YouTuber phá mã hóa BitLocker trong chưa đầy một phút bằng hệ thống Raspberry Pi Pico giá 5 USD

Công cụ mã hóa BitLocker của Microsoft luôn được mệnh danh là một trong những giải pháp mã hóa hàng đầu trên cả phương diện bảo mật cũng như tiện dụng, cho phép người dùng bảo vệ dữ liệu một cáchf toàn diện khỏi các tác nhân đe dọa tiềm tàng. Tuy nhiên, có vẻ như BitLocker trên thực tế không an toàn như nhiều người vẫn nghĩ.

Mới đây, một YouTuber có nickname stacksmashing đã đăng tải một video mô tả chi tiết cách thức anh ấy có thể chặn dữ liệu BitLocker và đánh cắp các khóa mã hóa cho phép giải mã dữ liệu được lưu trữ trên hệ thống. Đáng nói hơn, YouTuber này đạt được kết quả chỉ sau 43 giây bằng cách sử dụng hệ thống Raspberry Pi Pico có giá chưa đến 10 USD.

Stacksmashing đã lợi dụng mô-đun Trusted Platform Module (TPM) để thực quá trình bẻ khóa BitLocker. Trong một số hệ thống máy tính để bàn cũng như máy tính xách tay, TPM được đặt bên ngoài và sử dụng bus LPC để gửi và nhận dữ liệu từ CPU. BitLocker của Microsoft dựa vào TPM để lưu trữ dữ liệu quan trọng như Platform Configuration Registers và Volume Master Key.

Trong quá trình thử nghiệm, stacksmashing nhận thấy rằng bus LPC giao tiếp với CPU thông qua các làn giao tiếp không được mã hóa khi khởi động, và có thể bị khai thác để lấy cắp dữ liệu quan trọng. stacksmashing đã thực hiện cuộc tấn công vào một chiếc máy tính xách tay Lenovo cũ có đầu nối LPC chưa được sử dụng trên bo mạch chủ bên cạnh khe cắm SSD M.2. Youtuber đã kết nối Raspberry Pi Pico với các chân kim loại trên đầu nối không sử dụng để lấy các khóa mã hóa (encryption key) khi khởi động. Raspberry Pi được thiết lập để ghi lại các số 0 và 1 nhị phân từ TPM trong khi hệ thống đang khởi động, cho phép anh ta ghép Volume Master Key lại với nhau. Sau khi hoàn tất, ổ đĩa mã hóa được lấy ra và anh ta đã sử dụng công cụ giải mã bằng Volume Master Key để giải mã ổ đĩa.

Microsoft thừa nhận rằng những cuộc tấn công dạng này có thể xảy ra, nhưng cũng lưu ý rằng quá trình hack sẽ yêu cầu nhiều công cụ phức tạp và quyền truy cập vật lý lâu dài vào thiết bị. Tuy nhiên, như trong video, một cuộc tấn công có thể được thực hiện chỉ trong vòng chưa đầy một phút.

Trên thực tế Microsoft nói cũng không sai bởi cuộc tấn công này chỉ có thể thực hiện được với các mô-đun TPM bên ngoài nơi CPU cần lấy dữ liệu từ mô-đun trên bo mạch chủ. CPU của nhiều mẫu máy tính xách tay và máy tính để bàn mới hiện nay có fTPM, nơi dữ liệu quan trọng được lưu trữ và quản lý bên trong bộ xử lý. Microsoft khuyên người dùng nên thiết lập mã PIN BitLocker để ngăn chặn các cuộc tấn công dạng này, nhưng cũng không dễ thực hiện vì sẽ phải thiết lập Group Policy để định cấu hình mã PIN.