Usando una password del firmware proteggi un MacBook Pro da Thunderstrike?

1

E, naturalmente, ogni altro possibile attacco che consiste nel convincere l'obiettivo a collegare un dispositivo thunderbolt modificato nel proprio MacBook So che Thunderstrike funziona su MacBook con password del firmware all'inizio del 2015, ma non sono sicuro che Apple lo abbia aggiornato da allora A proposito, c'è un modo per disabilitare il fulmine e basta usare le porte del fulmine come minidisplayports? Questo è su un MacBook Pro retina 13 con broadwell

    
posta genealogyxie 19.08.2016 - 23:19
fonte

2 risposte

3

No, una password del firmware non impedisce Thunderstrike.

L'idea dietro ogni tipo di attacco DMA è che un dispositivo fisico può leggere (o possibilmente scrivere) una memoria sensibile senza che l'utente se ne accorga. Questo può anche essere usato per bypassare una schermata di blocco se il laptop viene lasciato incustodito, anche se il solito scenario di attacco è che la periferica Thunderbolt dell'utente viene sostituita con una versione malevola che esegue l'attacco DMA e fornisce accesso remoto o exfiltration, senza che si accorgano che è accadendo.

Come parte di questo scenario, il portatile dovrebbe essere attaccato mentre è acceso e in uso. Altrimenti non c'è nulla di interessante nella memoria da rubare.

Per quanto riguarda la disattivazione di Thunderbolt, ho dato una rapida occhiata ad alcuni schemi circuitali trapelati per Apple MBP (non posso collegarli o incorporarli qui per ovvi motivi) e sembra che le linee dati del mini-DP vadano direttamente (*) ai bus necessari per eseguire DMA. In quanto tale, sembra che siano direttamente integrati nell'hardware e, anche se hai disattivato la funzionalità di Thunderbolt a livello di software, un dispositivo collegato può sempre comunicare direttamente con la memoria.

A meno che manchi qualcosa di critico, sfortunatamente sembra che la tua unica opzione sia disabilitare fisicamente le porte in conflitto con la resina epossidica, o passare a utilizzare un dispositivo che non esponga tale funzionalità sensibile all'IO periferico.

(*) Tecnicamente passano attraverso alcuni filtri e buffer, ma questi sono irrilevanti. Ho anche controllato lo schema solo per una marca e modello specifici di MBP, quindi altri potrebbero avere modi per tagliare la funzionalità di Thunderbolt tramite SMC.

    
risposta data 20.08.2016 - 00:09
fonte
0

Come follow-up della risposta di Polynomial, è forse opportuno menzionare che le password del firmware per Mac non sono tradizionalmente molto protette. Possono essere aggirati con:

  • intercettando i segnali tra la scheda logica e il suo chip SOP-8 o SOIC-8 ROM (ad esempio con un Matt Card ); o

  • sostituendo fisicamente quel chip con uno contenente firmware personalizzato (cioè per dissaldatura / rivendita); o

  • sovrascrivere il contenuto di quel chip con firmware personalizzato (ad esempio tramite una clip SOP-8 / SOIC-8).

I dispositivi sono disponibili anche per le password Mac del firmware con forzatura bruta. La forza bruta potrebbe, in aggiunta, essere fatta leggendo ("scaricando") il firmware dalla ROM per forzare il brute altrove altrove.

Pertanto, se il Mac viene lasciato incustodito per un tempo sufficiente a consentire a un utente malintenzionato di aprirlo, eseguire il dump / sovrascrivere il firmware e chiuderlo, è necessario considerare la password del firmware probabilmente compromessa o sostituita.

L'iMac Pro ( Late 2017 - presente) e il Touchbar Macbook Pro ( Mid 2018 - presente) ha un T2 processore invece di un tradizionale chip ROM SOP-8 o SOIC-8, che vanifica (almeno per il momento essere, e forse per sempre) questa classe di attacco.

    
risposta data 17.08.2018 - 14:04
fonte

Leggi altre domande sui tag