Το BitLocker της Microsoft είναι μια από τις πιο εύκολα διαθέσιμες λύσεις κρυπτογράφησης που επιτρέπει στους χρήστες να κρυπτογραφούν με ασφάλεια και να προστατεύουν τα δεδομένα από διάφορες απειλές. Ωστόσο, φαίνεται ότι το BitLocker δεν είναι τόσο ασφαλές όσο νομίζαμε.
Νωρίτερα αυτή την εβδομάδα, ο YouTuber stacksmashing δημοσίευσε ένα video που δείχνει πώς κατάφερε να υποκλέψει τα δεδομένα του BitLocker και να κλέψει τα κλειδιά κρυπτογράφησης που του επέτρεπαν να αποκρυπτογραφήσει τα δεδομένα που ήταν αποθηκευμένα στο σύστημα. Και όχι μόνο αυτό, αλλά τα κατάφερε μέσα σε 43 δευτερόλεπτα χρησιμοποιώντας ένα Raspberry Pi Pico που κοστίζει πιθανότατα λιγότερο από 10 δολάρια.
Για να εκτελέσει την επίθεση, εκμεταλλεύτηκε το Trusted Platform Module ή TPM. Στους περισσότερους υπολογιστές, η TPM βρίσκεται εξωτερικά και χρησιμοποιεί το LPC bus για να στέλνει και να λαμβάνει δεδομένα από τη CPU. Το BitLocker της Microsoft βασίζεται στην TPM για την αποθήκευση κρίσιμων δεδομένων, όπως τα Platform Configuration Registers και το Volume Master Key.
Κατά τη δοκιμή του stacksmashing διαπιστώθηκε ότι το LPC bus επικοινωνεί με τη CPU μέσω καναλιών επικοινωνίας που δεν είναι κρυπτογραφημένα κατά την εκκίνηση και μπορούν να αξιοποιηθούν με σκοπό την κλοπή κρίσιμων δεδομένων. Εκτέλεσε την επίθεση σε ένα παλιό laptop της Lenovo που είχε ενα αχρησιμοποίητο LPC connector στη μητρική πλακέτα δίπλα στην υποδοχή M.2 SSD.
Ο stacksmashing συνέδεσε ένα Raspberry Pi Pico στους μεταλλικούς ακροδέκτες του αχρησιμοποίητου connector για να υποκλέψει τα κλειδιά κρυπτογράφησης κατά την εκκίνηση. Το Raspberry Pi ήταν ρυθμισμένο να καταγράφει τα δυαδικά 0 και 1 από την TPM κατά την εκκίνηση του συστήματος, επιτρέποντάς του να συνθέσει το Volume Master Key. Μόλις το έκανε, έβγαλε τον κρυπτογραφημένο δίσκο και χρησιμοποίησε το dislocker με το Volume Master Key για να αποκρυπτογραφήσει τον δίσκο.
Η Microsoft σημειώνει ότι αυτές οι επιθέσεις είναι δυνατές, αλλά ισχυρίζεται ότι απαιτούνται εξελιγμένα εργαλεία και παρατεταμένη φυσική πρόσβαση στη συσκευή. Ωστόσο, όπως φαίνεται στο video, κάποιος που είναι προετοιμασμένος να εκτελέσει μια τέτοια επίθεση μπορεί να το κάνει σε λιγότερο από ένα λεπτό.
Υπάρχουν, ωστόσο, ορισμένες επιφυλάξεις που πρέπει να έχετε κατά νου. Αυτή η επίθεση μπορεί να λειτουργήσει μόνο με εξωτερικές μονάδες TPM, όπου η CPU πρέπει να λάβει δεδομένα από τη μονάδα στη μητρική πλακέτα. Πολλές νέες CPU σε laptops και desktops διαθέτουν πλέον fTPM, όπου τα κρίσιμα δεδομένα αποθηκεύονται και ελέγχονται εντός της ίδιας της CPU. Παρόλα αυτά, η Microsoft συνιστά τη ρύθμιση ενός BitLocker PIN για να σταματήσουν αυτές οι επιθέσεις, αλλά δεν είναι εύκολο να το κάνετε, καθώς θα χρειαστεί να ρυθμίσετε μια Group Policy για να παραμετροποιήσετε ένα PIN.