Bilgisayarınızı Thunderspy saldırısına karşı koruma ipuçları

Thunderbolt , Intel tarafından geliştirilen donanım markası arabirimidir . Bilgisayar ve harici cihazlar arasında bir arayüz görevi görür. Windows bilgisayarların çoğu her türden bağlantı noktasıyla birlikte gelirken, birçok şirket çeşitli aygıt türlerine bağlanmak için Thunderbolt'u kullanır. (Thunderbolt)Bağlantıyı kolaylaştırır, ancak Eindhoven (Eindhoven University)Teknoloji(Technology) Üniversitesi'ndeki araştırmaya göre, Thunderbolt'un(Thunderbolt) arkasındaki güvenlik, bir teknik kullanılarak ihlal edilebilir - Thunderspy . Bu gönderide, bilgisayarınızı Thunderspy'a(Thunderspy) karşı korumak için izleyebileceğiniz ipuçlarını paylaşacağız .

Tunderspy nedir ? O nasıl çalışır?

Bu, bir saldırganın aygıtları tehlikeye atmak için doğrudan bellek erişimi ( DMA ) işlevine erişmesine izin veren gizli bir saldırıdır. (DMA)En büyük sorun, herhangi bir kötü amaçlı yazılım veya bağlantı yemi dağıtmadan çalıştığı için hiçbir iz kalmamasıdır. En iyi güvenlik uygulamalarını atlayabilir ve bilgisayarı kilitleyebilir. Peki nasıl çalışır? Saldırganın bilgisayara doğrudan erişmesi gerekiyor. Araştırmaya göre doğru araçlarla 5 dakikadan az sürüyor.

Thunderspy'a karşı koruma ipuçları

Saldırgan, kaynak cihazın Thunderbolt Controller Firmware'ini(Thunderbolt Controller Firmware) kendi cihazına kopyalar . Ardından , Thunderbolt belleniminde uygulanan güvenlik modunu devre dışı bırakmak için bir bellenim yaması ( TCFP ) kullanır . Değiştirilen sürüm, Bus Pirate(Bus Pirate) aygıtı kullanılarak hedef bilgisayara geri kopyalanır . Ardından , saldırıya uğrayan cihaza Thunderbolt tabanlı bir saldırı cihazı bağlanır. Ardından , Windows oturum açma ekranını atlayan bir çekirdek modülünü yüklemek için PCILeech aracını kullanır.(PCILeech)

Bu nedenle, bilgisayar Güvenli Önyükleme(Secure Boot) , güçlü BIOS ve işletim sistemi hesabı parolaları gibi güvenlik özelliklerine sahip olsa ve etkinleştirilmiş tam disk şifrelemesi etkinleştirilmiş olsa bile, yine de her şeyi atlayacaktır.

İPUCU(TIP) : Spycheck, bilgisayarınızın Thunderspy saldırısına karşı savunmasız olup olmadığını kontrol eder .

Thunderspy'a karşı koruma ipuçları

Microsoft , modern tehdide karşı koruma sağlamak için üç yol önerir . (recommends)Windows'ta yerleşik olarak bulunan bu özelliklerden bazıları kullanılabilirken, bazıları saldırıları azaltmak için etkinleştirilmelidir.

  • Güvenli çekirdekli bilgisayar korumaları
  • Çekirdek DMA koruması
  • Hipervizör korumalı kod bütünlüğü ( HVCI )

Bununla birlikte, tüm bunlar Güvenli çekirdekli bir PC'de mümkündür. Bunu normal bir PC'ye uygulayamazsınız çünkü onu saldırıdan koruyabilecek donanım mevcut değildir. Bilgisayarınızın destekleyip desteklemediğini öğrenmenin en iyi yolu , Windows Güvenlik(Windows Security) uygulamasının Aygıt Güvenliği(Devic Security) bölümünü kontrol etmektir.

1] Güvenli çekirdekli PC korumaları

Windows Defender Sistem Koruması

Microsoft'un şirket içi güvenlik yazılımı olan Windows Security(Windows Security) , Windows Defender Sistem Koruması ve sanallaştırma tabanlı güvenlik sunar. Ancak, Secured-core PC'leri(Secured-core PCs) kullanan bir cihaza ihtiyacınız var . Sistemi güvenilir bir duruma başlatmak için modern CPU'da(CPU) köklü donanım güvenliğini kullanır . Ürün yazılımı düzeyinde kötü amaçlı yazılımlar tarafından yapılan girişimlerin azaltılmasına yardımcı olur.

2] Çekirdek DMA koruması

Windows 10 v1803'te tanıtılan Kernel DMA koruması, (Kernel DMA)Thunderbolt gibi PCI çalışırken takılabilir aygıtları kullanarak harici çevre birimlerinin Doğrudan Bellek Erişimi(Memory Access) ( DMA ) saldırılarını engellemesini sağlar . Bu, birisi kötü niyetli Thunderbolt(Thunderbolt) ürün yazılımını bir makineye kopyalamaya çalışırsa , Thunderbolt bağlantı noktası üzerinden engelleneceği anlamına gelir . Ancak, kullanıcı kullanıcı adı ve şifreye sahipse, bunu atlayabilecektir.

3] Hipervizör korumalı(Hypervisor-protected) kod bütünlüğü ( HVCI ) ile sertleştirme(Hardening) koruması

Bellek Bütünlüğü Çekirdek Yalıtımı Windows Güvenliği'ni kapatın

Windows 10'da(Windows 10) hiper yönetici korumalı kod bütünlüğü veya HVCI etkinleştirilmelidir . Kod bütünlüğü alt sistemini yalıtır ve orada Çekirdek kodunun (Kernel)Microsoft tarafından doğrulanmadığını ve imzalanmadığını doğrular . Ayrıca, doğrulanmamış kodun yürütülmediğinden emin olmak için çekirdek kodunun hem yazılabilir hem de yürütülebilir olmamasını sağlar.

Thunderspy , Windows oturum açma ekranını atlayan bir çekirdek modülünü yüklemek için PCILeech aracını kullanır . HVCI kullanmak , kodu yürütmesine izin vermeyeceğinden bunu önlemeyi sağlayacaktır.

Bilgisayar satın alırken güvenlik her zaman en üstte olmalıdır. Özellikle iş ile ilgili önemli verilerle ilgileniyorsanız, Güvenli çekirdekli PC(Secured-core PC) cihazları satın almanız önerilir . İşte Microsoft web sitesinde bu tür cihazların(such devices) resmi sayfası .



İsmail Şahin

About the author

Microsoft Office ve Edge'de 15 yılı aşkın deneyime sahip bir yazılım mühendisiyim. Ayrıca, önemli sağlık verilerini izlemek için bir uygulama ve bir fidye yazılımı dedektörü gibi son kullanıcılar tarafından kullanılan birkaç araç geliştirdim. Becerilerim, çeşitli platformlarda iyi çalışan zarif kod geliştirmenin yanı sıra kullanıcı deneyimi konusunda mükemmel bir anlayışa sahip olmada yatmaktadır.


Related posts