Συμβουλές για την προστασία του υπολογιστή σας από την επίθεση Thunderspy

Το Thunderbolt(Thunderbolt) είναι η διεπαφή μάρκας υλικού που αναπτύχθηκε από την Intel(Intel) . Λειτουργεί ως διεπαφή μεταξύ υπολογιστή και εξωτερικών συσκευών. Ενώ οι περισσότεροι υπολογιστές με Windows διαθέτουν όλων των ειδών τις θύρες, πολλές εταιρείες χρησιμοποιούν το Thunderbolt για να συνδέονται με διάφορους τύπους συσκευών. Κάνει τη σύνδεση εύκολη, αλλά σύμφωνα με έρευνα στο Τεχνολογικό(Technology) Πανεπιστήμιο του Αϊντχόβεν(Eindhoven University) , η ασφάλεια πίσω από το Thunderbolt μπορεί να παραβιαστεί χρησιμοποιώντας μια τεχνική — Thunderspy . Σε αυτήν την ανάρτηση, θα μοιραστούμε συμβουλές που μπορείτε να ακολουθήσετε για να προστατέψετε τον υπολογιστή σας από το Thunderspy .

Τι είναι το Tunderspy(Tunderspy) ; Πώς λειτουργεί;

Είναι μια μυστική επίθεση που επιτρέπει σε έναν εισβολέα να έχει πρόσβαση στη λειτουργία άμεσης πρόσβασης στη μνήμη ( DMA ) για να παραβιάσει συσκευές. Το μεγαλύτερο πρόβλημα είναι ότι δεν έχει μείνει κανένα ίχνος καθώς λειτουργεί χωρίς να αναπτύξει κανένα μυαλό κακόβουλου λογισμικού ή δόλωμα συνδέσμων. Μπορεί να παρακάμψει τις βέλτιστες πρακτικές ασφαλείας και να κλειδώσει τον υπολογιστή. Πως λειτουργεί, λοιπόν? Ο εισβολέας χρειάζεται άμεση πρόσβαση στον υπολογιστή. Σύμφωνα με την έρευνα, χρειάζονται λιγότερο από 5 λεπτά με τα κατάλληλα εργαλεία.

Συμβουλές για προστασία από το Thunderpy

Ο εισβολέας αντιγράφει το υλικολογισμικό Thunderbolt Controller(Thunderbolt Controller Firmware) της συσκευής προέλευσης στη συσκευή του. Στη συνέχεια, χρησιμοποιεί μια ενημερωμένη έκδοση υλικολογισμικού ( TCFP ) για να απενεργοποιήσει τη λειτουργία ασφαλείας που επιβάλλεται στο υλικολογισμικό Thunderbolt . Η τροποποιημένη έκδοση αντιγράφεται στον υπολογιστή προορισμού χρησιμοποιώντας τη συσκευή Bus Pirate . Στη συνέχεια, μια συσκευή επίθεσης που βασίζεται στο Thunderbolt συνδέεται με τη συσκευή που δέχεται επίθεση. (Thunderbolt)Στη συνέχεια, χρησιμοποιεί το εργαλείο PCILeech για να φορτώσει μια λειτουργική μονάδα πυρήνα που παρακάμπτει την οθόνη εισόδου των Windows .

Έτσι, ακόμα κι αν ο υπολογιστής διαθέτει χαρακτηριστικά ασφαλείας όπως Ασφαλής εκκίνηση(Secure Boot) , ισχυρό BIOS και κωδικούς πρόσβασης λογαριασμού λειτουργικού συστήματος και ενεργοποιημένη την πλήρη κρυπτογράφηση δίσκου, θα παρακάμψει τα πάντα.

ΣΥΜΒΟΥΛΗ(TIP) : Το Spycheck θα ελέγξει εάν ο υπολογιστής σας είναι ευάλωτος στην επίθεση Thunderspy .

Συμβουλές για προστασία από το Thunderpy

Η Microsoft συνιστά(recommends) τρεις τρόπους προστασίας από τη σύγχρονη απειλή. Ορισμένες από αυτές τις δυνατότητες που είναι ενσωματωμένες στα Windows μπορούν να αξιοποιηθούν, ενώ κάποιες θα πρέπει να ενεργοποιηθούν για τον μετριασμό των επιθέσεων.

  • Προστασία υπολογιστή με ασφαλή πυρήνα
  • Προστασία DMA πυρήνα
  • Ακεραιότητα κώδικα που προστατεύεται από Υπερεπόπτη ( HVCI )

Τούτου λεχθέντος, όλα αυτά είναι δυνατά σε έναν υπολογιστή ασφαλούς πυρήνα. Απλώς δεν μπορείτε να το εφαρμόσετε σε κανονικό υπολογιστή επειδή δεν είναι διαθέσιμο το υλικό που μπορεί να το προστατεύσει από την επίθεση. Ο καλύτερος τρόπος για να μάθετε εάν ο υπολογιστής σας το υποστηρίζει είναι ελέγχοντας την ενότητα Devic Security της εφαρμογής Windows Security .

1] Προστασία υπολογιστή με ασφαλή πυρήνα

Windows Defender System Guard

Το Windows Security(Windows Security) , το εσωτερικό λογισμικό ασφαλείας της Microsoft, προσφέρει προστασία συστήματος Windows Defender και ασφάλεια που βασίζεται σε εικονικοποίηση. Ωστόσο, χρειάζεστε μια συσκευή που χρησιμοποιεί υπολογιστές ασφαλούς πυρήνα(Secured-core PCs) . Χρησιμοποιεί ριζωμένη ασφάλεια υλικού στη σύγχρονη CPU για την εκκίνηση του συστήματος σε μια αξιόπιστη κατάσταση. Βοηθά στον μετριασμό των προσπαθειών που γίνονται από κακόβουλο λογισμικό σε επίπεδο υλικολογισμικού.

2] Προστασία DMA πυρήνα

Η προστασία Kernel DMA(Kernel DMA) , που εισήχθη στα Windows 10 v1803, φροντίζει να αποκλείει εξωτερικά περιφερειακά από επιθέσεις Direct Memory Access ( DMA ) χρησιμοποιώντας συσκευές hotplug PCI όπως το Thunderbolt . Σημαίνει ότι εάν κάποιος προσπαθήσει να αντιγράψει κακόβουλο υλικολογισμικό Thunderbolt σε ένα μηχάνημα, θα αποκλειστεί στη θύρα Thunderbolt . Ωστόσο, εάν ο χρήστης έχει το όνομα χρήστη και τον κωδικό πρόσβασης, θα μπορεί να το παρακάμψει.

3] Προστασία από σκλήρυνση(Hardening) με ακεραιότητα κώδικα που προστατεύεται από Hypervisor ( (Hypervisor-protected)HVCI )

Απενεργοποιήστε την Ακεραιότητα μνήμης Core Isolation Ασφάλεια των Windows

Στα Windows 10(Windows 10) θα πρέπει να είναι ενεργοποιημένη η ακεραιότητα κώδικα ή το HVCI(HVCI) που προστατεύεται από υπερεπόπτη . Απομονώνει το υποσύστημα ακεραιότητας κώδικα και επαληθεύει ότι ο κώδικας πυρήνα(Kernel) δεν έχει επαληθευτεί και υπογραφεί από τη Microsoft(Microsoft) . Διασφαλίζει επίσης ότι ο κώδικας του πυρήνα δεν μπορεί να είναι εγγράψιμος και εκτελέσιμος για να βεβαιωθείτε ότι ο μη επαληθευμένος κώδικας δεν εκτελείται.

Το Thunderspy(Thunderspy) χρησιμοποιεί το εργαλείο PCILeech για να φορτώσει μια λειτουργική μονάδα πυρήνα που παρακάμπτει την οθόνη σύνδεσης των Windows . Η χρήση του HVCI(HVCI) θα φροντίσει να το αποτρέψει αυτό, καθώς δεν θα του επιτρέψει να εκτελέσει τον κώδικα.

Η ασφάλεια πρέπει να είναι πάντα στην κορυφή όταν πρόκειται για την αγορά υπολογιστών. Εάν ασχολείστε με δεδομένα που είναι σημαντικά, ειδικά για επιχειρήσεις, συνιστάται η αγορά συσκευών υπολογιστή ασφαλούς πυρήνα . (Secured-core PC)Εδώ είναι η επίσημη σελίδα τέτοιων συσκευών(such devices) στον ιστότοπο της Microsoft.



About the author

Είμαι ειδικός σε θέματα ασφάλειας υπολογιστών με πάνω από 10 χρόνια εμπειρίας και ειδικεύεται σε εφαρμογές Windows και Αρχεία. Έχω γράψει ή/και αναθεωρήσει εκατοντάδες άρθρα για διάφορα θέματα που σχετίζονται με την ασφάλεια των υπολογιστών, βοηθώντας τα άτομα να παραμείνουν ασφαλή στο διαδίκτυο. Είμαι επίσης έμπειρος σύμβουλος για επιχειρήσεις που χρειάζονται βοήθεια για την προστασία των συστημάτων τους από παραβιάσεις δεδομένων ή κυβερνοεπιθέσεις.



Related posts