Warum ich glaube, dass diese Frage kein Duplikat ist: Es gibt mehrere Fragen zur Ausnutzung eines gesperrten Computers auf dieser Site, aber die meisten Antworten konzentrieren sich auf die Ausnutzung eines nicht gehärteten Systems in der Standardkonfiguration. Ich glaube, dass in den letzten Jahren das Bedrohungsmodell für einen gehärteten Laptop aufgrund der großen Fortschritte bei der Verschlüsselung und Hardware- und Softwareauthentifizierung (sicherer Start, Bitlocker, Virtualisierung, UEFI, …) erheblich anders ist, und daher versuche ich dies erneut Frage unter folgendem Szenario:
Technische Annahmen:
- Ich verwende einen modernen Windows 10 Pro-Laptop, bei dem das Betriebssystem und alle Treiber auf die neuesten Versionen aktualisiert sind.
- Der Laptop ist gesperrt und verfügt über die folgenden Authentifizierungsmethoden: Fingerabdruckleser, sicheres Kennwort, relativ starke PIN (wahrscheinlich) eine Offline-Brute-Force nicht überleben).
- Internes Laufwerk wird mit PIN-freiem Bitlocker unter Verwendung von TPM verschlüsselt.
- UEFI ist kennwortgeschützt. Der Netzwerkstart ist deaktiviert, der sichere Start ist aktiviert.
- Ich bin mit demselben Netzwerk wie ein Angreifer verbunden (der Angreifer besitzt möglicherweise sogar das Netzwerk).
- Der Laptop hat einen aktivierten Thunderbolt 3-Anschluss, aber bevor ein angeschlossenes Gerät akzeptiert wird, muss es vom Benutzer autorisiert werden (was auf dem Sperrbildschirm nicht möglich sein sollte).
- Der Laptop verfügt über einen freien M.2-Steckplatz Eine Demontage ist in weniger als einer Minute möglich.
Angenommen, ich sitze irgendwo mit einem Angreifer, sperre ich meinen Laptop und 5 Minuten warten lassen , kann der Angreifer auf meinen Laptop zugreifen (entweder durch Umgehen des Sperrbildschirms oder durch Extrahieren von Dateien mit einer anderen Methode (Extrahieren des Bitlocker-Schlüssels) , …)) bevor ich zurückkomme, unter der Bedingung, dass ich nichts Verdächtiges bemerken darf nach meiner Rückkehr?
Kommentare
- Beantwortet dies Ihre Frage? Was sind die potenziellen Risiken, wenn ein Gerät öffentlich, aber gesperrt bleibt?
- Dies ist nicht der Fall – I ‚ Ich bin davon überzeugt, dass meine Annahmen die meisten der dort genannten Angriffe verhindern sollten (sollten).
- Ich wollte nicht ‚ implizieren, dass dies Ihre zufriedenstellen würde Neugierde. Ich bin immer noch an die alte automatische Nachricht gewöhnt: “ Mögliches Duplikat von $ foo “ . Das heißt, obwohl Sie der Meinung sind, dass die Details unterschiedlich genug sind, gelten die ersten beiden Sätze der obersten und akzeptierten Antwort immer noch vollständig und vollständig für diese Frage: Wenn sie unbeaufsichtigten physischen Zugriff haben, ist dies nicht ‚ nicht mehr sicher. Ohne physische Sicherheit sind alle anderen Infosec-Maßnahmen umstritten.
- @Ghedipunk Dieses Mantra ist genau der Grund, warum ich ‚ diese Frage stelle – ich ‚ habe es viele Male wiederholt gesehen, aber mit zahlreichen Änderungen am physischen Sicherheitsmodell von Laptops in den letzten Jahren bin ich ‚ nicht davon überzeugt, dass es vollständig funktioniert mehr.
- Das geht in den Bereich der neuen akademischen Forschung über. Wir können ‚ hier kein Negativ beweisen, da wir ‚ nicht beweisen können, dass Akteure auf Staatsebene nicht ‚ verfügen nicht über Geräte, die direkt an die Erweiterungsports Ihrer Laptop-Marke ‚ angeschlossen werden können, direkten Nordbus- oder PCI-Buszugriff erhalten und Malware direkt in den Arbeitsspeicher injizieren können Wird in das Boot-ROM injiziert, sobald Ihr Laptop entsperrt ist. Wenn Sie eine aktuellere Antwort als das Mantra wünschen, das wir hier wiederholen, sollten Sie sich Peer-Review-Zeitschriften ansehen und mit den Forschern sprechen, die Artikel an diese senden.
Antwort
Was Sie beschreiben, ist ein Angriff der bösen Magd. In diesem Szenario gibt es eine Reihe von Möglichkeiten, um Zugriff zu erhalten, aber die wichtigste ist DMA
M.2 bietet Ihnen direkten und vollständigen Zugriff auf den Systemspeicher über DMA, vorausgesetzt, die IOMMU ist nicht so konfiguriert, dass dies verhindert wird, was bei einer direkten PCI mit ziemlicher Sicherheit nicht der Fall ist. Das Gleiche gilt, wenn Sie über einen ExpressCard-Steckplatz verfügen. Ein Toolset hierfür ist PCILeech , mit dem die ersten 4 GB Speicher von einem System ohne Steckplatz ausgegeben werden können Alle Betriebssysteminteraktionen oder Treiber installiert und der gesamte Speicher, wenn ein Treiber zum ersten Mal installiert wird.
Möglicherweise ist es auch möglich, wenn Ihr Laptop über Thunderbolt oder USB-C verfügt, da beide Schnittstellen DMA unterstützen.Im Allgemeinen verfügen diese Schnittstellen heute tendenziell über Härtungsfunktionen in der Firmware und den Treibern, um willkürliches DMA unter Verwendung der IOMMU zu verhindern. Dieser Schutz ist jedoch nicht perfekt oder universell, und es gab einige Probleme (z. B. Thunderclap ), mit dem ein Angreifer die IOMMU in einer bestimmten Hardware umgehen kann.
Möglicherweise möchten Sie Virtualization Based Security (VBS) und Windows Credential Guard (WCG) aktivieren. Dadurch wird Ihr gesamtes Betriebssystem in einen Hyper-V-Hypervisor integriert und der größte Teil des LSASS-Dienstes (der Anmeldeinformationen zwischenspeichert) in eine isolierte virtuelle Maschine verschoben. Derzeit gibt es nur wenige Toolkits, mit denen ein Angreifer den zwischengespeicherten wiederherstellen kann BitLocker-Hauptverschlüsselungsschlüssel aus der WCG-Enklave unter Verwendung eines nicht interaktiven Speicherauszugs. Auf diese Weise können Sie auch Device Guard und KMCI / HVCI aktivieren, was es für einen Angreifer äußerst schwierig machen sollte, durch einen einmaligen DMA die Persistenz auf dem System zu erlangen Angriff.
Kommentare
- Super Antwort, danke! Bin ich zu Recht davon ausgegangen, dass für das Anschließen eines M.2-PCIe-Geräts ein Neustart des Laptops erforderlich ist – > Löschen des Arbeitsspeichers, wodurch die Bitlocker-Schlüsselextraktion auf einem frisch gebooteten System als einziger praktikabler Angriff verbleibt?
- ‚ hängt von der jeweiligen Hardware und Firmware ab. Normalerweise funktioniert der M.2-Hotplug ‚ nicht auf Consumer-Geräten, wird jedoch häufiger auf Workstation- und Serversystemen angezeigt. ExpressCard funktioniert, da es für Hotplug ausgelegt ist. Ersatz-PCIe-Steckplätze (einschließlich Mini-PCIe, wie sie häufig von Laptop-WLAN-Modulen verwendet werden) funktionieren bei einigen Modellen auch, wenn Sie Glück haben. Ein Trick, den Sie jedoch ausführen können, besteht darin, den Laptop in den Ruhezustand zu versetzen, die M.2- oder PCIe-Karte einzustecken und dann aufzuwecken, wodurch eine erneute Aufzählung ausgelöst wird, ohne den Speicher auszuschalten oder zu löschen.
- Einige weitere Fragen: 1. Wie kann das böswillige PCIE-Gerät den Speicher direkt lesen? Ich dachte, dass der gesamte Speicherzugriff über die IOMMU erfolgt und das Betriebssystem die angeforderten Seiten explizit zuordnen muss. 2. Wie verhindert die Virtualisierung das Extrahieren von Bitlocker-Schlüsseln? Ist ‚ der Schlüssel nicht noch im Speicher gespeichert, nur an einem anderen Ort?
- In der Praxis konfiguriert das Betriebssystem die IOMMU nicht so, dass DMA auf PCI-e blockiert wird Geräte unterhalb der 4-GB-Grenze aus Kompatibilitätsgründen. Das Gerät kann nur verlangen, dass diese Seiten zugeordnet werden können, und das Betriebssystem verpflichtet dies. VBS / WCG garantiert nicht ‚ t , dass Sie ‚ die Schlüssel nicht lesen können, es macht es nur schwieriger Im Moment, weil ‚ eine neue Funktion ist und die Toolkits für die Speicherforensik ‚ noch nicht aufgeholt haben.
- Ist es möglich, Windows neu zu konfigurieren, um diese Zuordnungen zu löschen, da nur PCIe-Peripheriegeräte in meinem Laptop 1. ein NVMe-SSD-Laufwerk, 2. eine moderne Intel WiFi-Karte sind oder ein Teil des PCIe / IOMMU-Standards verletzt wird?
Antwort
Wie bei vielen Sicherheitssituationen hängt „es davon ab“. Wenn Sie kein Ziel eines mächtigen Angreifers sind und Ihre Definition von „gefährlicher physischer Zugang“ jede Art von absichtlichem physischem Schaden ausschließt (von dem einige für Sie bei Ihrer Rückkehr nicht sichtbar sind), sind Sie möglicherweise in Ordnung Sie sind ein Ziel, oder Ihre Definition von „gefährlich“ beinhaltet physischen Schaden, es ist definitiv gefährlich.
Um die möglichen Bedrohungen zu verstehen, müssen Sie zwei Dinge definieren:
-
Was wird als Bedrohung angesehen? Sie geben nur „gefährlich“ an, aber dies ist sehr vage. Würde jemand Ihren Laptop durch ein identisches Modell ersetzen, das genau genauso gefährlich aussieht? Dieser andere Laptop ist möglicherweise so konfiguriert, dass alle eingegebenen Passwörter gesendet werden , die Sie „eingeben müssen, da sich Ihr Fingerabdruck nicht anmeldet“; es kann auch die Daten von Ihrem Fingerabdruckleser senden, die zum Anmelden bei Ihrem Laptop verwendet werden. Dies ist eher ein nationalstaatliches Zeug von Natürlich. Aber wäre es gefährlich, SuperGlue in den HDMI / USB-Steckplatz des Laptops zu stecken oder Ihre Festplatte zu stehlen (was auch immer der Fall sein wird)? unbemerkt bei der Rückkehr, wenn Ihr Laptop bei ausgeschaltetem Bildschirm gesperrt ist)
-
Wer sind Bedrohungsakteure? Mächtige Angreifer wie der Nationalstaat verfügen möglicherweise über Tools, mit denen Sie Ihren gesperrten Laptop-Speicher entleeren können, möglicherweise einschließlich der Entschlüsselungsschlüssel (dies hängt davon ab, wie Sie „gesperrt“ definieren). Sie können Hardware hinzufügen, die wichtige Daten aufspürt oder die Funktionalität beeinträchtigt. Dies könnte in sehr kurzer Zeit von einem mächtigen Angreifer erledigt werden, der alles im Voraus vorbereitet hat.
Schließlich: „Wenn ein Bösewicht Zugriff auf Ihren Computer hatte, ist es nicht Ihr Computer mehr „hat viel Wahrheit. „Böse Jungs“ unterscheiden sich jedoch in ihren Absichten und ihrer Macht. Es ist also möglich, dass selbst die NSA, die Ihren Computer ein Jahr lang hat, nichts dagegen unternimmt, wenn sie entscheidet, dass Sie nicht ihr Ziel sind.