YouTube 사용자는 5달러 Raspberry Pi Pico를 사용하여 1분 이내에 BitLocker 암호화를 해제합니다.

Microsoft의 BitLocker 암호화는 사용자가 위협 행위자로부터 데이터를 안전하게 암호화하고 보호할 수 있게 해주는 보다 쉽게 ​​사용할 수 있는 암호화 솔루션 중 하나입니다. 그러나 BitLocker는 사람들이 생각하는 것만큼 안전하지 않은 것 같습니다.

이번 주 초, 유튜버 stacksmashing은 BitLocker 데이터를 가로채서 시스템에 저장된 데이터를 해독할 수 있는 암호화 키를 훔치는 방법을 보여주는 동영상을 게시했습니다. 그뿐만 아니라 그는 아마도 10달러도 안 되는 가격의 Raspberry Pi Pico를 사용하여 43초 만에 결과를 얻었습니다.

공격을 실행하기 위해 그는 TPM(Trusted Platform Module)을 활용했습니다. 대부분의 컴퓨터와 업무용 노트북에서 TPM은 외부에 위치하며 LPC 버스를 사용하여 CPU에서 데이터를 보내고 받습니다. Microsoft의 BitLocker는 TPM을 사용하여 플랫폼 구성 레지스터 및 볼륨 마스터 키와 같은 중요한 데이터를 저장합니다.

Stacksmashing을 테스트한 결과 LPC 버스는 부팅 시 암호화되지 않은 통신 레인을 통해 CPU와 통신하고 중요한 데이터를 훔치기 위해 탭할 수 있는 것으로 나타났습니다. 그는 마더보드의 M.2 SSD 슬롯 옆에 사용되지 않는 LPC 커넥터가 있는 오래된 Lenovo 노트북에 대해 공격을 실행했습니다. stacksmashing은 Raspberry Pi Pico를 사용하지 않는 커넥터의 금속 핀에 연결하여 부팅 시 암호화 키를 캡처했습니다. Raspberry Pi는 시스템이 부팅되는 동안 TPM에서 이진수 0과 1을 캡처하여 볼륨 마스터 키를 통합할 수 있도록 설정되었습니다. 작업이 완료되면 그는 암호화된 드라이브를 꺼내고 볼륨 마스터 키와 함께 잠금 해제 장치를 사용하여 드라이브의 암호를 해독했습니다.

Microsoft는 이러한 공격이 가능하다는 점을 지적 하지만 이를 위해서는 정교한 도구와 장치에 대한 오랜 물리적 접근이 필요하다고 말합니다. 그러나 영상에서 볼 수 있듯이 공격을 실행할 준비가 되어 있는 사람은 1분 이내에 공격을 수행할 수 있습니다.

그러나 이에 대해 염두에 두어야 할 몇 가지 주의 사항이 있습니다. 이 공격은 CPU가 마더보드의 모듈에서 데이터를 가져와야 하는 외부 TPM 모듈에서만 작동할 수 있습니다. 이제 많은 새로운 노트북과 데스크탑 CPU에는 중요한 데이터가 CPU 자체 내부에 저장되고 관리되는 fTPM이 함께 제공됩니다. 즉, Microsoft는 이러한 공격을 막기 위해 BitLocker PIN을 설정할 것을 권장하지만 PIN을 구성하려면 그룹 정책을 설정해야 하므로 그렇게 하기가 쉽지 않습니다.