Microsoft vastasi hiljattain ihmettelyihin Surface-sarjan Thunderbolt 3 -tuen puutteesta jättäneensä sen pois standardin tietoturvaongelmien vuoksi. Nyt ainakin yksi näistä ongelmista on tuotu julki, kun tutkija Björn Ruytenberg esitteli Thunderspy-hyökkäyksen.
Thunderspy on hyökkäys, mikä mahdollistaa kaiken tietokoneella olevan datan lukemisen ja kopioimisen talteen vaikka laite olisi salattu ja unitilassa. Hyökkäys vaatii fyysisen pääsyn tietokoneelle, Thunderboltin firmwaren sisältävälle Flash-muistille ja Thunderbolt-liitännälle, mutta se ei jätä taakseen jälkiä tietomurrosta.
Ruytenbergin mukaan Thunderboltista löydettiin yhteensä seitsemän haavoittuvuutta, jotka koskevat kaikkia Thunderbolt-versioita: (1.) Riittämättön varmistus firmwaren luotettavuudelle, (2.) heikot laitteiden tunnistusmetodit, (3.) laitteiden todentamattoman metadatan käyttö, (4.) taaksepäin yhteensopivuutta hyödyntävä alaspäin päivitysmahdollisuus, (5.) ohjainpiireissä käytettävät todentamattomat konfiguraatiot, (6.) SPI Flash -väylän ongelmat ja (7.) Thunderboltin tietoturvaominaisuuksien puute Boot Campissa.
Tutkijat ilmoittivat haavoittuvuuksista Intelille 10. helmikuuta ja kuukautta myöhemmin yhtiö paitsi varmisti todentaneensa haavoittuvuuksien olevan aitoja, myös että haavoittuvuudet 3. – 5. olivat sille uusia. Kuudes haavoittuvuus löytyi pian sen jälkeen ja Intel varmisti sen 17. maaliskuuta ja lopulta seitsemäs haavoittuvuus paljastettiin Applelle 17. huhtikuuta.
Oletuksena kaikki Thunderboltia tukevat tietokoneet ovat haavoittuvia mainituille hyökkäyksille. Viime vuonna joissain kokoonpanoissa käyttöön otettu Kernel DMA Protection -ominaisuus suojaa hyökkäyksiltä vain osittain. Haavoittuvuuksia ei ole mahdollista korjata ohjelmistopohjaisesti ja niiden oletetaan tulevan koskemaan myös Thunderboltiin perustuvaa USB4:ää sekä tulevaa Thunderbolt 4 -standardia.
Lähde: Thunderspy
Niin siis tuo yksi nimenomainen hyökkäys.
Tässä esimerkki POCista jossa ohitetaan BIOSista asetettu Thunderbolt-suojaustaso ihan vain kytkemällä sopiva laite Thunderbolt-liitäntään.
Mutta eipä noilla muillakaan saa mitään arkaluontoista dataa saa ulos, ellei itse laite ole jo auki. Toi security levelin muuttaminen on muutenkin noista ainoa jossa itse laitetta ei tarvitse purkaa atomeiksi ym. ja sitä vastaan on helppo toteuttaa jonkin sortin tarkistus niissä ympäristöissä joissa on arkaluontoista dataa ja massiivinen tarve käyttää satunnaisia thunderbolt laitteita sekä kuljetella niitä työpaikalle ja sieltä pois.
Kenellä on läppäri mitenkään muuten kuin auki? Kaikki tuntemani ihmiset kantavat läppäreitä AINA avattuna. Ts. vain sleepissä.
No niissä tuskin sitten on mitään kovin arkaluontoista. Jos ei edes järjestelmälevyt ole kryptattuna ja kone kiinni aina kun ei ole näköyhteydessä laitteeseen, niin turha valittaa siitä jos joku sietä onnistuu dataa imuroimaan.
Kuinka usein uskoisit keskimääräisen Thunderbolttia dokkaamiseen käyttävän perus-jannun tarkastavan, että toimiston siivoaja ei ole käynyt kytkemässä docking stationin vapaana olevaan porttiin ylimääräistä laitetta?
Se siivooja on auditoitu SUPO:n toimesta ja on yhtä suurella todennäköisyydellä vakooja kuin kuka tahansa firman oma työntekijä. Melkoinen siivooja kanssa kun osaa läppärin purkaa ja flashailla uusia firmiksiä sinne. Perus-jannujen data ei ketään kiinnosta niin paljoa että alkaisi soluttamaan vakoojia siivoojiksi.
Mites yritysvakoilu? "Normijannunkin" koneelta voi saada jotain rahanarvoista tai pääsyn firman verkkoon.
data-unfurl="true" data-result-id="35862" data-url="https://9to5mac.com/2020/05/11/thunderbolt-security-flaws/" data-host="9to5mac.com" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
Thunderbolt security flaws found, affect 2011-2020 Macs – 9to5Mac
data-onerror="hide-parent"/>
9to5mac.com
Macs are fully vulnerable to all of the Thunderbolt security flaws when running Bootcamp, and ‘partly affected’ when running macOS.
Kynnys alkaa purkamaan normijannun läppäriä on aika suuri. Yritysvakoilu on usein helpompaa ihan vaan työntekijöitä lähestymällä rahanippu kourassa kuin siivoojista vakoojia kouluttamalla. Turvallisuusselvitykset on ihan peruskauraa isommissa yrityksissä tai sellaisissa joissa käsitellään arkaluontoista tietoa. Koskee aina kaikkia tilassa työskenteleviä henkilöitä, myös niitä siivoojia. Huoltomiehiä ja limukoneentäyttäjiä pitää tyypillisesti saattaa sisätiloissa.
Koska USB-C-liitin ja Thunderbolt yleistyvät yrityskoneissa, ei tämä epäkohta koske vain pöydällä seisovia dokkeja. Mistäs sitä tietää, mitä tekniikkaa on vaikkapa neukkarin USB-C kaapelin päässä, joka on pöydällä kivasti mäkkikäyttäjiä ajatellen. Sinne kun joku pienen av-firman kaveri käy asentelemassa vaikka mitä hienoa Kiinassa rakennettua palikkaa väliin, niin koko homma on parhaimmillaan vielä suoraan internetissä kiinni.
Tai mitä jos messuilla lainaat laturia joltain avuliaalta kaverilta? USB-C tökkeli kiinni ja toivotaan parasta.
luitko samoja tekstejä kuin minä? Läppärin joutuu availemaan ja ohjelmoimaan piiriin uudestaan, mikäli yrittää palauttaa tehdasfirmiksen sen jälkeen kun joku on laitteen kaapannut. Sekään ei onnistu jos ohjaimen sisäinen flash lukitaan.
Eksploiteista ensimmäiset viisi alkaa laitteen rungon avaamisella. Viimeiset kaksi muuttaa vain biossissa asetettua turvatasoa ja voi lukita firmiksen.
Vissiin eri paperia luettiin sitten?
Windows pohjaisissa läppäreissä opal + bitlocker on se millä mennään, joten meinaatko jotain Linuxin crypto mount tyylistä ratkaisua järjestelmälevyjen salauksella?
Jotain sellaista, eli kyselee salasanaa biossin lataamisen yhteydessä. En ole itse noita kuin käyttänyt ja tarkempi tekninen toteutus ei ole tuttu.
Keskiverto yritryksen windows läppäri:
Virhe1: Avaa levyn automagic bootissa luottaen TPM:n
Virhe2: Luottaa opal + bitlocker virveliin yleensä tietämättä onko ssd:n opal ok vai roska
Virhe3: Yritys ei yleensä ohjeista koneen sammuttamista ja defaulttikin lid closessa on sleep.
Eli kone siis nousee pelkästä virtanapista login ruutuun asti riippumatta mihin tilaan sen olet jättänyt.
Mäkki sitten vielä oma asiansa kun sitä ei ilmeisesti saa täysin sammutettua mitenkään. Syytä en tiedä, mutta ihan OS shutdownin jälkeen se jatkaa akun hidasta syöntiä. Siinä missä 4vk kesäloman aikana duuni mäkistä katosin 30% akkua "sammutettuna" niin saman ikäisestä duuni dell xps 13:sta katosi 1%. Normi sleep tilassa noiden välillä ei kovin kummoista eroa ole akun käytössä.. eli toinen ei tosiaan sulkeudu kokonaan.
Olet ilmeisesti perehtynyt asiaan hyvin. Pystytkö avaamaan tavikselle vähän enemmän.
Mitä tarkoitat että onko laite auki, ketjussa kommentoitu että tässä yhteydessä auki oleminen tarkoittaa mm erilaisissa valmiustiloissa olemista, eli se ihan tyypillinen tilanne missä tietokoneet on, tyypillisesti tietokone sammutetaan kokonaan hyvin harvoin, ja niissäkin usein kyse vain uudelleen käynnistämisestä.
Tyypillisesti sammutettukkin tietokone käynnistäessä käynnistyy käyttöjärjestelmän kirjautumis ikkunaan asti ilman tunnistautumista.
Jos käsitellään tälläisiä tyyppillisä tilanteita, niin mikä on riski. onko hyökkäysmahdollisuuksia joissa ei tarvitse laitetta purkaa. (avata kuoria jne).
Muuttuuko tilanne jos tietokone on päällä ja siihen on kirjauduttu, onko silloin hyökkäysmahdollisuuksia ilman että tarvitsee laiteen koteloa avata ?
Normikäytössä juttu on se että mitä voi tehdä pelkän portinkautta , sillä normityö käytössä ne laitteet sisältää ja käsitellään sellaista tieto mikä on suojassa pidettävää jo ihan säädöstön takia, lisäksi toki se data/käyttö joka käyttäjälle arvokasta.
Suurissakaan yrityksissä ei välttämättä tehdä mitään "supo" selvityksiä kuin osalta, kyse ihan siitä että se maksaa ja edes pelkkä maksuhalukkuus ei riitä, pitää olla riittävät perusteet.
Eli vaikka firmassa olisi "supo" selvityksiä tehty, niin siitä on vielä pitkä matka että siivoojat tai huoltomiehet liikkusivat vahdin seurassa, kun voi olla vain osasta omaa henkilokuntaa on tuo tehty.
Ja huomioida vielä että ne henkilöt joista tehty selvitykset voivat liikkua sen tietkoneen kanssa mailmalla ja näinä aikona työskenneää mm kotona.
Ja vaikka jostain työntekijästä olisi tehty siivooja selvitys, niin ei se siitä turvallista tee, turvallisuus tulee ihan muusta.
Jos aukot tarvitsee purkamisen, niin todella kriittisen tiedon osalta siihen on varauduttu varmaan muutenkin. mm laitteita vahditaan niin ettei niihin sivullinen pääse käsiksi ja että jos niin käynyt niin se tunnistetaan. ja erikseen se että jos laite on avattu.
Mutta niissä ei niin kriittisissä tuo on kyllä riski, jos se uutisen mukaan voidaan tehdä nopeasti, ja jälkiäjättämättä (jos laite on sellainen että sen saa nopeasti ja jälkiäjättämättä auki).
Tarkoitan aukiolemisella sitä että kone on ladannut käyttöjärjestelmän.
Tälläinen kone on käytännössä aina "auki". Windows salasana on lähinnä lapsilukko, sen antama tietoturva on melko mitätön juttu itsessään. Tälläisestä koneestahan saa tiedot ulos ihan vaan kovalevyn kloonaamalla. Joissain tilanteissa kovalevy on naitettu läppärin TPM piiriin, mutta noi on niin täynnä aukkoja että ne toimivat vain hidasteena. Uusissa intelin prossuissa noi on kytketty pois päältä kun ei ne keksiny että miten niistä saataisiin turvallisia.
Ei tämän uutisen haavoittuvuuksilla. Ainoa mitä voidaan tehdä on estää thunderbolt ohjaimen tulevat firmware päivitykset.
Jos koneeseen on jo kirjauduttukkin, niin helpompaa on vaan siirtää haluamansa asiat esim. muistitikulle.
Pelkän portin kautta ei uutisen haavoittuvuuksilla saada muuta kuin estettyä thunderbolt ohjaimen tulevat firmware päivitykset.
Suojassa pidettävää tietoa kannattaa pitää suojassa hyvillä tietoturvakäytännöillä. Esim. bitlocker PIN-koodilla ilman että TPM moduulia käytetään mihinkään, itse kryptaus softapohjaisesti noiden opal viritysten sijaan ja käyttistasolla pakotetaan laite horrostilaan jos sitä ei käytetä esim. viiteen minuuttiin. Tiloihin kulunvalvonta ja tallentava kameravalvonta, kaiken verkkoliikenteen adaptiivinen lokitus ja joku ML himmeli seuraamaan liikennettä sekä kaiken verkkoliikenteen esto joka ei kulje firman VPN:n yli. Kaikki suojassa pidettävä tieto olisi myös hyvä säilyttää vain firman palvelimilla sen sijaan että sitä voisi pitää offline tilassa läppäreillä. Tähän päälle vielä taustojen tarkistaminen ym. riippuen siitä että halutaanko vain vakoojat edesvastuuseen vai laskea vakoilun todennäköisyyttä. Henkilöstölle on hyvä myös pitää anti social engineering koulutuksia.
Laite pitää avata ja thunderbolt ohjaimen firmware päivittää sellaiseen joka mahdollistaa halutut hyökkäystoimenpiteet.
Avata ruuvit, asentaa ohjelmointilaite ja omalla läppärillä tai vastaavalla flashata sinne omat tavarat sisään.
Kyseessä on huono käytäntö joka ei täytä mitään standardia turvatason nostamisesta. Kaikki tilassa liikkuvat henkilöt pitää tarkistaa jotta sillä olisi mitään merkittävää merkitystä.
Kyllä, ja silloin niistä laitteista huolehtiminen on heidän vastuullaan.
Olet oikeassa, oikea turvallisuus syntyy mm. hyvillä tietoturvakäytännöillä.
Video- ja kulunvalvonta on ihan peruskauraa.
Edelleen, koneen pitää olla heikosti suojattu jotta uutisen haavoittuvuutta voidaan helposti hyödyntää esim. varastetun laitteen avaamisessa. Hyvin suojattua konetta kohden pitäisi tehdä melko moniosainen hyökkäys, jossa ensin avataan ja muokataan hyökkäyksen kohteena oleva laite (tämä vaatii jonkin verran ammattitaitoa ja vapaan pääsyn tiloihin), sitten vaihdetaan vaikka laturi laitteeseen joka sisältää jonkin vakoilulaitteen, odotetaan että oikea käyttäjä tulee paikalle ja avaa koneen sekä kytkee sen naamioituun vakoilulaitteeseen ja lopuksi haetaan vakoilulaite takaisin talteen ja toivotaan että se sai halutut tiedot kerättyä.
Eli siis kyllä tolla voi jotain tietoa varmasti jossain saada nuuhkittua helpommin kuin aikaisemmilla menetelmillä, mutta missään kokoustilassa olevia irtonaisia kaapeleita tuskin on tämänkään jälkeen syytä varoa ainakaan tietoturvan puolesta.
Tämä varmaan jo ihan vähäisen tiedon (tietokoneen) haltijoilla helpottava juttu, jos on "päälläoleva" läppäri, jota ei ole todennäköisesti voitu huomaamatta avata (sinetti, rakenne ym), niin sen läppärin thunderportiin uskaltaa tunkea hotellin neukkarin naruja.
(jos on sen aiemminkin uskaltanut, siis tarkoitan että tämä uutinen ei tuo uutta riskiä, kun ohjaimen päivitysestoa ei lasketa)
Thunderbolt 4 certification requirements include:
data-unfurl="true" data-result-id="55817" data-url="https://newsroom.intel.com/news/introducing-thunderbolt-4-universal-cable-connectivity-everyone/" data-host="newsroom.intel.com" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
Introducing Thunderbolt 4: Universal Cable Connectivity for Everyone | Intel Newsroom
data-onerror="hide-parent"/>
newsroom.intel.com
Kommentoi uutista tai artikkelia foorumilla (Kommentointi sivuston puolella toistakseksi pois käytöstä)
Lähetä palautetta / raportoi kirjoitusvirheestä