Исследователи Fraunhofer SIT обнаружили метод взлома BitLocker PIN под Windows. Метод работает даже в тех случаях, когда для защиты процесса загрузки используется TPM.
Атакующий с доступом к целевому компьютеру просто загружается с флэш-накопителя USB и заменяет загрузчик BitLocker таким загрузчиком, который имитирует запрос PIN-кода BitLocker и сохраняет PIN-код, введенный пользователем, на диск в незашифрованном виде.
Хотя процесс загрузки BitLocker проверяет целостность системы, его целостность не проверяется - фактически злоумышленник может получить контроль над процессом загрузки Windows. Следовательно, согласно отчету Fraunhofer SIT, даже если в системе установлен Trusted Computing Module (TPM), он не может защитить вас от подобного типа атак.
После того, как замененный загрузчик сохранил PIN-коды жертвы на жестком диске, он переписывает оригинальный загрузчик MBR и перезагружает систему. "Потерпевший" пользователь может действительно удивиться перезапуску компьютера, но все мы видели, что компьютеры могут внезапно прервать загрузку и перезагрузиться.
Чтобы достать сохраненный PIN, злоумышленник должен получить доступ к целевому компьютеру во второй раз, а затем получить доступ к жесткому диску. Компьютер может быть перезагружен, а полученный PIN может быть использован таким образом, чтобы вскрыть BitLocker, который открывает доступ к защищенной системе Windows.
Эта технология может быть использована для получения данных, в частности, целенаправленных действий в промышленном шпионаже. SIT, тем не менее, стремится подчеркнуть то, что, "несмотря на уязвимость системы безопасности, BitLocker является хорошим решением для шифрования жесткого диска, поскольку он обеспечивает хорошую защиту от наиболее распространенных угроз для конфиденциальной информации на жестком диске - при потере или краже компьютера."
Исследователи SIT Джэн Стеффан (Jan Steffan) и Ян Тракенмюллер (Jan Trukenmüller) опубликовали на веб-сайте института видео, демонстрирующее атаку на практике.
Подобные атаки на систему шифрования TrueCrypt были представлены на конференции BlackHat в июле. Австрийский специалист по безопасности Петр Клейснер (Peter Kleissner) использовал специальный буткит, чтобы внедриться в процесс загрузки с тем, чтобы проникнуть в систему и получить доступ к данным. Его метод, однако, не работал в системах с TPM, так как хэш MBR не соответствовал имеющейся версии. Преимуществом метода Клейснера является то, что он требует лишь однократного доступа к компьютеру жертвы.
Источник: http://www.h-online.com
Перевод: houseboy
