Vor einigen Tagen wurde auf Habré ein Artikel über eine Studie von Wissenschaftlern der University of Radboard veröffentlicht, die bei einigen hardwaregeschützten SSD-Modellen eine Sicherheitslücke im Datenverschlüsselungssystem gefunden haben. Mit speziellen Methoden können Sie also auf geschützte Daten zugreifen, und es ist überhaupt nicht erforderlich, das Kennwort zu kennen.
Für Windows stellte sich das Problem als das dringendste heraus, da das integrierte Windows-Bitlocker-Verschlüsselungssystem deaktiviert ist, wenn das Betriebssystem feststellt, dass die SSD über Hardwareschutz verfügt. Benutzer, die mit SSD rucial und Samsung arbeiten und die Firmware ihrer Laufwerke nicht aktualisiert haben, halten ihre Daten für Angreifer offen. Neulich hat Microsoft Informationen zu Datenschutzmethoden auf SSDs mit Hardwareschutz in einer Windows-Umgebung veröffentlicht.
Das Unternehmen
veröffentlichte einen Artikel, in dem festgestellt wurde, dass bei 1394- und Thunderbolt-Systemen die DMA-Funktion (Direct Memory Access) aktiviert ist. Es muss separat ausgeschaltet werden, standardmäßig ist es eingeschaltet. Wenn ein durch BlitLocker geschütztes Gerät entsperrt ist, wird der Verschlüsselungsschlüssel im Speicher des Computers gespeichert. Auf Wunsch können Angreifer ein speziell entwickeltes Gerät 1394 oder Thubderbolt an den anfälligen PC anschließen, um den Verschlüsselungsschlüssel zu suchen und zu stehlen.
Microsoft beschreibt verschiedene Möglichkeiten, um sich vor dieser Art von Angriff zu schützen. Verwenden Sie beispielsweise die Kernel-DMA-Schutzfunktion, die in Windows 10 1803 verfügbar ist. Für Benutzer, für die diese Funktion nicht verfügbar ist, bietet Microsoft andere Methoden an: „Für Windows 10 1803 und höher empfehlen wir die Verwendung dieser Funktion, wenn das System die Kernel-DMA-Schutzfunktion unterstützt eine Gelegenheit, die Wahrscheinlichkeit eines erfolgreichen Angriffs mit Thunderbolt DMA zu verringern. "
Diese Funktion sperrt die angeschlossenen Thunderbolt 3-Geräte und gewährt ihnen keinen Zugriff auf die Direktspeicherzugriffsfunktion, bis eine bestimmte Reihe von Verfahren abgeschlossen wurde.
Wenn das Thunderbolt 3-Gerät mit aktivierter Kernel-DMA-Schutzfunktion an ein System angeschlossen ist, überprüft Windows die Systemlaufwerke auf Unterstützung für die DMA-Neuzuordnung. Dies ist eine Funktion, mit der ein bestimmter Abschnitt des isolierten Speichers mit dem Gerät arbeiten kann, das für die Arbeit mit dem Betriebssystem verwendet wird. Auf diese Weise können Sie das Eindringen von DMA-Gadgets in andere Speicherbereiche vermeiden, sofern dies nicht zuvor vereinbart wurde.
Wenn das Gerät die Speicherisolation unterstützt, weist Windows das Gerät sofort an, DMA in isolierten Speicherbereichen zu starten. Bei Geräten, deren Treiber die Speicherisolation nicht unterstützen, wird der Zugriff geschlossen, bis sich der Benutzer anmeldet oder den Bildschirm entsperrt.
Für dieselben Gadgets, die DMA-Remap überhaupt nicht unterstützen, wird der Zugriff auf das System geschlossen, bis sich der Benutzer anmeldet oder die Anzeige entsperrt. Sobald dies erledigt ist, startet Windows einen speziellen Treiber und ermöglicht dem Gadget, die DMA-Zugriffsfunktion zu aktivieren.
Der Kernel-DMA-Schutz ist für Windows 10 Build 1803 weiterhin verfügbar. Es wird jedoch eine neue Firmware für UEFI benötigt. Windows-Benutzer können sich hier über diese Schutzmethode informieren. Wenn Ihr Computer den Kernel-DMA-Schutz nicht unterstützt oder wenn die neueste Version von Windows nicht darauf installiert ist, empfiehlt Microsoft, den SBP-2 1394-Treiber zu deaktivieren und Thunderbolt-Controller in Windows zu deaktivieren
Wenn Sie nicht mit Thunderbolt- oder 1394-Geräten arbeiten, hat das Deaktivieren der Controller keine genauen Auswirkungen. Auf der anderen Seite können Benutzer mit den oben genannten Gerätetypen auf Anraten des Unternehmens die Möglichkeit eines solchen Angriffs blockieren.
Microsoft behauptet auch, dass wenn die Hardware nicht den
Windows Engineering Guidance entspricht , sie höchstwahrscheinlich die DMA- und 1943-Funktionen von Thunderolt deaktiviert. Dies bedeutet, dass Raubkopien sofort funktionieren, wenn sie an einen PC angeschlossen sind.
„Wenn Ihre Hardware nach dem Einschalten des PCs von den Empfehlungen der Windows Engineering Guidance abweicht, kann Windows DMA auf einem solchen Gerät aktivieren. Dies macht das System anfällig für Kompromisse “, sagte Microsoft in einer Erklärung. Um die entsprechenden Controller zu deaktivieren, sind genaue Geräte-IDs erforderlich (dies ist ein Plug-and-Play-System).