YouTuber quebra a criptografia do BitLocker em menos de um minuto usando Raspberry Pi Pico de US$ 5

A criptografia BitLocker da Microsoft é uma das soluções de criptografia mais disponíveis, que permite aos usuários criptografar e proteger dados com segurança contra agentes de ameaças. No entanto, parece que o BitLocker não é tão seguro quanto as pessoas podem pensar.

No início desta semana, o YouTuber stacksmashing postou um vídeo mostrando como ele foi capaz de interceptar os dados do BitLocker e roubar as chaves de criptografia que lhe permitiam descriptografar os dados armazenados no sistema. Não só isso, mas ele alcançou os resultados em 43 segundos usando um Raspberry Pi Pico que provavelmente custa menos de US$ 10.

Para executar o ataque, ele aproveitou o Trusted Platform Module ou TPM. Na maioria dos computadores e laptops ocupados, o TPM está localizado externamente e usa o barramento LPC para enviar e receber dados da CPU. O BitLocker da Microsoft depende do TPM para armazenar dados críticos, como registros de configuração de plataforma e chave mestra de volume.

Ao testar o stacksmashing, descobrimos que o barramento LPC se comunica com a CPU por meio de vias de comunicação que não são criptografadas na inicialização e podem ser acessadas para roubar dados críticos. Ele executou o ataque em um laptop Lenovo antigo que tinha um conector LPC não utilizado na placa-mãe próximo ao slot SSD M.2. stacksmashing conectou um Raspberry Pi Pico aos pinos de metal do conector não utilizado para capturar as chaves de criptografia na inicialização. O Raspberry Pi foi configurado para capturar os 0s e 1s binários do TPM enquanto o sistema estava inicializando, permitindo que ele reunisse a chave mestra de volume. Uma vez feito isso, ele retirou a unidade criptografada e usou o dislocker com a chave mestra de volume para descriptografar a unidade.

A Microsoft observa que esses ataques são possíveis, mas afirma que exigirão ferramentas sofisticadas e acesso físico prolongado ao dispositivo. Porém, como mostra o vídeo, alguém preparado para executar um ataque pode fazê-lo em menos de um minuto.

Existem, no entanto, algumas ressalvas a este respeito que precisam ser mantidas em mente. Este ataque só pode funcionar com módulos TPM externos onde a CPU precisa obter dados do módulo na placa-mãe. Muitos novos laptops e CPUs de desktop agora vêm com fTPM, onde os dados críticos são armazenados e gerenciados dentro da própria CPU. Dito isto, a Microsoft recomenda a configuração de um PIN do BitLocker para impedir esses ataques, mas não é fácil fazê-lo, pois será necessário configurar uma Política de Grupo para configurar um PIN.