четверг, 31 декабря 2009 г.

Многочисленные взломы Bitlocker’a #2

Итак, как я писал в предыдущем сообщении, вторым фактом, обсуждаемым онлайн прессой, который подвиг меня на написание этой короткой серии, стало исследование Fraunhofer Institute for Secure Information Technology. В этом исследовании было показано как можно получить доступ к информации, защищенной Bitlocker, даже с применением TPM. Практически, можно сказать, взлом века! Особенно для тех, кто не дает себе труда прочитать отчет о самом исследовании, а предпочитает получать сведения от журналистов (ох уж эти мне журналисты, включая меня самого ;) ).

Итак, как уже нетрудно догадаться, никакого взлома именно Bitlocker или TPM не произшло. Что же послужило причиной возбуждения онлайн-прессы? На самом деле исследование вышеощначенной группы показывает возможности получения PIN кода от пользователя с последующим использованием данного кода для дешифрации защищенного контента диска. Я еще раз подчеркиваю: получить код предлагалось от пользователя. То есть пользователь должен был ввести этот код на скомпрометированном компьютере. Мало того, практически все варианты “взлома”, описанные в исследовании требуют множественного физического доступа к компьютеру. Впрочем, давайте по порядку.

Итак, в исследовании были рассмотрены следующие варианты:

1) Атакующий модифицирует код Bitlocker, внедряя в него бекдор. Это, разумеется, будет обнаружено при следующем запуске компьютера и пользователь будет вынужден запустить процедуру восстановления, которая приведет к записи кода на незащищенный раздел, после чего злоумышленнику остается только еще раз получить доступ к компьютеру, чтобы забрать этот код. Итого – дважды дойти до компьютера ножками. Да плюс еще, процедура восстановления не должна быть завязана на TPM. Не слишком часто реализуемаый сценарий, хотя и не невероятный. Где тут взлом Bitlocker? Нигде.

2) Так же модифицируется Bitlocker, но на сей раз чтобы сымитировать окно ввода ключа и/или ключа восстановления. Скорее, второе, так как пока Bitlocker модифицирован TPM не даст расшифровать информацию, пока не получит код восстановления. Опять-таки необходимо дважды добраться физически до компьютера. Опять-таки ни малейших следов взлома Botlocker.

3) Один из наиболее интересных, с точки зрения исследователей, вариантов: все то же самое, но после первого запуска модифицированное ПО удаляет следы своего присутствия и перезагружает компьютер, имитируя сбой. То есть Вы включаете компьютер, вводите ПИН или ПИН восстановления, выводится сообщение об ошибке, происходит перезагрузка и потом все идет нормально. За исключением того, что где-то на открытом разделе в недрах Вашего компьютера лежит ПИН. Остается лишь навестить Ваш компьютер вторично и извлечь ПИН вместе с информацией, винчестером, а то и самим компьютером. Опять дважды нужно получить доступ к компьютеру и, что удивительно, никакого следа взлома Bitlocker.

4) Четвертый вариант требует однократного доступа к Вашему компьютеру, причем злоумышленник должен украсть его, да не просто украсть, а заменить его таким же или, как минимум, неотличимым для пользователя. Подложный компьютер принимает Ваш ПИН, после чего транслирует его каким-то образом взломщику. Собственно – всего один, так сказать, акт физического доступа, но зато намного сложнее в плане подготовки: найти практически идентичный по виду ноутбук достаточно сложно. Модифицировать его так, чтобы он отсылал данные, введенные пользователем тоже непросто. Кроме того факт кражи данных вскрывается тут же, а злоумышленник должен, в большинстве случаев либо находиться рядом сам, либо разместить устройство, которое будет служить релеем для “подкидыша”.

5) Последний путь “взломать” Bitlocker требует модификации ОС и/или загрузчика до активации защиты. Фактически, нужно подсадить вредоносный код до включения шифрования. После этого можно, разумеется, складывать ключи от Bitlocker пачками на незашифрованные разделы. Возникает только вопрос: зачем после того, как я смог разместить вредоносный код на чужом компьютере, мне может понадобиться  еще возиться с Bitlocker? Сливать данные по сети, просто расшифровать диск и в дальнейшем только имитировать ввод ПИН… Это может оказаться много удобнее, чем выкрадывать ноутбук.

Итак, какой можно подвести итог? Да очень простой: Bitlocker по прежнему неуязвим ни для каких технических атак, которые не подразумевают получения ключевой информации напрямую от пользователя. С тем же успехом, как в описанных тут методах мы могли бы подключить к калвиатуре пользователя аппаратный кейлоггер, попробовать подобрать ПИН исходя из звукового рисунка набираемой на клавиатуре информации или попросту подвесив над пользователем камеру и записав, что он там вводит.

Как мы видим, ни одна из атак не направлена на, собственно Bitlocker или TPM. Все они направлены на обман пользователя. Да, наверное, было бы сложно говорить о том, что данные реализации идеальны: именно их несовершенство, на обозначение которого и направлено исследование, позволяет все-таки получить доступ к данным, обманув пользователя. Однако остальные реализации подвержены этим ошибкам ничуть не меньше. Даже использование многофакторной аутентификации, особенно для мобильных устройств уязвимо такими же образами: никто не мешает нам узнать PIN для смарткарты и украсть потом эту смарткарту, заменив на похожую. Будет похоже на четвертый вариант. Результат: данные у нас.

Так что же – исследование бессмысленно? Отнюдь! В очередной раз показывается, что свободный физический доступ злоумышленника к Вашему компьютеру (а трудно назвать двойной доступ с возможностью модификации системы не свободным) означает снижение безопасности информации на порядки. То есть защитив данные Bitlocker’ом, EFS’ом и каким-нибудь PGP до кучи, но бросая свой ноутбук где ни попадя Вы все-таки обречены поделиться с кем-нибудь своей информацией, если только этот кто-то захочет. Защита RODC шифрованием вовсе не означает, что этот контроллер можно поставить на улице, “чтобы места не занимал и охлаждение получше было”. Просто можно не строить защищенную серверную, а достаточно лишь обеспечить обычный присмотр за сервером. Но в любом случае – не стоит полагаться на технические средства защиты сверх меры, забывая о людях и их слабостях.

Будьте бдительны, люди =)

Комментариев нет: