Waarom ik denk dat deze vraag geen duplicaat is: Er zijn meerdere vragen die te maken hebben met het misbruiken van een vergrendelde computer op deze site, maar de meeste antwoorden zijn gericht op het misbruiken van een niet-verhard systeem in de standaardconfiguratie. Ik geloof dat in de afgelopen jaren, met grote vooruitgang in encryptie en hardware + softwareauthenticatie (secure boot, bitlocker, virtualisatie, UEFI, …), het dreigingsmodel voor een geharde laptop significant verschilt en daarom, vraag onder het volgende scenario:

Technische aannames:

  1. Ik gebruik een moderne Windows 10 Pro-laptop, waarbij het besturingssysteem en alle stuurprogrammas zijn bijgewerkt naar de nieuwste versies.
  2. Laptop is vergrendeld, met de volgende verificatiemethoden: vingerafdruklezer, sterk wachtwoord, redelijk sterke pincode (waarschijnlijk een offline brute-force niet overleven).
  3. Interne schijf is gecodeerd met PIN-loze Bitlocker, met behulp van TPM.
  4. UEFI is beveiligd met een wachtwoord, opstarten vanaf externe schijf vereist UEFI-wachtwoord, netwerk opstarten is uitgeschakeld, Secure Boot is ingeschakeld.
  5. Ik ben verbonden met hetzelfde netwerk als een aanvaller (aanvaller kan mogelijk zelfs eigenaar zijn van het netwerk).
  6. De laptop heeft een ingeschakelde Thunderbolt 3-poort, maar voordat een aangesloten apparaat wordt geaccepteerd, moet het worden geautoriseerd door de gebruiker (wat niet mogelijk zou moeten zijn op het vergrendelingsscherm).
  7. Laptop heeft een vrije M.2-sleuf aan de binnenkant , is dis / re-assembly mogelijk in minder dan een minuut.

Ervan uitgaande dat ik ergens met een aanvaller zit, vergrendel ik mijn laptop en 5 minuten laten staan , is het haalbaar voor de aanvaller om toegang te krijgen tot mijn laptop (door het vergrendelingsscherm te omzeilen, of door bestanden uit te pakken met een andere methode (de bitlocker-sleutel uitpakken) , …)) voordat ik terugkeer, onder de voorwaarde dat ik “niets verdachts mag opmerken na terugkomst?

Reacties

  • Beantwoordt dit uw vraag? Wat zijn de mogelijke risicos van het achterlaten van een apparaat in het openbaar, maar vergrendeld?
  • Dat doet het niet – ik ‘ m was ervan overtuigd dat mijn aannames de meeste van de hier genoemde aanvallen (zouden moeten) voorkomen.
  • Ik bedoelde niet ‘ niet te suggereren dat dit zou voldoen aan uw nieuwsgierigheid. Ik ben nog steeds gewend aan het oude automatische bericht: ” Mogelijk duplicaat van $ foo ” . Dat wil zeggen, hoewel u denkt dat de details genoeg verschillend zijn, zijn de eerste twee zinnen van het bovenste en geaccepteerde antwoord nog steeds volledig en volledig van toepassing op deze vraag: als ze fysieke toegang zonder toezicht hebben, is het niet ‘ t veilig meer. Zonder fysieke beveiliging zijn alle andere infosec-maatregelen betwistbaar.
  • @Ghedipunk Deze mantra is precies waarom ik ‘ deze vraag stel – ik ‘ heb het vele malen herhaald zien worden, maar met talloze veranderingen in het fysieke beveiligingsmodel van laptops in de afgelopen jaren, ben ik ‘ niet overtuigd dat het volledig klopt meer.
  • Dat dringt door in het domein van nieuw academisch onderzoek. We kunnen ‘ hier geen negatief bewijs leveren, net zoals we ‘ niet kunnen bewijzen dat actoren op staatsniveau ‘ t hebben apparaten die rechtstreeks op de uitbreidingspoorten van uw laptopmerk ‘ s kunnen worden aangesloten, directe toegang tot de noordbus of PCI-bus krijgen en malware rechtstreeks in het RAM injecteren, waardoor geïnjecteerd in de opstartrom zodra uw laptop wordt ontgrendeld. Als je een actueler antwoord wilt dan de mantra die we hier herhalen, wil je peer-reviewed tijdschriften bekijken en praten met de onderzoekers die er artikelen bij indienen.

Antwoord

Wat u beschrijft is een Evil Maid-aanval. Er zijn een aantal manieren waarop u toegang kunt krijgen in dit scenario, maar de belangrijkste is DMA .

M.2 zou u directe en volledige toegang geven tot het systeemgeheugen via DMA, ervan uitgaande dat de IOMMU niet is geconfigureerd om dit te voorkomen, wat vrijwel zeker niet standaard zal zijn voor een directe PCI- e link. Hetzelfde geldt als u een ExpressCard-sleuf heeft. Een toolset hiervoor is PCILeech , die in staat is om de eerste 4 GB geheugen van een systeem te dumpen zonder elke OS-interactie of geïnstalleerde stuurprogrammas, en alle geheugen als een stuurprogramma voor het eerst wordt geïnstalleerd.

Het is mogelijk ook mogelijk als uw laptop Thunderbolt of USB-C heeft, omdat beide interfaces DMA ondersteunen.Over het algemeen hebben deze interfaces nu vaak versterkende functies in de firmware en stuurprogrammas om te voorkomen dat willekeurige DMA de IOMMU gebruikt, maar deze bescherming is niet perfect of universeel en er zijn enkele problemen geweest (bijv. Thunderclap ) waarmee een aanvaller de IOMMU in sommige hardware kan omzeilen.

Wat u misschien wilt doen is Virtualization Based Security (VBS) en Windows Credential Guard (WCG) inschakelen, die je hele besturingssysteem in een Hyper-V-hypervisor plaatst en het grootste deel van de LSASS-service (die inloggegevens in de cache opslaat) naar een geïsoleerde virtuele machine verplaatst. Er zijn op dit moment weinig of geen toolkits waarmee een aanvaller de cache kan herstellen BitLocker-hoofdversleutelingssleutel van de WCG-enclave met behulp van een niet-interactieve geheugendump. Hiermee kunt u ook Device Guard en KMCI / HVCI inschakelen, wat het voor een aanvaller buitengewoon moeilijk zou moeten maken om persistentie op het systeem te krijgen van een eenmalige DMA aanval.

Reacties

  • Geweldig antwoord, bedankt! Heb ik gelijk als ik aanneem dat voor het aansluiten van een M.2 PCIe-apparaat de laptop opnieuw moet worden opgestart – > het RAM-geheugen moet worden gewist, waardoor Bitlocker-sleutelextractie op een nieuw opgestart systeem de enige haalbare aanval blijft?
  • Het ‘ is afhankelijk van de individuele hardware en firmware. Gewoonlijk werkt de M.2-hotplug niet ‘ op consumentenapparaten, maar wordt het vaker gezien op werkstations en serversystemen. ExpressCard zal werken omdat deze is ontworpen voor hotplug. Extra PCIe-slots (inclusief mini-PCIe, zoals vaak gebruik van laptop-WiFi-modules) werken ook op sommige modellen als je geluk hebt. Een truc die u kunt doen, is door de laptop te laten slapen, de M.2- of PCIe-kaart aan te sluiten en hem vervolgens wakker te maken, waardoor de opsomming wordt geactiveerd zonder het geheugen uit te schakelen of te wissen.
  • Nog maar een paar vragen: 1. Hoe kan het kwaadwillende pcie-apparaat het geheugen rechtstreeks lezen? Ik dacht dat alle geheugentoegang via de IOMMU verloopt en dat het besturingssysteem de gevraagde paginas expliciet in kaart moet brengen. 2. Hoe voorkomt virtualisatie de extractie van de bitlockersleutel? Is de sleutel niet ‘ t de sleutel nog steeds opgeslagen in het geheugen, alleen op een andere locatie?
  • In de praktijk configureert het besturingssysteem de IOMMU niet om DMA op PCI-e te blokkeren apparaten onder de 4GB-grens vanwege compatibiliteitsredenen. Het apparaat kan gewoon vragen om die paginas in kaart te brengen en het besturingssysteem verplicht dit. VBS / WCG ‘ t garandeert dat je de sleutels ‘ niet kunt lezen, het maakt het alleen moeilijker op dit moment omdat het ‘ een nieuwe functie is en de forensische geheugengereedschapskits ‘ nog niet zijn ingehaald.
  • Is het haalbaar om Windows opnieuw te configureren om deze toewijzingen te wissen, aangezien alleen PCIe-randapparatuur in mijn laptop 1. een NVMe SSD-schijf, 2. moderne Intel WiFi-kaart is, of zou dat een deel van de PCIe / IOMMU-standaard schenden?

Antwoord

Zoals met veel beveiligingssituaties, “het hangt ervan af”. Als u “geen doelwit bent van een krachtige aanvaller en uw definitie van” gevaarlijke fysieke toegang “elke vorm van opzettelijke fysieke schade uitsluit (waarvan sommige niet zichtbaar zijn voor u wanneer u terugkeert), komt het misschien wel goed. u een doelwit bent, of uw definitie van “gevaarlijk” omvat fysieke schade, het is beslist gevaarlijk.

Om de mogelijke bedreigingen te begrijpen, moet u twee dingen definiëren:

  • Wat wordt als een bedreiging beschouwd? U zegt alleen gevaarlijk, maar dit is erg vaag. Zou iemand uw laptop vervangen door een identiek model dat er precies hetzelfde uitziet als gevaarlijk? Die andere laptop kan zo zijn geconfigureerd dat alle getypte wachtwoorden worden verzonden , die u zou moeten typen omdat uw vingerafdruk niet wil inloggen; het kan ook de gegevens van uw vingerafdruklezer verzenden die zou worden gebruikt om in te loggen op uw laptop. Dit is meer iets van een natiestaat, van natuurlijk. Maar zou het gevaarlijk zijn om SuperGlue in de HDMI / USB-sleuf van de laptop te steken? Of zou u uw harde schijf stelen (wat wordt ongemerkt bij terugkeer als uw laptop is vergrendeld met het scherm uit)?

  • Wie zijn bedreigingsactoren? Krachtige aanvallers, zoals een nationale staat, hebben wellicht tools die in staat zijn om uw vergrendelde laptopgeheugen te dumpen, mogelijk inclusief de decoderingssleutels (dit hangt af van hoe u “vergrendeld” definieert). Ze kunnen hardware aan de binnenkant toevoegen die belangrijke gegevens zou kunnen opsporen of de functionaliteit zou verstoren; dit kan in zeer korte tijd worden gedaan door een krachtige aanvaller die alles van tevoren heeft voorbereid.

Tot slot, “als de slechterik toegang had tot uw computer, is het niet uw computer meer “heeft veel waarheid. Maar “slechteriken” verschillen in hun bedoelingen en macht. Het is dus mogelijk dat zelfs NSA die uw computer een jaar heeft, er niets aan zal doen als ze besluiten dat u niet hun doelwit bent.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *