گتی ایماژ
فرض کنید شما یک شرکت بزرگ هستید که به تازگی یک لپتاپ جایگزین کاملاً جدید برای یک کارمند ارسال کردهاید. و فرض کنید برای استفاده از آخرین، بهترین شیوههای امنیتی، از جمله رمزگذاری تمام دیسک با استفاده از یک ماژول پلتفرم قابل اعتماد، تنظیمات بایوس محافظت شده با رمز عبور، UEFI SecureBoot و تقریباً همه توصیههای دیگر آژانس امنیت ملی و NIST برای قفل کردن، از پیش پیکربندی شده است. سیستم های کامپیوتری فدرال را از بین می برد. و فرض کنید یک مهاجم موفق می شود دستگاه را رهگیری کند. آیا مهاجم می تواند از آن برای هک کردن شبکه شما استفاده کند؟
تحقیقات منتشر شده در هفته گذشته نشان می دهد که پاسخ یک "بله" قاطع است. نه تنها این، بلکه هکری که تکالیف خود را انجام داده است برای انجام حمله به زمان کوتاهی به تنهایی با دستگاه نیاز دارد. با آن، هکر می تواند توانایی نوشتن را نه تنها در لپ تاپ دزدیده شده، بلکه در شبکه تقویت شده ای که برای اتصال به آن پیکربندی شده است، به دست آورد.
محققان در مشاور امنیتی Dolos Group که برای آزمایش امنیت شبکه یک مشتری استخدام شدهاند، یک رایانه جدید لنوو را دریافت کردند که از پیش پیکربندی شده بود تا از پشته امنیتی استاندارد برای سازمان استفاده کند. آنها هیچ اعتبار آزمایشی، جزئیات پیکربندی یا اطلاعات دیگری در مورد دستگاه دریافت نکردند. تجزیه و تحلیل تنظیمات BIOS، عملیات راهاندازی و سختافزار به سرعت نشان داد که اقدامات امنیتی موجود از هکهای معمول جلوگیری میکند، از جمله:
فورت ناکس و ماشین نه چندان زرهی
با توجه به چیزهای دیگر، محققان بر روی ماژول پلت فرم قابل اعتماد یا TPM تمرکز کردند، یک تراشه به شدت تقویت شده نصب شده روی مادربرد که مستقیماً با سایر سخت افزارهای نصب شده روی دستگاه ارتباط برقرار می کند. محققان متوجه شدند که مانند پیشفرض رمزگذاری دیسک با استفاده از BitLocker مایکروسافت، لپتاپ مستقیماً روی صفحه ویندوز بوت میشود، بدون اینکه پین یا رمز عبور را وارد کنید. این بدان معناست که TPM جایی است که تنها راز رمزنگاری برای باز کردن قفل درایو ذخیره می شود.
آگهی
مایکروسافت توصیه میکند که پیشفرض را نادیده بگیرید و از پین یا رمز عبور فقط برای مدلهای تهدید استفاده کنید که پیشبینی میکنند مهاجمی با مهارت کافی و زمان تنها با یک ماشین هدف بدون مراقبت برای باز کردن کیس و لحیم کردن دستگاههای مادربرد پیشبینی میکند. پس از تکمیل تجزیه و تحلیل، محققان گفتند که توصیه مایکروسافت ناکافی است زیرا دستگاهها را به روی حملاتی باز میکند که میتوانند توسط همسران بدسرپرست، خودیهای مخرب یا سایر افرادی که دسترسی خصوصی زودگذر دارند انجام شوند.
محققان گروه Dolos در پستی نوشتند: «یک مهاجم از پیش مجهز میتواند کل زنجیره حمله را در کمتر از 30 دقیقه بدون لحیم کاری، سختافزار ساده و نسبتا ارزان، و ابزارهای در دسترس عموم انجام دهد.» فرآیندی که آن را کاملاً در قلمرو Evil-Maid.”
TPM ها دارای چندین لایه دفاعی هستند که مانع از استخراج یا دستکاری داده های ذخیره شده توسط مهاجمان می شود. به عنوان مثال، تجزیه و تحلیل بیش از 10 سال پیش توسط مهندس معکوس کریستوفر نشان داد که یک تراشه TPM ساخته شده توسط Infineon به گونه ای طراحی شده است که اگر به طور فیزیکی به آن نفوذ کند، خود تخریب می شود. به عنوان مثال، حسگرهای نوری، نور محیط را از منابع نورانی تشخیص دادند. و یک توری سیمی که میکروکنترلر را پوشانده بود برای غیرفعال کردن تراشه در صورت اختلال در مدارهای الکتریکی آن بود.
محققان Dolos با اندکی امید به شکستن تراشه داخل لپتاپ لنوو، به دنبال راههای دیگری برای استخراج کلید رمزگشایی هارد دیسک بودند. آنها متوجه شدند که TPM با استفاده از رابط جانبی سریال، یک پروتکل ارتباطی برای سیستم های تعبیه شده، با CPU ارتباط برقرار می کند.
این سیستم عامل که به اختصار SPI نامیده می شود، هیچ قابلیت رمزگذاری به خودی خود را ارائه نمی دهد، بنابراین هرگونه رمزگذاری باید توسط دستگاه هایی که TPM با آنها ارتباط برقرار می کند، انجام شود. در همین حال، BitLocker مایکروسافت از هیچ یک از ویژگی های ارتباطی رمزگذاری شده آخرین استاندارد TPM استفاده نمی کند. اگر محققان بتوانند از ارتباط بین TPM و CPU استفاده کنند، ممکن است بتوانند کلید را استخراج کنند.
آنها نوشتند:
دور زدن TPM به این شکل شبیه به نادیده گرفتن فورت ناکس و تمرکز روی خودروی نه چندان زره پوشی است که از آن خارج می شود.
به منظور استشمام دادههایی که روی گذرگاه SPI حرکت میکنند، باید لیدها یا پروبها را به پینها (که در بالا با عنوان MOSI، MISO، CS و CLK مشخص شدهاند) روی TPM وصل کنیم. به طور معمول ساده است اما در این مورد یک مشکل عملی وجود دارد. این TPM روی ردپای VQFN32 است که بسیار کوچک است. "پین ها" در واقع فقط 0.25 میلی متر عرض و 0.5 میلی متر از هم فاصله دارند. و این «پینها» در واقع پین نیستند، آنها روی دیواره تراشه صاف هستند، بنابراین اتصال هر نوع گیرهای از نظر فیزیکی غیرممکن است. میتوانید «سرنخهای پرواز» را به لنتهای لحیم کاری لحیم کنید، اما این یک مشکل است و از نظر فیزیکی یک اتصال بسیار ناپایدار است. روش دیگر، یک تاکتیک رایج این است که محل مقاومت های سری را برای لحیم کاری قرار دهید، اما آنها به همان اندازه کوچک و حتی شکننده تر بودند. این قرار نبود آسان باشد.
اما قبل از شروع به این نتیجه رسیدیم که ممکن است راه دیگری وجود داشته باشد. اغلب اوقات تراشههای SPI همان اتوبوس را با سایر تراشههای SPI به اشتراک میگذارند. این تکنیکی است که طراحان سختافزار برای سادهتر کردن اتصالات، صرفهجویی در هزینه و آسانتر کردن عیبیابی/برنامهنویسی استفاده میکنند. ما شروع کردیم به جستجوی هر تراشه دیگری که ممکن است در همان گذرگاه TPM باشد در سراسر صفحه. شاید پین های آنها بزرگتر و استفاده راحت تر باشد. پس از بررسی و بررسی شماتیک ها، مشخص شد که TPM یک گذرگاه SPI را با یک تراشه دیگر، تراشه CMOS، که قطعا پین های بزرگتری دارد، به اشتراک گذاشته است. در واقع، تراشه CMOS تقریباً بزرگترین اندازه پینی را داشت که می توانید در مادربردهای استاندارد پیدا کنید، این یک SOP-8 (معروف به SOIC-8) بود.
یک تراشه CMOS در رایانه شخصی که مخفف کلمه مکمل فلز-اکسید-نیمه هادی است، تنظیمات بایوس، از جمله زمان و تاریخ سیستم و تنظیمات سخت افزاری را ذخیره می کند. محققان یک تحلیلگر منطقی Saleae را به CMOS متصل کردند. بهطور خلاصه، آنها توانستند هر بایتی که از طریق تراشه حرکت میکرد را استخراج کنند. سپس محققان از جعبه ابزار bitlocker-spi-toolkit نوشته Henri Numi برای جداسازی کلید در انبوه داده استفاده کردند.
آگهی
با رمزگشایی هارد دیسک، محققان در جستجوی چیزی – رمزهای رمزگذاری شده یا متن ساده، شاید فایل های حساس یا موارد مشابه – که ممکن است آنها را به هدفشان برای دسترسی به شبکه مشتری نزدیک تر کند، داده ها را بررسی کردند. آنها به زودی به چیزی برخورد کردند: سرویس گیرنده VPN Global Protect Palo Alto Networks که از قبل نصب شده و از قبل پیکربندی شده بود.
یکی از ویژگی های VPN این است که می تواند یک اتصال VPN را قبل از ورود کاربر ایجاد کند. این قابلیت برای احراز هویت یک نقطه پایانی طراحی شده است و اسکریپت های دامنه را قادر می سازد به محض روشن شدن دستگاه اجرا شوند. این مفید است زیرا به مدیران اجازه می دهد تا ناوگان بزرگی از ماشین ها را بدون دانستن رمز عبور هر یک مدیریت کنند.
