Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Přeinstalovací útoky na BitLocker nebo libovolné jiné zašifrované zařízení
březen 01
Přeinstalovací útoky na BitLocker nebo libovolné jiné zašifrované zařízení

Představme si rajskou hudbu každého bezpečáka. Uživatelé mají zařízení, například Windows stanice, notebook, nebo klidně i mobilní telefon. Toto zařízení je celé zašifrováno pomocí diskového šifrování, například BitLocker, nebo cokoliv jiného co je schopno využívat TPM (trusted policy module). TPM je čipová karta na základové desce (motherboard), ve které je, velmi zjednodušeně řečeno, schováno heslo k šifrovanému disku.

Samozřejmě jeho UEFI firmware plně vynucuje Secure Boot a nedovoluje se boot z jiného harddisku ani DVD. BIOS (tedy firmware) je zaheslován, CSM (compatibility support mode) je vypnut a uživatelé nemohou měnit ani vendor keys.

Pokud se jedná o podnikového uživatele, uživatel není ani členem skupiny Administrators ani na tomto svém jediném zařízení. Pokud se jedná o domácího teroristu, ten určitě pracuje pod účtem lokálních Administrators.

Zapomeňme na možnost vyčítat klíče ze zmrzlé paměti. Zapomeňme na to, že je možná někde poznačeno obnovovací heslo (recovery password, 48 digit password). Prostě nic takového neexistuje, nebo na to nelze obecně spoléhat.

Celé to znamená, že se zařízení dá nastartovat a samo naběhne až do přihlašovací obrazovky, kam se musí zadat nějaké "heslo". Jestli to je PIN, heslo, máchnutí prstem, nebo jeho otisk je mi jedno. Je ale dnes už často možné, že se to neprovádí na klávesnici, takže není možné použít hardware keylogger (všechny tyto metody ale ukládají normální uživatelovo heslo přímo na počítači na disku - jsou prostě jen náhradou za heslo a přitom se mapují na normální účet - ale disk je zašifrován BitLockerem, nebo čímkoliv jiným).

Neprůstřelné. Tedy alespoň by se zdálo. Neprůstřelnost je vždycky ale jen proti něčemu. Otázka je, čeho chceme dosáhnout.

Cíle útoku a motivace

Sledujme dva týpky. Jeden je podnikový zaměstnanec, který se chce stát lokálním adminem na svém počítači. Případně na počítači kolegy, se kterým sdílí kancelář, nebo openspace. Když se stane lokálním adminem, začne sbírat přihlašovací údaje a napadat další účty, aby se dostal postupně dál a dál po síti.

Druhým je terorirsta, nebo hacker, nebo pedofil, který pracuje z domu a je lokálním adminem na svém počítači. Až k němu přijede komando, aby mu počítače zabavilo, policie by byla ráda, kdyby se mohla podívat na jeho data. Jenže tihle parchanti nespolupracují. A krekovat z nich hesla gumovou hadicí, no uznejte, tyhle metody z minulého rok... století?

Podnikový zaměstnanec se vyznačuje schopností fyzického přístupu k počítači svému, nebo počítači kolegy. Řekněme na 15 a více minut?

Policie také nepřepadá žádného zlořáda z ničehož nic. Obvykle svůj zásah může plánovat dopředu. A může se na něho připravit. Může ho například navštívit v době, kdy není u svého zařízení a trošku se tam připravit. Možná to má různá právní a zákonná omezení, ale jsou bezpečnostní složky, které to mají trošku jinak. A nebo se o tom nikdo dozvědět ani nemusí...

Zase to znamená fyzický přístup k zařízení. Možná trošku déle, než 15 minut. Ale ne o moc.

A modří už vědí. Ostatní si přečtou. Fyzický přístup je vždycky klíčem. Pokud ho máte, vždycky bude nějaká cesta. Tady jsou dvě takové pěkné, co mě napadly.

Teroristovo heslo

Jak dostaneme z teroristy heslo do jeho počítače? Můžeme mu doma namontovat nějaké kamery a sledovat ho, jak to heslo zadává. Pak ho už jenom sebereme, nebo rovnou střelíme mezi voči (jak říká můj oblíbenej Richard Marcinko - "zabij ty hajzly všechny, bůh už si to nějak přebere").

A nebo mu to přeinstalujeme.

Nejprve uděláme imidž mašiny, abychom měli zašifrovaná data. Potom mu to přeinstalujeme, nebo vyresetujeme do továrního nastavení. V tom okamžiku jsme na jeho zařízení pány. Jsme lokálními Administrators. Co nám brání nainstalovat mu tam rovnou nějaký software keyloger? Nic. Takže keylogger, který ovládáme my. Chudák tam už nemá žádná svá data, samozřejmě. Nemá tam ani přístup, protože jeho heslo my ještě neznáme. Dostane tedy svoje zařízení zpátky úplně čisté, s keyloggerem a heslem, které sám ani nezná. Ale o tom on neví.

Vrátí se z večeře, zkouší se přihlásit na svůj noťas, keylogger zachytává jeho skutečné heslo a odesílá nám ho. Borec panikaří, protože si nemůže pustit svoje oblíbený .... Když v tom mu cosi olověného prolétá hlavou.

... A nebo neprolétá. Zařízení se restartuje a hlásí, že se samo vrátilo do továrního nastavení, zavolejte svého administrátora, odneste mě do servisu. Všechno je v pořádku pane teroristo, data máte přece v klaudu, nebo máte určitě zálohu, ne?

... A nebo se zobrazí hlášení o aktualizaci, pod tím se aplikuje původní imidž a po dalším restartu nechává teroristu znovu v klidu pracovat :-)

Zaměstnanec lokálním adminem

BitLocker v kombinaci s TPM modulem je výborná metoda, jak odstavit uživatele od lokálního adminství. Pokud ani sám uživatel nezná klíče k dešifrování systémového disku, nemůže použít zmiňovanou offline modifikační metodu, aby získal lepší přístup. Ale on by to chtěl.

Vždycky může nainstalovat hardware keylogger a zavolat na support, že mu nejede tiskárna. Přijde admin, zadá mu do keyloggeru heslo a tradá. Jenže co když admin používá správně čipovou kartu (smart card). V takovém případě zaměstnanci nějaký keylogger nepomůže (ani software keylogger). Podobně to bude když admin přichází vzdáleně přes RDP (dokonce ani nemusí používat mstsc /RestrictedAdmin režim (a ještě tady), protože uživatel sám není správcem).

Takže stanice BitLocker + TPM + uživatel nezná klíče + uživatel není členem lokálních Administrators je velmi solidní řešení. Až do okamžiku mého reinstalačního útoku.

Uživatel si prostě svoji stanici přeinstaluje. A obvykle nechá i připojit do domény. Jak každý doufám ví, ve výchozím nastavení si počítač do domény může připojit kdokoliv.

Po reinstalaci počítače je uživatel sám svým adminem. Nainstaluje si libovolnou logovací technologii, kterou chce. A zavolá na support.

Je možné, že se na nově nainstalovaný počítač jeho správce ani nedostane, ale to nevadí. Bude to vypadat, že je ten stroj tak zničený, že prostě potřebuje komplet opravit. To se děje běžně, ne? Například klasická hláška - workstation trust relationship with primary domain failed. Ten automatický logovací nástroj však může také vrátit původní imidž a nic se po restartu ani nepozná.

Pracuju na demu, uvidíme, jestli se mi to podaří na podzimní HackerFest zmáknout :-)

Comments

par pripomienok

Terorista: ako sa to preinstaluje ked ma zaheslovany BIOS a zakazane bootovanie z USB, PXE a Win je zaheslovany takze ani reset do tovarenskeho nastavenia sa neda spravit...

Zamestnanec: znova ak neni admin a je zaheslovany BIOS nepreinstaluje PC/NB.

Marek on 1.3.2017 18:20

Re: Přeinstalovací útoky na BitLocker nebo libovolné jiné zašifrované zařízení

jasně, správná otázka, ale jednoduché řešení - vytáhne harddisk a udělá to v jiném zařízení
ondass on 1.3.2017 18:28

Re: Přeinstalovací útoky na BitLocker nebo libovolné jiné zašifrované zařízení

... v případě že nepotřebuju následně už ani vracet původní imidž a tvářit se, že se vlastně nic nestalo (řešení kulkou), tak BIOS nastavení vždycky vyresetujete (při nejhorším jumper, baterka, ...)
ondass on 1.3.2017 18:32

BIOS reset

ak je zabezpecenie myslene vazne, tak PC case by mal byt zebezpecneny zamkom, aby uzivatel(zaskodnik) nemohol vybrat disk, alebo resetovat BIOS...
hv on 1.3.2017 19:08

Re: Přeinstalovací útoky na BitLocker nebo libovolné jiné zašifrované zařízení

Pěkný! :)
Akorát se přiznám, že jsem ňák nepochopil předposlední odstavec.
Borek on 1.3.2017 21:32

Re: Přeinstalovací útoky na BitLocker nebo libovolné jiné zašifrované zařízení

Ondass : jasně, správná otázka, ale jednoduché řešení - vytáhne harddisk a udělá to v jiném zařízení - to dost sotva, pokud na disku bude aktivni HW drivelock a heslo, kdyz dam HDD jinam ani si neskrtnu, k disku se nedostanu...

.... a si BIOSem si take nesktnu, ty moderni mrchy ani po vyndani baterky nic neudelaji, maji nekde zalohu a bez znalosti hesla se k tomu nikdo nedostane....

Kombinace neznam heslo BIOSu + neznam heslo drivelock HDD + vypnute bootovani vseho krome HDD + bitlocker(truecrypt) je pro mne v soucasne dobe neporazitelna
Roman on 4.3.2017 14:01

Pripojeni do domeny

Uživatel si prostě svoji stanici přeinstaluje. A obvykle nechá i připojit do domény. Jak každý doufám ví, ve výchozím nastavení si počítač do domény může připojit kdokoliv.

// Jak si uzivatel pripoji PC do domeny? Zna pass ?
Lada on 6.3.2017 22:11

RE: Pripojeni do domeny

jednoduše, práva pro připojení do domény má ve výchozím nastavení Domain Users, oprvate mne, nekdo, pokud se pletu. (a snad to není authenticated users :-))
pepin on 7.3.2017 13:45

Re: Přeinstalovací útoky na BitLocker nebo libovolné jiné zašifrované zařízení

... oprava :-) ... je to authenticated users :-)

lepší článek bude následovat.
ondass on 7.3.2017 13:54

Re: Přeinstalovací útoky na BitLocker nebo libovolné jiné zašifrované zařízení

Navíc vždycky může útočník vytáhnout původní základní desku a strčit do kejsu svoji ... vždyť jde jen o to vymámit z privolaneho admina zadání hesla... a pokud si obstaram i stejnou desku těžko na to přijde, leda by si vedl pečlivou evidenci a pojal podezření že jde o útok...
Karlos on 12.4.2017 7:34

Re: Přeinstalovací útoky na BitLocker nebo libovolné jiné zašifrované zařízení

@Karlos: není jednodušší hw keylogger na klávesnici? :) zatím neznám adminy co by si nosili svou klávesnici, nebo se koukali kam a jak je připojená ...
Michal Zobec on 12.4.2017 11:16

Re: Přeinstalovací útoky na BitLocker nebo libovolné jiné zašifrované zařízení

jasně s tím keylogger, ale proto jsem do toho všeho zahrnul mobilní telefony apod, ze kterých nelze nic moc vytahovat a keylogger mě nepomůže. podobně i na notebooku může být pohodlnější provést reinstalaci, pokud bude zautomatizovaná, než pájet keylogger do klávesnice.
ondass on 12.4.2017 21:34

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments