9. helmikuuta 2010

TPM siru hakkeroitu

Entinen USA:n armeijan tietoturva-asiantuntija on onnistunut hakkeroimaan TPM-sirun totaalisesti, työkaluilla ja menetelmillä, joiden pitäisi olla kaikkien saatavilla. TPM-sirua käytetään esimerkiksi Windowsin Bitlocker-salauksen salausavainten säilytykseen (tietyillä asetuksilla). TPM-sirua käytetään myös hyväksi erilaisiin kopiointisuojauksiin ja ylipäätään kaikkeen, missä tarvitaan turvallista tallennuspaikkaa pienelle määrälle salattua tietoa. Valtava määrä erilaisia ohjelmia käyttää hyväkseen TPM:n turvaominaisuuksia ja TPM-siruja löytyykin jo useimpien tietokoneiden emolevyiltä.

(Sinällään hupaisaa, että vain pari vuotta sitten uumoiltiin TPM-sirun lopettavan kokonaan piratismin, koska se mahdollistaa takuuvarman kopiointisuojauksen, hehehehe...)

Mitä tästä opimme? Rauta ei tuo turvaa ja hakkerit murtavat aina kaikki kopiointisuojausmenetelmät. Itse en uskoisi mitään tärkeitä salausavaimiani millekään sirulle säilytettäväksi, vaan ainoastaan omaan päähäni salasanojen tms. muodossa. Toki, voihan moinen siru antaa lisäsuojaa, mutta yksinään siitä ei suojaksi ole.

3 kommenttia:

Jani Alander kirjoitti...

Ei se hakkerointi ihan yksinkertaista ollut, ja juu ne välineet ovat periaatteessa saatavilla jos voi uhrata parisataatuhatta taalaa. Yksi apuvälineistä mitä tarvittiin oli ionisäde mikroskooppi,ainakin yhden lähteen mukaan. Tiettävästi tyypillä meni useita kuukausia ja iso läjä siruja ennenkuin hän pystyi murtamaan toimivan sirun suojaukset.

Niko N kirjoitti...

Tämä on vähän asian vierestä, mutta kai viesti menee periile näinkin :)

New flaws in chip and pin system revealed

http://www.bbc.co.uk/blogs/newsnight/susanwatts/2010/02/new_flaws_in_chip_and_pin_syst.html

Rikollinen voi maksaa sirullisella pankki/luottokortilla tietämättä oikeaa PIN-koodia, mutta kuitissa ja pankkijärjestelmäässä lukee että koodi olisi kirjoitettu oikein.

Siinä on sitten vaikea todistaa että ei ole säilyttänyt PIN-koodiaan huolimattomasti.

Markus Jansson kirjoitti...

Hyvä linkki ja juttu!
Uskomatonta, että systeemi voi olla noin perseestä. Systeemin pitäisi tietysti olla niin, että PIN avaa kortin suorittamaan yhden digitaalisen allekirjoituksen kirjoituksen ja vain se allekirjoitus voi antaa luvan antaa rahaa automaatista tms.