Wskazówki dotyczące ochrony komputera przed atakiem Thunderspy

Thunderbolt to interfejs marki sprzętu opracowany przez firmę Intel(Intel) . Działa jako interfejs między komputerem a urządzeniami zewnętrznymi. Podczas gdy większość komputerów z systemem Windows(Windows) jest wyposażona w różnego rodzaju porty, wiele firm używa Thunderbolt do łączenia się z różnymi typami urządzeń. Ułatwia łączenie, ale według badań przeprowadzonych na Politechnice(Technology) w Eindhoven(Eindhoven University) bezpieczeństwo stojące za Thunderbolt można złamać za pomocą techniki — Thunderspy . W tym poście podzielimy się wskazówkami, których możesz przestrzegać, aby chronić swój komputer przed Thunderspy .

Co to jest Tunderspy ? Jak to działa?

Jest to atak typu stealth, który umożliwia atakującemu dostęp do funkcji bezpośredniego dostępu do pamięci ( DMA ) w celu złamania zabezpieczeń urządzeń. Największym problemem jest to, że nie ma śladu, ponieważ działa bez wdrażania złośliwego oprogramowania lub przynęty na linki. Może ominąć najlepsze praktyki bezpieczeństwa i zablokować komputer. Więc jak to działa? Atakujący potrzebuje bezpośredniego dostępu do komputera. Według badań, przy użyciu odpowiednich narzędzi zajmuje to mniej niż 5 minut.

Wskazówki dotyczące ochrony przed Thunderspy

Atakujący kopiuje oprogramowanie sprzętowe kontrolera Thunderbolt(Thunderbolt Controller Firmware) urządzenia źródłowego na swoje urządzenie. Następnie używa patchera oprogramowania układowego ( TCFP ), aby wyłączyć tryb bezpieczeństwa wymuszony przez oprogramowanie układowe Thunderbolt . Zmodyfikowana wersja jest kopiowana z powrotem do komputera docelowego za pomocą urządzenia Bus Pirate . Następnie urządzenie atakujące wykorzystujące technologię Thunderbolt jest podłączone do atakowanego urządzenia. Następnie używa narzędzia PCILeech do załadowania modułu jądra, który omija ekran logowania systemu Windows .(Windows)

Więc nawet jeśli komputer ma włączone funkcje bezpieczeństwa, takie jak Bezpieczny rozruch(Secure Boot) , silny system BIOS(BIOS) i hasła do kont systemu operacyjnego oraz włączone pełne szyfrowanie dysku, nadal będzie omijał wszystko.

WSKAZÓWKA(TIP) : Spycheck sprawdzi, czy Twój komputer jest podatny na atak Thunderspy .

Wskazówki dotyczące ochrony przed Thunderspy

Microsoft zaleca(recommends) trzy sposoby ochrony przed współczesnym zagrożeniem. Niektóre z tych funkcji wbudowanych w system Windows można wykorzystać, podczas gdy niektóre powinny być włączone, aby złagodzić ataki.

  • Zabezpieczone zabezpieczenia rdzenia komputera PC
  • Ochrona jądra DMA
  • Integralność kodu chroniona przez hiperwizor ( HVCI )

To powiedziawszy, wszystko to jest możliwe na komputerze z zabezpieczonym rdzeniem. Po prostu nie można tego zastosować na zwykłym komputerze, ponieważ nie jest dostępny sprzęt, który może zabezpieczyć go przed atakiem. Najlepszym sposobem sprawdzenia, czy Twój komputer to obsługuje, jest sprawdzenie sekcji Zabezpieczenia urządzenia w aplikacji (Devic Security)Zabezpieczenia Windows(Windows Security) .

1] Zabezpieczone zabezpieczenia komputerów PC

Ochrona systemu Windows Defender

Windows Security , wewnętrzne oprogramowanie zabezpieczające firmy Microsoft, oferuje funkcję Windows Defender System Guard i zabezpieczenia oparte na wirtualizacji. Potrzebujesz jednak urządzenia, które korzysta z komputerów z zabezpieczonym rdzeniem(Secured-core PCs) . Wykorzystuje zrootowane zabezpieczenia sprzętowe w nowoczesnym procesorze(CPU) , aby uruchomić system w stanie zaufanym. Pomaga złagodzić próby podejmowane przez złośliwe oprogramowanie na poziomie oprogramowania układowego.

2] Ochrona jądra DMA

Wprowadzona w systemie Windows 10(Windows 10) v1803 ochrona Kernel DMA zapewnia blokowanie zewnętrznych urządzeń peryferyjnych przed atakami typu Direct Memory Access ( DMA ) przy użyciu urządzeń (DMA)PCI hotplug, takich jak Thunderbolt . Oznacza to, że jeśli ktoś spróbuje skopiować złośliwe oprogramowanie Thunderbolt na komputer, zostanie ono zablokowane przez port Thunderbolt . Jeśli jednak użytkownik posiada nazwę użytkownika i hasło, będzie mógł je ominąć.

3] Ochrona hartowania(Hardening) z integralnością kodu chronioną przez hiperwizor ( (Hypervisor-protected)HVCI )

Wyłącz izolację rdzenia integralności pamięci Zabezpieczenia systemu Windows

Integralność kodu chronionego przez hiperwizor lub HVCI powinna być włączona w systemie Windows 10(Windows 10) . Izoluje podsystem integralności kodu i sprawdza, czy kod jądra(Kernel) nie jest weryfikowany i podpisany przez firmę Microsoft . Zapewnia również, że kod jądra nie może być jednocześnie zapisywalny i wykonywalny, aby upewnić się, że niezweryfikowany kod nie zostanie wykonany.

Thunderspy używa narzędzia PCILeech do załadowania modułu jądra, który omija ekran logowania systemu Windows . (Windows)Korzystanie z HVCI zapewni, że zapobiegniesz temu, ponieważ nie pozwoli na wykonanie kodu.

Bezpieczeństwo powinno być zawsze na pierwszym miejscu, jeśli chodzi o kupowanie komputerów. Jeśli masz do czynienia z danymi, które są ważne, zwłaszcza w biznesie, zaleca się zakup urządzeń PC z zabezpieczonym rdzeniem . (Secured-core PC)Oto oficjalna strona takich urządzeń(such devices) w witrynie Microsoftu.



About the author

Jestem inżynierem komputerowym z ponad 10-letnim doświadczeniem w branży oprogramowania, w szczególności w Microsoft Office. Napisałem artykuły i samouczki na różne tematy związane z pakietem Office, w tym wskazówki, jak efektywniej korzystać z jego funkcji, sztuczki do opanowania typowych zadań biurowych i nie tylko. Moje umiejętności jako pisarza sprawiają, że jestem również doskonałym źródłem informacji dla innych osób, które chcą dowiedzieć się więcej o pakiecie Office lub po prostu potrzebują szybkiej porady.



Related posts