Pourquoi je pense que cette question nest pas un doublon: Il y a plusieurs questions traitant de lexploitation dun ordinateur verrouillé sur ce site, mais la plupart des réponses se concentrent sur lexploitation dun système non durci en configuration par défaut. Je crois que ces dernières années, avec des avancées majeures en cryptage et en authentification matérielle + logicielle (démarrage sécurisé, bitlocker, virtualisation, UEFI, …), le modèle de menace pour un ordinateur portable durci est significativement différent et par conséquent, je me demande ceci question sous le scénario suivant:
Hypothèses techniques:
- Jutilise un ordinateur portable Windows 10 Professionnel moderne, avec le système dexploitation et tous les pilotes mis à jour vers les dernières versions.
- Lordinateur portable est verrouillé, avec les méthodes dauthentification suivantes: lecteur dempreintes digitales, mot de passe fort, code PIN raisonnablement fort (probablement pas survivre à une force brute hors ligne).
- Le lecteur interne est chiffré avec Bitlocker sans code PIN, en utilisant TPM.
- UEFI est protégé par mot de passe, le démarrage à partir dun lecteur externe nécessite un mot de passe UEFI, le démarrage réseau est désactivé, le démarrage sécurisé est activé.
- Je suis connecté au même réseau quun attaquant (lattaquant peut même potentiellement posséder le réseau).
- Lordinateur portable a un port Thunderbolt 3 activé, mais avant quun appareil connecté ne soit accepté, il doit être autorisé par lutilisateur (ce qui ne devrait pas être possible sur lécran de verrouillage).
- Lordinateur portable a un emplacement M.2 libre à lintérieur , le dés / ré-assemblage est possible en moins dune minute.
En supposant que je « sois assis quelque part avec un attaquant, je verrouille mon ordinateur portable et laisser pendant 5 minutes , est-il possible pour lattaquant daccéder à mon ordinateur portable (soit en contournant lécran de verrouillage, soit en extrayant des fichiers en utilisant une autre méthode (extraction de la clé bitlocker , …)) avant mon retour, à la condition que je ne « remarque rien de suspect après mon retour?
Commentaires
- Cela répond-il à votre question? Quels sont les risques potentiels de laisser un appareil en public, mais verrouillé?
- Ce nest pas le cas – Je ‘ jai convaincu que mes hypothèses (devraient) empêcher la plupart des attaques mentionnées ici.
- Je nai ‘ vouloir dire que cela satisferait votre curiosité. Je suis encore habitué à lancien message automatique: » Possible duplication de $ foo » . Autrement dit, même si vous pensez que les détails sont suffisamment différents, les deux premières phrases de la première et de la réponse acceptée s’appliquent toujours entièrement et complètement à cette question: s’ils ont un accès physique non supervisé, ce n’est pas ‘ nest plus sécurisé. Sans sécurité physique, toutes les autres mesures infosec sont sans objet.
- @Ghedipunk Ce mantra est exactement la raison pour laquelle je ‘ pose cette question – Je ‘ je lai vu plusieurs fois, mais avec de nombreux changements, le modèle de sécurité physique des ordinateurs portables au cours des dernières années, je ‘ ne suis pas convaincu quil tient pleinement plus.
- Cela entre dans le domaine de la nouvelle recherche universitaire. Nous pouvons ‘ t prouver un négatif ici, comme nous pouvons ‘ t prouver que les acteurs au niveau de l’état ne ‘ t avoir des appareils qui peuvent se brancher directement sur les ports d’extension de la marque de votre ordinateur portable ‘, obtenir un accès direct au bus nord ou au bus PCI et injecter des logiciels malveillants directement dans la RAM, ce qui injecté dans la rom de démarrage dès que votre ordinateur portable est déverrouillé. Si vous voulez une réponse plus à jour que le mantra que nous répétons ici, vous voulez consulter les revues évaluées par des pairs et parler aux chercheurs qui soumettent des articles à celles-ci.
Réponse
Ce que vous décrivez est une attaque Evil Maid. Il existe de nombreuses façons daccéder à ce scénario, mais la principale est DMA .
M.2 vous donnerait un accès direct et complet à la mémoire système via DMA, en supposant que lIOMMU nest pas configuré pour empêcher cela, ce qui ne le sera presque certainement pas par défaut pour un PCI direct- e link. Il en va de même si vous avez un emplacement ExpressCard. Un ensemble doutils pour cela est PCILeech , qui est capable de vider les 4 premiers Go de mémoire dun système sans toute interaction avec le système dexploitation ou les pilotes installés, et toute la mémoire si un pilote est installé pour la première fois.
Cest aussi potentiellement possible si votre ordinateur portable a Thunderbolt ou USB-C, car ces deux interfaces prennent en charge DMA.De manière générale, ces interfaces ont maintenant tendance à avoir des fonctionnalités de renforcement dans le micrologiciel et les pilotes pour empêcher un DMA arbitraire dutiliser lIOMMU, mais cette protection nest ni parfaite ni universelle, et il y a eu quelques problèmes (par exemple Thunderclap ) qui permettent à un attaquant de contourner lIOMMU dans certains matériels.
Ce que vous pourriez souhaiter faire est dactiver Virtualisation Based Security (VBS) et Windows Credential Guard (WCG), qui place tout votre système dexploitation dans un hyperviseur Hyper-V et déplace la plupart du service LSASS (qui met en cache les informations didentification) vers une machine virtuelle isolée. Il existe peu, voire aucun, de boîtes à outils pour le moment qui permettent à un attaquant de récupérer le Clé de chiffrement principale BitLocker de lenclave WCG à laide dun vidage mémoire non interactif. Cela vous permet également dactiver Device Guard et KMCI / HVCI, ce qui devrait rendre extrêmement difficile pour un attaquant dobtenir la persistance sur le système à partir dun DMA ponctuel attaque.
Commentaires
- Réponse géniale, merci! Ai-je raison de supposer que la connexion dun périphérique PCIe M.2 nécessiterait le redémarrage de lordinateur portable – > effaçant la RAM, ce qui laisse lextraction de clé Bitlocker sur un système fraîchement démarré comme la seule attaque viable?
- Cela ‘ dépend du matériel et du micrologiciel individuels. Habituellement, le hotplug M.2 ne fonctionne pas ‘ sur les appareils grand public, mais il est plus fréquemment observé sur les postes de travail et les serveurs. ExpressCard fonctionnera car elle est conçue pour la connexion à chaud. Les emplacements PCIe de rechange (y compris les mini-PCIe, comme les modules WiFi pour ordinateurs portables utilisent souvent) fonctionnent également sur certains modèles si vous avez de la chance. Une astuce que vous pouvez faire, cependant, est de mettre lordinateur portable en veille, de brancher la carte M.2 ou PCIe, puis de le réveiller, ce qui déclenche une ré-énumération sans éteindre ni effacer la mémoire.
- Quelques autres questions: 1. Comment le périphérique pcie malveillant peut-il lire la mémoire directement? Je pensais que tous les accès à la mémoire passaient par lIOMMU et que le système dexploitation devait explicitement mapper les pages demandées. 2. Comment la virtualisation empêche-t-elle lextraction de la clé Bitlocker? ‘ t la clé est-elle toujours stockée en mémoire, juste à un emplacement différent?
- En pratique, le système dexploitation ne configure pas lIOMMU pour bloquer le DMA sur PCI-e périphériques sous la limite de 4 Go pour des raisons de compatibilité. Lappareil peut simplement demander que ces pages soient mappables et le système dexploitation oblige. VBS / WCG ne ‘ t garantie que vous ne pouvez ‘ lire les clés, cela rend juste les choses plus difficiles pour le moment, car ‘ une nouvelle fonctionnalité et les boîtes à outils danalyse de la mémoire nont ‘ pas encore rattrapé.
- Est-il possible de reconfigurer Windows pour effacer ces mappages, étant donné que seuls les périphériques PCIe de mon ordinateur portable sont 1. un disque SSD NVMe, 2. une carte WiFi Intel moderne, ou est-ce que cela violerait une partie de la norme PCIe / IOMMU?
Réponse
Comme dans de nombreuses situations de sécurité, « ça dépend ». Si vous nêtes pas la cible dun attaquant puissant et que votre définition d « accès physique dangereux » exclut tout type de dommage physique intentionnel (dont certains ne vous seront pas visibles à votre retour), vous serez peut-être daccord. Si vous êtes une cible, ou votre définition de «dangereux» inclut des dommages physiques, cest définitivement dangereux.
Pour comprendre les menaces possibles, vous devez définir deux choses:
-
Quest-ce qui est considéré comme une menace? Vous nindiquez que «dangereux», mais cest très vague. Est-ce que quelquun remplacerait votre ordinateur portable par un modèle identique qui a exactement le même aspect dangereux? Cet autre ordinateur portable peut être configuré pour envoyer tous les mots de passe saisis , que vous devrez taper car votre empreinte digitale ne vous connectera pas; il peut également envoyer les données de votre lecteur dempreintes digitales qui seraient utilisées pour vous connecter à votre ordinateur portable. Il sagit davantage dun élément national, de Mais est-ce que mettre SuperGlue dans la fente HDMI / USB de lordinateur portable est dangereux? Ou voler votre disque dur (qui sera inaperçu au retour si votre ordinateur portable est verrouillé avec lécran éteint)?
-
Qui sont les acteurs de la menace? Les attaquants puissants tels que lÉtat-nation peuvent avoir des outils capables de vider la mémoire de votre ordinateur portable verrouillé, y compris éventuellement les clés de déchiffrement (cela dépend de la façon dont vous définissez «verrouillé»). Ils peuvent ajouter du matériel à lintérieur qui reniflerait des données importantes ou interférerait avec les fonctionnalités; cela pourrait être fait en très peu de temps par un attaquant puissant qui a tout préparé à lavance.
Enfin, « si un méchant avait accès à votre ordinateur, ce nest pas votre ordinateur plus « a beaucoup de vérité. Cependant, les «méchants» diffèrent par leurs intentions et leur pouvoir. Il est donc possible que même la NSA ayant votre ordinateur pendant un an ne fasse rien si elle décide que vous nêtes pas sa cible.