Az alábbi videóban egy TPM sebezhetôséget kihasználva egy Raspberry pico és egy saját pcb segítségével 1 perc alatt megszerzi egy lenovo laptop Bitlocker kulcsát.
TLDW: A TPM chip és a CPU közötti forgalom nem titkosított, ezt tudja lehallgatni.
A régi tétel igaz: az adat, amihez más is hozzáfér fizikailag, már nem a tied.
- 2353 megtekintés
Hozzászólások
Vajon azok kozul az ismeroseim kozul, akik kerdeztek, hogy "hogy lehetne megis onnan fajlt kinyerni", mert "jelszo elhagytak" hanyan fogjak ezt a lehetoseget kihaszanalni?
Mert csak annyit mondtam nekik, hogy varjanak, lesz egy ilyen egyszer, de lehet eveket kell ra varni.
- A hozzászóláshoz be kell jelentkezni
A videóban is elhangzik, ha PIN-el van védve a TPM akkor nem fog működni, szóval még várhatnak. :)
Én még nem láttam olyan bitlocker telepítést ahol nem volt PIN beállítva.
Illetve fTPM-nél szintén nem megoldható jelenleg.
- A hozzászóláshoz be kell jelentkezni
Mi értelme van egyáltalán pin vagy jelszó nélkül beállitani?
Ha ellopják, akkor simán elindul, csak az ellen véd, ha kiszerelik az ssd-t és másik gépben próbálják kiolvasni.
- A hozzászóláshoz be kell jelentkezni
Gyári előtelepített win-es gépeken van hogy aktív a bitlocker, bár amit láttam, ott megvárta azt a titkosítással, hogy belépjen ms fiókkal, hogy oda kimentse a helyreállító kódot.
Akkor tűnik fel a felhasználónak, ha hiba miatt alaplapcsere lesz és kéri a kódot - jobb esetben megvan ms fióknál online.
Pin nélkül gondolom az ellen véd, hogy másik os alól bebootolva ki tudod -e olvasni a lemez tartlmát. Így nem tudja megkerülni egy pendrivról bootolva a fiók jelszó beírást. Kivéve persze, ha van másik hátsóajtó win-ben vagy fizikailag kiolvasható a külön chipből, ha olyan fajta.
- A hozzászóláshoz be kell jelentkezni
PIN használatával a TPM-be teszi a kulcsot, amit a PIN véd és csak akkor is csak akkor adja oda PIN nélkül, ha arról a lemezről megy a boot folyamat, amihez a kulcs tartozik. Nyilván nem a világ legjobb védelme, de valahol érdemes a titkosítatlan és a használhatatlanul kényelmetlen biztonság között elhelyezni a konkrét védelmet, ami arányos a védett adatokkal.
Aztán meg jönnek és itt vannak ugye a CPU tokba tett vagy szoftveres TPM megoldások, ahol ez az egész dolog nem megy.
- A hozzászóláshoz be kell jelentkezni
"ha hiba miatt alaplapcsere lesz és kéri a kódot"
Frissen telepített (Win 11) gép ezt egy bios update után is eljátszotta, mehettem az ms fiókba, kikeresni a kódot.
- A hozzászóláshoz be kell jelentkezni
Igen, ez benne szokott lenni az update readme-ben, hogy a frissítés előtt függesszed fel a BitLocker-t és/vagy legyen meg a key, mert a TPM ilyenkor (is) elfelejti a kulcsot. Egyébként érdemes kinyomtatni és fiókba tenni... :)
- A hozzászóláshoz be kell jelentkezni
Tudtam én, hogy az én hibám, csak meglepett, hogy egyáltalán be van kapcsolva a BitLocker :D Főleg, hogy egy ideiglenes, akkor regisztrált fiókkal történt a telepítés, majd local user létrehozása és ms fiók eltávolítása volt a folyamat :) De szerencsére eszembe jutott a jelszó.
- A hozzászóláshoz be kell jelentkezni
mehettem az ms fiókba, kikeresni a kódot.
Hát mert nem nyomtattad ki a biztonsági kulcsot és raktad el a széfbe...
- A hozzászóláshoz be kell jelentkezni
Adok neked egy gepet, ami "elindul", de nem ismered a user-pw kombot, vagy ne adj' Isten FIDO2-t ker loginnal a gep. Tudsz vele mit kezdeni? A tarolt adatok erteke meger annyit, hogy tudj vele mit kezdeni?
- A hozzászóláshoz be kell jelentkezni
Ha enged usb-ről bootolni, akkor nyilván nem okoz gondot a dolog.
Ha tényleg sokat ér, akkor lehet, hogy érdemes nekiállni thunderbolt memóriaeléréses trükköket és hasonlókat keresni.
Én mindesetre csak pin-nel telepitettem usereknek bitlocker-t, annyit érjen már meg a biztonság.
- A hozzászóláshoz be kell jelentkezni
Ha enged usb-ről bootolni, akkor nyilván nem okoz gondot a dolog.
Tegyuk fel, hogy engedi. Ezt legyszi fejtsd ki, hogyan tovabb.
- A hozzászóláshoz be kell jelentkezni
Előszedem bármelyik password kilövő alkalmazást ami a SAM-ben felülirja a jelszót.
- A hozzászóláshoz be kell jelentkezni
De titkosított a disk és a TPM elfelejtette a kulcsot, mit szedsz akkor elő mivel?
- A hozzászóláshoz be kell jelentkezni
Az volt a felvetés, hogy engedi az usb boot-ot. Kulcs elfelejtésről nem volt szó.
- A hozzászóláshoz be kell jelentkezni
Hogyne engedné, semmi se gátolja, hogy USB-ről bootolj, de a TPM abban a pillanatban elfelejti a kulcsot.
- A hozzászóláshoz be kell jelentkezni
Oke, rajtam ne muljon, ne felejtse el a kulcsot. Elindul pendrive-rol a bubuntu, a kulcs pedig ott van a TPM-en. Hogy mountolod a titkositott meghajtot?
- A hozzászóláshoz be kell jelentkezni
Hogyan? Titkositva van a diszk.
- A hozzászóláshoz be kell jelentkezni
Ha enged usb-ről bootolni, akkor nyilván nem okoz gondot a dolog.
Nem fogja odaadni a TPM chip a kulcsot, ha nem az a disk a boot disk, aminek a kulcsát oda kell adnia...
- A hozzászóláshoz be kell jelentkezni
Ez mondjuk ellopott laptop esetén biztosítva van.
- A hozzászóláshoz be kell jelentkezni
Hogy kellene megnéznem, hogy van-e PIN beállítva, illetve hol vagy mikor kérné a PIN-t valami?
A saját laptopomban van TPM és bitlocker, de nem ismerek PIN kódot (ettől még lehet, hogy van PIN, bár furcsállanám, ha vásárláskor ezt nem közölték)
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
- A hozzászóláshoz be kell jelentkezni
Ha be van állítva akkor a bootfolyamat elején kér PIN-t, egyébként így tudod bekapcsolni:
manage-bde -protectors -add c: -TPMAndPIN
- A hozzászóláshoz be kell jelentkezni
Á. Ebben az esetben nincs beállítva gyárilag a pin az én bitlocker telepítésemben.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
- A hozzászóláshoz be kell jelentkezni
Mondanám, hogy semmi új nincs, itt is világosan le van írva, csak hogy eddig ezt nem reklámozták.
https://learn.microsoft.com/en-us/windows/security/operating-system-sec…
Gyakorlatilag adatlopás ellen nem véd a Bitlocker vagy egyéb olyan megoldás ami a TPM-et használja a kulcs tárolására. Fasza.
- A hozzászóláshoz be kell jelentkezni
Ugye ugye.... A jóöreg LUKS, akár egy sima password auth-tal bőven jobb.
"Sose a gép a hülye."
- A hozzászóláshoz be kell jelentkezni
Ez megy Bitlocker esetén is, ha úgy állítod be...
- A hozzászóláshoz be kell jelentkezni
De hát itt valaki kitalált egy megoldást (TPM), hát kellett hozzá csinálni egy problémát is ;)
- A hozzászóláshoz be kell jelentkezni
Hat azert a jelszo bepotyogese es a Bitlocker+TPM(+jelszo, ha akarod) kozott baromi nagy kulonbsegek vannak, de oke.
szerk: pl. meg kene oldani, hogy a ceges IT kiad evente 500 uj laptopot, amit az uj belepoknek futarral kuldenek ki, a bontatlan gyari dobozban. A feladat az, hogy amikor a user belep a ceges accountjaval, akkor automatikusan kapcsoljon be a titkositas, es a recovery key toltodjon fel egy olyan kozponti tarba, ahol az IT szukseg eseten hozza tud ferni.
- A hozzászóláshoz be kell jelentkezni
sub
- A hozzászóláshoz be kell jelentkezni
Bitlocker-nek is van több szintje.
Átlagembernek elég, ha be van kapcsolva, és le van téve a TPM-be a kulcs, esetleg PIN kóddal védve. Ha a rosszarcú ellopja a laptopját, akkor nem fér hozzá egyszerűen a laptopon tárolt személyes adatokhoz, nem is akar vélhetően, el tudja adni a laptopot használtan, újratelepítve vagy alkatrésznek.
Ha ennél több kell, akkor lehet tárolni a Bitlocker kulcsot külső biometrikusan védett kétfaktoros lófaszon és akkor már csak nagyon célzott támadással lehet megszerezni az adatokat, de az más tészta.
- A hozzászóláshoz be kell jelentkezni
Jó reggelt kívánok!
https://arstechnica.com/gadgets/2021/08/how-to-go-from-stolen-pc-to-network-intrusion-in-30-minutes/
- A hozzászóláshoz be kell jelentkezni
30 minutes > 1 minute
- A hozzászóláshoz be kell jelentkezni
Szerintem a cégek 90%-nál ha 3 óra lenne, akkor se vennék észre.
"Sose a gép a hülye."
- A hozzászóláshoz be kell jelentkezni
tl;dw ez fTPM-mel is mukodik? Csak hogy hogyan kell ertelmezni a "TPM es CPU kozott" peremfeltetelt.
- A hozzászóláshoz be kell jelentkezni
nem megy fTPM-mel
- A hozzászóláshoz be kell jelentkezni
HW változás esetén a TPM-nek elvileg lockdown módba kell csapnia magát, ahonnan csak Recovery Key-el lehet hozzáférni,
talán ez lehet az oka hogy ez a sérülékenység 3 év távlatában sem kapott nagyobb publicitást..
- A hozzászóláshoz be kell jelentkezni