Proč se domnívám, že tato otázka není duplikát: Existuje několik otázek zabývajících se využíváním uzamčeného počítače na tomto webu, ale většina odpovědí je zaměřena na využití nevytvrzeného systému ve výchozí konfiguraci. Věřím, že v posledních letech, s významným pokrokem v šifrování a ověřování hardwaru a softwaru (zabezpečené spouštění, bitlocker, virtualizace, UEFI, …), je model ohrožení tvrzeného notebooku výrazně odlišný, a proto to zkoumám otázka podle následujícího scénáře:
Technické předpoklady:
- Používám moderní notebook s Windows 10 Pro, s operačním systémem a všemi ovladači aktualizovanými na nejnovější verze.
- Notebook je uzamčen pomocí následujících metod ověřování: čtečka otisků prstů, silné heslo, přiměřeně silný PIN (pravděpodobně by nepřežije offline hrubou sílu).
- Interní disk je šifrován pomocí PIN bez bitlockeru pomocí TPM.
- UEFI je chráněn heslem, bootování z externí jednotky vyžaduje heslo UEFI, síťové bootování je zakázáno, Secure Boot je zapnutý.
- Jsem připojený ke stejné síti jako útočník (útočník může síť potenciálně dokonce vlastnit).
- Notebook má povolený port Thunderbolt 3, ale před přijetím jakéhokoli připojeného zařízení musí být uživatelem autorizováno (což by na uzamčené obrazovce nemělo být možné).
- Notebook má uvnitř volný slot M.2 , demontáž a opětovné sestavení je možné za minutu.
Za předpokladu, že sedím někde s útočníkem, zamknu notebook a nechte 5 minut , je možné, aby útočník získal přístup k mému notebooku (obejmutím uzamčené obrazovky nebo extrahováním souborů pomocí jiné metody (extrahování klíče bitlockeru) , …)) než se vrátím, za podmínky, že si po návratu nevšimnu nic podezřelého ?
Komentáře
- Odpovídá to na vaši otázku? Jaká jsou potenciální rizika ponechání zařízení na veřejnosti, ale uzamčeno?
- Ne – I ‚ m přesvědčil své předpoklady (měl by) zabránit většině zde zmíněných útoků.
- Nechtěl jsem tím ‚ naznačit, že by to uspokojilo vaše zvědavost. Stále jsem zvyklý na starou automatickou zprávu: “ Možný duplikát $ foo “ . To znamená, že i když si myslíte, že podrobnosti jsou dostatečně odlišné, první dvě věty horní a přijaté odpovědi stále platí zcela a úplně pro tuto otázku: Pokud mají fyzický přístup bez dozoru, není to ‚ t bezpečnější. Bez fyzické bezpečnosti jsou všechna ostatní infosec opatření diskutabilní.
- @Ghedipunk Tato mantra je přesně to, proč se ‚ ptám na tuto otázku – Viděl jsem to mnohokrát, ale s mnoha změnami je model fyzického zabezpečení notebooků v posledních několika letech, nejsem přesvědčen, že to plně platí.“ ‚ už.
- To se dostává do oblasti nového akademického výzkumu. Zde nemůžeme ‚ t prokázat zápor, protože nemůžeme ‚ t dokázat, že aktéři na úrovni státu don ‚ Nemáte zařízení, která se mohou zapojit přímo do vašich rozšiřujících portů značky ‚, získat přímý přístup na severní sběrnici nebo na sběrnici PCI a injektovat malware přímo do paměti RAM, která se dostane injekčně do boot ROM, jakmile je notebook odemčen. Pokud chcete odpověď aktuální, než je mantra, kterou zde opakujeme, chcete se podívat na recenzované časopisy a promluvit si s výzkumníky, kteří do nich zasílají články.
Odpověď
To, co popisujete, je útok Evil Maid. Existuje řada způsobů, jak získat přístup v tomto scénáři, ale hlavní je DMA .
M.2 vám poskytne přímý a úplný přístup do systémové paměti přes DMA, za předpokladu, že IOMMU není nakonfigurován tak, aby tomu zabránil, což téměř jistě nebude ve výchozím nastavení pro přímý PCI- e odkaz. Totéž platí, pokud máte slot ExpressCard. Jednou sadou nástrojů je PCILeech , který je schopen vyřadit první 4 GB paměti ze systému bez jakákoli interakce s OS nebo nainstalované ovladače a veškerá paměť, pokud je ovladač nainstalován poprvé.
Je také potenciálně možné, pokud váš notebook má Thunderbolt nebo USB-C, protože obě tato rozhraní podporují DMA.Obecně řečeno, tato rozhraní mají tendenci mít ve firmwaru a ovladačích funkce kalení, aby zabránily svévolnému DMA pomocí IOMMU, ale tato ochrana není dokonalá nebo univerzální a vyskytly se určité problémy (např. Thunderclap ), které útočníkovi umožňují obejít IOMMU v některých hardwarech.
Co byste si možná přáli udělat, je povolit Virtualization Based Security (VBS) a Windows Credential Guard (WCG), který umístí celý váš operační systém do hypervizoru Hyper-V a posune většinu služby LSASS (která ukládá pověření) do izolovaného virtuálního počítače. V tuto chvíli existuje jen málo nástrojů, pokud vůbec nějaké, které útočníkovi umožňují obnovit mezipaměť Hlavní šifrovací klíč BitLocker z enklávy WCG pomocí neinteraktivního výpisu paměti. To také umožňuje povolit Device Guard a KMCI / HVCI, což by mělo útočníkovi nesmírně ztížit získání persistence v systému z jednorázového DMA útok.
Komentáře
- Skvělá odpověď, děkuji! Mám pravdu v předpokladu, že připojení zařízení M.2 PCIe by vyžadovalo restartování notebooku – > vymazání RAM, což ponechává extrakci klíče Bitlocker na nově spuštěném systému jako jediný životaschopný útok?
- Je to ‚ na jednotlivém hardwaru a firmwaru. Hotplug M.2 obvykle nefunguje ‚ t na spotřebitelských zařízeních, ale častěji je vidět na pracovních stanicích a serverových systémech. ExpressCard bude fungovat, protože je navržena pro hotplug. Pokud máte štěstí, na některých modelech fungují i náhradní sloty PCIe (včetně mini-PCIe, jaké často používají WiFi moduly notebooků). Jedním z triků, které můžete udělat, je usnout notebook, zapojit kartu M.2 nebo PCIe a poté jej probudit, což spustí opětný výčet bez nutnosti vypínání a mazání paměti.
- Několik dalších otázky: 1. Jak může škodlivé zařízení pcie číst paměť přímo? Myslel jsem, že veškerý přístup do paměti prochází IOMMU a OS musí explicitně mapovat požadované stránky. 2. Jak virtualizace brání extrakci klíče bitlockeru? Není klíč ‚ stále uložen v paměti, jen na jiném místě?
- V praxi OS nenakonfiguruje IOMMU tak, aby blokoval DMA na PCI-e zařízení pod hranicí 4 GB z důvodu kompatibility. Zařízení může pouze požádat o mapovatelnost těchto stránek a operační systém to zavazuje. VBS / WCG ‚ t nezaručuje , že nemůžete ‚ t přečíst klíče, jen to ztěžuje v tuto chvíli, protože ‚ je nová funkce a sady paměťových forenzních nástrojů ještě ‚ dosud nedohonily.
- Je možné překonfigurovat systém Windows tak, aby vymazal tato mapování, vzhledem k tomu, že pouze periferie PCIe v mém notebooku jsou 1. jednotka NVMe SSD, 2. moderní Intel WiFi karta, nebo by to porušilo nějakou část standardu PCIe / IOMMU?
Odpověď
Stejně jako u mnoha bezpečnostních situací, „záleží“. Pokud nejste terčem mocného útočníka a vaše definice „nebezpečného fyzického přístupu“ vylučuje jakýkoli druh úmyslného fyzického poškození (některé z nich vás po návratu zpět nebudou viditelné), můžete být v pořádku. jste terčem, nebo vaše definice „nebezpečného“ zahrnuje fyzické poškození, je to určitě nebezpečné.
Abyste pochopili možné hrozby, musíte definovat dvě věci:
-
Co je považováno za hrozbu? Uvádíte pouze „nebezpečné“, ale je to velmi vágní. Nahradil by někdo váš notebook identickým modelem, který by vypadal úplně stejně nebezpečně? Tento jiný notebook může být nakonfigurován tak, aby odesílal všechna zadaná hesla , které „musíte psát, protože váš otisk prstu nebude přihlášen“; může také odesílat data z vaší čtečky otisků prstů, která by se používala k přihlášení do vašeho notebooku. Jedná se spíše o národní záležitosti, Samozřejmě. Bylo by však vložení SuperGlue do slotu HDMI / USB notebooku nebezpečné? Nebo krádež pevného disku (což bude po návratu bez povšimnutí, pokud je váš notebook uzamčen s vypnutou obrazovkou)?
-
Kdo jsou aktéři hrozeb? Výkonní útočníci, jako je národní stát, mohou mít nástroje, které by dokázali vypsat vaši uzamčenou paměť notebooku, případně včetně dešifrovacích klíčů (záleží na tom, jak definujete „uzamčeno“). Mohou přidat hardware, který by vyčenichal důležitá data nebo narušil funkčnost; to by mohl udělat ve velmi krátké době mocný útočník, který vše připravil předem.
Nakonec „pokud měl špatný člověk přístup k vašemu počítači, není to váš počítač už „má spoustu pravdy. „Zločinci“ se však liší svými záměry a mocí. Je tedy možné, že ani NSA, které mají váš počítač po dobu jednoho roku, s tím nic neudělají, pokud se rozhodnou, že nejsou jejich cílem.