Vinkkejä tietokoneesi suojaamiseen Thunderspy-hyökkäykseltä

Thunderbolt on (Thunderbolt)Intelin(Intel) kehittämä laitemerkin käyttöliittymä . Se toimii liitäntänä tietokoneen ja ulkoisten laitteiden välillä. Vaikka useimmissa Windows - tietokoneissa on kaikenlaisia ​​portteja, monet yritykset käyttävät Thunderboltia(Thunderbolt) yhteyden muodostamiseen erityyppisiin laitteisiin. Se tekee yhteyden muodostamisesta helppoa, mutta Eindhovenin teknillisen yliopiston (Eindhoven University)tutkimuksen(Technology) mukaan Thunderboltin(Thunderbolt) takana oleva tietoturva voidaan rikkoa käyttämällä Thunderspy -tekniikkaa . Tässä viestissä jaamme vinkkejä, joiden avulla voit suojata tietokoneesi Thunderspyltä(Thunderspy) .

Mikä on Tunderpy(Tunderspy) ? Kuinka se toimii?

Se on salahyökkäys, jonka avulla hyökkääjä voi käyttää suoran muistin käytön ( DMA ) toimintoja laitteiden vaarantamiseksi. Suurin ongelma on, että jälkeä ei ole jäljellä, koska se toimii ilman haittaohjelmia tai linkkisyöttiä. Se voi ohittaa parhaat tietoturvakäytännöt ja lukita tietokoneen. Joten miten se toimii? Hyökkääjä tarvitsee suoran pääsyn tietokoneeseen. Tutkimuksen mukaan se vie alle 5 minuuttia oikeilla työkaluilla.

Vinkkejä suojautumiseen Thunderspyltä

Hyökkääjä kopioi lähdelaitteen Thunderbolt Controller Firmwaren(Thunderbolt Controller Firmware) laitteelleen. Se käyttää sitten laiteohjelmiston korjausohjelmaa ( TCFP ) poistaakseen Thunderbolt - laiteohjelmistossa pakotetun suojaustilan käytöstä. Muokattu versio kopioidaan takaisin kohdetietokoneelle Bus Pirate -laitteella. Sitten Thunderbolt -pohjainen hyökkäyslaite yhdistetään hyökkäyksen kohteena olevaan laitteeseen. Sitten se lataa PCILeech-(PCILeech) työkalun avulla ydinmoduulin, joka ohittaa Windowsin(Windows) kirjautumisnäytön.

Joten vaikka tietokoneessa olisi suojausominaisuuksia, kuten Secure Boot , vahva BIOS ja käyttöjärjestelmän tilien salasanat sekä käytössä oleva täysi levyn salaus, se ohittaa kaiken.

VINKKI(TIP) : Spycheck tarkistaa, onko tietokoneesi alttiina Thunderspy-hyökkäykselle .

Vinkkejä suojautumiseen Thunderspyltä

Microsoft suosittelee(recommends) kolmea tapaa suojautua nykyaikaiselta uhalta. Joitakin näistä Windowsin sisäänrakennetuista ominaisuuksista voidaan hyödyntää, kun taas jotkin pitäisi ottaa käyttöön hyökkäysten lieventämiseksi.

  • Suojatun ytimen PC-suojaukset
  • Ytimen DMA-suojaus
  • Hypervisor-suojattu koodin eheys ( HVCI )

Kaikki tämä on kuitenkin mahdollista suojatun ytimen PC:ssä. Et yksinkertaisesti voi käyttää tätä tavallisessa tietokoneessa, koska laitteistoa ei ole saatavilla, joka voi suojata sen hyökkäyksiltä. Paras tapa selvittää, tukeeko tietokoneesi sitä, on tarkistaa Windowsin suojaussovelluksen (Windows Security)Devic Security -osa .

1] Suojatun ytimen PC-suojaukset

Windows Defender System Guard

Windows Security , Microsoftin sisäinen tietoturvaohjelmisto, tarjoaa Windows Defender System Guardin ja virtualisointiin perustuvan suojauksen. Tarvitset kuitenkin laitteen, joka käyttää suojattuja ydintietokoneita(Secured-core PCs) . Se käyttää nykyaikaisen prosessorin(CPU) juurtunutta laitteistosuojausta käynnistääkseen järjestelmän luotettavaan tilaan. Se auttaa vähentämään haittaohjelmien yrityksiä laiteohjelmistotasolla.

2] Ytimen DMA-suojaus

Windows 10 v1803 :ssa käyttöön otettu ytimen DMA(Kernel DMA) -suojaus varmistaa, että ulkoiset oheislaitteet estävät suoran muistin käytön(Memory Access) ( DMA ) hyökkäyksiä käyttämällä PCI - hotplug-laitteita, kuten Thunderboltia(Thunderbolt) . Se tarkoittaa, että jos joku yrittää kopioida haitallista Thunderbolt -laiteohjelmistoa koneelle, se estetään Thunderbolt - portin kautta. Jos käyttäjällä on kuitenkin käyttäjätunnus ja salasana, hän voi ohittaa ne.

3] Kovettumissuojaus (Hardening)Hypervisor-suojatulla(Hypervisor-protected) koodin eheydellä ( HVCI )

Poista käytöstä Memory Integrity Core Isolation Windows Security

Hypervisor-suojatun koodin eheyden tai HVCI: n tulee olla käytössä Windows 10 :ssä . Se eristää koodin eheyden alijärjestelmän ja varmistaa, ettei Microsoft ole vahvistanut ja allekirjoittanut ydinkoodia(Kernel) . Se varmistaa myös, että ytimen koodi ei voi olla sekä kirjoitettavaa että suoritettavaa, jotta varmentamaton koodi ei toimi.

Thunderspy käyttää PCILeech- työkalua ladatakseen ydinmoduulin, joka ohittaa Windowsin(Windows) kirjautumisnäytön. HVCI :n käyttäminen varmistaa, että tämä estää, koska se ei salli koodin suorittamista.

Tietoturvan tulee aina olla etusijalla tietokoneita ostettaessa. Jos käsittelet tärkeitä tietoja, erityisesti liiketoiminnassa, on suositeltavaa ostaa Secured-core PC- laitteet. Tässä on tällaisten laitteiden(such devices) virallinen sivu Microsoftin verkkosivustolla.



Vilho Laitinen

About the author

Olen ohjelmistosuunnittelija ja Windows 10 -asiantuntija. Minulla on yli kahden vuoden kokemus älypuhelimien, Windows 10:n ja Microsoft Edgein kanssa työskentelystä. Pääpaino on saada laitteesi toimimaan paremmin ja nopeammin. Olen työskennellyt erilaisissa projekteissa yrityksille, kuten Verizon, IMac, HP, Comcast ja monet muut. Olen myös sertifioitu ohjaaja Microsoft Azure -pilvikoulutuksessa.


Related posts