Microsoft’un BitLocker şifrelemesi, kullanıcıların verileri güvenli bir şekilde şifreleyerek korumasına olanak tanıyan şifreleme çözümlerinden biridir. Ancak, BitLocker, sanıldığı kadar güvenli değil!
Raspberry Pi Pico kullanıldı
YouTuber stacksmashing, BitLocker verilerine nasıl müdahale edebildiğini ve sistemde depolanan verilerin şifresini çözmesine olanak tanıyan şifreleme anahtarlarını nasıl çalabildiğini gösteren bir video yayınladı. Üstelik bu işlemi muhtemelen maliyeti 10 dolardan az olan Raspberry Pi Pico’yu kullanarak yaptı ve 43 saniyede netice elde etti. Saldırıyı gerçekleştirmek için Güvenilir Platform Modülü veya TPM’den yararlandı. Çoğu bilgisayarda TPM harici olarak bulunuyor ve CPU’ya veri gönderip almak için LPC veri yolunu kullanıyor. Microsoft’un BitLocker’ı, Platform Yapılandırma Kayıtları ve Birim Ana Anahtarı gibi kritik verileri depolamak için TPM’ye güveniyor.
YouTuber, testlerde LPC veri yolunun önyükleme sırasında şifrelenmemiş olan ve kritik verileri çalmak için yararlanılabilen iletişim yolları aracılığıyla CPU ile iletişim kurduğunu fark etti. Saldırıyı, anakartında M.2 SSD yuvasının yanında kullanılmayan bir LPC konektörü bulunan eski bir Lenovo dizüstü bilgisayarda gerçekleştirdi. Stacksmashing, açılış sırasında şifreleme anahtarlarını almak için Raspberry Pi Pico’yu kullanılmayan konektördeki metal pinlere bağladı. Raspberry Pi, sistem başlatılırken TPM’den ikili 0’ları ve 1’leri yakalayacak şekilde ayarlandı. Böylelikle Volume Master Key’i elde edebildi. İşlem tamamlandığında, şifrelenmiş sürücüyü çıkardı ve sürücünün şifresini çözmek için Volume Master Key ile dislocker yazılımını kullandı.
Microsoft, bu saldırıların mümkün olduğunu ancak gelişmiş araçlar gerektirdiğini ve cihaza uzun süreli fiziksel erişimin olması gerektiğini belirtiyor. Ancak videoda görüldüğü üzere saldırıyı gerçekleştirmeye hazırlanan biri bunu bir dakikadan kısa sürede gerçekleştirebilir. Bu saldırı yalnızca CPU’nun anakarttaki modülden veri alması gereken harici TPM modülleriyle çalışıyor. Artık birçok yeni laptop ve masaüstü CPU, kritik verilerin CPU’nun içinde saklandığı ve yönetildiği fTPM ile geliyor. Bununla birlikte Microsoft, bu saldırıları durdurmak için BitLocker PIN’i ayarlamanızı öneriyor.