Bitlocker törés egy perc alatt

Security-all

Az alábbi videóban egy TPM sebezhetôséget kihasználva egy Raspberry pico és egy saját pcb segítségével 1 perc alatt megszerzi egy lenovo laptop Bitlocker kulcsát.

TLDW: A TPM chip és a CPU közötti forgalom nem titkosított, ezt tudja lehallgatni.

A régi tétel igaz: az adat, amihez más is hozzáfér fizikailag, már nem a tied.

https://youtu.be/wTl4vEednkQ?si=q8_H4XDrAUzRAeoh

  • 2356 megtekintés

( carlcolt | 2024. 02. 04., v – 09:35 )

Vajon azok kozul az ismeroseim kozul, akik kerdeztek, hogy "hogy lehetne megis onnan fajlt kinyerni", mert "jelszo elhagytak" hanyan fogjak ezt a lehetoseget kihaszanalni?

Mert csak annyit mondtam nekik, hogy varjanak, lesz egy ilyen egyszer, de lehet eveket kell ra varni.

Gyári előtelepített win-es gépeken van hogy aktív a bitlocker, bár amit láttam, ott megvárta azt a titkosítással, hogy belépjen ms fiókkal, hogy oda kimentse a helyreállító kódot. 
Akkor tűnik fel a felhasználónak, ha hiba miatt alaplapcsere lesz és kéri a kódot - jobb esetben megvan ms fióknál online.

Pin nélkül gondolom az ellen véd, hogy másik os alól bebootolva ki tudod -e olvasni a lemez tartlmát. Így nem tudja megkerülni egy pendrivról bootolva a fiók jelszó beírást. Kivéve persze, ha van másik hátsóajtó win-ben vagy fizikailag kiolvasható a külön chipből, ha olyan fajta.

PIN használatával a TPM-be teszi a kulcsot, amit a PIN véd és csak akkor is csak akkor adja oda PIN nélkül, ha arról a lemezről megy a boot folyamat, amihez a kulcs tartozik. Nyilván nem a világ legjobb védelme, de valahol érdemes a titkosítatlan és a használhatatlanul kényelmetlen biztonság között elhelyezni a konkrét védelmet, ami arányos a védett adatokkal.

Aztán meg jönnek és itt vannak ugye a CPU tokba tett vagy szoftveres TPM megoldások, ahol ez az egész dolog nem megy.

https://iotguru.cloud

Tudtam én, hogy az én hibám, csak meglepett, hogy egyáltalán be van kapcsolva a BitLocker :D Főleg, hogy egy ideiglenes, akkor regisztrált fiókkal történt a telepítés, majd local user létrehozása és ms fiók eltávolítása volt a folyamat :) De szerencsére eszembe jutott a jelszó.

Ha enged usb-ről bootolni, akkor nyilván nem okoz gondot a dolog.

Ha tényleg sokat ér, akkor lehet, hogy érdemes nekiállni thunderbolt memóriaeléréses trükköket és hasonlókat keresni.

Én mindesetre csak pin-nel telepitettem usereknek bitlocker-t, annyit érjen már meg a biztonság.

Hogy kellene megnéznem, hogy van-e PIN beállítva, illetve hol vagy mikor kérné a PIN-t valami?

A saját laptopomban van TPM és bitlocker, de nem ismerek PIN kódot (ettől még lehet, hogy van PIN, bár furcsállanám, ha vásárláskor ezt nem közölték)

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Hat azert a jelszo bepotyogese es a Bitlocker+TPM(+jelszo, ha akarod) kozott baromi nagy kulonbsegek vannak, de oke.

szerk: pl. meg kene oldani, hogy a ceges IT kiad evente 500 uj laptopot, amit az uj belepoknek futarral kuldenek ki, a bontatlan gyari dobozban. A feladat az, hogy amikor a user belep a ceges accountjaval, akkor automatikusan kapcsoljon be a titkositas, es a recovery key toltodjon fel egy olyan kozponti tarba, ahol az IT szukseg eseten hozza tud ferni.

( _Franko_ v | 2024. 02. 04., v – 10:45 )

Bitlocker-nek is van több szintje.

Átlagembernek elég, ha be van kapcsolva, és le van téve a TPM-be a kulcs, esetleg PIN kóddal védve. Ha a rosszarcú ellopja a laptopját, akkor nem fér hozzá egyszerűen a laptopon tárolt személyes adatokhoz, nem is akar vélhetően, el tudja adni a laptopot használtan, újratelepítve vagy alkatrésznek.

Ha ennél több kell, akkor lehet tárolni a Bitlocker kulcsot külső biometrikusan védett kétfaktoros lófaszon és akkor már csak nagyon célzott támadással lehet megszerezni az adatokat, de az más tészta.

https://iotguru.cloud

( gelei v | 2024. 02. 05., h – 09:58 )

tl;dw ez fTPM-mel is mukodik? Csak hogy hogyan kell ertelmezni a "TPM es CPU kozott" peremfeltetelt.

( Tassadar v | 2024. 02. 05., h – 11:24 )

Szerkesztve: 2024. 02. 05., h – 11:25

HW változás esetén a TPM-nek elvileg lockdown módba kell csapnia magát, ahonnan csak Recovery Key-el lehet hozzáférni,
talán ez lehet az oka hogy ez a sérülékenység 3 év távlatában sem kapott nagyobb publicitást..