Perché credo che questa domanda non sia un duplicato: Ci sono più domande che riguardano lo sfruttamento di un computer bloccato su questo sito, ma la maggior parte delle risposte si concentra sullo sfruttamento di un sistema non hardened nella configurazione predefinita. Credo che negli ultimi anni, con i maggiori progressi nella crittografia e nellautenticazione hardware + software (avvio sicuro, bitlocker, virtualizzazione, UEFI, …), il modello di minaccia per un laptop rinforzato sia significativamente diverso e quindi, lo sto riassumendo domanda nel seguente scenario:
Presupposti tecnici:
- Sto utilizzando un moderno laptop Windows 10 Pro, con il sistema operativo e tutti i driver aggiornati alle versioni più recenti.
- Il laptop è bloccato, con i seguenti metodi di autenticazione: lettore di impronte digitali, password complessa, PIN ragionevolmente efficace (probabilmente lo farebbe non sopravvivere a una forza bruta offline).
- Lunità interna è crittografata con Bitlocker senza PIN, utilizzando TPM.
- UEFI è protetto da password, lavvio da ununità esterna richiede la password UEFI, lavvio di rete è disabilitato, lavvio protetto è attivo.
- Sono connesso alla stessa rete di un utente malintenzionato (laggressore potrebbe persino possedere la rete).
- Il laptop ha una porta Thunderbolt 3 abilitata, ma prima che qualsiasi dispositivo connesso sia accettato, deve essere autorizzato dallutente (cosa che non dovrebbe essere possibile nella schermata di blocco).
- Il laptop ha uno slot M.2 libero allinterno , il dis / riassemblaggio è possibile in meno di un minuto.
Supponendo che io “sia seduto da qualche parte con un utente malintenzionato, blocco il mio laptop e lasciare per 5 minuti , è possibile che laggressore acceda al mio laptop (aggirando la schermata di blocco o estraendo i file utilizzando qualche altro metodo (estraendo la chiave di bitlocker , …)) prima di tornare, a condizione che non debba “notare nulla di sospetto dopo essere tornato?
Commenti
- Questo risponde alla tua domanda? Quali sono i potenziali rischi di lasciare un dispositivo in pubblico ma bloccato?
- Non lo fa – I ‘ sono convinto che le mie supposizioni (debbano) prevenire la maggior parte degli attacchi menzionati.
- Non ‘ intendevo implicare che questo avrebbe soddisfatto il tuo curiosità. Sono ancora abituato al vecchio messaggio automatico: ” Possibile duplicato di $ foo ” . Cioè, anche se ritieni che i dettagli siano abbastanza diversi, le prime due frasi della risposta in alto e accettata si applicano ancora interamente e completamente a questa domanda: se hanno accesso fisico senza supervisione, non è ‘ t sicuro più. Senza sicurezza fisica, tutte le altre misure di infosec sono controverse.
- @Ghedipunk Questo mantra è esattamente il motivo per cui ‘ sto facendo questa domanda: ‘ lho visto ripetuto molte volte, ma con numerosi cambiamenti è il modello di sicurezza fisica dei laptop negli ultimi anni, ‘ non sono convinto che sia pienamente valido più.
- Ciò entra nel regno della nuova ricerca accademica. Non possiamo ‘ dimostrare un valore negativo qui, poiché ‘ t dimostrare che gli attori a livello statale don ‘ t avere dispositivi che possono essere collegati direttamente alle porte di espansione del tuo laptop di marca ‘, ottenere laccesso diretto al bus nord o PCI e iniettare malware direttamente nella RAM, che ottiene iniettato nella boot rom non appena il laptop viene sbloccato. Se vuoi una risposta più aggiornata del mantra che ripetiamo qui, dai unocchiata alle riviste peer reviewed e parla con i ricercatori che inviano articoli a quelle.
Rispondi
Quello che stai descrivendo è un attacco di Evil Maid. Ci sono molti modi per ottenere laccesso in questo scenario, ma il principale è DMA .
M.2 ti darebbe accesso diretto e completo alla memoria di sistema su DMA, assumendo che lIOMMU non sia configurato per impedirlo, cosa che quasi certamente non sarà di default per un PCI diretto. e link. Lo stesso vale se hai uno slot ExpressCard. Un set di strumenti per questo è PCILeech , che è in grado di scaricare i primi 4 GB di memoria da un sistema senza qualsiasi interazione del sistema operativo o driver installati e tutta la memoria se un driver viene installato per la prima volta.
È anche potenzialmente possibile se il tuo laptop ha Thunderbolt o USB-C, perché entrambe queste interfacce supportano DMA.In generale, queste interfacce ora tendono ad avere funzionalità di rafforzamento nel firmware e nei driver per impedire DMA arbitrario utilizzando IOMMU, ma questa protezione non è perfetta o universale e ci sono stati alcuni problemi (ad esempio Thunderclap ) che consente a un utente malintenzionato di aggirare lIOMMU in alcuni hardware.
Quello che potresti voler fare è abilitare Virtualization Based Security (VBS) e Windows Credential Guard (WCG), che inserisce lintero sistema operativo in un hypervisor Hyper-V e sposta la maggior parte del servizio LSASS (che memorizza le credenziali nella cache) in una macchina virtuale isolata. Al momento sono disponibili pochi toolkit che consentono a un utente malintenzionato di ripristinare la cache Chiave di crittografia master BitLocker dallenclave WCG utilizzando un dump della memoria non interattivo. Ciò consente anche di abilitare Device Guard e KMCI / HVCI, il che dovrebbe rendere estremamente difficile per un utente malintenzionato ottenere la persistenza sul sistema da un DMA una tantum attacco.
Commenti
- Ottima risposta, grazie! Ho ragione nel presumere che il collegamento di un dispositivo PCIe M.2 richiederebbe il riavvio del laptop – > svuotare la RAM, il che lascia lestrazione della chiave di Bitlocker sul sistema appena avviato come unico attacco praticabile?
- Dipende ‘ dal singolo hardware e firmware. Di solito lhotplug M.2 ‘ non funziona su dispositivi consumer, ma è più frequente su workstation e sistemi server. ExpressCard funzionerà perché è progettato per hotplug. Gli slot PCIe di riserva (incluso il mini-PCIe, come spesso usano i moduli WiFi dei laptop) funzionano anche su alcuni modelli se sei fortunato. Un trucco che puoi fare, però, è mettere in pausa il laptop, collegare la scheda M.2 o PCIe, quindi riattivarlo, il che attiva la reenumerazione senza spegnere o cancellare la memoria.
- Pochi altri domande: 1. Come può il dispositivo pcie dannoso leggere direttamente la memoria? Ho pensato che tutto laccesso alla memoria passasse attraverso IOMMU e il sistema operativo deve mappare esplicitamente le pagine richieste. 2. In che modo la virtualizzazione impedisce lestrazione della chiave bitlocker? ‘ t la chiave è ancora archiviata in memoria, solo in una posizione diversa?
- In pratica il sistema operativo non configura lIOMMU per bloccare DMA su PCI-e dispositivi al di sotto del limite di 4 GB per motivi di compatibilità. Il dispositivo può semplicemente chiedere che quelle pagine siano mappabili e il sistema operativo lo obbliga. VBS / WCG non ‘ t garantisce che non puoi ‘ leggere le chiavi, ma rende solo più difficile al momento perché ‘ è una nuova funzione e i toolkit di analisi forense della memoria non sono ancora ‘ raggiunti.
- È possibile riconfigurare Windows per cancellare queste mappature, dato che solo le periferiche PCIe nel mio laptop sono 1. ununità SSD NVMe, 2. una moderna scheda Intel WiFi, o ciò violerebbe parte dello standard PCIe / IOMMU?
Risposta
Come in molte situazioni di sicurezza, “dipende”. Se non sei il bersaglio di un potente attaccante e la tua definizione di “accesso fisico pericoloso” esclude qualsiasi tipo di danno fisico intenzionale (alcuni dei quali non saranno visibili quando torni indietro), potresti stare bene. Se sei un bersaglio, o la tua definizione di “pericoloso” include danni fisici, è decisamente pericoloso.
Per comprendere le possibili minacce, devi definire due cose:
-
Che cosa è considerato una minaccia? Devi solo dichiarare “pericoloso”, ma è molto vago. Qualcuno sostituirà il tuo laptop con un modello identico che sembra esattamente lo stesso pericoloso? Quellaltro laptop potrebbe essere configurato per inviare tutte le password digitate , che devi digitare perché la tua impronta digitale non accede; può anche inviare i dati dal tuo lettore di impronte digitali che verrebbero utilizzati per accedere al tuo laptop. Questa è più una questione di stato nazionale, di certo. Ma mettere SuperGlue nello slot HDMI / USB del laptop sarebbe pericoloso? O rubare il tuo disco rigido (che sarà inosservato al ritorno se il tuo laptop è bloccato con lo schermo spento)?
-
Chi sono gli attori delle minacce? Potenti aggressori come lo stato-nazione potrebbero disporre di strumenti in grado di eseguire il dump della memoria del laptop bloccato, possibilmente includendo le chiavi di decrittazione (questo dipende da come si definisce “bloccato”). Possono aggiungere hardware allinterno del quale intercettare dati importanti o interferire con la funzionalità; questo potrebbe essere fatto in brevissimo tempo da un potente aggressore che ha preparato tutto in anticipo.
Infine, “se il malintenzionato ha accesso al tuo computer, non è il tuo computer più “contiene molte verità. Tuttavia i “cattivi” differiscono nelle loro intenzioni e potere. Quindi è possibile che anche la NSA che ha il tuo computer per un anno non gli faccia nulla se decidono che non sei il loro obiettivo.