BitLocker è equivalente su Windows al FileVault di Apple, la tecnologia che consente di crittografare automaticamente i dati sui Mac impedendo a chiunque di decifrare o accedere ai nostri dati senza inserire la password di login.
A quanto pare BitLocker non è esente da difetti e un ricercatore con un video su YouTube dimostra la possibilità di recuperare le chiavi di cifratura in meno di 45 secondi, se si ha la possibilità di accedere fisicamente alla macchina.
Per bypassare la cifratura BitLocker basta armarsi di una scheda Raspberry Pi Pico che costa pochi euro. Il problema deriva dal fatto che Microsoft memorizza le chiavi di crittografia in un componente che porta il nome di TPM (Trusted Platform Module) e che il collegamento tra questo chip e il resto del sistema avviene attraverso un bus dedicato: intercettando il collegamento tra questo componente e il resto del sistema, è in alcuni casi possibile recuperare la chiave.
L’attacco può essere portato a termine su PC con un chip TPM dedicato e accesso fisico al bus di comunicazione tra il chip e la CPU, operazione che è possibile eseguire su vari PC portatili di Lenovo, sfruttando un connettore di debug.
La cifratura BitLocker si appoggia a un chip TPM dove sono memorizzati registri PCR (Platform Configuration Registers) con informazioni sulla configurazione della piattaforma. I registri in questione servono anche a garantire che il sistema sia avviato in uno stato attendibile (coerente prima che le chiavi crittografiche siano rilasciate); nel TPM è presente anche la Volume Master Key (VMK), la chiave sfruttata da BitLocker per cifrare e decifrare il volume di archiviazione.
In passato è stata dimostrata una diversa vulnerabilità della tecnologia BitLocker e si è compreso che in determinati istanti la chiave VMK transita in chiaro sul bus tra chip TPM e CPU: intercettando questo istante è possibile ottenere la chiave e sfruttarla per decodificare i dati.
Gli ingegneri di Lenovo sembrano essersi resi conto che lasciare un connettore di debug accessibile è una potenziale fonte di guai: sui laptop commerciali, il pin che consente di ricavare questi dati è disattivato ma stacksmashing – il ricercatore che si occupa di sicurezza e che ha scoperto come per bypassare BitLocker – ha trovato il modo per attivare il pin che trasmette il segnale di clock: sfruttando un Raspberry Pi Pico, un piccolo PCB (tutto per meno di 10$) e leggere i dati provenienti dal chip TPM in formato binario (con un suo software) e poi esporli in chiaro all’utente.
Microsoft ha in passato ammesso che, in alcuni casi, bypassare la protezione BitLocker è possibile. I PC dotati di un’implementazione “software” dello standard (senza chip dedicati, a livello di processore) non dovrebbero essere interessati dalla falla. Apple non usa chip TPM ma sfrutta i chip Apple o chip di sicurezza Apple T2 per cifrare i dati con funzionalità intrinseche di questi chip (non c’è un collegamento fisico che è possibile sfruttare per arrivare alla chiave).
Per tutte le notizie che trattano di sicurezza informatica rimandiamo i lettori alla sezione dedicata di macitynet.