Thunderbolt Kusurları Milyonlarca PC'yi Bilgisayar Korsanlığına Maruz Kalıyor
11 Mayıs 2020
admin
Paylaş

Güvenlik paranoyakları yıllarca herhangi bir dizüstü bilgisayarın bir bilgisayar korsanıyla birkaç dakikadan fazla yalnız kaldığı konusunda uyardı tehlikeye atılmış sayılmalıdır. Şimdi bir Hollandalı araştırmacı, bu tür fiziksel erişim korsanlığının çok yaygın bir bileşende nasıl kaldırılabileceğini gösterdi: Milyonlarca bilgisayarda bulunan Intel Thunderbolt bağlantı noktası

Pazar günü, Eindhoven Teknoloji Üniversitesi araştırmacısı Björn Ruytenberg Thunderspy [computer manufacturer] adlı yeni bir saldırı yönteminin ayrıntılarını açıkladı [computer manufacturer]. . 2019’dan önce üretilen Thunderbolt özellikli Windows veya Linux PC’lerde, tekniği, bilgisayar verilerine tam erişim sağlamak için uyku veya kilitli bir bilgisayarın giriş ekranını ve hatta sabit disk şifrelemesini atlayabilir. Ve birçok durumda saldırısı, bir tornavidayla bir hedef dizüstü bilgisayar kasasının açılmasını gerektirse de, izinsiz giriş izi bırakmaz ve sadece birkaç dakika içinde çıkarılabilir. Bu, güvenlik endüstrisinin “kötü hizmetçi saldırısı” olarak adlandırdığı şeye yeni bir yol açar, örneğin bir otel odasında bilgisayarla yalnız kalabilen herhangi bir hacker tehdidi. Ruytenberg kolay bir yazılım düzeltmesi olmadığını, sadece Thunderbolt bağlantı noktasını tamamen devre dışı bıraktığını söylüyor.

“Kötü hizmetçinin yapması gereken tek şey arka plakayı sökmek, bir cihazı anlık olarak takmak, firmware, arka plakayı yeniden takın ve kötü hizmetçi dizüstü bilgisayara tam erişim elde ediyor, “diyor Thunderspy araştırmasını bu yaz Black Hat güvenlik konferansında veya yerini alabilecek sanal konferansta sunmayı planlayan Ruytenberg. “Bütün bunlar beş dakikadan az bir sürede yapılabilir.”

‘Güvenlik Seviyesi’ Sıfır

Güvenlik araştırmacıları potansiyel bir güvenlik sorunu olarak Intel’in Thunderbolt arayüzüne uzun zamandır dikkat ediyor. Kısmen bir bilgisayarın belleğine diğer bağlantı noktalarından daha doğrudan erişim sağlayarak güvenlik açıklarına yol açabilecek harici aygıtlara daha hızlı veri aktarımı hızları sunar. Örneğin, geçen yıl bir grup araştırmacı tarafından Thunderclap olarak bilinen Thunderbolt bileşenlerindeki bir kusur koleksiyonu, kötü niyetli bir cihazın takıldığını gösterdi. bir bilgisayarın Thunderbolt bağlantı noktası tüm güvenlik önlemlerini hızlı bir şekilde atlayabilir.

Çözüm olarak, bu araştırmacılar kullanıcıların “güvenlik seviyeleri” olarak bilinen bir Thunderbolt özelliğinden faydalanmalarını önerdi. güvenilir olmayan cihazlara erişimin engellenmesi ve hatta işletim sisteminin ayarlarında Thunderbolt’un tamamen kapatılması. Bu, güvenlik açığından etkilenen bağlantı noktasını yalnızca USB ve ekran bağlantı noktasına dönüştürür. Ancak Ruytenberg’in yeni tekniği, bir saldırganın Thunderbolt bağlantı noktasından sorumlu dahili çipin ürün yazılımını değiştirerek ve herhangi bir cihaza erişim sağlamak için güvenlik ayarlarını değiştirerek bu güvenlik ayarlarını bile atlamasına izin verir. Bunu, bilgisayarın işletim sisteminde görülen bu değişikliğe dair herhangi bir kanıt oluşturmadan yapar.

“Intel bu konuda bir kale yarattı,” diyor bir kriptografi profesörü Tanja Lange. Eindhoven Teknoloji Üniversitesi ve Ruytenberg’in Fırtına araştırması danışmanı. “Björn tüm engelleri aştı.”

Geçen yılki Thunderclap araştırmasının ardından Intel, Ruytenberg’in Fırtına saldırısını önleyen Çekirdek Doğrudan Bellek Erişim Koruması olarak da bilinen bir güvenlik mekanizması oluşturdu. . Ancak, Çekirdek DMA Koruması 2019’dan önce yapılan tüm bilgisayarlarda bulunmuyor ve bugün hala standart değil. Aslında, 2019’dan önce yapılan birçok Thunderbolt çevre birimi, Çekirdek DMA Koruması ile uyumsuz. Testlerinde, Eindhoven araştırmacıları, 2019 veya daha yeni sürümler de dahil olmak üzere Kernel DMA Korumasına sahip hiçbir Dell makinesi bulamadılar ve 2019 veya daha yeni sürümlerden birkaç HP ve Lenovo modelinin kullandığını doğrulayabildiler. Apple’ın MacOS’unu çalıştıran bilgisayarlar etkilenmez. Ruytenberg ayrıca bilgisayarınızın Fırtına saldırısına karşı savunmasız olup olmadığını ve makinenizde Çekirdek DMA Korumasını etkinleştirmenin mümkün olup olmadığını belirlemek için bir araç yayınlamaktadır.

Kötü Hizmetçinin Dönüşü

Aşağıdaki videoda gösterilen Ruytenberg’in tekniği alt panelin sökülmesini gerektirir Thunderbolt denetleyicisine erişmek için bir dizüstü bilgisayarın bağlanması, ardından denetleyicinin pimlerine takılmak üzere tasarlanmış bir donanım parçası olan bir SOP8 klipsi olan bir SPI programlayıcı aygıtı takılması. Bu SPI programcısı daha sonra, Ruytenberg’in video demosunda iki dakikadan biraz fazla süren çipin bellenimini yeniden yazıyor – esas olarak güvenlik ayarlarını kapatıyor.

“Ürün yazılımını analiz ettim ve yazılımın kontrolörün güvenlik durumu “diyor Ruytenberg. “Bu yüzden bu güvenlik durumunu ‘hiçbiri’ olarak değiştirmek için yöntemler geliştirdim. Temel olarak tüm güvenliği devre dışı bırakıyor. ” Daha sonra bir saldırgan, tam disk şifrelemesi kullanıyor olsa bile kilit ekranını devre dışı bırakmak için işletim sistemini değiştiren Thunderbolt bağlantı noktasına bir aygıt takabilir.

Ruytenberg’in demo videosunda gösterdiği tam saldırı sadece yaklaşık 400 dolar değerinde AKITiO PCIe Genişletme Kutusu Ruytenberg gibi kilit ekranını atlayan doğrudan bellek saldırısını gerçekleştirmek için bir SPI programcı cihazı ve bir Thunderbolt bağlantı noktasına takılabilen 200 dolarlık bir çevre birimi gerektirdiğini söylüyor. Ancak daha iyi finanse edilen bir bilgisayar korsanının tüm kurulumu yaklaşık 10.000 dolarlık tek bir küçük cihaza inşa edebileceğini savunuyor. Ruytenberg, “Üç harfli ajansların bunu minimize etmekte sorun yaşamaz.”

Thunderbolt’un kötü hizmetçiler için uygulanabilir bir saldırı yöntemi olarak kalması tamamen beklenmedik değil, diyor Tanınmış bir donanım güvenliği araştırmacısı ve SR Labs’in kurucusu olan Karsten Nohl, Ruytenberg’in çalışmalarını gözden geçirdi. Ayrıca, kurbanın makinesine belirli bir düzeyde karmaşıklık ve fiziksel erişim gerektirdiği göz önüne alındığında, çok fazla kullanıcıyı korkutmamalıdır. Yine de, Intel’in “güvenlik seviyelerinin” ne kadar kolay atlanabileceğini görünce şaşırdı. Nohl, “Donanım saldırılarına karşı bir kimlik doğrulama düzeni ekliyorsanız ve bunu güvenli olmayan bir donanıma uyguluyorsanız … bu bir donanım güvenliği sorunuyla başa çıkmanın yanlış yoludur” diyor. “Bu yanlış bir koruma duygusu.”

Ruytenberg, Thunderspy saldırısının daha az invaziv bir versiyonu olduğunu, ancak kullanıcının taktığı bir Thunderbolt çevre birimine erişim gerektirdiğini söylüyor bilgisayarları bir noktada. Hedef bilgisayar için “güvenilir” olarak ayarlanan Thunderbolt aygıtları, Ruytenberg’in bir gadget’tan diğerine kopyalayabildiğini ve kopyalayabileceğini bulduğu 64 bitlik bir kod içerir. Bu şekilde bir hedef cihazın kilit ekranını, kasayı bile açmadan atlayabilirdi. “Burada gerçek bir kriptografi yok,” diyor Ruytenberg. “Numarayı kopyaladın. Ve işte bu kadar.” Thunderspy saldırısının bu sürümü, ancak Thunderbolt bağlantı noktasının güvenlik ayarları varsayılan olarak güvenilir cihazlara izin verme ayarına yapılandırıldığında çalışır.

Ruytenberg bulgularını Intel üç ile paylaştı aylar önce. WIRED şirkete ulaştığında, araştırmacıların yaptığı gibi, Çekirdek DMA Koruması’nın saldırıyı önlediğini belirten bir blog gönderisinde yanıt verdi. Blog yazısı, “Altta yatan güvenlik açığı yeni olmasa da, araştırmacılar özelleştirilmiş bir çevresel aygıt kullanarak yeni fiziksel saldırı vektörleri gösterdiler.” (Araştırmacılar bu güvenlik açığının aslında yeni olduğunu ve saldırılarının yalnızca hazır bileşenleri kullandığını düşünüyor.) “Tüm sistemler için, yalnızca güvenilen çevre birimlerinin kullanımı da dahil olmak üzere” Intel ekledi “standart güvenlik uygulamalarını izlemenizi öneririz. bilgisayarlara yetkisiz fiziksel erişimi önleme. “

Unchachable Flaw

WIRED’e yaptığı açıklamada HP “2019’un başından beri başlatılan sistemleri de içeren” Sure Start Gen5 ve ötesini destekleyen çoğu HP Ticari PC ve Mobil İş İstasyonu ürünündeki Thunderbolt bağlantı noktası üzerinden doğrudan bellek saldırılarına karşı koruma sağlar. “HP, dahili kart (PCI) ve Thunderbolt cihazları aracılığıyla DMA saldırılarına karşı koruma sağlayan tek [computer manufacturer] “diye ekledi. “Thunderbolt aracılığıyla DMA saldırılarına karşı koruma varsayılan olarak etkindir.”

Lenovo, “bu yeni araştırmayı ortaklarımızla birlikte değerlendirdiğini ve müşterilerle uygun şekilde iletişim kuracağını söyledi. ” Samsung, yorum talebine yanıt vermedi. Dell yaptığı açıklamada, “bu tehditlerle ilgilenen müşterilerin güvenlik en iyi uygulamalarını izlemeleri ve bilinmeyen veya güvenilmeyen aygıtları PC bağlantı noktalarına bağlamaktan kaçınmaları gerektiğini” söyledi ve daha fazla bilgi için WIRED’i Intel’e yönlendirdi. WIRED, Intel’e hangi bilgisayar üreticilerinin Çekirdek DMA Koruması özelliğini kullandığını sorduğunda bizi tekrar üreticilere yönlendirdi.

Ruytenberg, bulduğu kusurların Intel’in donanımına ve sadece bir yazılım güncellemesi ile düzeltilemez. “Temel olarak silikon yeniden tasarımı yapmak zorunda kalacaklar” diyor. Ruytenberg’in bu ayarların nasıl kapatılacağını keşfettiği göz önüne alındığında, kullanıcılar saldırılarını önlemek için işletim sistemlerindeki Thunderbolt bağlantı noktalarının güvenlik ayarlarını değiştiremezler. Bunun yerine, paranoyak kullanıcıların Thunderbolt bağlantı noktalarını bilgisayarlarının BIOS’unda tamamen devre dışı bırakmak isteyebileceklerini söylüyor, ancak bunu yapma işlemi etkilenen her PC için farklı olacaktır. Thunderbolt’u BIOS’ta devre dışı bırakmanın yanı sıra, kullanıcıların tam olarak korunabilmeleri için sabit disk şifrelemesini etkinleştirmeleri ve gözetimsiz bıraktıklarında bilgisayarlarını tamamen kapatmaları gerekir.

Kötü hizmetçi saldırıları elbette, bazı durumlarda yıllarca mümkündür. Eclypsium gibi bellenim odaklı güvenlik şirketleri, BIOS güvenlik açıklarını kullanarak Windows makinelerinin beş dakika fiziksel erişim hacklediğini göstermiştir. Örneğin ve WikiLeaks’in Vault7 sürümü, Mac’lerin ürün yazılımını fiziksel erişim teknikleriyle kesmek için tasarlanmış CIA araçları hakkında bilgi içeriyordu

Fakat bu saldırıların her ikisi de yamanabilecek güvenlik açıklarına dayanmaktadır; CIA’nın saldırısı 2017’de sızdığı zaman haberleriyle engellendi. Öte yandan Thunderspy milyonlarca bilgisayar için hem işlenmemiş hem de erişilemez durumda. Bu makinelerin sahiplerinin artık Çekirdek DMA Koruması’nın bulunduğu bir modele geçmeleri veya uyku bilgisayarlarını gözetimsiz bırakmaları hakkında iki kez düşünmeleri gerekebilir.

Daha Büyük Kablolu Hikayeler

)