Microsoft объяснила, что в Surface нельзя апгрейдить ОЗУ — атакующие могут заморозить её в жидком азоте и считать

[Fenzales]

Что за чушь несусветная? А что помешает злоумышленнику компьютер перевести режим гибернации и прочитать с SSD?

[Marwin]

BitLocker?

[RiseOfDeath]

А это точно надежное средство? У моего коллеги в один прекрасный момент битлокер сказал ой все, какая-то ошибка и… теперь грузится не запрашивая пинкода.

p.s.
Сам бы не поверил, если бы не видел сие своими глазами.

[tmin10]

Так он вроде и так грузится не прося ничего. Как я понял, завязано на доменную учётку.

[ValdikSS]

Завязано на аппаратный чип Trusted Platform Module, который присутствует практически во всех современных компьютерах либо в виде аппаратного модуля, либо в виде эмулируемого модуля в Intel ME.

[up40k]

BitLocker эффективен только при соблюдении определённых условий.
Смотрите: Microsoft не снабжает Surface портами Thunderbolt под предлогом защиты от DMA-атак. Но DMA-атаки возможны только в тот момент (поправьте, если ошибаюсь), когда ОС еще не взяла на себя управление доступом к памяти для PCI, то есть до загрузки системы. Потому что после загрузки начинает работать механизм Kernel DMA Protection.
Именно поэтому Microsoft рекомендует использовать pre-boot аутентификацию и выключать уровни S1-S3.
Окей, предположим, что устройства Surface ориентированы на пользователей, которым нужны уровни S1-S3 (всё-таки, это мобильное устройство, их можно понять). Или пользователей, которым по каким-то причинам не хочется вводить PIN для разблокировки TPM. И лишение их возможности использовать Thunderbolt — необходимое зло. Казалось бы! Потому что существует атака по сторонним каналам на систему с TPM, которая не использует pre-boot аутентификацию. Ну то есть совершенно нет смысла не снабжать устройства Thunderbolt портом — достаточно опытный атакующий, который сможет утянуть ключи с помощью DMA-атаки, сможет сделать то же самое и через LPC. А использование аутентификации перед загрузкой (и прочих рекомендаций вендора) лишает атакующего сразу обоих векторов атаки.

Что касается обоснования распайки памяти вместо сокетов прямо на плату — учитывая всё вышесказанное, это похоже на попытку поставить железные ворота на забор из прутьев.

[ValdikSS]

В современных компьютерах используется преимущественно fTPM — программная эмуляция TPM средствами Intel ME, и шины LPC там нет.

[up40k]

Посмотрел более осознанно отрывок из презентации Microsoft, о которой речь в статье (этот отрывок в прикрепленном твите). И правда, речь о распаянных модулях ОЗУ для предотвращения атаки cold boot ведется в контексте обсуждения Surface Laptop 3, на котором действительно используется fTPM.
Вообще, как я понял из описания технических характеристик актуальных устройств линейки Surface, fTPM используется пока только в трёх из них, это устройства, представленные осенью прошлого года. Ну и презентация, что логично, касается этих устройств, а не всей линейки.
А редактор Хабра, пишущий жёлтые заголовки, должен икать по ночам.

[up40k]

Извините, не мог не написать сюда очередной комментарий.
Вчера Microsoft анонсировала еще два устройства из линейки Surface. У того, которое на данный момент является топовым в линейке и позиционируется как устройство для профессионалов (имея на борту довольно мощное железо) — Surface Book 3 — дискретный чип TPM.
Довольно странное решение.

[ValdikSS]

Неудивительно, у дискретного TPM всё ещё больше функциональности, чем у fTPM. У этого ноутбука и fTPM, и dTPM одновременно.

[up40k]

А поделитесь источником информации? Действительно ли там используется Intel PTT помимо dTPM? Если это так, например, для процесса загрузки можно использовать fTPM из чипсета, а для всех остальных операций, связанных с криптографией — dTPM, это замечательно.
Но, как мне кажется, одновременно оба модуля в Windows использовать не получится.

[ValdikSS]

Насчет одновременного использования не уверен (скорее всего нельзя), но обычно в настройках UEFI можно переключить используемый чип. Я недонократно такое видел на десктопных материнских платах.

[Viceroyalty]

Они бы лучше так активно ПО на уязвимости тестировали прежде чем выкатить, а то придумывают незнамо какие атаки

[CherryPah]

Его тоже необходимо отключить — мало ли что злоумышленник на него может подать.

Я вроде тут же на хабре читал про гипотетическую возможность получения информации через мониторинг потребления электропитания =).

[saege5b]

Это ешё на электрических печатных машинках было :)

[MooNDeaR]

Что значит "гипотетическую"?) Вполне себе канал утечки, если на БП не стоит фильтр высоких частот. Тяжёлый, дорогой, но все же реализуемый способ.

[DrPass]

Во времена ЭЛТ-мониторов это было на самом деле осуществимо. А сейчас какую информацию можно снять с электросети, даже при наличии сверхвысокочувствительного оборудования? В компьютере столько процессов работает параллельно, что там ничего, кроме белого шума, в электросеть не попадёт. Это реально только если вы уже и так получили доступ к компьютеру, и там есть ваша программа-агент, которая передаёт данные, генерируя относительно низкочастотные всплески потребления энергии, например, активируя/останавливая ресурсоемкие вычисления.

[DCNick3]

Не уверен насчёт полноразмерных компьютеров, но это точно работает на embedded устройствах. Они гораздо более предсказуемы. С них, например, можно сливать ключи шифрования RSA.

[drWhy]

Не только ЭЛТ. Существует, например, программный эмулятор сигнала DCF77 для синхронизации часов, работающий за счёт излучения жк-монитора.

[DGN]

Наиболее полноценно излучает информацию кабель к монитору. Быть может, если от него наводка пошла на сетевой кабель, то в соседней комнате можно пробовать считать. В неких лабораторных условиях.

[DGN]

Увы, по питанию стоят электролиты и демпфируют. Можно снять некие грубые паттерны, тут GTA5 загрузилась, а вот это фотошоп похоже. И то если с простоя, а не на фоне других процессов.

[Viceroyalty]

А если просто подслушать радиоизлучение CPU?

[kometakot]

компьютер выключенный и запертый в глухом сейфе

Где то в подвале дата-центра?

[SmaugRrotarr]

Это же первый принцип всех отделов безопасности крупных IT компаний. Чтобы информация от разработчиков никуда не утекла — мы запрем их рабочие компьютеры в несгораемом шкафу, а ключ переплавим.

[JerleShannara]

Самый безопасный планшет — это силикатный огнеупорный кирпич!

[alex6999]

Силикатный кирпич не огнеупорный.

[nibb13]

Вот поэтому самого безопасного планшета и не существует!

[drWhy]

Знатный планшет. Но работоспособность компаса всё же зависит от магнитного поля Земли.

[dmlogv]

1. А для чего этот пятиугольный карманец?
2. Так вот откуда мой компас!

[drWhy]

1. Возможно, лупа?

ps. Нашёл — курвиметр. А ещё в наборе точилка для карандашей была.

[littorio]

Как отслуживший в армии, скажу — от питания очень много всего зависит. Я, например, к вашему планшету без полноценного завтрака вообще не подошёл бы.

[Tanner]

Я думаю, дело было так. Кто-то от Microsoft упомянул возможность атаковать память через Thunderbolt (DMA attack). Кто-то возразил, что, если иметь устройство в руках, то память можно прочитать и без уязвимости в Thunderbolt: хоть через отладочный интерфейс, хоть в жидком азоте её заморозить. Потом reddit изнасиловал журналиста, и пошло-поехало…

[DrPass]

А я думаю, дело было так: кто-то из маркетологов Microsoft прочитал обзор, где Surface ругали за отсутствие возможности апгрейдить память. Он понял, что рано или поздно им такой каверзный вопрос зададут, и пришёл к технарям. И спросил: «Парни, придумайте мне такую отмазку, чтобы мы не говорили правду, что просто решили сэкономить на производстве, а также мотивировать пользователей, которым не хватает памяти, вместо апгрейда покупать новый девайс. А вместо этого выставили всё типа как специальное техническое решение для заботы о юзерах. Ну, например, что-то связанное с секьюрностью, ведь все юзеры любят секьюрность.»

[Psionic]

Да ладно, чем хуже отмазка про компактность? Видели туже Lenovo Yoga? Там даже для SO-DIMM планки места не найдется, такое тонкое устройство. Хотя по странно что стандарт SO-DIMM не пересматривают — можно же планки и мельче делать.

[Akuma]

Надо было еще в эпоксидку залить все кроме дисплея, а то мало ли что упрут.

[CyberAndrew]

Даже с распаянных микросхем ОЗУ всё ещё можно считать данные, если подпаяться проводочками и считать весь обмен с ОЗУ хорошим логическим анализатором.

[CyberAndrew]

Хотя я тут подумал, не уверен в своём утверждении. Очень хороший логический анализатор Saleae Logic Pro 16 стоимостью в 1000 usd имеет скорость захвата данных 500 мегасэмплов/с и 16 каналов, а у DDR3 частота 800-2400 МГц, и количество выводов исчисляется сотнями. Непонятно, как хранить и передавать такие огромные массивы данных. Usb 3.0, через который подключается этот логический анализатор, имеет скорость 5 ГБит/с, а пропускная способность DDR3 — от 51,2 (ddr3-800 64 bit) до 307,2 ГБит/с (ddr3-2400 64 bit dual channel)).
Тут видимо нужно специальное аппаратное решение и простым логическим анализатором не обойтись. Ну или как-то занижать скорость ОЗУ и считывать данные только с одной микросхемы, или даже с части выводов, а не сразу со всех.

[vvzvlad]

Ну, там все-таки рассматривается вариант атаки, когда у пользователя берут заблокированное устройство, в которое не войдешь(пароль нужен), на жестком которого не пороешься(зашифровано, тоже пароль нужен), но вот пока оно спит и не выключилось (а значит, регенерирует память), можно аккуратно открыть крышку, заморозить память, быстро ее переставить в ридер и считать. Любое вмешательство типа «подпаяться» потребует выключения устройства, а значит, содержимое памяти потеряется.

[Dr_Sigmund]

Любое вмешательство типа «подпаяться» потребует выключения устройства

Не обязательно.

[vvzvlad]

Там наверняка где-нибудь BGA

[Dr_Sigmund]

Если BGA, то да, сильно сложнее.

[CherryPah]

Вообще конкретно в ноутбуке можно от такого защититься проще и надёжней, по крайней мере в теории. Сделать датчик снятия панели и просто забивать оперативную память мусором при срабатывании.

Замораживать неинвазивным методом, без снятия крышки. Например кидать его целиком в ванну с азотом

[KivApple]

Так открыть всё равно придётся потом, чтобы подключиться к памяти.

[mig126]

Так батарея тоже замёрзнет и не будет работать.

[KivApple]

Так не мгновенно же. Можно успеть отловить падение напряжения или охлаждение и вайпнуть память.

[CherryPah]

1)Кидаем в ванну
2)Топором отрубаем часть корпуса где батарейка, главное не задеть область с памятью.
3)Профит

Можно даже сначала отрубить батарейку, а потом спокойно разбирать корпус — без питания никакие датчики снятия панели будут уже не актуальны.
PS. Датчик открытия корпуса спокойно реализуется не только на ноутбуках. На моем любимом Thermaltake Xaser III, который скоро отметит 20-летний юбилей стояния у меня под столом, датчик открытия корпуса был by design

[KivApple]

Так идея вместо датчика открытия делать вайп при понижении температуры и/или при падении напряжения аккумулятора. Если отрубить кусок до погружения в азот, то память и сама вайпнится по чисто техническим причинам (без охлаждения она очень быстро деградирует), если после то уже поздно будет. Даже если аккумулятор мгновенно отрубается при охлаждении, на материнке много конденсаторов, а на них азот столь фатально не влияет, иначе бы у оверклокеров были бы проблемы.

[mig126]

Ага выходишь такой на улицу зимой/включаешь свой годовалый сюрфейс, а тебе бах всё что было в ОЗУ в данный момент исчезло(многие таскают ноуты в спящем режиме).
А уж окислившийся датчик открытия с ослабшей пружиной вообще песня. За такое мелкомягких в голос проклинать будут.

[JerleShannara]

Вы таки не поверите, но серьёзные девайсы для обработки денег штатно имеют такие датчики и по их срабатыванию уничтожают ключи. Для примера можете поиграться с терминалом по приёму пластиковых карт.

[beeruser]

Консоли от Майкрософт делают точно так же — шифруют RAM.

[DDroll]

По той же логике Microsoft следовало бы сделать устройство весом в 15 кг, чтобы укравший его злоумышленник не мог бежать быстро. Более нелепого оправдания 100% маркетингового решения я давно не видел.

[DrPass]

Тогда можно ещё сделать его размером метр на метр, и толщиной полметра. Чтобы спецназовец в лифте застрял.

[dimakey]

Если хакер готов ТАК заморочиться ради получения данных, то что ему помешает не морозить усторойство, а разогревать владельца?

[JerleShannara]

Тогда в комплекте к планшету надо выдавать ошейник, надеваемый на шею владельца и намертво там фиксирующийся. При попытке вскрытия планшета ошейник производит попытку вскрытия шеи владельца. И всё, данные в безопасности.

[AGhostik]

Сидишь такой в кафешке, работаешь. Подбегает злоумышленник, отбирает устройство, быстренько разбирает его, засовывает оперативку (ssd оставляет, ага) в здоровенный холодильник на спине и убегает.
Видимо от такой угрозы решили обезопасить пользователя :D

[Glays]

На тот случай, когда владелец уже настолько холоден, что не реагирует на разогрев.

[AllexIn]

Если есть доступ к устройству — накой фиг вообще память доставать из него? И тем более замораживать? Пока питание не отрубили — потери данных не будет.

[vvzvlad]

Устройство заблокировано, диск зашифрован. Ключ/пароль — в памяти. Выключить устройство — остаться без содержимого памяти.

[AllexIn]

Ну так мой вопрос остается: накой фиг отключать питание?
Это же ноутбук, из розетку вынули, дернули, подключили к розетке, к контактам памяти прицепились и вперед. Хошь пайкой цепляйся(что при заморозке, кстати, опасно, т.к. будет греть память), хош клеем, хошь прижимкой.

[semmaxim]

Вскрыть ноут, чтобы он не отключился, подпаяться к сотням ног у микросхем памяти «на живую» и снимать дамп со скоростью в 300 Гб/с? Нет, всё-таки вариант с копеечным жидким азотом и отладочной материнкой на порядки проще и дешевле. Но всё равно, оправдание, конечно, смешное.

[RaymanOne]

Один из существенных недостатов Surface Laptop 3 — отсутствие thunderbolt 3. Очень странное решение.

[hellamps]

У меня есть своя прохладная былина по этому поводу. Значит был у меня редхат на десктопе и решил я поставить дебиан. При этом у меня два монитора, один 30" с большим разрешением а второй маленький какой-то. После установки дебиана(с выключениями, заменой hdd), я сделал скриншот и внезапно обнаружил, что дебиан не только сделал два экрана размером с мой большой монитор, но на этом пространстве теневом я внезапно увидел следы жизнедеятельности редхата… http://share.degtiarev.com/pub/img/unsort/root1.png?orig
Видно даже побитый шумом десктопчик с папкой треш. Так что идея не так и плоха...

[Dvlbug]

Тоже помню подобное на убунте (лет 5-7 лет назад), когда после перезагрузки запускал игрульки через Wine, то на экране угадывались содержимое окон Windows. Похоже не сбрасывалось содержимое памяти видеокарты (не знаю как точнее сказать).

[hellamps]

Память всю никто не обнуляет, слишком долго и муторно(кстати, интересный вектор атак через всякий серверлесс — смотреть на память вокруг). А вот то, что эта память пережила отсутствие обновлений(ram требует периодического прохода и подзаряда) и с небольшим шумом сохранила в итоге полезную информацию — удивительно

[nikolayv81]

Так в комментарии же небыло про полное выключение, только про рестарт (если он вообще был hard а не soft) т.е. видеокарта не отключалась от питания.
У меня сейчас такой эффект на debian после игрушки с 3d при выключении, на какое-то время появляется "последний экран" из игры.

[hellamps]

В моем скриншоте я менял винты в машине, так что вполне хард

[Eldhenn]

> угадывались содержимое окон Windows

Может это было послесвечение монитора? Выгорание пикселей?

[Vlad_IT]

Не, там же на скриншоте это.

[nidalee]

Да, это VRAM видеокарты. Я так как-то раз «заскринил» ошметки окна браузера, разбросанные случайным образом по экрану.

[Quiensabe]

Предлагаю для надежности вынести ОЗУ на сервера микрософта.

[rafaelpro]

Заменяемая память стоит дороже в производстве, что является основной причиной этого решения, да и форм фактор планшетов Surface к этому не особо располагает.
Объяснение конечно повесило.

[M1Q4]

Главная новость, которую я узнал из этой заметки — что, оказывается, Microsoft Surface еще жив. И вот посмотрите — мы уже все обсуждаем его. Очень грамотный вброс.

[DrPass]

Ну почему вброс? Они не разлетаются как айфоны, но продаются вполне приличными по планшетным меркам тиражами по нескольку миллионов штук в год, и приносят Майкам несколько лярдов прибыли ежегодно.

[Alexsey]

Что значит еще жив? Кроме Surface RT провальных девайсов в линейке в общем то не было. В корпоративном мире линейка очень популярна. Surface Studio вообще в свое время взрыв устроил — у винды в кои-то веки появился нормальный конкурент iMac'у да еще и с фичами, которых у последнего наверное никогда не будет.

[advan20092]

Какими фичами? Тормозным перьевым вводом да еще и с джиттером? Или бестолковой сползающей с экрана крутилкой? Это не взрыв, это пшик.

[JordanoBruno]

Жидкий азот, съем RAM-чипов — зачем такие сложности, если на борту обычный Windows 10 с кучей уязвимостей по умолчанию?

[kompas_3d]

Что за бредовое объяснение? Ничего, что для этого надо как минимум украсть сам планшет?

[JerleShannara]

Нормальное объяснение, когда надо хоть как-то выкрутиться и не говорить «память напаяна для того, чтобы лошпеды сразу покупали жЫрную версию, а не брали дешманскую для нищебродов и вставляли свою память.» — дескать о безопасности заботимся, а вот у вас молоко убежало, о как!

[kompas_3d]

Нельзя было хотя бы объяснить, что она напаяна для большей компактности планшета? Эпл всегда так объясняет и все верят же)

[kompas_3d]

Кто будет красть планшет для похищения данных с него? Не чтобы перепродать его, а именно чтобы украсть данные? Украсть планшет может либо карманник в общественном транспорте, либо наркоман в подворотне. Никто из них не будет интересоваться данными. Если же цель состоит в похищении данных, для этого надо гарантированно подставится под уголовку, да ещё и получить прямой контакт с владельцем планшета. Если это делают конкуренты, то это можно сделать во время деловой встречи или через своего человека в компании. Деловые встречи с конкурентами либо не проводятся, либо проводятся на нейтральной территории, например в кафе. Могут быть свидетели, можно попасть на камеру — планшет не иголка, он будет заметен в руках. Если есть свой человек, то не проще ли через него получить доступ сразу к данным, а не к планшету?

[kompas_3d]

Человек может иметь несанкционированный доступ к планшету, но не данным

И будет первым подозреваемым при похищении планшета, попадая под уголовное дело.

[BJM]

Я конечно понимаю, что повторяюсь, но про «достаточно «пшика» из обычного баллона со сжатым воздухом. Так микросхема охладится до -50 °C» это же вы не всерьез?

[isden]

> насколько помню, пропан-бутановая смесь.

Они разные есть. У меня, например, в столе сейчас лежит пара баллонов с тетрафторэтаном (-26С емнип).
Но таки да, с заморозкой пропан-бутановой смесью я как-то аккумулятор из макбука выковыривал :)

[saag]

Вот это атака так атака, врываются люди в масках с бластером в одной руке и сосудом Дьюара в другой, кто-то поскальзывается на только что помытом полу, женские крики, звон стекла, хлюп жидкого азота на пол, облако тумана… потом недосчитаются нескольких модулей ОЗУ, после проведенного раследования и допроса третьей степени сотрудника кому принадлежал планшет выяснится, что он смотрел аниме…

[drWhy]

Навеяло