Miksi uskon, että tämä kysymys ei ole kopio: Tällä sivustolla on useita kysymyksiä lukitun tietokoneen hyödyntämisestä, mutta suurin osa vastauksista keskittyy karkaistun järjestelmän hyödyntämiseen oletuskokoonpanossa. Uskon, että viime vuosina, kun salaus ja laitteisto + ohjelmistojen todennus (suojattu käynnistys, bittilukko, virtualisointi, UEFI, …) ovat edistyneet huomattavasti, karkaistun kannettavan tietokoneen uhkamalli on huomattavasti erilainen, ja siksi ”uudistan tätä kysymys seuraavassa tilanteessa:

Tekniset oletukset:

  1. Käytän modernia Windows 10 Pro -kannettavaa, jonka käyttöjärjestelmä ja kaikki ohjaimet on päivitetty uusimpiin versioihin.
  2. Kannettava tietokone on lukittu seuraavilla todennustavoilla: sormenjälkilukija, vahva salasana, kohtuullisen vahva PIN-koodi (todennäköisesti ei selviydy offline-tilassa tapahtuvasta raaasta voimasta).
  3. Sisäinen asema on salattu PIN-koodittomalla Bitlockerilla TPM: ää käyttäen.
  4. UEFI on suojattu salasanalla, käynnistys ulkoisesta asemasta vaatii UEFI-salasanan, verkon käynnistys on poistettu käytöstä, Secure Boot on päällä.
  5. Olen yhteydessä samaan verkkoon kuin hyökkääjä (hyökkääjä saattaa jopa omistaa verkon).
  6. Kannettava tietokone on käytössä Thunderbolt 3 -portti, mutta ennen kuin liitetty laite hyväksytään, käyttäjän on oltava siihen lupa (mikä ei pitäisi olla mahdollista lukitusruudussa).
  7. Kannettavan tietokoneen sisällä on ilmainen M.2-paikka , kokoonpano / kokoonpano on mahdollista alle minuutissa.

Olettaen, että istun jonnekin hyökkääjän kanssa, lukitsen kannettavan tietokoneen ja jätä viiden minuutin ajaksi , onko hyökkääjällä mahdollista päästä käsiksi kannettavaan tietokoneeseeni (joko ohittamalla lukitusnäyttö tai purkamalla tiedostoja jollakin muulla menetelmällä (purkamalla bitlocker-avain) , …)) ennen paluuta sillä ehdolla, että en saa ”huomata mitään epäilyttävää palattuani?

Kommentit

  • Vastaako tämä kysymykseesi? Mitkä ovat mahdolliset riskit, jos laite jätetään julkiseksi, mutta lukittu?
  • Se ei ole – I ’ m vakuutin, että oletukseni (pitäisi) estää suurin osa siellä mainituista hyökkäyksistä.
  • En tarkoittanut ’ tarkoittavan, että tämä tyydyttäisi uteliaisuus. Olen edelleen tottunut vanhaan automaattiseen viestiin: ” Mahdollinen kopio $ foo ” . Toisin sanoen, vaikka yksityiskohdat ovat mielestäsi riittävän erilaisia, topin ja hyväksytyn vastauksen kaksi ensimmäistä virkettä koskevat edelleen täysin ja täysin tätä kysymystä: Jos heillä on valvomaton fyysinen pääsy, se ei ole ’ t kiinnitä enää. Ilman fyysistä turvallisuutta kaikki muut infosekkeihin liittyvät toimenpiteet ovat kiistanalaisia.
  • @Ghedipunk Tämä mantra on juuri syy miksi ’ kysyn tämän kysymyksen – I ’ olen nähnyt sen toistuvan monta kertaa, mutta lukemattomin muutoksin on kannettavien tietokoneiden fyysinen suojausmalli viime vuosina, en ’ ole vakuuttunut siitä, että se pysyy täysin paikallaan enää.
  • Se siirtyy uuden akateemisen tutkimuksen alueelle. Voimme ’ todistaa negatiivisen tässä, koska voimme ’ todistaa, että valtion tason toimijat eivät ’ ei ole laitteita, jotka voidaan liittää suoraan kannettavasi tuotemerkin ’ laajennusportteihin, saada suora pääsy pohjoisen väylän tai PCI-väylään ja pistää haittaohjelmia suoraan RAM-muistiin, mikä saa ruiskutetaan käynnistysromiin heti, kun kannettava tietokone on lukittu. Jos haluat vastauksen, joka on ajantasaisempi kuin tässä toistettava mantra, haluat tarkastella vertaisarvioituja lehtiä ja puhua tutkijoille, jotka lähettävät artikkeleita niille.

Vastaa

Se, mitä kuvaat, on paha piika -hyökkäys. Tässä tilanteessa voit käyttää useita tapoja päästä käsiksi, mutta tärkein on DMA .

M.2 antaisi sinulle suoran ja täydellisen pääsyn järjestelmämuistiin DMA: n kautta, olettaen, että IOMMU: ta ei ole määritetty estämään tätä, mikä ei todennäköisesti ole oletusarvoista suoralle PCI: lle. e-linkki. Sama pätee, jos sinulla on ExpressCard-korttipaikka. Yksi työkalupaketti tähän on PCILeech , joka pystyy pudottamaan ensimmäisen 4 Gt muistia järjestelmästä ilman kaikki käyttöjärjestelmän vuorovaikutukset tai asennetut ohjaimet ja kaikki muisti, jos ohjain asennetaan ensin.

On myös mahdollista, jos kannettavassa tietokoneessasi on Thunderbolt tai USB-C, koska molemmat näistä liitännöistä tukevat DMA: ta.Yleisesti ottaen näillä käyttöliittymillä on yleensä kiinteytysominaisuudet laiteohjelmistossa ja ohjaimissa estämään mielivaltainen DMA IOMMU: n avulla, mutta tämä suojaus ei ole täydellinen tai yleinen, ja on ollut joitain ongelmia (esim. Thunderclap ), joiden avulla hyökkääjä voi ohittaa IOMMU: n joissakin laitteistoissa.

Haluat ehkä tehdä ottamalla käyttöön virtualisointipohjaisen suojauksen (VBS) ja Windows Credential Guardin (WCG), joka sijoittaa koko käyttöjärjestelmäsi Hyper-V-hypervisoriin ja siirtää suurimman osan LSASS-palvelusta (joka tallentaa välimuistitiedot) eristettyyn virtuaalikoneeseen. Tällä hetkellä siellä on vain vähän, jos sellaisia on työkalupaketteja, joiden avulla hyökkääjä voi palauttaa välimuistin BitLocker-salausavain WCG-erillisalueelta ei-interaktiivisen muistin dumpin avulla.Tämän avulla voit myös ottaa käyttöön Device Guardin ja KMCI / HVCI: n, minkä pitäisi hyökkääjän olla äärimmäisen vaikeaa saada pysyvyyttä järjestelmässä kertaluonteisesta DMA: sta hyökkäys.

Kommentit

  • Mahtava vastaus, kiitos! Olenko oikeassa olettaessani, että M.2 PCIe -laitteen yhdistäminen edellyttäisi kannettavan tietokoneen uudelleenkäynnistämistä – > RAM-muistin tyhjentäminen, jolloin Bitlocker-avaimen poiminta juuri käynnistetystä järjestelmästä jää ainoaksi toteuttamiskelpoiseksi hyökkäykseksi?
  • Se ’ riippuu yksittäisestä laitteistosta ja laiteohjelmistosta. Yleensä M.2-hotplug ei toimi ’ t kuluttajalaitteilla, mutta sitä nähdään useammin työasemissa ja palvelinjärjestelmissä. ExpressCard toimii, koska se on suunniteltu hotplug-liitäntää varten. Vara-PCIe-paikat (mukaan lukien mini-PCIe, kuten kannettavat langattomat WiFi-moduulit usein käyttävät) toimivat myös joissakin malleissa, jos sinulle onnekas. Yksi temppu, jonka voit kuitenkin tehdä, on nukuttaa kannettava tietokone, kytkeä M.2- tai PCIe-kortti ja herättää se sitten, mikä käynnistää uudelleenlaskennan sammuttamatta tai tyhjentämättä muistia. kysymykset: 1. Kuinka haitallinen pcie-laite voi lukea muistia suoraan? Ajattelin, että kaikki muistin käyttöoikeudet kulkevat IOMMU: n kautta, ja käyttöjärjestelmän on nimenomaisesti kartoitettava pyydetyt sivut. 2. Kuinka virtualisointi estää bittilukkoavaimen purkamisen? Eikö ’ t vielä muistiin tallennettua avainta, vain eri paikassa?
  • Käytännössä käyttöjärjestelmä ei määritä IOMMU: ta estämään DMA PCI-e: llä laitteita alle 4 Gt: n rajan yhteensopivuuden vuoksi. Laite voi vain pyytää, että sivut ovat kartoitettavissa ja käyttöjärjestelmä velvoittaa. VBS / WCG ei ’ t takaa , että voit ’ lukea avaimia, se vain vaikeuttaa tällä hetkellä, koska se ’ on uusi ominaisuus, ja muistin rikostekniset työkalut eivät ole vielä ’ kiinni.
  • Onko mahdollista konfiguroida Windows uudelleen näiden kartoitusten tyhjentämiseksi, kun otetaan huomioon, että vain kannettavan tietokoneeni PCIe-oheislaitteet ovat 1. NVMe SSD -asema, 2. moderni Intel WiFi-kortti vai rikkovatko ne jotakin osaa PCIe / IOMMU-standardista?

Vastaus

Kuten monissa tietoturvatilanteissa, ”se riippuu”. Jos et ole voimakkaan hyökkääjän kohde, ja määritelmäsi ”vaarallinen fyysinen pääsy” sulkee pois kaikenlaisen tahallisen fyysisen vahingon (joista osa ei ole sinulle näkyvissä, kun palaat takaisin), saatat olla kunnossa. olet kohde, tai määritelmäsi ”vaarallinen” sisältää fyysisen vahingon, se on ehdottomasti vaarallista.

Jotta ymmärrät mahdolliset uhat, sinun on määriteltävä kaksi asiaa:

  • Mitä pidetään uhkana? Sanot vain ”vaaralliseksi”, mutta tämä on hyvin epämääräistä. Korvaako joku kannettavan tietokoneen identtisellä mallilla, joka näyttää täsmälleen samalta vaaralliselta? Että toinen kannettava tietokone voidaan määrittää lähettämään kaikki kirjoitetut salasanat , joka sinun on kirjoitettava, koska sormenjälkesi ei kirjaudu sisään, se voi myös lähettää tietoja sormenjälkitunnistimestasi, jota käytetään kirjautumiseen kannettavaan tietokoneeseen. Tämä on enemmän kansalliskansallista sisältöä, Mutta olisiko SuperGluen asettaminen kannettavan tietokoneen HDMI / USB-paikkaan vaarallista? Tai kiintolevyn varastaminen (mikä tulee olemaan huomaamatta palatessasi, jos kannettava tietokone on lukittu näytön ollessa pois päältä)?

  • Ketkä ovat uhkatoimijoita? Tehokkailla hyökkääjillä, kuten kansallisvaltiolla, voi olla työkaluja, jotka kykenevät tyhjentämään lukitun kannettavan tietokoneen muistin, mahdollisesti salauksen avaimet (tämä riippuu siitä, miten määrität ”lukittu”). He voivat lisätä laitteita sisälle, jotka haittaavat tärkeitä tietoja tai häiritsevät toiminnallisuutta; tämän voi tehdä hyvin lyhyessä ajassa voimakas hyökkääjä, joka valmisteli kaiken etukäteen.

Lopuksi, ”jos pahalla kaverilla oli pääsy tietokoneellesi, se ei ole sinun tietokone enää ”on paljon totuutta. Kuitenkin ”pahikset” eroavat toisistaan aikeissaan ja voimassaan. Joten on mahdollista, että edes NSA, jolla on tietokoneesi vuoden ajan, ei tee mitään sille, jos he päättävät, että et ole heidän tavoitteensa.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *