gonna see some serious shit"

vrijdag 7 januari 2022 21:51

Acties:
  • +1Henk 'm!
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 15:26

DukeBox

Voor je 't weet wist je 't nie

Kunnen die bronbestanden niet remote gekoppeld worden ? Of de applicatie als saas via web/rds/remoteapp aanbieden ?

[Voor 8% gewijzigd door DukeBox op 07-01-2022 21:52]

Duct tape can't fix stupid, but it can muffle the sound.

vrijdag 7 januari 2022 22:00

Acties:
  • +1Henk 'm!
  • r_bleumer
  • Registratie: Juli 2001
  • Laatst online: 16:18

r_bleumer

Zou sowieso even USB mass storage via de system policies disablen. Maak je het al weer een stukje lastiger mee om te kopiëren.

Nonsensical line goes here <---

vrijdag 7 januari 2022 22:53

Acties:
  • +1Henk 'm!
  • NLKornolio
  • Registratie: Februari 2010
  • Laatst online: 09:55

NLKornolio

BF3/BF4: NLKornolio

r_bleumer schreef op vrijdag 7 januari 2022 @ 22:00:
Zou sowieso even USB mass storage via de system policies disablen. Maak je het al weer een stukje lastiger mee om te kopiëren.
Alleen devices toestaan die jij wilt via usb inderdaad. Verder kan je toch de bios locken met een password komen ze er verder ook niet in.

BAV nodig, via deze link verdienen jij en ik 50,-Insify referral

donderdag 13 januari 2022 11:52

Acties:
  • 0Henk 'm!
  • Tiberium
  • Registratie: Oktober 2001
  • Laatst online: 02-03 14:22

Tiberium

/w Flux-Capacitor

Topicstarter
DukeBox schreef op vrijdag 7 januari 2022 @ 21:51:
Kunnen die bronbestanden niet remote gekoppeld worden ? Of de applicatie als saas via web/rds/remoteapp aanbieden ?
Ja goeie, anderen kwamen daar ook al mee. Ik denk als we dit verder uit gaan breiden in de toekomst (tientallen klanten ipv deze eerste) ik die kant ook zeker op ga. Wat ik me wel alvast afvraag, misschien weet jij het antwoord ook wel: stel dat ik dat idd doe, onze software laadt die bestanden dan remote in, is het dan ook niet zo dan aangezien het programma toegang heeft tot dat netwerk path, om te lezen, dat een gebruiker dat zelf dan ook heeft? Is het daarmee dan wel veiliger?

"Watch this.... when this baby hits 88 Mph.... we're gonna see some serious shit"

donderdag 13 januari 2022 12:59

Acties:
  • +1Henk 'm!
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 15:26

DukeBox

Voor je 't weet wist je 't nie

Tiberium schreef op donderdag 13 januari 2022 @ 11:52:
..is het dan ook niet zo dan aangezien het programma toegang heeft tot dat netwerk path, om te lezen, dat een gebruiker dat zelf dan ook heeft? Is het daarmee dan wel veiliger?
Dat is dan iets wat je wél met encryptie kan oplossen, de applicatie kan met een public key de data lezen (de-crypten), zolang je dingen degelijk programmeert kan dat er voor zorgen dat dit ook niet (eenvoudig) uit het geheugen e.d. te lezen is.

Duct tape can't fix stupid, but it can muffle the sound.

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee