De ce cred că această întrebare nu este un duplicat: Există mai multe întrebări referitoare la exploatarea unui computer blocat pe acest site, dar majoritatea răspunsurilor se concentrează pe exploatarea unui sistem non-harden în configurație implicită. Cred că în ultimii ani, cu progrese majore în criptare și autentificare hardware + software (boot securizat, bitlocker, virtualizare, UEFI, …), modelul de amenințare pentru un laptop întărit este semnificativ diferit și, prin urmare, îmi reamintesc acest lucru întrebare în următorul scenariu:

Ipoteze tehnice:

  1. Folosesc un laptop modern Windows 10 Pro, cu sistemul de operare și toate driverele actualizate la cele mai recente versiuni.
  2. Laptopul este blocat, cu următoarele metode de autentificare: cititor de amprente, parolă puternică, cod PIN puternic rezonabil (probabil nu supraviețuiește unei forțe brute offline).
  3. Unitatea internă este criptată cu Bitlocker fără PIN, utilizând TPM.
  4. UEFI este protejat prin parolă, pentru a porni de pe unitatea externă este nevoie de o parolă UEFI, boot-ul de rețea este dezactivat, Boot-ul securizat este activat.
  5. Sunt conectat la aceeași rețea ca un atacator (atacatorul poate chiar să dețină rețeaua).
  6. Laptopul are un port Thunderbolt 3 activat, dar înainte ca orice dispozitiv conectat să fie acceptat, acesta trebuie să fie autorizat de utilizator (ceea ce nu ar trebui să fie posibil pe ecranul de blocare).
  7. Laptopul are un slot M.2 liber în interior , dezasamblarea este posibilă în mai puțin de un minut.

Presupunând că „stau undeva cu un atacator, îmi blochez laptopul și pleacă timp de 5 minute , este fezabil ca atacatorul să aibă acces la laptopul meu (fie ocolind ecranul de blocare, fie extragând fișiere folosind o altă metodă (extragerea cheii bitlocker) , …)) înainte de a mă întoarce, cu condiția ca să nu observ ceva suspect după revenire?

Comentarii

  • Vă răspunde această întrebare? Care sunt riscurile potențiale ale lăsării unui dispozitiv în public, dar blocat?
  • Nu – I ‘ M-am convins de presupunerile mele (ar trebui) să prevină majoritatea atacurilor menționate acolo.
  • Nu ‘ am vrut să spun că acest lucru vă va satisface curiozitate. Sunt încă obișnuit cu vechiul mesaj automat: ” Posibil duplicat de $ foo ” . Adică, deși credeți că detaliile sunt suficient de diferite, primele două propoziții ale răspunsului de sus și acceptat se aplică în totalitate și complet acestei întrebări: Dacă au acces fizic nesupravegheat, nu este ‘ nu mai este sigur. Fără securitate fizică, toate celelalte măsuri infosec sunt discutabile.
  • @Ghedipunk Această mantră este exact motivul pentru care ‘ pun această întrebare – I ‘ L-am văzut repetat de multe ori, dar cu numeroase modificări este modelul de securitate fizică al laptopurilor în ultimii ani, nu ‘ nu sunt convins că deține pe deplin
  • Aceasta trece în tărâmul noilor cercetări academice. Nu putem ‘ să dovedim negativ aici, așa cum putem ‘ să dovedim că actorii la nivel de stat nu ‘ nu aveți dispozitive care se pot conecta direct la porturile de expansiune ale mărcii laptopului dvs. ‘, obțineți acces direct la autobuzul nord sau autobuz PCI și injectați malware direct în RAM, ceea ce devine injectat în memoria de încărcare imediat ce laptopul este deblocat. Dacă doriți un răspuns mai actualizat decât mantra pe care o repetăm aici, doriți să vă uitați la reviste revizuite de colegi și să discutați cu cercetătorii care le trimit articole.

Răspunde

Ceea ce descrii este un atac Evil Maid. Există o mulțime de modalități prin care ai putea accesa accesul în acest scenariu, dar principalul este DMA .

M.2 vă va oferi acces direct și complet la memoria sistemului prin DMA, presupunând că IOMMU nu este configurat pentru a preveni acest lucru, ceea ce aproape sigur nu va fi implicit pentru un PCI direct E link. Același lucru este valabil dacă aveți un slot ExpressCard. Un set de instrumente pentru acest lucru este PCILeech , care este capabil să descarce primii 4 GB de memorie de pe un sistem fără orice interacțiune a sistemului de operare sau driverele instalate și toată memoria dacă este instalat primul driver.

Este, de asemenea, posibil dacă laptopul dvs. are Thunderbolt sau USB-C, deoarece ambele interfețe acceptă DMA.În general, acele interfețe tind să aibă acum caracteristici de întărire în firmware și drivere pentru a preveni DMA arbitrar care utilizează IOMMU, dar această protecție nu este „perfectă sau universală și au existat unele probleme (de ex. ) care permit unui atacator să ocolească IOMMU într-un anumit hardware.

Ce ați putea dori să faceți este să activați securitatea bazată pe virtualizare (VBS) și Windows Credential Guard (WCG), care pune întreg sistemul dvs. de operare într-un hipervizor Hyper-V și schimbă cea mai mare parte a serviciului LSASS (care păstrează datele de acreditare) într-o mașină virtuală izolată. Există puține, dacă există, seturi de instrumente în acest moment care permit unui atacator să recupereze memoria cache Cheia principală de criptare BitLocker din enclava WCG utilizând o memorie non-interactivă. Aceasta vă permite, de asemenea, să activați Device Guard și KMCI / HVCI, ceea ce ar trebui să facă extrem de dificil pentru un atacator să obțină persistență pe sistem de la un DMA unic. atac.

Comentarii

  • Răspuns minunat, mulțumesc! Am dreptate presupunând că conectarea unui dispozitiv PCIe M.2 ar necesita repornirea laptopului – > ștergerea memoriei RAM, ceea ce lasă extragerea cheii Bitlocker pe sistemul proaspăt pornit ca singurul atac viabil?
  • Se ‘ se referă la hardware și firmware individuale. De obicei, hotplug-ul M.2 nu ‘ nu funcționează pe dispozitivele de consum, dar este mai frecvent văzut pe stațiile de lucru și sistemele server. ExpressCard va funcționa deoarece este proiectat pentru hotplug. Sloturile PCIe de rezervă (inclusiv mini-PCIe, cum ar fi modulele WiFi folosite adesea) funcționează și pe unele modele dacă aveți noroc. Un truc pe care îl puteți face, totuși, este să dormiți laptopul, să conectați cardul M.2 sau PCIe, apoi să îl treziți, ceea ce declanșează reenumerarea fără a opri sau a goli memoria.
  • Puțini mai mulți întrebări: 1. Cum poate dispozitivul PCI rău intenționat să citească memoria direct? Am crezut că tot accesul la memorie trece prin IOMMU și sistemul de operare trebuie să mapeze în mod explicit paginile solicitate. 2. Cum împiedică virtualizarea extragerea cheii de bitlocker? ‘ nu este cheia încă stocată în memorie, doar într-o altă locație?
  • În practică, sistemul de operare nu configurează IOMMU pentru a bloca DMA pe PCI-e dispozitive sub limita de 4 GB din motive de compatibilitate. Dispozitivul poate solicita doar ca aceste pagini să fie mapabile și sistemul de operare obligă. VBS / WCG nu ‘ nu garantează că poți ‘ să citești tastele, doar o îngreunează momentan, deoarece ‘ este o caracteristică nouă, iar seturile de instrumente de criminalistică pentru memorie nu au rins până acum.
  • Este fezabil să reconfigurați Windows pentru a șterge aceste mapări, având în vedere că numai perifericele PCIe din laptopul meu sunt 1. o unitate SSD NVMe, 2. o placă WiFi modernă Intel sau ar încălca o parte a standardului PCIe / IOMMU?

Răspuns

La fel ca în multe situații de securitate, „depinde”. Dacă „nu sunteți ținta unui atacator puternic, iar definiția dvs. de„ acces fizic periculos ”exclude orice fel de daune fizice intenționate (dintre care unele nu vă vor fi vizibile când vă întoarceți înapoi), este posibil să fiți în regulă. sunteți o țintă sau definiția dvs. „periculos” include daune fizice, este cu siguranță periculoasă.

Pentru a înțelege posibilele amenințări, trebuie să definiți două lucruri:

  • Ce este considerat o amenințare? Declarați doar „periculos”, dar acest lucru este foarte vag. Ar putea cineva să înlocuiască laptopul dvs. cu un model identic care să arate exact același periculos? Celălalt laptop ar putea fi configurat pentru a trimite toate parolele tastate , pe care ar trebui să-l introduceți pe măsură ce amprenta dvs. nu va fi conectată; poate, de asemenea, să trimită datele de pe cititorul de amprente care ar fi folosit pentru a vă conecta la laptop. Acest lucru este mai degrabă un aspect al statului național, de Bineînțeles. Dar ar fi periculos să puneți SuperGlue în slotul HDMI / USB al laptopului? Sau să vă furați hard diskul (care va fi neobservat la întoarcere dacă laptopul este blocat cu ecranul oprit)?

  • Cine sunt actorii de amenințare? Atacatorii puternici, cum ar fi statul național, ar putea avea instrumente care ar putea descărca memoria laptopului blocat, incluzând eventual cheile de decriptare (acest lucru depinde de modul în care definiți „blocat”). Ele pot adăuga hardware în interiorul căruia ar putea să adulmece date importante sau să interfereze cu funcționalitatea; acest lucru ar putea fi făcut într-un timp foarte scurt de către un atacator puternic care a pregătit totul în avans.

În cele din urmă, „dacă tipul rău avea acces la computer, nu este computerul mai „are mult adevăr. Cu toate acestea, „băieții răi” diferă prin intenții și putere. Așadar, este posibil ca și NSA să aibă computerul dvs. timp de un an să nu-i facă nimic dacă decid că nu sunteți ținta lor.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *