Hvorfor jeg mener, at dette spørgsmål ikke er et duplikat: Der er flere spørgsmål om udnyttelse af en låst computer på dette websted, men de fleste af svarene er fokuseret på at udnytte et ikke-hærdet system i standardkonfiguration. Jeg tror, at de seneste år, med store fremskridt inden for kryptering og hardware + softwareautentificering (sikker opstart, bitlocker, virtualisering, UEFI, …), er trusselmodellen for en hærdet bærbar computer væsentligt anderledes, og derfor beder jeg mig om dette spørgsmål under følgende scenarie:

Tekniske antagelser:

  1. Jeg bruger en moderne Windows 10 Pro-bærbar computer med operativsystemet og alle drivere opdateret til de nyeste versioner.
  2. Bærbar computer er låst med følgende godkendelsesmetoder: fingeraftrykslæser, stærk adgangskode, rimelig stærk PIN-kode (sandsynligvis ikke overleve en offline brute-force).
  3. Internt drev er krypteret med PIN-fri Bitlocker ved hjælp af TPM.
  4. UEFI er adgangskodebeskyttet, opstart fra eksternt drev kræver UEFI-adgangskode, netværksstart er deaktiveret, Secure Boot er slået til.
  5. Jeg er tilsluttet det samme netværk som en angriber (angriber muligvis endda ejer netværket).
  6. Den bærbare computer har en aktiveret Thunderbolt 3-port, men inden nogen konverteret enhed accepteres, skal den godkendes af brugeren (hvilket ikke burde være muligt på låseskærmen).
  7. Bærbar computer har en fri M.2 slot inde , dis / re-assembly er mulig på under et minut.

Forudsat at jeg sidder et sted med en angriber, låser jeg min bærbare computer og lad være i 5 minutter , er det muligt for angriberen at få adgang til min bærbare computer (enten ved at omgå låseskærmen eller udpakke filer ved hjælp af en anden metode (udpakning af bitlocker-nøglen) , …)) inden jeg vender tilbage, under forudsætning af at jeg ikke skal bemærke noget mistænkeligt efter at have kommet tilbage?

Kommentarer

  • Besvarer dette dit spørgsmål? Hvad er de potentielle risici ved at efterlade en enhed offentligt, men låst?
  • Det gør det ikke – I ‘ Jeg overbeviste mine antagelser (skulle) forhindre de fleste af de angreb, der er nævnt der.
  • Jeg ville ikke ‘ ikke antyde, at dette ville tilfredsstille din nysgerrighed. Jeg er stadig vant til den gamle automatiske besked: ” Mulig duplikat af $ foo ” . Det vil sige, selvom du synes, detaljerne er forskellige nok, gælder de første to sætninger i det øverste og accepterede svar stadig helt og holdent på dette spørgsmål: Hvis de ikke har fysisk tilsyn med fysisk adgang, er det ikke ‘ t sikr længere. Uden fysisk sikkerhed er alle andre infosec-foranstaltninger svær.
  • @Ghedipunk Dette mantra er netop derfor, jeg ‘ stiller dette spørgsmål – jeg ‘ har set det gentaget mange gange, men med mange ændringer er den fysiske sikkerhedsmodel for bærbare computere i de sidste par år, jeg ‘ er ikke overbevist om, at den fuldt ud holder længere.
  • Det krydser ind i området for ny akademisk forskning. Vi kan ‘ ikke bevise et negativt her, da vi kan ‘ ikke bevise, at aktører på statsniveau ikke ‘ har ikke enheder, der kan tilsluttes direkte til dit bærbarhedsmærke ‘ s udvidelsesporte, få direkte nord-bus eller PCI-busadgang og injicere malware direkte i RAM, hvilket får indsprøjtes i bagagerummet, så snart din bærbare computer er låst op. Hvis du vil have et svar, der er mere opdateret end det mantra, vi gentager her, vil du se på peer reviewed tidsskrifter og tale med forskerne, der indsender artikler til dem.

Svar

Det, du beskriver, er et Evil Maid-angreb. Der er en række måder, du kan gå til for at få adgang i dette scenarie, men den vigtigste er DMA .

M.2 giver dig direkte og fuldstændig adgang til systemhukommelsen via DMA, forudsat at IOMMU ikke er konfigureret til at forhindre dette, hvilket det næsten helt sikkert ikke vil være som standard for en direkte PCI- e link. Det samme gælder, hvis du har et ExpressCard-slot. Et værktøjssæt til dette er PCILeech , som er i stand til at dumpe den første 4 GB hukommelse fra et system uden enhver OS-interaktion eller drivere installeret og al hukommelse, hvis en driver først installeres.

Det er også potentielt muligt, hvis din bærbare computer har Thunderbolt eller USB-C, fordi begge disse grænseflader understøtter DMA.Generelt har disse grænseflader nu tendens til at have hærdningsfunktioner i firmwaren og drivere for at forhindre vilkårlig DMA ved hjælp af IOMMU, men denne beskyttelse er ikke perfekt eller universel, og der har været nogle problemer (f.eks. Thunderclap ), der gør det muligt for en hacker at omgå IOMMU i en eller anden hardware.

Hvad du måske ønsker at gøre, er at aktivere Virtualisation Based Security (VBS) og Windows Credential Guard (WCG), som placerer hele dit operativsystem i en Hyper-V hypervisor og skifter det meste af LSASS-tjenesten (som cacher legitimationsoplysninger) til en isoleret virtuel maskine. Der er få, hvis nogen, værktøjssæt derude, der giver en angriber mulighed for at gendanne cachet BitLocker-masterkrypteringsnøgle fra WCG-enklave ved hjælp af en ikke-interaktiv hukommelsesdump. Dette giver dig også mulighed for at aktivere Device Guard og KMCI / HVCI, hvilket skulle gøre det ekstremt vanskeligt for en angriber at få vedholdenhed på systemet fra en engangs-DMA angreb.

Kommentarer

  • Fantastisk svar, tak! Har jeg ret i at antage, at tilslutning af en M.2 PCIe-enhed ville kræve genstart af den bærbare computer – > rydning af RAM, hvilket efterlader ekstraktion af Bitlocker-nøgle på nystartet system som det eneste levedygtige angreb?
  • Det ‘ sættes ned til den enkelte hardware og firmware. Normalt fungerer M.2 hotplug ikke ‘ på forbrugsenheder, men det ses oftere på arbejdsstations- og serversystemer. ExpressCard fungerer, fordi det er designet til hotplug. Ekstra PCIe-slots (inklusive mini-PCIe, som bærbare WiFi-moduler ofte bruger) fungerer også på nogle modeller, hvis du er heldig. Et trick du dog kan gøre er at sove på den bærbare computer, tilslutte M.2- eller PCIe-kortet og derefter vække det, hvilket udløser genoptælling uden at slukke eller rydde hukommelsen.
  • Få flere spørgsmål: 1. Hvordan kan den ondsindede pcie-enhed læse hukommelsen direkte? Jeg troede, at al hukommelsesadgang går gennem IOMMU, og OS skal eksplicit kortlægge de ønskede sider. 2. Hvordan forhindrer virtualisering udtrækning af bitlocker-nøglen? Er ‘ ikke nøglen, der stadig er gemt i hukommelsen, bare et andet sted?
  • I praksis konfigurerer OS ikke IOMMU til at blokere DMA på PCI-e enheder under 4 GB-grænsen af kompatibilitetsårsager. Enheden kan bare bede om, at disse sider kan kortlægges, og operativsystemet forpligter. VBS / WCG garanterer ikke ‘ t at du kan ‘ t læser tasterne, det gør det bare sværere i øjeblikket, fordi det ‘ er en ny funktion, og værktøjssættene til hukommelsesmedicin ikke har tilføjet ‘ t fanget endnu.
  • Er det muligt at omkonfigurere Windows til at rydde disse tilknytninger, da kun PCIe-periferiudstyr på min bærbare computer er 1. et NVMe SSD-drev, 2. moderne Intel WiFi-kort, eller ville det være i strid med en del af PCIe / IOMMU-standarden?

Svar

Som med mange sikkerhedssituationer, “afhænger det”. Hvis du ikke er et mål for en stærk angriber, og din definition af “farlig fysisk adgang” udelukker enhver form for forsætlig fysisk skade (hvoraf nogle ikke vil være synlige for dig, når du vender tilbage), kan du være okay. du er et mål, eller din definition af “farlig” inkluderer fysisk skade, det er bestemt farligt.

For at forstå de mulige trusler skal du definere to ting:

  • Hvad betragtes som en trussel? Du angiver kun “farlig”, men dette er meget vagt. Ville nogen, der erstatter din bærbare computer med en identisk model, se nøjagtigt den samme farlige ud? Den anden bærbare computer kan konfigureres til at sende alle indtastede adgangskoder ud , som du ”skulle skrive, da dit fingeraftryk ikke logger ind. Det kan også sende dataene fra din fingeraftrykslæser, som vil blive brugt til at logge ind på din bærbare computer. Dette er mere en nationalstat, Men ville det være farligt at sætte SuperGlue i den bærbare HDMI / USB-slot? Eller stjæle din harddisk (hvilket vil være ubemærket ved returnering, hvis din bærbare computer er låst med skærmen slukket)?

  • Hvem er trusselsaktører? Kraftige angribere som nationalstat kan have værktøjer, der kan dumpe din låste bærbare hukommelse, muligvis inklusive dekrypteringsnøgler (dette afhænger af, hvordan du definerer “låst”). De kan tilføje hardware indeni, som vil snuse vigtige data eller forstyrre funktionaliteten; dette kunne gøres på meget kort tid af en magtfuld angriber, der forberedte alt på forhånd.

Endelig, “hvis en dårlig fyr havde adgang til din computer, er det ikke din computer længere ”har meget sandhed. Men “skurkene” adskiller sig i deres intentioner og magt. Så det er muligt, at selv NSA, der har din computer i et år, ikke vil gøre noget ved det, hvis de beslutter, at du ikke er deres mål.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *