![22560188_Abstract_digital_background_with_technology_circuit_3 [Converted]-01-01.png](https://static.wixstatic.com/media/3f4fbc_43487ad5d28b42339f5ee39183a07fb4~mv2.png/v1/fill/w_980,h_128,al_c,q_85,usm_0.66_1.00_0.01,enc_avif,quality_auto/3f4fbc_43487ad5d28b42339f5ee39183a07fb4~mv2.png)
Blog
Defeating Microsoft's Default Bitlocker Implementation
Dieses Training führt Teilnehmenden durch den gesamten Prozess, der für ein erfolgreiches Abgreifen der BitLocker-TPM-Bus-Kommunikation erforderlich ist. Innerhalb von zwei Tagen wird das nötige Wissen über SMD-Löten, das Innenleben von Notebooks, TPM-Grundlagen, Logik-Analysegeräte, grundlegende forensische Datenerhebung und BitLocker-Theorie vermittelt. Am Ende werden die Teilnehmenden nicht nur in der Lage sein, einen Angriff auf ein Test-Notebook durchzuführen, welches sie mit nach Hause nehmen können, sondern sie werden auch vollständig verstehen, was sie tun und wie sie den Angriff erfolgreich auf Notebooks anwenden können.
​
Zusätzlich wird gezeigt, wie Manipulationsschutz-Schalter (Tamper Protection Switches) von Notebooks umgangen werden können und wie das BitLocker-Wiederherstellungspasswort mit den abgegriffenen Daten entschlüsselt werden kann, um mit Standard Forensik Werkzeugen die Daten weiter verarbeiten zu können. Die gesamte für den Angriff benötigte Hardware ist Teil des Hardware-Kits, welches die Teilnehmenden am Ende des Trainings mit nehmen.
​
Das Training ist als Schritt-für-Schritt-Anleitung zur Durchführung des Angriffs aufgebaut. Für jeden Schritt erhalten die Teilnehmenden den notwendigen theoretischen Hintergrund, bevor Sie den Schritt in der Praxis gehen.
Am ersten Tag werden zunächst eigene Attack-Adapter gelötet, die später zum Einsatz kommen. Nach dem Aufwärmen mit dem Lötkolben lernen die Teilnehmenden das Mikrolöten auf Testplatinen. Auf die praktische Erfahrung folgt ein theoretischer Block, der tief in das Innenleben moderner Notebooks eintaucht. Mit Hilfe von Schaltplänen, Platinen Ansichten und Datenblättern wird die Suche nach dem TPM am Test-Notebook instruiert. Da diese Dokumente nicht für alle Notebooks zur Verfügung stehen, wird zunächst eine manuelle Suche auf dem Test-Notebook durchgeführt. Nachdem das TPM im Test-Notebook gefunden wurde, können die feinen Pins des TPMs mit dem Attack-Adapter verbunden werden.
​
Nach den Vorbereitungen des Test-Notebooks am ersten Tag werden am zweiten Tag die Werkzeuge vorgestellt. Am zweiten Tag wird der Umgang mit einem Logik-Analysator geschult, um Angriffe auf die Bus-Kommunikation im Allgemeinen durchführen zu können. Anschliessend wird die erlernte Theorie praxisgerecht angewandt und der Hardware-Angriffsteil endet mit dem Abgreifen der TPM-Kommunikation. Bevor das Schlüsselmaterial aus der Kommunikation extrahiert werden kann, werden die Grundlagen von BitLocker vermittelt und erläutert, wo in der TPM-Kommunikation nach dem Volume Master Key (VMK) gesucht werden muss. Mit diesem Wissen sind die Teilnehmenden nun in der Lage, den BitLocker-VMK zu extrahieren und die Daten Ihres Test-Notebooks zu entschlüsseln.
![27456383_questions_three_orange [Converted]fd-01-01.png](https://static.wixstatic.com/media/3f4fbc_eb84a73c692b46d5af8c96d473633ac9~mv2.png/v1/fill/w_980,h_255,al_c,q_85,usm_0.66_1.00_0.01,enc_avif,quality_auto/3f4fbc_eb84a73c692b46d5af8c96d473633ac9~mv2.png)