ابزار جدید BitUnlocker رمزگذاری BitLocker ویندوز را دور می‌زند

محققان امنیتی ابزار و تکنیکی جدید به نام "BitUnlocker" را به نمایش گذاشته‌اند که می‌تواند رمزگذاری کامل دیسک BitLocker مایکروسافت را بر روی بسیاری از کامپیوترها و لپ‌تاپ‌های مدرن دور بزند. این حمله که نیازمند دسترسی فیزیکی به دستگاه است، به مهاجم اجازه می‌دهد تا با شنود ارتباطات داخلی دستگاه در حین بوت شدن، کلید رمزگشایی را استخراج کرده و به تمام داده‌های موجود بر روی هارد دیسک دسترسی پیدا کند. این یافته، امنیت پیکربندی پیش‌فرض BitLocker را به طور جدی به چالش می‌کشد.

جزئیات تهدید چیست؟

• نام ابزار/تکنیک: BitUnlocker

• نوع تهدید: دور زدن رمزگذاری کامل دیسک (Full Disk Encryption Bypass) از طریق حمله فیزیکی.

• سیستم هدف: دستگاه‌های ویندوزی که از BitLocker با حالت پیش‌فرض "TPM-Only" (فقط ماژول پلتفرم قابل اعتماد) استفاده می‌کنند.

• تأثیر: استخراج کلید اصلی رمزگشایی (Volume Master Key) و دسترسی کامل به تمام اطلاعات رمزگذاری‌شده روی دیسک.

• پیش‌نیاز حمله: دسترسی فیزیکی به دستگاه برای چند دقیقه و یک ابزار سخت‌افزاری ارزان (مانند یک FPGA).

• وضعیت: این تکنیک به همراه ابزار اثبات مفهوم (PoC) آن توسط محققان به طور عمومی منتشر شده تا آگاهی‌رسانی صورت گیرد.

تکنیک چگونه عمل می‌کند؟

این حمله از نوع شنود گذرگاه (Bus Sniffing) است و در چند مرحله انجام می‌شود:

1. دسترسی فیزیکی: مهاجم باید به صورت فیزیکی به لپ‌تاپ یا کامپیوتر خاموش دسترسی داشته باشد.

2. اتصال سخت‌افزار شنود: مهاجم با باز کردن قاب دستگاه، یک ابزار سخت‌افزاری ارزان (مانند یک برد FPGA که حدود ۱۰ دلار قیمت دارد) را به گذرگاه SPI متصل می‌کند. این گذرگاه، مسیر ارتباطی بین پردازنده اصلی (CPU) و تراشه امنیتی TPM است.

3. شنود کلید در حین بوت: مهاجم دستگاه را روشن می‌کند. در طی فرآیند بوت، برای اینکه ویندوز بتواند بالا بیاید، تراشه TPM باید کلید رمزگشایی BitLocker را برای CPU ارسال کند. ابزار BitUnlocker دقیقاً در همین لحظه این ارتباط را شنود کرده و یک کپی از کلید را ضبط می‌کند.

4. رمزگشایی کامل دیسک: پس از به دست آوردن کلید، مهاجم می‌تواند هارد دیسک را به سیستم دیگری متصل کرده و با استفاده از کلید سرقت‌شده، آن را به طور کامل رمزگشایی و به تمام اطلاعات آن، از جمله اسناد شخصی، رمزهای عبور ذخیره‌شده و اطلاعات شرکتی، دسترسی پیدا کند.

وضعیت فعلی تهدید

اگرچه تکنیک‌های شنود TPM از نظر تئوری سال‌هاست که شناخته شده‌اند، اما ساخت ابزاری ارزان و در دسترس مانند BitUnlocker، این نوع حمله را از یک تهدید پیچیده و پرهزینه به یک خطر واقعی و عملی برای طیف وسیعی از کاربران تبدیل کرده است. این دیگر یک حمله در سطح دولتی نیست و می‌تواند توسط سارقان یا جاسوسان صنعتی نیز انجام شود. محققان با انتشار این یافته، به دنبال فشار بر مایکروسافت و سازندگان سخت‌افزار برای بهبود امنیت پیش‌فرض محصولاتشان هستند.

چگونه از خود محافظت کنیم؟

• فعال‌سازی احراز هویت پیش از بوت (مهم‌ترین راهکار): بهترین راه برای خنثی کردن این حمله، افزودن یک لایه امنیتی دیگر به BitLocker است. کاربران باید وارد تنظیمات BitLocker شده و علاوه بر TPM، یک پین (PIN) یا یک کلید استارتاپ روی فلش مموری (USB Startup Key) را فعال کنند. در این حالت، حتی اگر مهاجم کلید را از TPM استخراج کند، برای رمزگشایی نهایی به پین یا کلید USB نیاز خواهد داشت که در اختیار ندارد.

• حفاظت فیزیکی از دستگاه: هرگز لپ‌تاپ خود را، به خصوص در مسافرت یا مکان‌های عمومی، بدون نظارت رها نکنید.

• خاموش کردن کامل دستگاه: به جای استفاده از حالت Sleep یا Hibernate، همیشه دستگاه خود را به طور کامل خاموش (Shut down) کنید. این کار ریسک انواع دیگر حملات فیزیکی مانند Cold Boot را نیز کاهش می‌دهد.

چرا این تهدید مهم است؟

BitLocker یکی از مهم‌ترین ابزارهای امنیتی در اکوسیستم ویندوز است که میلیون‌ها کاربر و سازمان برای حفاظت از داده‌های حساس خود به آن تکیه می‌کنند. این حمله نشان می‌دهد که پیکربندی پیش‌فرض و راحت BitLocker که در اکثر دستگاه‌ها فعال است، در برابر حملات فیزیکی به شدت آسیب‌پذیر است. این موضوع این باور رایج که "داده‌های من با BitLocker کاملاً امن است" را به چالش می‌کشد و بر اهمیت پیکربندی صحیح و چندلایه‌ای ابزارهای امنیتی تأکید می‌کند. این خطر به ویژه برای افرادی که اطلاعات حساسی را روی لپ‌تاپ خود حمل می‌کنند (مانند مدیران، روزنامه‌نگاران و فعالان) بسیار جدی است.