Por qué creo que esta pregunta no es un duplicado: Hay varias preguntas relacionadas con la explotación de una computadora bloqueada en este sitio, pero la mayoría de las respuestas se centran en explotar un sistema no reforzado en la configuración predeterminada. Creo que en los últimos años, con importantes avances en el cifrado y la autenticación de hardware + software (arranque seguro, bitlocker, virtualización, UEFI, …), el modelo de amenaza para una computadora portátil reforzada es significativamente diferente y, por lo tanto, estoy preguntando esto pregunta en el siguiente escenario:

Supuestos técnicos:

  1. Estoy usando una computadora portátil moderna con Windows 10 Pro, con el sistema operativo y todos los controladores actualizados a las últimas versiones.
  2. La computadora portátil está bloqueada, con los siguientes métodos de autenticación: lector de huellas digitales, contraseña segura, PIN razonablemente fuerte (probablemente no sobrevivir a una fuerza bruta fuera de línea).
  3. La unidad interna está encriptada con Bitlocker sin PIN, usando TPM.
  4. UEFI está protegida con contraseña, el arranque desde una unidad externa requiere una contraseña UEFI, el inicio de red está deshabilitado, el inicio seguro está activado.
  5. Estoy conectado a la misma red que un atacante (el atacante puede incluso ser propietario de la red).
  6. La computadora portátil tiene un puerto Thunderbolt 3 habilitado, pero antes de que se acepte cualquier dispositivo conectado, debe ser autorizado por el usuario (lo cual no debería ser posible en la pantalla de bloqueo).
  7. La computadora portátil tiene una ranura M.2 libre en el interior , el desmontaje / reensamblaje es posible en menos de un minuto.

Suponiendo que estoy sentado en algún lugar con un atacante, bloqueo mi computadora portátil y dejar por 5 minutos , ¿es factible que el atacante obtenga acceso a mi computadora portátil (ya sea pasando por alto la pantalla de bloqueo o extrayendo archivos usando algún otro método (extrayendo la clave bitlocker , …)) antes de regresar, con la condición de que no deba notar nada sospechoso después de regresar?

Comentarios

  • ¿Responde esto a su pregunta? ¿Cuáles son los riesgos potenciales de dejar un dispositivo en público, pero bloqueado?
  • No lo hace – I ‘ Estoy convencido de que mis suposiciones (deberían) prevenir la mayoría de los ataques mencionados allí.
  • No ‘ no quise dar a entender que esto satisfaría su curiosidad. Todavía estoy acostumbrado al antiguo mensaje automático: » Posible duplicado de $ foo » . Es decir, aunque crea que los detalles son lo suficientemente diferentes, las dos primeras oraciones de la respuesta superior y aceptada aún se aplican total y completamente a esta pregunta: si tienen acceso físico sin supervisión, no es ‘ t seguro más. Sin seguridad física, todas las demás medidas de seguridad son irrelevantes.
  • @Ghedipunk Este mantra es exactamente el motivo por el que ‘ hago esta pregunta: yo ‘ lo he visto repetido muchas veces, pero con numerosos cambios en el modelo de seguridad física de las computadoras portátiles en los últimos años, ‘ no estoy convencido de que se mantenga completamente ya.
  • Eso atraviesa el ámbito de la nueva investigación académica. No podemos ‘ demostrar algo negativo aquí, ya que no podemos ‘ demostrar que los actores de nivel estatal no ‘ t tiene dispositivos que se pueden conectar directamente a los puertos de expansión de la marca ‘ s de su computadora portátil, obtener acceso directo al bus norte o bus PCI, e inyectar malware directamente en la RAM, inyectado en la ROM de arranque tan pronto como su computadora portátil esté desbloqueada. Si desea una respuesta más actualizada que el mantra que repetimos aquí, debe consultar las revistas revisadas por pares y hablar con los investigadores que envían artículos a ellas.

Answer

Lo que estás describiendo es un ataque de Evil Maid. Hay muchas formas en las que puedes conseguir acceso en este escenario, pero la principal es DMA .

M.2 le daría acceso directo y completo a la memoria del sistema a través de DMA, asumiendo que el IOMMU no está configurado para prevenir esto, lo que casi con certeza no será por defecto para un PCI directo. e link. Lo mismo ocurre si tiene una ranura ExpressCard. Un conjunto de herramientas para esto es PCILeech , que es capaz de descargar los primeros 4 GB de memoria de un sistema sin cualquier interacción del sistema operativo o controladores instalados, y toda la memoria si se instala primero un controlador.

También es potencialmente posible si su computadora portátil tiene Thunderbolt o USB-C, porque ambas interfaces admiten DMA.En términos generales, esas interfaces ahora tienden a tener características de refuerzo en el firmware y los controladores para evitar DMA arbitrario usando el IOMMU, pero esta protección no es perfecta o universal, y ha habido algunos problemas (por ejemplo, Thunderclap ) que permiten a un atacante eludir el IOMMU en algún hardware.

Lo que quizás desee hacer es habilitar la seguridad basada en virtualización (VBS) y la protección de credenciales de Windows (WCG), que coloca todo su sistema operativo en un hipervisor Hyper-V y cambia la mayor parte del servicio LSASS (que almacena en caché las credenciales) a una máquina virtual aislada. Hay pocos kits de herramientas, si es que los hay, que permiten a un atacante recuperar el caché Clave de cifrado maestra de BitLocker del enclave de WCG mediante un volcado de memoria no interactivo. Esto también le permite habilitar Device Guard y KMCI / HVCI, lo que debería dificultar enormemente a un atacante obtener persistencia en el sistema a partir de un DMA único. ataque.

Comentarios

  • Excelente respuesta, ¡gracias! ¿Estoy en lo cierto al suponer que conectar un dispositivo PCIe M.2 requeriría reiniciar la computadora portátil – > borrar la RAM, lo que deja la extracción de claves Bitlocker en un sistema recién iniciado como el único ataque viable?
  • Es ‘ s hasta el hardware y firmware individuales. Por lo general, el hotplug M.2 no ‘ t funciona en dispositivos de consumo, pero se ve con más frecuencia en estaciones de trabajo y sistemas de servidor. ExpressCard funcionará porque está diseñada para conexión en caliente. Las ranuras PCIe de repuesto (incluidas las mini-PCIe, como las que suelen utilizar los módulos WiFi para portátiles) también funcionan en algunos modelos si tiene suerte. Sin embargo, un truco que puede hacer es suspender la computadora portátil, enchufar la tarjeta M.2 o PCIe y luego activarla, lo que desencadena la reenumeración sin apagar ni borrar la memoria.
  • Pocos más preguntas: 1. ¿Cómo puede el dispositivo pcie malicioso leer la memoria directamente? Pensé que todo el acceso a la memoria pasa por IOMMU, y el sistema operativo debe asignar explícitamente las páginas solicitadas. 2. ¿Cómo evita la virtualización la extracción de claves de bitlocker? ¿No es ‘ t la clave todavía almacenada en la memoria, solo en una ubicación diferente?
  • En la práctica, el sistema operativo no configura la IOMMU para bloquear DMA en PCI-e dispositivos por debajo del límite de 4 GB por razones de compatibilidad. El dispositivo puede simplemente solicitar que esas páginas sean asignables y el sistema operativo lo obliga. VBS / WCG no ‘ t garantiza que no puede ‘ leer las claves, solo lo hace más difícil en este momento porque es ‘ una nueva característica y los kits de herramientas de memoria forense ‘ no se han puesto al día todavía.
  • ¿Es factible reconfigurar Windows para borrar estas asignaciones, dado que solo los periféricos PCIe en mi computadora portátil son 1. una unidad SSD NVMe, 2. una tarjeta Intel WiFi moderna, o eso violaría alguna parte del estándar PCIe / IOMMU?

Respuesta

Como en muchas situaciones de seguridad, «depende». Si «no es el objetivo de un atacante poderoso y su definición de» acceso físico peligroso «excluye cualquier tipo de daño físico intencional (algunos de los cuales no serán visibles para usted cuando regrese), puede estar bien. Si eres un objetivo, o tu definición de «peligroso» incluye daño físico, definitivamente es peligroso.

Para entender las posibles amenazas, debes definir dos cosas:

  • ¿Qué se considera una amenaza? Solo indica «peligroso», pero esto es muy vago. ¿Alguien reemplazaría su computadora portátil con un modelo idéntico que se vea exactamente igual de peligroso? Esa otra computadora portátil puede estar configurada para enviar todas las contraseñas escritas , que tendrías que escribir ya que tu huella dactilar no iniciará sesión; también puede enviar los datos de tu lector de huellas dactilares que se usarían para iniciar sesión en tu computadora portátil. Esto es más un asunto de estado-nación, de Por supuesto. ¿Pero sería peligroso poner SuperGlue en la ranura HDMI / USB de la computadora portátil? O robar su disco duro (que será inadvertido al regresar si su computadora portátil está bloqueada con la pantalla apagada)?

  • ¿Quiénes son los actores de amenazas? Los atacantes poderosos, como el estado-nación, pueden tener herramientas que puedan volcar la memoria de su computadora portátil bloqueada, posiblemente incluyendo las claves de descifrado (esto depende de cómo defina «bloqueado»). Pueden agregar hardware en su interior que pueda detectar datos importantes o interferir con la funcionalidad; esto podría hacerlo en muy poco tiempo un atacante poderoso que preparó todo de antemano.

Finalmente, «si el malo tuvo acceso a su computadora, no es su computadora ya «tiene mucha verdad. Sin embargo, los «chicos malos» difieren en sus intenciones y poder. Por lo tanto, es posible que incluso la NSA que tenga su computadora durante un año no le haga nada si decide que usted no es su objetivo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *