Какие защиты от хакеров и экспертов-криминалистов бывают в ноутбуках? Показываем на примере Maibenben P415

Многие «безопасники» не уделяют должного внимания «железу» ноутбука, считая что безопасность ограничивается на уровне антивируса, групповых политик и автоматических обновлений ПО. Однако, в этой статье на примере ноутбука Maibenben P415 я покажу вам, как обычный офисный ноутбук на уровне железа может быть защищён от различного рода атак, особенно связанных с изъятием или кражей устройства. Я не призываю вас идти и покупать Maibenben P415, но хочу чтобы после прочтения этой статьи вы внимательно посмотрели на ваши корпоративные лэптопы и ответили себе – а что из перечисленного есть у вас?

Maibenben P415

Самое интересное, что Maibenben P415 не позиционируется как защищённый от IT угроз лэптоп – это обычная ультракомпактная машинка, и даже по ноутбучным меркам недорогая, но вот это стечение обстоятельств лишний раз подтверждает, что совсем случайно можно обнаружить очень интересный девайс в портфеле компании, которая не сватает себя в Enterprise мир.

Цель – атака на память

Каждый, кто дорожит своими данными, начинает защиту с шифрования дисков, благо и в Linux, и в Windows для этого есть встроенные средства (LUKS и Bitlocker), поэтому как только лэптоп попадёт в руки хакера или эксперта-криминалиста, тот в первую очередь будет пытаться получить доступ к памяти, чтобы сделав дамп и запустив форенсик-сканер (например от компании Belkasoft), извлечь пароли, в том числе к зашифрованному тому, а так же любую другую важную информацию. В случае успеха, атакующий получит сохраненные сессии к веб-сервисам (корпоративному облаку, электронной почте) и любым файлам на диске. Если ноутбук заблокирован и приглашает ввести пароль, для получения доступа к памяти есть два типа атак.

Проблематика: Cold Boot атака – ночной кошмар любого безопасника

Кошмаром она стала потому, что от неё нет защиты (см. подробное описание в Wikipedia на англ. или чуть менее подробное на русском). Суть проблемы в том, что при низких температурах даже после отключения питания, данные в чипах RAM сохраняются достаточно долго, чтобы эксперт-криминалист или хакер мог успеть переставить память в другой компьютер, загрузить специальный образ ОС и слить содержимое памяти на флешку для последующего анализа. Причём, не обязательно замораживать чипы жидким азотом до абсолютного нуля: как показывает практика, достаточно и баллончика со спреем, охлаждающим до околонулевых градусов по Цельсию. Пример такой атаки вы можете посмотреть на видео ниже:

Ни аппаратное скрамблирование DDR4, ни обфускация не представляют эффективной защиты против этого рода атак – только физическая невозможность вынуть модули памяти из ноутбука. Отчасти это подтвердила и сама компания Microsoft, объяснив требованиями безопасности запаянные намертво чипы в своём ноутбуке Surface (новость на англ. языке).

Решение: использование неразборного модуля CPU+RAM+LAN+WiFi

В этом плане Maibenben P415 куда интереснее, чем Microsoft Surface – здесь и память и процессор и даже Wi-Fi и LAN контроллеры встроены на одну общую плату Intel BKCM11EBI38W (платформа NUC11), выполненную в виде картриджа, который представляет собой единое целое, и его можно поменять, но нельзя вытащить из него память.

Посмотрите – здесь картридж установлен чипами вниз, и сняв крышку ноутбука, залить жидким азотом или запрыскать спреем память не получится. Но даже если хакер будет лить хладагент на радиаторы кулера, чтобы заморозить весь вычислительный модуль, он столкнётся с другой проблемой – картридж закрыт толстой алюминиевой пластиной, которая быстро отдаёт тепло.

Разобрать этот картридж у меня не получилось: не знаю, запаяны ли винтики, которыми стянута пластина или используется какой-то сверх-сильный фиксатор резьбы, но хром-молибденовые отвёртки просто слизывали шлицы, а резьба не шла. Но даже если умудриться эту пластину снять, высверлив винтики (напоминаю, что в процессе этой работы никак нельзя отключать питание электроники ноутбука) – чипы DRAM не удастся выпаять, не нагревая, а делать этого при "холодной" атаке нельзя. Всё, вопрос закрыт.

Проблематика – возможность DMA атаки через Thunderbolt порт

Интерфейс Thunderbolt развивает высокую скорость за счёт прямого доступа к памяти, но это делало его уязвимым для различных DMA-атак. Суть их сводилась к тому, что хакер или криминалист могли получить доступ к содержимому ОЗУ ноутбука, находящегося в заблокированном состоянии, просто подключив в порт Thunderbolt или CFExpress зловредное устройство (см. описание на сайте Microsoft), которое внедряло в ОС зловредный код или дампило память на себя. Сама атака проходила несколько минут, практически не оставляла следов, и владелец ноутбука даже не знал, что она состоялась. 

Решение: использование Thunderbolt 4 с защитой DMA ядра

В Maibenben P415 используется Thunderbolt версии 4, обязательным условием реализации которого была поддержка Intel VT-d (см. новость на англ.яз), технологии виртуализации, обеспечивающей изоляцию областей памяти на аппаратном уровне. В Windows 11 применены два типа защиты от DMA атак: DMA Remapping (для Thunderbolt 3) и защита DMA ядра на основе IOMMU, которая и реализована в Thunderbolt 4. Эта защита реализована в следующих редакциях Windows:

  • Профессиональная
  • Корпоративная
  • Для образовательных учреждений

Статус защиты от DMA атак можно посмотреть в системной утилите «сведения о системе», и как мы видим на скриншотах, здесь Thunderbolt совершенно безобиден, поскольку на Maibenben установлена Windows 11 Профессиональная. Если на вашем ноутбуке используется Windows 10/11 версии "Домашняя" - вы в зоне риска.

Другое дело, что ни один уважающий себя безопасник не позволит эксплуатировать ноутбук с внешним портом, имеющим DMA-доступ даже если он считается безопасным, поэтому в BIOS ноутбука можно просто отключить Thunderbolt порт, тем более если в нём нет каждодневной необходимости.

Проблематика – нейросети научились распознавать пароль по звуку кнопок

Каждая кнопка на клавиатуре имеет собственный характерный звук, отличающий её от других кнопок, эдакий «почерк» (см. подробную статью на Habr, упоминание в блоге Касперского, оригинальное сообщение об атаке на англ. яз). Этот вид атаки страшен тем, что в отличии от кейлоггеров, его невозможно обнаружить средствами антивируса, а подслушивающим устройством может выступать лежащий неподалёку смартфон или микрофон самого ноутбука во время телефонного звонка, не говоря уже о специально подготовленных миркофонах в камерах видеонаблюдения. Для этой атаки сложность и длина пароля не имеют значения, и не обязательно иметь акустический слепок атакуемой клавы – достаточно послушать её несколько минут, и точность распознавания составит 95%.

ИИ научился взламывать пароли по звуку

К слову, существует аналогичная атака по тепловым отпечаткам пальцев на клавишах, но она сложнее простого прослушивания.

Решение: использование сканера отпечатков пальцев и Windows Hello

Для защиты от этого типа атаки, равно как и от кейлоггеров и простого подглядывания за клавиатурой с помощью скрытой камеры, используется биометрическая авторизация средствами Windows Hello с помощью инфракрасной камеры или сканера отпечатков пальцев. То есть для входа в Windows вам не нужно вводить пароль на клавиатуре. Да, всем этим мы уже много лет пользуемся для разблокировки смартфонов, поэтому здесь всё предельно понятно, кроме того что камера в ноутбуках ставится особая, RGB+инфракрасная, и в спецификациях Maibenben P415, как и тысяч других ноутбуков, прямо указывается совместимость с Windows Hello. Существуют доказанные случаи обмана ИК-камеры ноутбука для разблокировки Windows Hello с помощью ИК-отпечатка (см. новость), поэтому метод авторизации лицом мы не рассматриваем.

Сканер отпечатка пальцев в ноутбуке

А вот сканеры отпечатка – намного более надёжное средство аутентификации, и что приятно – вы можете добавить несколько пальцев, плюс аварийный PIN-код. Надёжных средств обмана сканеров отпечатков пальцев нет, они достаточно неплохо справляются и с потными руками и с грязными, а если аутентификация не удалась - вас попросят ввести PIN-код. В Maibenben P415 сканер отпечатка стоит справа от тачпада, бывают ноутбуки, на которых он совмещён с тачпадом или выключателем, кому как удобнее.

Keepass + Windows Hello

Самое интересное – то, что Windows Hello (и сканер отпечатков и разблокировка по лицу) интегрируется в другие приложения, требующие ввода пароля через API. Среди наиболее полезных таких программ – популярный бесплатный оффлайн менеджер паролей Keepass. Скачав и установив соответствующий плагин (обращаю внимание, что здесь речь идёт о ПО с открытым исходным кодом, проверить легитимность которого вы можете самостоятельно), вы можете разблокировать базу данных паролей с помощью сканера отпечатка, а установив специальное расширение для браузера, авторизоваться на сайтах «бесшумно», не вводя пароль на клавиатуре.

Есть, конечно, и более суровый вариант - использовать экранную клавиатуру, благо дисплей в Maibenben P415 - сенсорный, но я не рекомендую этот метод, так как сканер отпечатка с парольным менеджером проще, удобнее и защищены от подглядывания.

Проблематика: Wi-Fi сети внезапно оказались небезопасными

В 2017-2018 гг. исследователи выяснили, что метод 4-стороннего подтверждения, реализованный в алгоритме WPA2 беспроводных сетей, может быть взломан и не является безопасным. Какие-то патчи, закрывающие «дыры» атаки KRAKS (см. описание на англ.яз.),  были имплементированы, но до сих пор злоумышленник может перехватить подтверждение WPA2, перевести эту информацию в автономный режим и использовать компьютерную программу для сравнения ее со списком вероятных кодов с целью найти тот, который логически согласуется с доступными данными подтверждения. Современные bruteforce атаки зачастую производятся на облачных сервисах с GPU и FPGA платами (см. отчёт на англ.яз.), поэтому техническими средствами злоумышленники не ограничены - теперь это больше вопрос денег, чем времени.

Что особенно неприятно в WPA2 – это то, что этот протокол даёт возможность атакующему сохранить зашифрованную трансляцию трафика, и если он уверен, что там содержалась ценная информация, то он может спокойно месяцами перебирать варианты паролей в «облаке» Amazon, Google или любом другом, потому что когда он подберёт пароль, то сможет расшифровать весь трафик и получить доступ к важной информации внутри.

Решение – использование WPA3

Протокол WPA3 устраняет основные уязвимости WPA2, делая невозможным оффлайн атаки на перебор пароля и устраняя зависимость уровня безопасности от сложности пароля к сети WiFi. Но стоит иметь ввиду, что по-прежнему будет недопустимо использование легко угадываемых паролей, таких как "admin", "12345678". Новый метод одновременной аутентификации SAE не использует предварительный общий ключ PSK, поэтому нельзя взломать сети с WPA3 простым перебором вариантов пароля оффлайн, то есть, не привлекая внимания. Кроме того, и в режиме WPA3-Personal обеспечивается индивидуальное шифрование, что не позволяет пользователям отслеживать чужой трафик, даже при наличии пароля и успешном подключении к сети WiFi.

Но есть одна сложность: WPA3 поддерживается не всеми сетевыми картами в ноутбуках. Вы можете часто встретить в продаже хорошие недорогие ноутбуки с сетевым контроллером Intel Wireless-AC 7265 – его скорости достаточно для любых задач, но вот только в списке совместимости с WPA3 (см. описание на сайте Intel) его нет. Вот список сетевых контроллеров, которые вам нужны для работы с WPA3:

  • Intel Wi-Fi 6E AX411
  • Intel Wi-Fi 6E AX211
  • Intel Wi-Fi 6E AX210
  • Intel Wi-Fi 6 (Gig+) Desktop Kit
  • Intel Wi-Fi 6 AX201
  • Intel Wi-Fi 6 AX200
  • Intel Wireless-AC 9560
  • Intel Wireless-AC 9462
  • Intel Wireless-AC 9461
  • Intel Wireless-AC 9260

В ноутбуке Maibenben P415 используется Intel AX201 с поддержкой Wi-Fi 6, поэтому он готов к общему апгрейду корпоративной сети на более безопасный стандарт WPA3.

Проблематика: в вашей стране запрещено шифрование диска

В случае если данные на ноутбуке могут стать доказательством по делу, и диск зашифрован, представитель закона может запросто сделать хозяину ноутбука недвусмысленное предложение: либо раскрываешь пароль и сотрудничаешь со следствием, либо идёшь по статье за использование нелицензированной криптографии. Шифрование может быть просто запрещено по требованиям политики компании или в связи с предстоящими изменениями в законодательстве. Возникает вопрос, как обеспечить сохранность данных при изъятии или краже ноутбука?

Решение: TCG Pyrite – это как шифрование, только без шифрования

Все вы слышали о самошифруемых дисках SSD и HDD (см. статью в Википедии). В них шифрование реализуется средствами контроллера самого накопителя, а разблокировка производится в момент загрузки компьютера средствами BIOS. Спецификация защиты SED-дисков разработана некоммерческой организацией Trusted Computing Group (TCG), и основной упор там сделан на криптографическую защиту в спецификации Opal, а для стран с жёстким законодательством в области шифрования принята спецификация Pyrite, реализующая блокировку накопителя без зашифровки данных (см. подробную документацию на англ.яз. и более простую по Opal на англ.яз.). Механизм работает по аналогии с тем, как это было в старых ATA накопителях и называлось "HDD Password". Суть защиты состоит в том, что контроллер блокирует доступ к пространству накопителя до ввода пароля, который задаётся в BIOS и никак иначе. Пароль никогда не попадает в ОЗУ компьютера и не может быть извлечён методами атаки на DMA ядро, дампом памяти или внедрением трояна, поэтому взломать SED накопители невозможно. Но как же тогда Pyrite без шифрования может обеспечить защиту при попадании ноутбука в чужие экспертные руки? Нет, я не сошёл с ума – сейчас вы всё сами поймёте.

Дело в том, что блокировка доступа осуществляется на уровне контроллера накопителя, будь то SSD или HDD. Что бы делал эксперт-криминалист в случае, если бы на диске стоял простой пароль доступа? Он бы проводил экспертизу разрушающим методом: менял бы контроллер или снимал бы слепок данных непосредственно с блинов HDD или чипов NAND SSD, ведь данные там хранятся в незащищённом виде. Но дело в том, что в Maibenben установлен 1-чиповый NVMe SSD Kioxia серии BG4, в котором вообще нет чипов памяти! 

SSD Kioxia BG4

Ячейки NAND здесь встроены в сам контроллер, и выпаивать тут нечего, соответственно такую экспертизу провести невозможно. Не помогут ни сброс ни перепрошивка BIOS, и при перестановке SSD в другой компьютер - он будет продолжать требовать пароль.

Kioxia BG4 SSD

 Поэтому в данном случае хоть шифрование и не используется, но уровень защиты такой же, как и в SED-дисках, и при этом никакие законы не нарушаются. Если бы SSD был классический, с контроллером и отдельными чипами памяти - да, было бы хуже, ну а так - бинго!

Включение TCG Pyrite

Есть, правда, одна проблема: в случае если вы забыли пароль, восстановить диск можно вводом PSID-строки, которая обычно указывается на основной наклейке накопителя, при этом данные на нём теряются. Так вот, в спецификациях TCG Pyrite v.1 разблокировка незашифрованных Pyrite дисков запрещена, так как они не имеют встроенных средств очистки информации, в отличии от SED-дисков с шифрованием, где после ввода PSID-строки происходит аналог процедуры Secure Erase (см. статью о методах очистки диска). Очистка данных в Pyrite появилась начиная со спецификации SCC 2.0 в 2018 году, и в BIOS ноутбука Maibenben P415 есть пункт аварийной разблокировки с помощью PSID, выбрав который, вы увидите предупреждение, что в данном случае вся информация с накопителя будет стёрта. Получается, что разблокировки быть не должно, но она есть.

В документации TCG указано, что производители накопителей в вопросе принудительной очистки при восстановлении доступа к диску могут отходить от официальной спецификации и устанавливать свой алгоритм удаления данных при аварийном сбросе накопителя. Я подозреваю, что всё-таки в Maibenben P415 применена Pyrite SCC 2.0, а в версии BIOS – ошибка, либо же Kioxia включила обязательную очистку на уровне прошивки в накопителях BG4 и нигде об этом не сообщила. В любом случае, если записать, сфотографировать или сохранить в условном месте PSID строку с наклейки SSD, а затем её повредить/закрасить/оторвать, то за сохранность данных можно не бояться - никто и никогда без вас их не восстановит.

Напоследок

Сегодня все современные ноутбуки имеют функцию отключения камеры для защиты от подглядывания. В каких-то моделях это переключатель питания на корпусе, в каких-то – складная камера.

Шторка, закрывающая камеру

В Maibenben P415 перед объективом установлена подвижная шторка яркого цвета, и вы всегда можете видеть, что ваша камера закрыта и если ей вздумается подглядывать - она ничего не увидит, хотя это относится больше к защите приватности, чем к безопасности.

Выводы

Современные ноутбуки могут стать неприступной крепостью для самых страшных сценариев, когда они попадают в чужие руки или против них ведётся целенаправленная операция с целью выкрасть данные. То, что я увидел в Maibenben P415 и показал вам на примерах – это не вершина возможностей, но то, что вы должны требовать от вашего поставщика лэптопов, если вы находитесь в группе риска или просто дорожите вашими данными. Почему Maibenben P415 реализует такую высокую степень защиты – я не знаю, да и не хочу знать, если бы они сказали, что поставляют свои машинки в ЦРУ и ФСБ - я бы поверил. Гораздо важнее, что у 99% лэптопов на рынке нет такого уровня защиты, и грамотный эксперт-криминалист вскроет их быстрее, чем испарится жидкий азот в его кружке.

Михаил Дегтярёв (aka LIKE OFF)
27/10.2023


Похожие статьи:

Настраиваем защиту от IoT атак на предприятии с помощью оборудования Zyxel

Типичная атака через IoT выглядит следующим образом: устройство подключается к зловредному интернет-ресурсу напрямую или через собственный VPN, скачивает и устанавливает на себя зловредный код, после чего начинает быть либо част...

Выбираем офисный ноутбук для Linux на примере Hiper Expertbook

В российском корпоративном мире эпоха безальтернативного властвования Microsoft подошла к концу: компании вынужденно переходят на отечественные операционные системы на базе Linux, но далеко не каждый ноутбук обещает вам нормальн...

Бюллетень по IoT безопасности. А ваша сеть готова к эксплоитам интернета вещей?

Не так давно компания Human Security выявила целую теневую сеть, связанную с заражёнными устройствами и вредоносными приложениями. Заражёнными оказались не только Android-ТВ приставки, но и планшетные ПК, носимые устройства и да...

Изучаем Zyxel Connect & Protect и отвечаем на основные вопросы: можно ли обойтись без шлюза безопасности?

С точки зрения сети, современный объект может и вовсе представлять собой одну лишь точку доступа, подключённую напрямую в WAN от провайдера, и на этой точке доступа хватит ресурсов и для поднятия VPN-тоннеля до штаб-квартиры, и...

С прицелом на импортозамещение: обзор ноутбука iRu Оникс с операционной системой Astra Linux и пакетом МойОфис

Бренд iRU знаком каждому: на протяжении последних двух десятилетий, iRu поставляет ноутбуки и настольные ПК для коммерческих и государственных заказчиков. Особенно интересно в этой связи выглядят устройства, поставляемые с российским ПО по прог...