Hvorfor jeg mener at dette spørsmålet ikke er et duplikat: Det er flere spørsmål om utnyttelse av en låst datamaskin på dette nettstedet, men de fleste av svarene er fokusert på å utnytte et ikke-herdet system i standardkonfigurasjon. Jeg tror at de siste årene, med store fremskritt innen kryptering og programvareautentisering av maskinvare + (sikker oppstart, bitlocker, virtualisering, UEFI, …), er trusselmodellen for en herdet bærbar datamaskin betydelig annerledes, og derfor ber jeg om dette spørsmål under følgende scenario:

Tekniske forutsetninger:

  1. Jeg bruker en moderne Windows 10 Pro-bærbar PC, med operativsystemet og alle driverne oppdatert til de nyeste versjonene.
  2. Bærbar PC er låst, med følgende autentiseringsmetoder: fingeravtrykksleser, sterkt passord, rimelig sterk PIN-kode (sannsynligvis ikke overleve en offline brute-force).
  3. Intern stasjon er kryptert med PIN-fri Bitlocker, ved hjelp av TPM.
  4. UEFI er passordbeskyttet. Oppstart fra ekstern stasjon krever UEFI-passord, nettverksstart er deaktivert, Secure Boot er på.
  5. Jeg er koblet til det samme nettverket som en angriper (angriper kan muligens til og med eie nettverket).
  6. Den bærbare datamaskinen har en aktivert Thunderbolt 3-port, men før noen tilkoblet enhet godtas, må den godkjennes av brukeren (noe som ikke burde være mulig på låseskjermen).
  7. Bærbar PC har et gratis M.2-spor inne , dis / re-assembly er mulig på under et minutt.

Forutsatt at jeg sitter et sted med en angriper, låser jeg den bærbare datamaskinen min og la stå i 5 minutter , er det mulig for angriperen å få tilgang til den bærbare datamaskinen min (enten ved å omgå låseskjermen, eller pakke ut filer ved hjelp av en annen metode (trekke ut bitlocker-nøkkelen) , …)) før jeg kommer tilbake, under forutsetning av at jeg ikke må legge merke til noe mistenkelig etter å ha kommet tilbake?

Kommentarer

  • Svarer dette på spørsmålet ditt? Hva er den potensielle risikoen ved å la en enhet være offentlig, men låst?
  • Det gjør det ikke – I ‘ Jeg overbeviste mine antagelser (burde) forhindre de fleste angrepene som er nevnt der.
  • Jeg ment ikke ‘ å antyde at dette ville tilfredsstille din nysgjerrighet. Jeg er fortsatt vant til den gamle automatiske meldingen: » Mulig duplikat av $ foo » . Det vil si, selv om du synes detaljene er forskjellige nok, gjelder de to første setningene i det øverste og aksepterte svaret fortsatt helt og fullt på dette spørsmålet: Hvis de har fysisk tilsyn uten tilsyn, er det ikke ‘ t sikre lenger. Uten fysisk sikkerhet er alle andre infosec-tiltak tøffe.
  • @Ghedipunk Dette mantraet er akkurat derfor jeg ‘ stiller dette spørsmålet – jeg ‘ har sett det gjentatt mange ganger, men med mange endringer er den fysiske sikkerhetsmodellen for bærbare datamaskiner de siste årene, jeg ‘ er ikke overbevist om at den holder fullt ut lenger.
  • Det krysser inn i riket av ny akademisk forskning. Vi kan ‘ ikke bevise et negativt her, da vi kan ‘ t bevise at aktører på statsnivå ikke ‘ har ikke enheter som kan plugges rett inn i den bærbare PC-en din ‘ s utvidelsesporter, få direkte nordbuss eller PCI-busstilgang og injisere skadelig programvare direkte i RAM, som får injisert i bagasjerommet så snart den bærbare datamaskinen din er låst opp. Hvis du vil ha et svar som er mer oppdatert enn mantraet vi gjentar her, vil du se på fagfellevurderte tidsskrifter og snakke med forskerne som sender artikler til dem.

Svar

Det du beskriver er et Evil Maid-angrep. Det er mange måter du kan gå for å få tilgang i dette scenariet, men den viktigste er DMA .

M.2 vil gi deg direkte og full tilgang til systemminnet via DMA, forutsatt at IOMMU ikke er konfigurert for å forhindre dette, noe det nesten helt sikkert ikke vil være som standard for en direkte PCI- e link. Det samme gjelder hvis du har et ExpressCard-spor. Et verktøysett for dette er PCILeech , som er i stand til å dumpe de første 4 GB minnet fra et system uten OS-interaksjon eller drivere som er installert, og alt minne hvis en driver først installeres.

Det er også mulig hvis den bærbare datamaskinen har Thunderbolt eller USB-C, fordi begge disse grensesnittene støtter DMA.Generelt sett har disse grensesnittene nå en tendens til å ha herdefunksjoner i firmware og drivere for å forhindre vilkårlig DMA ved bruk av IOMMU, men denne beskyttelsen er ikke perfekt eller universell, og det har vært noen problemer (f.eks. Thunderclap ) som tillater en angriper å omgå IOMMU i noe maskinvare.

Det du kanskje ønsker å gjøre er å aktivere Virtualisation Based Security (VBS) og Windows Credential Guard (WCG), som plasserer hele operativsystemet ditt i en Hyper-V hypervisor og forskyver det meste av LSASS-tjenesten (som lagrer legitimasjon) til en isolert virtuell maskin. Det er få, om noen, verktøysett der ute for øyeblikket som gjør det mulig for en angriper å gjenopprette hurtigbufringen BitLocker-hovedkrypteringsnøkkel fra WCG-enklave ved hjelp av en ikke-interaktiv minnedump. Dette lar deg også aktivere Device Guard og KMCI / HVCI, noe som skal gjøre det ekstremt vanskelig for en angriper å få utholdenhet på systemet fra en engangs DMA angrep.

Kommentarer

  • Fantastisk svar, takk! Har jeg rett i å anta at tilkobling av en M.2 PCIe-enhet vil kreve omstart av den bærbare datamaskinen – > tømming av RAM, som etterlater utvinning av Bitlocker-nøkkel på nystartet system som det eneste holdbare angrepet?
  • Det ‘ er ned til den enkelte maskinvare og firmware. Vanligvis fungerer M.2 hotplug ikke ‘ på forbrukerenheter, men det ses oftere på arbeidsstasjons- og serversystemer. ExpressCard fungerer fordi det er designet for hotplug. Ekstra PCIe-spor (inkludert mini-PCIe, som bærbare WiFi-moduler ofte bruker) fungerer også på noen modeller hvis du er heldig. Et triks du kan gjøre, er imidlertid å sove den bærbare datamaskinen, koble til M.2- eller PCIe-kortet og deretter vekke det opp, noe som utløser gjenopptelling uten å slå av eller tømme minne.
  • Få flere spørsmål: 1. Hvordan kan den ondsinnede pcie-enheten lese minne direkte? Jeg trodde at all minnetilgang går gjennom IOMMU, og OS må eksplisitt kartlegge de etterspurte sidene. 2. Hvordan forhindrer virtualisering utvinning av bitlocker-nøkkel? Er ikke ‘ nøkkelen som fremdeles er lagret i minnet, bare på et annet sted?
  • I praksis konfigurerer ikke operativsystemet IOMMU til å blokkere DMA på PCI-e enheter under 4 GB-grensen av kompatibilitetsårsaker. Enheten kan bare be om at sidene skal kunne kartlegges, og operativsystemet forplikter. VBS / WCG garanterer ikke ‘ t at du kan ‘ t lese tastene, det gjør det bare vanskeligere for øyeblikket fordi det ‘ er en ny funksjon og verktøysettene for minnettsmedisinsk verktøy har ikke div ‘ ennå.
  • Er det mulig å konfigurere Windows på nytt for å fjerne disse tilordningene, gitt at bare PCIe-periferiutstyr på den bærbare datamaskinen min er 1. en NVMe SSD-stasjon, 2. moderne Intel WiFi-kort, eller ville det være i strid med en del av PCIe / IOMMU-standarden?

Svar

Som med mange sikkerhetssituasjoner, «avhenger det». Hvis du ikke er et mål for en kraftig angriper, og definisjonen din av «farlig fysisk tilgang» utelukker enhver form for forsettlig fysisk skade (hvorav noen ikke vil være synlige for deg når du kommer tilbake), kan det være greit. du er et mål, eller definisjonen din av «farlig» inkluderer fysisk skade, det er definitivt farlig.

For å forstå de mulige truslene, må du definere to ting:

  • Hva blir ansett som en trussel? Du oppgir bare «farlig», men dette er veldig vagt. Ville noen erstatte den bærbare datamaskinen din med en identisk modell som ser nøyaktig like farlig ut? Den andre bærbare datamaskinen kan være konfigurert til å sende ut alle typede passord , som du «må skrive inn ettersom fingeravtrykket ditt ikke logger på. Det kan også sende ut dataene fra fingeravtrykksleseren din som vil bli brukt til å logge inn på den bærbare datamaskinen. Dette er mer en nasjonalstat, Men ville det være farlig å sette SuperGlue inn i den bærbare HDMI / USB-sporet eller stjele harddisken din (som vil være det? ubemerket ved retur hvis den bærbare datamaskinen er låst med skjermen av)?

  • Hvem er trusselaktører? Kraftige angripere som nasjonalstat kan ha verktøy som kan dumpe ditt låste bærbare minne, muligens inkludert dekrypteringsnøklene (dette avhenger av hvordan du definerer «låst»). De kan legge til maskinvare inne som vil snuse ut viktige data eller forstyrre funksjonaliteten; dette kan gjøres på veldig kort tid av en kraftig angriper som forberedte alt på forhånd.

Til slutt, «hvis en ond fyr hadde tilgang til datamaskinen din, er det ikke din datamaskin lenger «har mye sannhet. Imidlertid «skurker» er forskjellige i intensjoner og makt. Så det er mulig at selv NSA som har datamaskinen din i et år ikke vil gjøre noe med det hvis de bestemmer deg for at du ikke er målet.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *