Start today, secure tomorrow.

Brucon: Fysieke toegang tot systemen blijft lastig -> Thunderbolt DMA

By Barry Sep 30, 2014

Vorige week was ik op Brucon. Ik sprak er over en luisterde naar interessante zaken met bijzondere sprekers en bezoekers. Zo nu en dan pak ik één van de onderwerpen om daar wat verder op in te gaan.

Diverse technieken beschermen onze informatie tegen oneigenlijk gebruik waaronder onze computers: we beschermen ze met een login naam en wachtwoord. Het inschakelen van een screensaver met wachtwoord beschermt ons als we even weg lopen. Encryptie gebruiken we op onze harde schijven met sleutels in het “relatief” beschermde geheugen.

Toch is het al jaren mogelijk om door middel van DMA (Direct Memory Access)-aanvallen een computersysteem te manipuleren. Deze aanvallen maken het mogelijk om direct het geheugen te lezen en/of aan te passen. In het verleden kon dit bijvoorbeeld door het misbruiken van PCMCIA, PCI express USB of Firewire. Zelfs door het geheugen fysiek te verwijderen en uit te lezen was een optie met een coldboot attack

DMA technieken zijn ontworpen voor performance doeleinden, zodat apparatuur snelle toegang tot een systeem kan krijgen en ze geven de processor direct toegang tot deze informatie. Je moet je echter wel bedenken dat in het geheugen veel informatie wordt verwerkt met een gevoelige status. Denk aan encryptie sleutels of “gehashte” wachtwoorden van bijvoorbeeld je screen saver. Als je deze geheugensplaatsen kunt overschrijven, is systeemtoegang het gevolg.

Dit alles is niet heel nieuw: Inception is al jaren in staat dit trucje uit te voeren op Windows, linux en apple systemen via firewire. En inmiddels zijn er ook een aantal beveiligingsmechanismes gebouwd om deze problemen via bijvoorbeeld firewire te voorkomen. Apple geeft bijvoorbeeld alleen directe toegang tot het geheugen indien de gebruiker is ingelogd; is de screen saver actief of moet de gebruiker nog inloggen, dan wordt er geen DMA af gegeven.

Afgelopen jaren is er echter een techniek door Intel toegevoegd aan onze systemen genaamd “Thunderbolt”. De presentatie van “snare” genaamd “Thunderbolts and Lightning / Very, Very Frightening” demonstreerde dat deze techniek te misbruiken is om directe toegang tot een systeem te krijgen. In de basis is het een kopie van de Inception aanval (die dit ook kan), maar dan voortbordurend op een nieuwe techniek. Ook USB3 lijkt geen bescherming te bieden tegen dit soort aanvallen en fysieke toegang tot een systeem blijft een probleem.

Er zijn natuurlijk wel oplossingen onder weg, zoals:
- Je USB/Firewire/Thunderbolt poorten dichtlijmen, maar dit beperkt je systeem nogal. USB sloten zijn wel een optie en iets minder radicaal dan dichtlijmen.
- Het minimaal “detecteren” van een inbraak poging, door bijv zegels op systemen/poorten te gebruiken.
- Patches in de systemen waardoor DMA toegang niet vergaande is en je e.e.a. beperkt tot de plaats en het geheugen waar DMA toegang is.
- Het aanpassen van de chips zodat DMA toegang beperkt wordt.
- Het niet opslaan van sleutels in het geheugen maar in TPM modules.

Het blijkt maar weer, dat we soms de wielen opnieuw uitvinden, maar dat “Security by Design” nog steeds niet altijd ingebakken is bij makers van nieuwe technologie.

Security