Численні зломи bitlocker’a # 2, шлях тижменеджера
Отже, як уже неважко здогадатися, ніякого злому саме Bitlocker або TPM НЕ проізшло. Що ж послужило причиною порушення онлайн-преси? Насправді дослідження вишеощначенной групи показує можливості отримання PIN коду від користувача з подальшим використанням даного коду для дешифрування захищеного контенту диска. Я ще раз підкреслюю: отримати код пропонувалося від користувача. Тобто користувач повинен був ввести цей код на скомпрометувати комп'ютері. Мало того, практично всі варіанти "злому", описані в дослідженні вимагають множинного фізичного доступу до комп'ютера. Втім, давайте по порядку.
Отже, в дослідженні були розглянуті наступні варіанти:
1) Атакуючий модифікує код Bitlocker, впроваджуючи в нього бекдор. Це, зрозуміло, буде виявлено під час наступного запуску комп'ютера і користувач буде змушений запустити процедуру відновлення, яка призведе до запису коду на незахищений розділ, після чого зловмисникові залишається тільки ще раз отримати доступ до комп'ютера, щоб забрати цей код. Разом - двічі дійти до комп'ютера ніжками. Та плюс ще, процедура відновлення не повинна бути зав'язана на TPM. Чи не занадто часто реалізуемаий сценарій, хоча і не неймовірний. Де тут злом Bitlocker? Ніде.
2) Так само модифікується Bitlocker, але на цей раз щоб зімітувати вікно введення ключа і / або ключа відновлення. Швидше, друге, так як поки Bitlocker модифікований TPM не дасть розшифрувати інформацію, поки не отримає код відновлення. Знову-таки необхідно двічі дістатися фізично до комп'ютера. Знову-таки ні найменших слідів злому Botlocker.
3) Один з найбільш цікавих, з точки зору дослідників, варіантів: все те ж саме, але після першого запуску модифіковане ПО видаляє сліди своєї присутності і перезавантажує комп'ютер, імітуючи збій. Тобто Ви включаєте комп'ютер, вводите ПІН або ПІН відновлення, виводиться повідомлення про помилку, відбувається перезавантаження і потім все йде нормально. За винятком того, що десь на відкритому розділі в надрах Вашого комп'ютера лежить ПІН. Залишається лише відвідати Ваш комп'ютер вдруге і витягти ПІН разом з інформацією, вінчестером, а то і самим комп'ютером. Знову двічі потрібно отримати доступ до комп'ютера і, що дивно, жодного сліду злому Bitlocker.
4) Четвертий варіант вимагає одноразового доступу до Вашого комп'ютера, причому зловмисник повинен вкрасти його, та не просто вкрасти, а замінити його таким же або, як мінімум, не відрізнятись для користувача. Підроблений комп'ютер приймає Ваш ПІН, після чого транслює його якимось чином зломщикові. Власне - всього один, так би мовити, акт фізичного доступу, але зате набагато складніше в плані підготовки: знайти практично ідентичний з вигляду ноутбук досить складно. Модифікувати його так, щоб він ніс у собі дані, введені користувачем теж непросто. Крім того факт крадіжки даних розкривається тут же, а зловмисник повинен, в більшості випадків або перебувати поруч сам, або розмістити пристрій, який буде служити реле для "підкидька".
5) Останній шлях "зламати" Bitlocker вимагає модифікації ОС і / або завантажувача до активації захисту. Фактично, потрібно підсадити шкідливий код до включення шифрування. Після цього можна, зрозуміло, складати ключі від Bitlocker пачками на незашифровані розділи. Виникає тільки питання: навіщо після того, як я зміг розмістити шкідливий код на чужому комп'ютері, мені може знадобитися ще возитися з Bitlocker? Зливати дані по мережі, просто розшифрувати диск і надалі тільки імітувати введення ПІН ... Це може виявитися багато зручніше, ніж викрадати ноутбук.
Отже, який можна підвести підсумок? Та дуже простий: Bitlocker як і раніше невразливий для жодних технічних атак, які не мають на увазі отримання ключової інформації безпосередньо від користувача. З тим же успіхом, як в описаних тут методах ми могли б підключити до калвіатуре користувача апаратний кейлоггер, спробувати підібрати ПІН виходячи з звукового малюнка набираемой на клавіатурі інформації або просто підвісивши над користувачем камеру і записавши, що він там вводить.
Так що ж - дослідження безглуздо? Ні в якому разі! В черговий раз показується, що вільний фізичний доступ зловмисника до Вашого комп'ютера (а важко назвати подвійний доступ з можливістю модифікації системи не вільним) означає зниження безпеки інформації на порядки. Тобто захистивши дані Bitlocker'ом, EFS'ом і яким-небудь PGP до купи, але кидаючи свій ноутбук де завгодно Ви все-таки приречені поділитися з ким-небудь своєю інформацією, якщо тільки цей хтось захоче. Захист RODC шифруванням зовсім не означає, що цей контролер можна поставити на вулиці, "щоб місця не займав і охолодження краще було". Просто можна не будувати захищену серверну, а досить лише забезпечити звичайний нагляд за сервером. Але в будь-якому випадку - не варто покладатися на технічні засоби захисту надміру, забуваючи про людей і їх слабкостях.
Будьте пильні, люди =)