r   e   k   l   a   m   a
r   e   k   l   a   m   a

Hasło do Maka w kilka sekund sprzętem za sto dolarów. Po łatce Maki najbezpieczniejsze?

Strona główna AktualnościBEZPIECZEŃSTWO

Fizyczne ataki na Maka to nic nowego: ostatnio choćby turecki haker Samy Kamkar pokazał, jak za pomocą Raspberry Pi wykraść z uśpionej maszyny ciasteczka uwierzytelniające do witryn internetowych (atak działał też na komputerach PC). Wczoraj jednak mogliśmy zobaczyć jeszcze bardziej spektakularny atak, który utwierdza w przekonaniu, że usypianie laptopów wiąże się ze sporym ryzykiem – i lepiej jednak je wyłączać.

To kolejny atak typu evil maid, zaprezentowany przez szwedzkiego pentestera Ulfa Friska po raz pierwszy na tegorocznej konferencji DEF CON 24, jednak bez podania większych szczegółów. Wiadomo było jedynie, że wstrzykując kod przez DMA można przejąć pełną kontrolę nad jądrem systemu i w ciągu kilku sekund zrzucić całą pamięć. W efekcie napastnik może obejść całodyskowe szyfrowanie i wszelkie mechanizmy uwierzytelniania, uzyskując zarazem dostęp administracyjny do maszyny.

r   e   k   l   a   m   a

Dostać się do uśpionego czy zablokowanego Maka było więc bardzo prosto, tak prosto, że można było przyuczyć tego dowolnego technika z organów ścigania – do komputera podłączało się przez złącze Thunderbolt niewielkie pudełeczko – urządzenie PCILeech, którego zmontowanie nie powinno kosztować więcej niż sto dolarów. Wykorzystując bezpośredni dostęp do pamięci po szynie PCIe, pozwala ono na czytanie i pisanie pamięci podłączonego komputera. Następnie wystarczyło zrestartować komputer (ctrl+cmd+power) i po 30 sekundach poznawaliśmy hasło administratora.

Teraz poznaliśmy bliższe informacje. Ten atak umożliwiły dwa poważne błędy w Makach. Po pierwsze, komputery Apple dają pełen dostęp do pamięci po szynie PCIe, udostępnionej po złączu Thunderbolt (prawdopodobnie też po jego najnowszej wersji, z gniazdkiem USB Type-C). To moment, w którym komputerem steruje jedynie firmware. macOS nie jest jeszcze załadowany, spoczywa na zaszyfrowanym dysku, więc aby uruchomić system, EFI musi dostarczyć programowi rozruchowemu klucz do odszyfrowania danych. Po uruchomieniu macOS-a do pamięci już się tak nie dostaniemy, włączona zostaje blokada DMA dla zewnętrznych urządzeń.

To samo w sobie nie byłoby jednak groźne, gdyby nie jedna rzecz. Hasło, z którego jest wyprowadzany klucz szyfrujący, było przechowywane w pamięci w jawnym tekście i nie jest automatycznie usuwane z pamięci po uruchomieniu systemu. Co prawda umiejscowienie hasła zmieniało się między kolejnymi restartami, ale wszystko to w ograniczonym obszarze pamięci.

Wystarczy więc zresetować Maka, by wyłączyć zabezpieczenia DMA uaktywnione przez macOS-a, uzyskując tak dostęp do całej niechronionej zawartości pamięci, która po resecie przecież nie znika. Mamy przynajmniej kilka sekund, zanim system nadpisze przechowywane wcześniej w pamięci hasło nowymi danymi. Znalezienie go jest bardzo proste, wcześniej występuje ciąg znaków phd0, a kilkanaście bajtów dalej niezaszyfrowane hasło w heksadecymalnych kodach ASCII.

Co robić, jak się zabezpieczyć?

Ta groźna luka, zgłoszona w połowie sierpnia, załatana przez Apple w tym tygodniu – łatka jest dostarczona wraz z aktualizacją macOS 10.12.2. Zabezpieczenie jest kompletne: nie tylko FileVault nie przechowuje już w jawnej postaci hasła, ale też nie można bezpośrednio uzyskać dostępu do pamięci po DMA przed uruchomieniem macOS-a. Jak stwierdził Ulf Frisk, Maki są teraz jedną z najbezpieczniejszych platform, przynajmniej jeśli chodzi o ten wektor ataku.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.