Может ли Raspberry Pi за 10 долларов взломать шифрование диска вашего компьютера? Все сложно.

На прошлой неделе видео исследователя безопасности StackSmashing продемонстрировало эксплойт, который может взломать шифрование диска Microsoft BitLocker «менее чем за 50 секунд» с использованием специальной печатной платы и Raspberry Pi Pico.

Эксплойт работает с использованием Pi для мониторинга связи между внешним чипом TPM и остальной частью ноутбука, ThinkPad X1 Carbon второго поколения, выпущенного примерно в 2014 году. TPM хранит ключ шифрования, который разблокирует ваш зашифрованный диск и делает его доступным для чтения, и TPM отправляет этот ключ для разблокировки диска после того, как он убедится, что остальная часть аппаратного обеспечения ПК не изменилась с момента шифрования диска. Проблема в том, что ключ шифрования отправляется в виде открытого текста, что позволяет анализатору, подобному тому, который разработал StackSmashing, прочитать ключ, а затем использовать его для разблокировки диска в другой системе, получая доступ ко всем данным на нем.

Это не новый эксплойт, и StackSmashing неоднократно заявлял об этом. Мы сообщали об аналогичном эксплойте с перехватом TPM в 2021 году, а в 2019 году был еще один эксплойт, в котором аналогично использовалось недорогое стандартное оборудование для получения ключа шифрования открытого текста по той же коммуникационной шине с низким числом контактов (LPC), которую использовал StackSmashing. Этот тип эксплойта настолько известен, что Microsoft даже включила некоторые дополнительные меры по его устранению в свою документацию по BitLocker; Главным нововведением в демо-версии StackSmashing является компонент Raspberry Pi, что, вероятно, является одной из причин, по которой такие магазины, как Hackaday и Tom’s Hardware, в первую очередь подхватили его.

Исходное видео довольно ответственно объясняет то, как оно объясняет эксплойт, и в первой волне повторных отчетов, по крайней мере, упоминались важные детали, такие как тот факт, что эксплойт работает только на системах с дискретными, автономными микросхемами TPM или что он во многом похож на другие. хорошо задокументированные нападения многолетней давности. Но по мере того, как эта история циркулировала и повторно распространялась, некоторые отчеты исключали подобные нюансы, по сути делая вывод, что шифрование диска на всех ПК с Windows можно тривиально взломать, используя оборудование стоимостью 10 долларов и пару минут времени. Стоит уточнить, чем является этот эксплойт, а чем нет.

Какие компьютеры затронуты?

BitLocker — это форма полнодискового шифрования, которая существует в основном для того, чтобы помешать тому, кто украл ваш ноутбук, вынуть диск, вставить его в другую систему и получить доступ к вашим данным без запроса пароля вашей учетной записи. Многие современные системы Windows 10 и 11 по умолчанию используют BitLocker. Когда вы входите в учетную запись Microsoft в Windows 11 Home или Pro в системе с TPM, ваш диск обычно шифруется автоматически, а ключ восстановления загружается в вашу учетную запись Microsoft. В системе Windows 11 Pro вы можете включить BitLocker вручную независимо от того, используете ли вы учетную запись Microsoft или нет, создав резервную копию ключа восстановления любым удобным для вас способом.

Тем не менее, потенциальный эксплойт BitLocker может повлиять на персональные данные на миллионах компьютеров. Так насколько же важен этот новый пример старой атаки? Для большинства людей ответ, вероятно, будет «не очень».

Одним из препятствий для входа злоумышленников является технический: во многих современных системах используются встроенные модули TPM (fTPM), которые встроены непосредственно в большинство процессоров. В более дешевых машинах это может быть способом сэкономить на производстве — зачем покупать отдельный чип, если вы можете просто использовать функцию процессора, за которую уже платите? В других системах, включая те, которые рекламируют совместимость с процессорами безопасности Microsoft Pluton, это позиционируется как функция безопасности, которая специально смягчает такого рода так называемые атаки «обнюхивания».

Это связано с тем, что нет внешней коммуникационной шины, которую можно было бы обнаружить в поисках fTPM; он интегрирован в процессор, поэтому любая связь между TPM и остальной частью системы также происходит внутри процессора. Практически все самодельные настольные компьютеры, совместимые с Windows 11, будут использовать fTPM, равно как и современные бюджетные настольные компьютеры и ноутбуки. Мы проверили четыре последних ноутбука Intel и AMD стоимостью менее 500 долларов от Acer и Lenovo, и все они использовали встроенное ПО TPM; то же самое касается четырех настольных компьютеров собственной сборки с материнскими платами Asus, Gigabyte и ASRock.

По иронии судьбы, если вы используете высокопроизводительный ноутбук с Windows, ваш ноутбук с большей вероятностью будет использовать выделенный внешний чип TPM, а это означает, что вы можете быть уязвимы.

Может ли Raspberry Pi за 10 долларов взломать шифрование диска вашего компьютера? Все сложно.

Самый простой способ узнать, какой у вас тип TPM, — это зайти в Центр безопасности Windows, перейти на экран «Безопасность устройства» и нажать «Сведения о процессоре безопасности». Если производитель вашего TPM указан как Intel (для систем Intel) или AMD (для систем AMD), скорее всего, вы используете fTPM вашей системы, и этот эксплойт не будет работать в вашей системе. То же самое касается всего, что Microsoft указана в качестве производителя TPM, что обычно означает, что компьютер использует Pluton.

Но если вы видите в списке другого производителя, вы, вероятно, используете специальный TPM. Я видел TPM STMicroelectronics в последних моделях Asus Zenbook высокого класса, Dell XPS 13 и Lenovo ThinkPad среднего класса. StackSmashing также опубликовал фотографии ThinkPad X1 Carbon Gen 11 с аппаратным TPM и всеми контактами, которые могут понадобиться кому-то, чтобы попытаться получить ключ шифрования, как доказательство того, что не все современные системы перешли на fTPM — по общему признанию, я изначально предполагал это, слишком. Ноутбуки, выпущенные до 2015 или 2016 года, практически гарантированно будут использовать аппаратные TPM, если они у них есть.

Это не значит, что fTPM полностью безошибочны. Некоторым исследователям безопасности удалось победить fTPM в некоторых процессорах AMD с помощью «2–3 часов физического доступа к целевому устройству». TPM встроенного ПО просто не восприимчивы к физическим атакам на основе Raspberry Pi, которые продемонстрировал StackSmashing.

Обычно это занимает более одной минуты

Другими барьерами для входа являются оборудование, время и опыт. Версия этой атаки на базе Raspberry Pi немного снижает все три этих барьера: оборудование дешевое, его легко найти, а программное обеспечение уже написано для вас. Но другие атаки с перехватом TPM также использовали относительно дешевое оборудование и сопровождались обширной документацией.

Что мешает многим случайным хакерам сделать это с ноутбуком какого-то случайного человека, так это фрагментация экосистемы ПК: конкретная печатная плата, созданная StackSmashing, работает на X1 Carbon второго поколения, а также может хорошо работать на других ноутбуках Lenovo аналогичного типа. винтаж. Но более новый ThinkPad или другой компьютер от Dell, HP, Microsoft, Asus, Acer или любого другого производителя будет хранить свой дискретный чип TPM (если он есть) в другом месте. И вам нужно будет выяснить, какие контакты или площадки использовать для доступа к коммуникационной шине при переходе от ноутбука к ноутбуку.

Если в видео StackSmashing есть что-то немного сенсационное, так это утверждение о том, что этот эксплойт занимает менее 50 секунд. Это правда, что это столько же времени, сколько требуется инструменту для сбора ключа шифрования для этого ноутбука, но это преуменьшает тот факт, что это было сделано с использованием ноутбука, который он уже разобрал, с использованием инструмента на специальной печатной плате, которую он специально построил. для взаимодействия с легкодоступными контактными площадками.

Таким образом, взломать шифрование на других ноутбуках с идентичными настройками можно быстро и легко, но в меньшей степени, если вы работаете с оборудованием, которого никогда раньше не видели. Описание Microsoft того, кто может это сделать — «злоумышленник, обладающий навыками и длительным физическим доступом» — кажется мне точным.

Так что же вы можете с этим поделать?

Большинству отдельных пользователей не нужно беспокоиться о такого рода атаках; многие потребительские системы вообще не используют выделенные чипы TPM, и для доступа к вашим данным требуется довольно опытный злоумышленник, который очень заинтересован в извлечении данных из вашего конкретного ПК, а не в их стирании и перепродаже или разборе на запчасти. (Это не относится к бизнес-пользователям, которые имеют дело с конфиденциальной информацией на своих рабочих ноутбуках, но их ИТ-отделам, надеюсь, не понадобится, чтобы я им об этом говорил.)

Если вы хотите обеспечить себе дополнительный уровень защиты, Microsoft рекомендует настроить расширенный PIN-код, который требуется при запуске, в дополнение к теоретически поддающемуся анализу ключу, который предоставляет TPM. ИТ-администраторы могут включить это удаленно через групповую политику; чтобы включить его в вашей системе, откройте редактор локальной групповой политики (Windows + R, введите gpedit.msc, нажмите Enter). Затем перейдите в «Конфигурация компьютера» > «Административные шаблоны» > «Компоненты Windows» > «Шифрование драйвера Bitlocker» > «Диски операционной системы» и включите параметры «Требовать дополнительную аутентификацию при запуске» и «Разрешить расширенные ПИН-коды для запуска».

Затем запустите окно командной строки от имени администратора и введите manage-bde -protectors -add c: -TPMAndPIN; вам будет предложено установить PIN-код для накопителя. Как только вы это сделаете, при следующей загрузке система запросит PIN-код перед загрузкой Windows.

В некоторых случаях злоумышленник, имеющий физический доступ к вашей системе и достаточное количество времени, может получить доступ путем подбора этого PIN-кода, поэтому важно сделать его сложным, как и любой хороший пароль.

Высоко мотивированный, технически квалифицированный злоумышленник с расширенным физическим доступом к вашему устройству все равно сможет найти способ обойти эти меры защиты. В любом случае, включение шифрования диска обеспечивает большую безопасность ваших данных, чем было бы без шифрования вообще, и этого будет достаточно, чтобы удержать множество менее опытных случайных злоумышленников от возможности получить доступ к вашим материалам.

Смотрите также

2024-02-12 21:56