Miért gondolom, hogy ez a kérdés nem duplikátum: Ezen a helyen több kérdés is felmerül egy lezárt számítógép kihasználásával kapcsolatban, de a válaszok többsége egy nem edzett rendszer kihasználására irányul az alapértelmezett konfigurációban. Úgy gondolom, hogy az elmúlt években a titkosítás és a hardver + szoftver-hitelesítés (biztonságos indítás, bitrögzítő, virtualizáció, UEFI, …) jelentős előrelépése mellett az edzett laptop fenyegetési modellje jelentősen eltér, ezért ezt újra áttekintem kérdés a következő forgatókönyv szerint:
Műszaki feltételezések:
- Modern Windows 10 Pro laptopot használok, az operációs rendszert és az összes illesztőprogramot frissítve a legújabb verziókra.
- A laptop zárolva van, a következő hitelesítési módszerekkel: ujjlenyomat-olvasó, erős jelszó, ésszerűen erős PIN-kód (valószínűleg nem éli túl az offline nyers erőt).
- A belső meghajtót PIN nélküli Bitlocker kódolja, TPM használatával.
- Az UEFI jelszóval védett, a külső meghajtóról történő indításhoz UEFI jelszó szükséges, A hálózati rendszerindítás le van tiltva, a Biztonságos rendszerindítás be van kapcsolva.
- Ugyanazhoz a hálózathoz vagyok csatlakoztatva, mint egy támadó (a támadónak tulajdonában lehet még a hálózat is).
- A laptop rendelkezik engedélyezett Thunderbolt 3 porttal, de mielőtt bármilyen csatlakoztatott eszközt elfogadna, engedélyeznie kell a felhasználónak (ami a zárolási képernyőn nem lehetséges).
- A laptop belsejében van egy szabad M.2 nyílás , a szétszerelés / újraszerelés egy perc alatt lehetséges.
Feltéve, hogy valahol egy támadóval ülök, bezárom a laptopomat, és hagyjon 5 percet , lehetséges-e, hogy a támadó hozzáférjen a laptopomhoz (akár a zárolási képernyő megkerülésével, akár fájlok kibontásával más módszerrel (a bitlocker kulcs kibontása) , …)) mielőtt visszatérek, azzal a feltétellel, hogy nem szabad észrevennem semmi gyanúsat , miután visszatérek?
Megjegyzések
- Ez megválaszolja a kérdését? Milyen kockázatokkal járhat, ha egy eszközt nyilvánosan, de zárolva hagyunk?
- Nem – I ‘ meggyőztem feltételezéseimet (meg kell akadályoznom) az ott említett támadások nagy részét.
- Nem ‘ nem akartam azt sugallni, hogy ez kielégíti a kíváncsiság. Még mindig megszoktam a régi automatikus üzenetet: ” A $ foo ” lehetséges másolata. Vagyis, bár úgy gondolja, hogy a részletek elég különbözőek, a felső és elfogadott válasz első két mondata továbbra is teljesen és teljesen vonatkozik erre a kérdésre: Ha felügyelet nélküli fizikai hozzáféréssel rendelkeznek, akkor ez nem ‘ már nem biztonságos. Fizikai biztonság nélkül az összes többi infoszekció mérvadó.
- @Ghedipunk Ez a mantra pontosan ezért teszem fel ezt a kérdést
– I ‘ láttam sokszor megismételni, de számos változással a laptopok fizikai biztonsági modellje az elmúlt néhány évben, nem ‘ nem vagyok meggyőződve arról, hogy teljes mértékben megtartja-e.
Válasz
Amit leírsz, az egy gonosz cseléd támadása. Ebben a szcenárióban egy csomó módja van a hozzáférés megszerzésének, de a fő a DMA .
Az M.2 közvetlen és teljes hozzáférést biztosít a rendszermemóriához a DMA-n keresztül, feltételezve, hogy az IOMMU nincs konfigurálva ennek megakadályozására, ami szinte biztosan nem lesz alapértelmezett egy közvetlen PCI-hez. e link. Ugyanez vonatkozik akkor is, ha van ExpressCard nyílása. Ennek egyik eszközkészlete a PCILeech , amely képes az első 4 GB memória kiürítésére egy rendszer nélkül az operációs rendszerrel kapcsolatos bármilyen interakció vagy illesztőprogram, valamint az összes memória, ha az illesztőprogramot először telepítik.
Az is lehetséges, ha a laptopjában Thunderbolt vagy USB-C van, mivel mindkét felület támogatja a DMA-t.Általánosságban elmondható, hogy ezeknek az interfészeknek ma általában vannak keményítő tulajdonságai a firmware-ben és az illesztőprogramokban, hogy megakadályozzák az önkényes DMA-t az IOMMU használatával, de ez a védelem nem tökéletes vagy univerzális, és felmerült néhány probléma (pl. Thunderclap ), amelyek lehetővé teszik a támadók számára, hogy bizonyos hardvereken megkerüljék az IOMMU-t.
Érdemes engedélyeznie a Virtualization Based Security (VBS) és a Windows Credential Guard (WCG) funkciókat, amely az egész operációs rendszert egy Hyper-V hipervizorba helyezi, és az LSASS szolgáltatás (amely hitelesítő adatokat tárol) nagy részét egy elszigetelt virtuális gépbe helyezi át. Jelenleg kevés, ha van ilyen eszközkészlet, amely lehetővé teszi a támadó számára, hogy helyreállítsa a gyorsítótárat BitLocker mester titkosítási kulcs a WCG-enklávéból egy nem interaktív memória kiíratással. Ez lehetővé teszi az Device Guard és a KMCI / HVCI engedélyezését is, ami rendkívül megnehezíti a támadók számára, hogy kitartást nyerjenek a rendszerben az egyszeri DMA-ból. támadás.
Megjegyzések
- Félelmetes válasz, köszönöm! Helyes vagyok abban a feltételezésben, hogy az M.2 PCIe eszköz csatlakoztatásához újra kell indítani a laptopot – > a RAM törlése, amely a Bitlocker kulcs kibontását a frissen indított rendszeren hagyja az egyetlen életképes támadásként?
- Ez ‘ az egyes hardverekre és firmware-kre vonatkozik. Az M.2 hotplug általában nem működik ‘ a fogyasztói eszközökön, de gyakrabban a munkaállomásokon és a kiszolgáló rendszereken. Az ExpressCard működni fog, mert hotplug-hoz készült. A tartalék PCIe bővítőhelyek (beleértve a mini-PCIe-ket, például a laptop WiFi moduljait gyakran használják) szintén működnek egyes modelleken, ha szerencséje van. Az egyik trükk, amit megtehet, az az, hogy elalszik a laptop, csatlakoztassa az M.2 vagy PCIe kártyát, majd felébressze, ami újbóli felsorolást indít anélkül, hogy áramtalanítaná vagy törölné a memóriát.
- Kevés több kérdések: 1. Hogyan olvashatja közvetlenül a rosszindulatú pcie eszköz a memóriát? Úgy gondoltam, hogy az összes memória-hozzáférés az IOMMU-n keresztül megy, és az operációs rendszernek kifejezetten fel kell térképeznie a kért oldalakat. 2. Hogyan akadályozza meg a virtualizáció a bitlocker kulcs kinyerését? Nem ‘ t a még mindig a memóriában tárolt kulcs, csak egy másik helyen?
- A gyakorlatban az operációs rendszer nem konfigurálja az IOMMU-t a DMA blokkolására a PCI-e-n eszközöket a 4 GB-os határ alatt kompatibilitási okokból. Az eszköz csak azt kérheti, hogy ezek az oldalak legyenek leképezhetők, és az operációs rendszer kötelezze. A VBS / WCG nem ‘ t nem garantálja , hogy ‘ nem tudja elolvasni a kulcsokat, csak megnehezíti pillanatnyilag, mert ‘ egy új funkció, és a memória törvényszéki eszköztárak még nem értek ‘.
- Megvalósítható-e a Windows újrakonfigurálása ezen leképezések törléséhez, tekintettel arra, hogy a laptopomon csak a PCIe perifériák 1. NVMe SSD meghajtó, 2. modern Intel WiFi kártya, vagy ez sértené a PCIe / IOMMU szabvány valamely részét?
Válasz
Mint sok biztonsági helyzetben, “ez függ”. Ha Ön nem egy erőteljes támadó célpontja, és a „veszélyes fizikai hozzáférés” meghatározása kizár mindenfajta szándékos fizikai kárt (amelyek közül néhányat nem láthat az Ön számára, amikor visszatér vissza), akkor rendben lehet. célpont vagy, vagy a “veszélyes” definíciója magában foglalja a fizikai sérüléseket is, az mindenképpen veszélyes.
A lehetséges fenyegetések megértéséhez két dolgot kell meghatároznia:
-
Mi tekinthető fenyegetésnek? Ön csak “veszélyesnek” mondja, de ez nagyon homályos. Lehet, hogy valaki kicseréli a laptopját egy ugyanolyan modellre, amely ugyanolyan veszélyesnek tűnik? Lehet, hogy a másik laptop konfigurálva van az összes beírt jelszó küldésére , amelyet be kell írnia, mivel az ujjlenyomata nem jelentkezik be; elküldheti az ujjlenyomat-olvasóból azokat az adatokat is, amelyeket a laptopba történő bejelentkezéshez használnának. Ez inkább nemzetállami dolog, természetesen. De vajon veszélyes lenne-e a SuperGlue beillesztése a laptop HDMI / USB nyílásába? Vagy ellopja a merevlemezét (ami lesz észrevétlen a visszatéréskor, ha laptopja le van tiltva a képernyővel)?
-
Kik a fenyegetés szereplői? Az olyan erõs támadóknak, mint a nemzetállam, rendelkezhetnek olyan eszközökkel, amelyek képesek lesznek a lezárt laptop memóriájának kiürítésére, esetleg a visszafejtõ kulcsokkal (ez attól függ, hogy miként definiálja a “lezárt” szót). Belül olyan hardvert adhatnak hozzá, amely fontos adatokat szimatol ki, vagy zavarja a funkcionalitást; ezt nagyon rövid idő alatt megteheti egy erős támadó, aki mindent előre előkészített.
Végül: “ha egy rosszfiúnak hozzáférése volt a számítógépéhez, akkor ez nem az Öné. számítógép már “sok igazság van. A “rosszfiúk” azonban különböznek szándékaikban és erejükben. Tehát lehetséges, hogy még az a NSA is, aki egy évig rendelkezik számítógépével, nem tesz semmit, ha úgy dönt, hogy nem Ön a célpont.