A Windows titkosítási megoldását 43 másodperc alatt feltörték
Kevesebb, mint egy perc alatt sikerült feltörnie a Windows beépített titkosítási megoldását, a BitLockert a Stacksmashing Youtube csatornának. A magát biztonságkutatónak valló szakember a kevesebb, mint 10 dolláros Raspberry Pi Pico eszközt vette igénybe, hogy hozzájusson a titkosítási kulcsokhoz.
A Windows és a mögötte álló titkosítási megoldás
A BitLocker ma az egyik legkönnyebben elérhető titkosítási megoldás, mely a Windows 10 és 11 Pro beépített funkciói közé tartozik. A BitLockert arra tervezték, hogy megvédje az adatokat a kíváncsi szemektől, azonban a Stacksmashing csatorna mindössze 43 másodperc alatt hatástalanította a BitLockert egy teszt kíséretében. A Youtuber azt a tervezési hibát használta ki, amelyet sok olyan rendszerben felfedeztek már, amelyek dedikált Trusted Platform Module-t tartalmaznak. Egyes konfigurációk esetében a BitLocker egy külső TPM-re támaszkodik a kritikus információk tárolása érdekében, a kommunikáció pedig a TPM és CPU között úgynevezett LPC-buszokon keresztül történik.
Stacksmashing azonban megállapította, hogy a CPU és a távoli TPM-ek közötti kommunikációs sávok a rendszer indításakor nincsenek titkosítva, ez pedig lehetővé teszi a támadó számára, hogy a két egység között mozogva kritikus adatokat szippantson le, melyek a titkosítási kulcsokhoz vezethetnek. Módszerét videó formájában közzétette saját, tíz éves laptopján, a kulcsok leszívásához pedig a 10 dollár körüli Raspberry Pi Pico eszközt használta, amely magából kiálló fémpárnáival olvassa le az adatokat. A Pico úgy lett programozva, hogy a TPM-ből kiolvassa a nyers nullákat és egyeseket a TPM-ből, ezzel hozzáférést biztosítva a modulon tárolt Volume Master Key-hez – magyarul: kötetfőkulcshoz.
Az adatok biztonságban vannak
Ugyan Stacksmashing munkássága bebizonyította, hogy a külső TPM-ek és a Windows BitLocker nem olyan biztonságos, mint azt sokan gondolják, viszont a jó hír az, hogy ez a probléma az újabb CPU-k esetében, amelyeket többek között az Intel vagy AMD használ, már nem áll fenn. A beépített TPM-mel rendelkező CPU-k esetében az adatok biztonságban vannak, mivel a TPM-kommunikáció a CPU-n belül zajlik. A YouTube csatorna egyébként számos visszafejtésről, feltörésről vagy hardvertesztelésről készített videót, az egyik legnépszerűbb az Apple AirTags feltörése, melyet 1,5 millióan láttak már.