Por que acredito que esta pergunta não é uma duplicata: Existem várias questões relacionadas à exploração de um computador bloqueado neste site, mas a maioria das respostas se concentra na exploração de um sistema não protegido na configuração padrão. Acredito que nos últimos anos, com grandes avanços em criptografia e autenticação de hardware + software (inicialização segura, bitlocker, virtualização, UEFI, …), o modelo de ameaça para um laptop reforçado é significativamente diferente e, portanto, estou reascando isso pergunta no seguinte cenário:

Suposições técnicas:

  1. Estou usando um laptop Windows 10 Pro moderno, com sistema operacional e todos os drivers atualizados para as versões mais recentes.
  2. O laptop está bloqueado, com os seguintes métodos de autenticação: leitor de impressão digital, senha forte, PIN razoavelmente forte (provavelmente seria não sobreviverá a uma força bruta offline).
  3. A unidade interna é criptografada com Bitlocker sem PIN, usando TPM.
  4. UEFI é protegida por senha, a inicialização de uma unidade externa requer senha UEFI, a inicialização da rede está desabilitada, a inicialização segura está ativada.
  5. Estou conectado à mesma rede que um invasor (o invasor pode ser o proprietário da rede).
  6. O laptop tem uma porta Thunderbolt 3 habilitada, mas antes que qualquer dispositivo conectado seja aceito, ele deve ser autorizado pelo usuário (o que não deve ser possível na tela de bloqueio).
  7. O laptop tem um slot M.2 livre dentro , a des / remontagem é possível em menos de um minuto.

Presumindo que estou sentado em algum lugar com um invasor, eu bloqueio meu laptop e deixe por 5 minutos , é viável para o invasor obter acesso ao meu laptop (ignorando a tela de bloqueio ou extraindo arquivos usando algum outro método (extraindo a chave bitlocker , …)) antes de retornar, sob a condição de não notar nada suspeito depois de voltar?

Comentários

  • Isso responde à sua pergunta? Quais são os riscos potenciais de deixar um dispositivo em público, mas bloqueado?
  • Não deixa – I ‘ estou convencido de que minhas suposições (deveriam) prevenir a maioria dos ataques mencionados lá.
  • Eu não ‘ não quis dizer que isso iria satisfazer seu curiosidade. Ainda estou acostumado com a velha mensagem automática: ” Possível duplicata de $ foo ” . Ou seja, mesmo que você pense que os detalhes são diferentes o suficiente, as duas primeiras frases da resposta inicial e aceita ainda se aplicam total e completamente a esta pergunta: Se eles têm acesso físico não supervisionado, não é ‘ não é mais seguro. Sem segurança física, todas as outras medidas infosec são discutíveis.
  • @Ghedipunk Este mantra é exatamente o motivo pelo qual eu ‘ estou fazendo esta pergunta – Eu ‘ Já vi isso se repetir muitas vezes, mas com inúmeras mudanças no modelo de segurança física dos laptops nos últimos anos, eu ‘ não estou convencido de que seja totalmente válido mais.
  • Isso cruza o reino das novas pesquisas acadêmicas. Não podemos ‘ provar uma negativa aqui, pois podemos ‘ provar que os atores estaduais não ‘ t ter dispositivos que podem se conectar diretamente às portas de expansão ‘ da marca do seu laptop, obter acesso direto ao barramento norte ou barramento PCI e injetar malware diretamente na RAM, que obtém injetado na ROM de inicialização assim que o laptop for desbloqueado. Se você quiser uma resposta mais atualizada do que o mantra que repetimos aqui, você deseja olhar para os periódicos revisados por pares e conversar com os pesquisadores que enviam artigos para eles.

Resposta

O que você está descrevendo é um ataque de Maid. Existem várias maneiras de obter acesso neste cenário, mas a principal é DMA .

M.2 lhe daria acesso direto e completo à memória do sistema por DMA, assumindo que o IOMMU não está configurado para evitar isso, o que quase certamente não será por padrão para um PCI- direto e link. O mesmo acontece se você tiver um slot ExpressCard. Um conjunto de ferramentas para isso é PCILeech , que é capaz de despejar os primeiros 4 GB de memória de um sistema sem qualquer interação do sistema operacional ou drivers instalados e toda a memória se um driver for instalado pela primeira vez.

Também é potencialmente possível se o seu laptop tiver Thunderbolt ou USB-C, porque ambas as interfaces suportam DMA.De um modo geral, essas interfaces agora tendem a ter recursos de proteção no firmware e drivers para evitar DMA arbitrário usando o IOMMU, mas essa proteção não é perfeita ou universal, e houve alguns problemas (por exemplo, Thunderclap ) que permite que um invasor ignore o IOMMU em algum hardware.

O que você pode desejar fazer é ativar a virtualização baseada na segurança (VBS) e o Windows Credential Guard (WCG), que coloca todo o seu sistema operacional em um hipervisor Hyper-V e muda a maior parte do serviço LSASS (que armazena credenciais em cache) em uma máquina virtual isolada. Existem poucos, se houver, kits de ferramentas disponíveis no momento que permitem que um invasor recupere o cache Chave mestra de criptografia do BitLocker do enclave WCG usando um despejo de memória não interativo. Isso também permite que você habilite o Device Guard e KMCI / HVCI, o que deve tornar extremamente difícil para um invasor obter persistência no sistema a partir de um DMA único ataque.

Comentários

  • Resposta incrível, obrigado! Estou correto ao presumir que conectar um dispositivo M.2 PCIe exigiria reiniciar o laptop – > limpar a RAM, o que deixa a extração de chave do Bitlocker em sistema recém-inicializado como o único ataque viável?
  • É ‘ para o hardware e firmware individuais. Normalmente, o hotplug M.2 não ‘ funciona em dispositivos de consumo, mas é visto com mais frequência em estações de trabalho e sistemas de servidor. ExpressCard funcionará porque foi projetado para hotplug. Slots PCIe sobressalentes (incluindo mini-PCIe, como os módulos WiFi de laptop costumam usar) também funcionam em alguns modelos se você tiver sorte. Um truque que você pode fazer é colocar o laptop no modo de espera, conectar a placa M.2 ou PCIe e, em seguida, ativá-lo, o que aciona a reenumeração sem desligar ou limpar a memória.
  • Mais alguns perguntas: 1. Como o dispositivo malicioso pcie pode ler a memória diretamente? Pensei que todo o acesso à memória passa pelo IOMMU e o sistema operacional deve mapear explicitamente as páginas solicitadas. 2. Como a virtualização evita a extração da chave do bitlocker? Não está ‘ a chave ainda armazenada na memória, apenas em um local diferente?
  • Na prática, o sistema operacional não configura o IOMMU para bloquear DMA em PCI-e dispositivos abaixo do limite de 4 GB por motivos de compatibilidade. O dispositivo pode simplesmente solicitar que essas páginas sejam mapeáveis e o sistema operacional obriga. VBS / WCG não ‘ garante que você não pode ‘ ler as chaves, apenas torna mais difícil no momento porque é ‘ um novo recurso e os kits de ferramentas de análise forense de memória ainda ‘ ainda não foram atualizados.
  • É viável reconfigurar o Windows para limpar esses mapeamentos, visto que apenas os periféricos PCIe em meu laptop são 1. uma unidade SSD NVMe, 2. uma placa WiFi moderna da Intel ou isso violaria alguma parte do padrão PCIe / IOMMU?

Resposta

Como em muitas situações de segurança, “depende”. Se você não é o alvo de um invasor poderoso e sua definição de “acesso físico perigoso” exclui qualquer tipo de dano físico intencional (alguns dos quais não estarão visíveis para você quando você retornar), você pode estar bem. você é um alvo, ou sua definição de “perigoso” inclui danos físicos, é definitivamente perigoso.

Para entender as possíveis ameaças, você deve definir duas coisas:

  • O que é considerado uma ameaça? Você apenas declara “perigoso”, mas isso é muito vago. Alguém trocaria seu laptop por um modelo idêntico e parecendo exatamente o mesmo perigoso? Esse outro laptop pode estar configurado para enviar todas as senhas digitadas , que você teria que digitar, pois sua impressão digital não faria login; ele também pode enviar os dados do seu leitor de impressão digital que seriam usados para fazer login no seu laptop. Isso é mais uma coisa de estado-nação, de Claro. Mas colocar SuperGlue no slot HDMI / USB do laptop é perigoso? Ou roubar seu disco rígido (que será despercebido ao retornar se o seu laptop estiver bloqueado com a tela desligada)?

  • Quem são os atores da ameaça? Atacantes poderosos, como o estado-nação, podem ter ferramentas que seriam capazes de despejar a memória bloqueada do seu laptop, possivelmente incluindo as chaves de descriptografia (isso depende de como você define “bloqueado”). Eles podem adicionar hardware interno que detectaria dados importantes ou interferiria na funcionalidade; isso poderia ser feito em um tempo muito curto por um invasor poderoso que preparou tudo com antecedência.

Finalmente, “se o bandido teve acesso ao seu computador, não é seu computador mais “tem muita verdade. No entanto, os “bandidos” diferem em suas intenções e poder. Portanto, é possível que mesmo a NSA com seu computador por um ano não faça nada a respeito se decidir que você não é o alvo deles.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *