¿El uso de una contraseña de firmware protegería una MacBook Pro de Thunderstrike?

1

Y, por supuesto, cualquier otro posible ataque que implique convencer al objetivo para que conecte un dispositivo Thunderbolt modificado en su MacBook. Sé que Thunderstrike funciona en MacBooks con contraseñas de firmware a principios de 2015, pero no estoy seguro de si Apple lo ha actualizado desde entonces. Por cierto, ¿hay una manera de deshabilitar el rayo y simplemente usar los puertos del rayo como minidisplayports? Esto está en una MacBook Pro Retina 13 con Broadwell

    
pregunta genealogyxie 19.08.2016 - 23:19
fuente

2 respuestas

3

No, una contraseña de firmware no evitaría Thunderstrike.

La idea detrás de cualquier tipo de ataque DMA es que un dispositivo físico pueda leer (o posiblemente escribir) una memoria sensible sin que el usuario se dé cuenta. Esto también se puede usar para omitir una pantalla de bloqueo si la computadora portátil se deja desatendida, aunque el escenario de ataque habitual es que el periférico Thunderbolt del usuario se reemplaza con una versión malintencionada que realiza el ataque DMA y proporciona acceso remoto o exfiltración, sin que se den cuenta de que sucediendo.

Como parte de este escenario, la computadora portátil debería ser atacada mientras está encendida y en uso. De lo contrario no hay nada interesante en la memoria para robar.

En cuanto a la desactivación de Thunderbolt, eché un vistazo rápido a algunos esquemas de circuitos filtrados para los MBP de Apple (no puedo vincularlos o incrustarlos aquí por razones obvias) y parece que las líneas de datos del mini-DP van directamente (*) a los buses necesarios para realizar DMA. Como tal, parece que están integrados directamente en el hardware e, incluso si desactivó la funcionalidad Thunderbolt en el nivel de software, un dispositivo conectado siempre puede comunicarse directamente con la memoria.

A menos que me esté faltando algo crítico, desafortunadamente parece que su única opción es desactivar físicamente los puertos ofensivos con epoxy, o cambiar a usar un dispositivo que no exponga esa funcionalidad sensible a periferia IO.

(*) Técnicamente pasan a través de algunos filtros y buffers, pero estos son irrelevantes. También solo revisé el esquema para una marca y modelo específicos de MBP, por lo que otros pueden tener formas de cortar la funcionalidad Thunderbolt a través del SMC.

    
respondido por el Polynomial 20.08.2016 - 00:09
fuente
0

Como seguimiento a la respuesta de Polynomial, quizás vale la pena mencionar que las contraseñas de firmware de Mac tradicionalmente no son muy seguras. Se pueden omitir mediante:

  • interceptar las señales entre la placa lógica y su chip ROM SOP-8 o SOIC-8 (por ejemplo, con un Matt Card ); o

  • reemplaza físicamente ese chip por uno que contenga firmware personalizado (es decir, mediante desoldado / resolución); o

  • sobrescribe el contenido de ese chip con firmware personalizado (por ejemplo, a través de un clip SOP-8 / SOIC-8).

Los dispositivos también están disponibles para contraseñas de Mac de firmware de forzamiento brutal. El forzado bruto podría, adicionalmente, realizarse mediante la lectura ("volcado") del firmware de la ROM para forzar el robo en otro lugar más adelante.

Como tal, si alguna vez se deja a la Mac desatendida el tiempo suficiente para que un atacante tenga tiempo de abrirla, volcar / sobrescribir el firmware y cerrarlo, entonces se debe considerar que su contraseña de firmware ha sido comprometida o reemplazada.

El iMac Pro ( finales de 2017 - presente) y el Macbook de la barra táctil Pro ( Mid 2018 - presente) tiene un T2 procesador en lugar de un chip ROM SOP-8 o SOIC-8 tradicional, frustrado (al menos por el momento siendo, y quizás para siempre) esta clase de ataque.

    
respondido por el sampablokuper 17.08.2018 - 14:04
fuente

Lea otras preguntas en las etiquetas