この質問が重複していないと思う理由:このサイトでは、ロックされたコンピューターの悪用に関する複数の質問がありますが、ほとんどの回答は、デフォルト構成での非強化システムの悪用に焦点を当てています。近年、暗号化とハードウェア+ソフトウェア認証(セキュアブート、ビットロッカー、仮想化、UEFIなど)の大幅な進歩により、強化されたラップトップの脅威モデルは大幅に異なると思います。したがって、私はこれを求めています。次のシナリオでの質問:
技術的な前提条件:
- 私は最新のWindows10 Proラップトップを使用しており、OSとすべてのドライバーが最新バージョンに更新されています。
- ラップトップはロックされており、次の認証方法が使用されます:指紋リーダー、強力なパスワード、適度に強力なPIN(おそらくオフラインのブルートフォースに耐えられません。
- 内部ドライブは、TPMを使用してPINなしのBitlockerで暗号化されます。
- UEFIはパスワードで保護されており、外部ドライブからの起動にはUEFIパスワードが必要です。ネットワークブートが無効になり、セキュアブートがオンになります。
- 攻撃者と同じネットワークに接続しています(攻撃者がネットワークを所有している可能性もあります)。
- ラップトップThunderbolt 3ポートが有効になっていますが、接続されたデバイスを受け入れる前に、ユーザーが承認する必要があります(ロック画面では許可されないはずです)。
- ラップトップには空きM.2スロットがあります。 、分解/再組み立ては1分以内に可能です。
攻撃者と一緒にどこかに座っていると仮定して、ラップトップをロックし、 5分間放置、攻撃者が私のラップトップにアクセスすることは可能ですか(ロック画面をバイパスするか、他の方法を使用してファイルを抽出する(ビットロッカーキーを抽出する) 、…))戻る前に、戻ってきた後、疑わしいものに気付かないという条件の下で?
コメント
- これはあなたの質問に答えますか? デバイスを公開したままロックしたままにしておくことの潜在的なリスクは何ですか?
- そうではありません-I ' mは、私の仮定がそこで言及されている攻撃のほとんどを防ぐ(すべきである)と確信しました。
- 私は'これがあなたを満足させることを意味するつもりはありませんでした好奇心。私はまだ古い自動メッセージに慣れています: " $ foo " の重複の可能性。つまり、詳細が十分に異なっていると思われる場合でも、上位の受け入れられた回答の最初の2文は、この質問に完全かつ完全に適用されます。監視されていない物理的アクセスがある場合、それは' tはもう安全ではありません。物理的なセキュリティがなければ、他のすべての情報セキュリティ対策は重要ではありません。
- @Ghedipunkこのマントラが、私がこの質問をする理由です-I '何度も繰り返されてきましたが、ここ数年のラップトップの物理的セキュリティモデルは多くの変更が加えられており、'完全に保持されているとは確信していません。もう。
- それは新しい学術研究の領域にまたがっています。 '州レベルのアクターがivid = “64f42c222c”を証明できないため、ここではネガティブを証明できません' >
ノートパソコンのブランド'の拡張ポートに直接接続し、ノースバスまたはPCIバスに直接アクセスし、マルウェアをRAMに直接注入できるデバイスはありません。ラップトップのロックが解除されるとすぐにブートROMに挿入されます。ここで繰り返すマントラよりも最新の回答が必要な場合は、査読付きのジャーナルを見て、それらに記事を投稿している研究者に相談してください。
回答
あなたが説明しているのは、悪意あるメイド攻撃です。このシナリオでアクセスを取得する方法はたくさんありますが、主な方法はDMAです。 。
M.2は、IOMMUがこれを防ぐように構成されていない場合、DMAを介してシステムメモリに直接かつ完全にアクセスできるようにします。これは、ほとんどの場合、ダイレクトPCIのデフォルトではありません。 eリンク。ExpressCardスロットがある場合も同様です。このためのツールセットの1つは、 PCILeech です。これは、システムから最初の4GBのメモリをダンプすることができます。 OSインタラクションまたはドライバーがインストールされている場合、およびドライバーが最初にインストールされている場合はすべてのメモリ。
ラップトップにThunderboltまたはUSB-Cが搭載されている場合も、どちらのインターフェイスもDMAをサポートしている可能性があります。一般的に言えば、これらのインターフェイスは、IOMMUを使用する任意のDMAを防ぐために、ファームウェアとドライバーに強化機能を備えている傾向がありますが、この保護は完全または普遍的ではなく、いくつかの問題があります(例: Thunderclap )。これにより、攻撃者は一部のハードウェアでIOMMUをバイパスできます。
仮想化ベースのセキュリティ(VBS)とWindows資格保護ガード(WCG)を有効にすることをお勧めします。これにより、OS全体がHyper-Vハイパーバイザーに配置され、LSASSサービス(資格情報をキャッシュする)のほとんどが分離された仮想マシンにシフトされます。現時点では、攻撃者がキャッシュされたものを回復できるツールキットはほとんどありません。非対話型メモリダンプを使用したWCGエンクレーブからのBitLockerマスター暗号化キー。これにより、DeviceGuardとKMCI / HVCIを有効にすることもできます。これにより、攻撃者が1回限りのDMAからシステムの永続性を取得することが非常に困難になります。攻撃。
コメント
- 素晴らしい答え、ありがとう! M.2 PCIeデバイスを接続するには、ラップトップを再起動する必要があると想定して正しいですか?> RAMをクリアします。これにより、新しく起動したシステムでのBitlockerキーの抽出が唯一の実行可能な攻撃として残ります。
- 'は個々のハードウェアとファームウェアに依存します。通常、M.2ホットプラグは'コンシューマーデバイスでは機能しませんが、ワークステーションおよびサーバーシステムでより頻繁に見られます。 ExpressCardは、ホットプラグ用に設計されているため、機能します。予備のPCIeスロット(ラップトップWiFiモジュールがよく使用するようなミニPCIeを含む)も、運が良ければ一部のモデルで機能します。ただし、実行できる1つのトリックは、ラップトップをスリープ状態にし、M.2またはPCIeカードを接続してからウェイクアップすることです。これにより、電源を切ったりメモリをクリアしたりせずに再列挙がトリガーされます。
- その他質問:1。悪意のあるPCIeデバイスはどのようにしてメモリを直接読み取ることができますか?すべてのメモリアクセスはIOMMUを経由し、OSは要求されたページを明示的にマップする必要があると思いました。 2.仮想化はBitLockerキーの抽出をどのように防ぎますか? 'キーはまだメモリの別の場所に保存されていますか?
- 実際には、OSはPCI-eでDMAをブロックするようにIOMMUを構成していません。互換性の理由から、4GBの境界より下のデバイス。デバイスは、それらのページをマップ可能にするように要求するだけで、OSが義務付けます。 VBS / WCGは、キーを読み取れないことを' 保証しません。'キーを読み取れないだけです。現時点では、'新機能であり、メモリフォレンジックツールキットはまだ'追いついていないためです。
- 私のラップトップのPCIe周辺機器のみが1.NVMe SSDドライブ、2。最新のIntel WiFiカードである場合、これらのマッピングをクリアするようにWindowsを再構成することは可能ですか、それともPCIe / IOMMU標準の一部に違反しますか?
回答
多くのセキュリティ状況と同様に、「状況によって異なります」。あなたが「強力な攻撃者の標的ではなく、「危険な物理的アクセス」の定義があらゆる種類の意図的な物理的損傷を除外している場合(その一部は戻ったときに見えない)、大丈夫かもしれません。あなたがターゲットであるか、「危険」の定義に物理的な損傷が含まれている場合、それは間違いなく危険です。
考えられる脅威を理解するには、次の2つのことを定義する必要があります。
-
脅威と見なされるものは何ですか?「危険」とだけ述べていますが、これは非常にあいまいです。ラップトップをまったく同じ危険に見える同じモデルに交換する人はいますか?他のラップトップは、入力されたすべてのパスワードを送信するように構成されている可能性があります、「指紋がログインしないので入力する必要があります」。ラップトップへのログインに使用される指紋リーダーからデータを送信することもできます。これは、国のようなものです。もちろんですが、SuperGlueをラップトップのHDMI / USBスロットに入れるのは危険ですか?それともハードドライブを盗むのでしょうか(ノートパソコンが画面をオフにしてロックされている場合、返却時に気付かれません)?
-
脅威の攻撃者は誰ですか?国民国家などの強力な攻撃者は、ロックされたラップトップメモリをダンプできるツールを持っている可能性があります。これには、復号化キーが含まれる可能性があります(これは「ロック」の定義方法によって異なります)。重要なデータを盗聴したり、機能を妨害したりするハードウェアを内部に追加できます。これは、すべてを事前に準備した強力な攻撃者によって非常に短時間で実行される可能性があります。
最後に、「悪意のある人物がコンピュータにアクセスした場合、それはあなたのコンピュータではありません。もうコンピュータ」には多くの真実があります。しかし、「悪者」はその意図と力が異なります。したがって、コンピュータを1年間所有しているNSAでさえ、あなたがターゲットではないと判断した場合、何もしない可能性があります。