Dlaczego uważam, że to pytanie nie jest powtórzeniem: Istnieje wiele pytań dotyczących wykorzystania zablokowanego komputera na tej stronie, ale większość odpowiedzi koncentruje się na wykorzystaniu niezabezpieczonego systemu w domyślnej konfiguracji. Uważam, że w ostatnich latach, wraz z dużymi postępami w szyfrowaniu i uwierzytelnianiu sprzętu i oprogramowania (bezpieczny rozruch, bitlocker, wirtualizacja, UEFI, …), model zagrożeń dla wzmocnionego laptopa jest znacząco inny i dlatego ponownie to robię pytanie w następującym scenariuszu:

Założenia techniczne:

  1. Używam nowoczesnego laptopa z systemem Windows 10 Pro, z systemem operacyjnym i wszystkimi sterownikami zaktualizowanymi do najnowszych wersji.
  2. Laptop jest zablokowany, z następującymi metodami uwierzytelniania: czytnik linii papilarnych, silne hasło, dość silny kod PIN (prawdopodobnie nie przetrwać brutalnej siły w trybie offline).
  3. Dysk wewnętrzny jest szyfrowany za pomocą funkcji Bitlocker bez kodu PIN, przy użyciu modułu TPM.
  4. UEFI jest chroniony hasłem, uruchamianie z dysku zewnętrznego wymaga hasła UEFI, rozruch sieciowy jest wyłączony, Bezpieczne uruchamianie jest włączone.
  5. Mam połączenie z tą samą siecią co osoba atakująca (osoba atakująca może być nawet właścicielem sieci).
  6. Laptop ma włączony port Thunderbolt 3, ale zanim jakiekolwiek podłączone urządzenie zostanie zaakceptowane, musi zostać autoryzowane przez użytkownika (co nie powinno być możliwe na ekranie blokady).
  7. Laptop ma wewnątrz wolne gniazdo M.2 , dez / ponowny montaż jest możliwy w mniej niż minutę.

Zakładając, że siedzę gdzieś z intruzem, blokuję laptopa i zostaw na 5 minut , czy możliwe jest, aby osoba atakująca uzyskała dostęp do mojego laptopa (przez ominięcie ekranu blokady lub wyodrębnienie plików inną metodą (wyodrębnienie klucza , …)) zanim wrócę, pod warunkiem, że nie mogę „zauważyć niczego podejrzanego po powrocie?

Komentarze

  • Czy to odpowiada na twoje pytanie? Jakie jest potencjalne ryzyko pozostawienia urządzenia publicznie, ale zablokowanego?
  • Tak nie jest – I ' jestem przekonany, że moje założenia (powinny) zapobiec większości wspomnianych tam ataków.
  • Nie ' nie chciałem sugerować, że to zadowoli twoje ciekawość. Nadal jestem przyzwyczajony do starej automatycznej wiadomości: ” Możliwy duplikat $ foo ” . Oznacza to, że nawet jeśli uważasz, że szczegóły są wystarczająco różne, pierwsze dwa zdania górnej i zaakceptowanej odpowiedzi nadal odnoszą się całkowicie i całkowicie do tego pytania: jeśli mają fizyczny dostęp bez nadzoru, nie jest to ' t już nie jest bezpieczny. Bez fizycznego zabezpieczenia wszystkie inne środki ochrony danych są dyskusyjne.
  • @Ghedipunk Właśnie ta mantra jest powodem, dla którego ' zadaję to pytanie – ' widzieliśmy to wiele razy, ale przy licznych zmianach fizycznego modelu zabezpieczeń laptopów w ciągu ostatnich kilku lat ' nie jestem przekonany, czy w pełni działa już.
  • To wkracza w sferę nowych badań akademickich. Nie możemy tutaj ' udowodnić wartości ujemnej, ponieważ nie możemy ' udowodnić, że aktorzy na poziomie stanu nie ' nie mam urządzeń, które można podłączyć bezpośrednio do portów rozszerzeń ' marki twojego laptopa, uzyskać bezpośredni dostęp do magistrali północnej lub magistrali PCI i wstrzyknąć złośliwe oprogramowanie bezpośrednio do pamięci RAM, wstrzyknięty do boot romu, gdy tylko twój laptop zostanie odblokowany. Jeśli chcesz uzyskać odpowiedź bardziej aktualną niż mantra, którą tutaj powtarzamy, przejrzyj recenzowane czasopisma i porozmawiaj z naukowcami, którzy przesyłają do nich artykuły.

Odpowiedz

To, co opisujesz, to atak Zła Pokojówka. Istnieje kilka sposobów uzyskania dostępu w tym scenariuszu, ale głównym z nich jest DMA .

M.2 dałoby bezpośredni i pełny dostęp do pamięci systemowej przez DMA, zakładając, że IOMMU nie jest skonfigurowany tak, aby temu zapobiegać, co prawie na pewno nie będzie domyślnie dostępne dla bezpośredniego PCI- e. To samo dotyczy gniazda ExpressCard. Jednym z narzędzi do tego jest PCILeech , który może zrzucić pierwsze 4 GB pamięci z systemu bez każda interakcja z systemem operacyjnym lub zainstalowane sterowniki oraz cała pamięć, jeśli sterownik został zainstalowany jako pierwszy.

Jest to również potencjalnie możliwe, jeśli twój laptop ma Thunderbolt lub USB-C, ponieważ oba te interfejsy obsługują DMA.Ogólnie rzecz biorąc, te interfejsy mają teraz zwykle funkcje utwardzania w oprogramowaniu układowym i sterownikach, aby zapobiec przypadkowemu DMA przy użyciu IOMMU, ale ta ochrona nie jest idealna ani uniwersalna i wystąpiły pewne problemy (np. Thunderclap ), które pozwalają atakującemu na ominięcie IOMMU w przypadku niektórych urządzeń.

Możesz chcieć włączyć zabezpieczenia oparte na wirtualizacji (VBS) i Windows Credential Guard (WCG), który umieszcza cały system operacyjny w hiperwizorze Hyper-V i przenosi większość usługi LSASS (która buforuje poświadczenia) do odizolowanej maszyny wirtualnej. W tej chwili jest niewiele, jeśli w ogóle, zestawów narzędzi, które pozwalają atakującemu odzyskać buforowane Główny klucz szyfrowania funkcji BitLocker z enklawy WCG przy użyciu nieinteraktywnego zrzutu pamięci. Umożliwia to również włączenie funkcji Device Guard i KMCI / HVCI, co powinno bardzo utrudnić atakującemu uzyskanie trwałości w systemie z jednorazowego DMA atak.

Komentarze

  • Świetna odpowiedź, dzięki! Czy mam rację, zakładając, że podłączenie urządzenia M.2 PCIe wymagałoby ponownego uruchomienia laptopa – > wyczyszczenia pamięci RAM, co pozostawia wyodrębnienie klucza Bitlocker na świeżo uruchomionym systemie jako jedyny możliwy atak?
  • To ' zależy od indywidualnego sprzętu i oprogramowania układowego. Zwykle hotplug M.2 nie ' nie działa na urządzeniach konsumenckich, ale częściej występuje na stacjach roboczych i serwerach. ExpressCard będzie działać, ponieważ jest przeznaczony do podłączania podczas pracy. Zapasowe gniazda PCIe (w tym mini-PCIe, takie jak często używane moduły WiFi w laptopach) również działają w niektórych modelach, jeśli masz szczęście. Jedną sztuczką, którą możesz zrobić, jest jednak uśpienie laptopa, podłączenie karty M.2 lub PCIe, a następnie wybudzenie go, co uruchamia ponowne wyliczenie bez wyłączania lub czyszczenia pamięci.
  • Kilka więcej pytania: 1. W jaki sposób złośliwe urządzenie PCIe może bezpośrednio czytać pamięć? Pomyślałem, że cały dostęp do pamięci przechodzi przez IOMMU, a system operacyjny musi jawnie mapować żądane strony. 2. W jaki sposób wirtualizacja zapobiega wyodrębnianiu klucza funkcji BitLocker? Czy nie ' t klucz jest nadal przechowywany w pamięci, tylko w innym miejscu?
  • W praktyce system operacyjny nie konfiguruje IOMMU do blokowania DMA na PCI-e urządzenia poniżej granicy 4 GB ze względu na kompatybilność. Urządzenie może po prostu poprosić o mapowanie tych stron, a system operacyjny to zobowiązuje. VBS / WCG nie ' t gwarantuje , że możesz ' t czytać klucze, tylko to utrudnia w tej chwili, ponieważ ' to nowa funkcja i zestaw narzędzi do kryminalistyki pamięci ' nie nadążył jeszcze.
  • Czy rekonfiguracja systemu Windows w celu wyczyszczenia tych mapowań jest możliwa, biorąc pod uwagę, że tylko urządzenia peryferyjne PCIe w moim laptopie to 1. dysk SSD NVMe, 2. nowoczesna karta Intel WiFi, czy może to naruszałoby jakąś część standardu PCIe / IOMMU?

Odpowiedź

Podobnie jak w przypadku wielu sytuacji związanych z bezpieczeństwem, „to zależy”. Jeśli „nie jesteś celem potężnego napastnika, a Twoja definicja„ niebezpiecznego fizycznego dostępu ”wyklucza jakiekolwiek celowe obrażenia fizyczne (niektóre z nich nie będą widoczne po powrocie), możesz być w porządku. Jeśli jesteś celem lub twoja definicja „niebezpiecznego” obejmuje obrażenia fizyczne, jest to zdecydowanie niebezpieczne.

Aby zrozumieć możliwe zagrożenia, musisz zdefiniować dwie rzeczy:

  • Co jest uważane za zagrożenie? Podajesz tylko informację „niebezpieczny”, ale jest to bardzo niejasne. Czy ktoś wymieni twój laptopa na identyczny model wyglądający dokładnie tak samo niebezpiecznie? Ten inny laptop może być skonfigurowany do wysyłania wszystkich wpisanych haseł , które trzeba wpisać, ponieważ odcisk palca nie będzie się logował; może również wysyłać dane z czytnika linii papilarnych, które byłyby używane do logowania się do laptopa. To raczej kwestia państwowa, Oczywiście. Ale czy włożenie SuperGlue do gniazda HDMI / USB laptopa byłoby niebezpieczne? Albo kradzież dysku twardego (co będzie niezauważone po zwrocie, jeśli Twój laptop jest zablokowany, a ekran jest wyłączony)?

  • Kim są cyberprzestępcy? Potężni napastnicy, tacy jak państwa narodowe, mogą mieć narzędzia, które byłyby w stanie zrzucić zablokowaną pamięć laptopa, w tym prawdopodobnie klucze deszyfrujące (zależy to od tego, jak zdefiniujesz „zablokowane”). Mogą dodać do środka sprzęt, który wyszukałby ważne dane lub zakłócałby funkcjonalność; mógłby to zrobić w bardzo krótkim czasie potężny napastnik, który przygotował wszystko z wyprzedzeniem.

Wreszcie, „jeśli zły facet miał dostęp do Twojego komputera, to nie jest komputer już ”ma dużo prawdy. Jednak „źli faceci” różnią się intencjami i siłą. Jest więc możliwe, że nawet NSA, które mają Twój komputer przez rok, nic z tym nie zrobią, jeśli uznają, że nie jesteś ich celem.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *