為了證明 Windows 11 有多安全,微軟親自「駭」掉自家電腦

作者 | 發布日期 2021 年 10 月 19 日 8:15 | 分類 Microsoft , Windows , 資訊安全 Telegram share ! follow us in feedly


2015 年微軟發表 Windows 10 時,開發人員 Jerry Nixon 曾稱 Windows 10 將是 Windows 最後一版,未來微軟只會在 Windows 10 平台新增功能和修補漏洞。

Windows 10 以前,Windows 版本更新週期基本維持 3~4 年,像 Windows 10 這樣維護 6 年仍未大更新的版本實屬少見。就在大家都以為,微軟已為 Windows 劃上句號時,微軟突然宣布 Windows 11 來臨。

無論微軟是否打自己的臉,Windows 11 還是給與 Windows 10 朝夕相處 6 年之久的老用戶很多新鮮感,且這次升級免費,很多用戶正式版發表後紛紛打算升級體驗。然而電腦硬體較舊的用戶卻發現,自己的電腦無法滿足 Windows 11 升級要求。更奇特的是,這並不是因電腦 CPU 性能不足,或硬碟、記憶體容量不夠,而是一顆從來沒聽過的晶片──TPM 2.0 安全晶片。

「啥 TPM 晶片,英特爾還是 AMD 的?」

由於 Windows 系統安全性一直飽受詬病,微軟 2011 年聯合多家 PC 廠商一起推廣 TPM 安全晶片,以提高 Windows 系統防禦力,從此開始基本上每台電腦出廠時都會內建 TPM 1.2 晶片。

簡單來說,TPM 晶片專門處理電腦加密金鑰,發揮安全認證、密鑰儲存等作用,比軟體安全防護,TPM 提供的硬體級防護封閉得多,更不易遭病毒等惡意軟體入侵篡改。

▲ 新 CPU 已整合 TPM 2.0 晶片。

2016 年 TPM 2.0 晶片開始推廣,不少廠商也跟上步伐,不過當時用戶察覺不到這種「枝微末節」的升級,直到 Windows 11 推出。

還在用 TPM 1.2 時代硬體的用戶指責微軟借 Windows 11 升級強推 TPM 2.0 晶片,是為了刺激老用戶換新硬體,加速硬體淘汰,因此他們研究很多繞過 TPM 晶片檢測的方法,欲強行升級 Windows 11,稱之為「偷渡」。

微軟解釋,推廣 TPM 2.0 晶片是為了應付越來越嚴峻的資安問題。

微軟安全研究人員發現,利用硬體漏洞(CPU、記憶體、硬碟等)攻擊系統日漸增加,且惡意代碼很難檢測或清除,一旦感染,用戶只能重灌系統或更換硬碟。

這些漏洞不僅威脅用戶資安,還會間接對現實世界造成嚴重影響,如前幾年讓全球陷入資訊安全恐慌的勒索軟體一度讓醫院、加油站等重要機構電腦癱瘓,造成難以挽回的損失。為了更直接解釋 TPM 2.0 晶片的重要性,微軟決定化身「駭客」,示範 Windows 11 遭入侵時如何抵禦。

到底安不安全,入侵一下便知道

微軟請出企業和操作系統安全主管 David Weston 示範入侵。

David 建立了專業駭客隊伍,他的工作就是比駭客更快找到威脅系統的安全問題,因此攻擊 Windows 這塊,他可說是專家。David 首先展示遠距入侵一台沒有開啟 TPM 保護或安全啟動的 Windows 10 電腦,然後在這台傀儡機安裝勒索軟體,鎖定硬碟。

入侵過程非常簡單,David 找到開放 RDP,遠距強制登入電腦。攻破系統密碼的過程也很粗暴,就是檢索各種已洩露的密碼不斷嘗試解鎖,經過幾分鐘或幾天暴力破解就能攻破。

一旦成功進入系統,傀儡機基本上就喪失控制權,駭客可隨意植入勒索軟體等木馬,更改系統指南文件,即使用 WinPE 或 WinRE 修復硬碟,也不能確保完全恢復系統分區。想解鎖重要數據,用戶就不得不用比特幣等加密貨幣支付駭客高昂贖金。

Windows 11 怎樣保護重要文件免受「綁架」呢?David 稱解決辦法並不複雜,就是使用內建的「安全啟動模式」。

在 Windows 11 安全模式下,系統啟動時會檢查啟動程式代碼與密鑰是否與 TPM 晶片資訊一致,確認是否遭修改。

再根據執行的健康指引日誌,以正確文件執行,拒絕勒索軟體修改,可正常登入 Windows 備份文件,將勒索入侵損失降到最低。示範完遠距控制後,David 接著展示另一種面對面安全破解──用小熊軟糖破解指紋辨識。

由於偽造完全相同的指紋非常困難,大多數人印象裡指紋辨識非常安全。想強行破解指紋辨識這道安全大門確實是個難題,但繞開它直接進入系統卻有可能。

David 準備名為 PCI leech 的設備,能透過 Thunderbolt 直接存取電腦記憶體資訊,只要幫電腦安裝「任何資訊都能解鎖」修補程式,就能成功繞過指紋資訊進入電腦。這時用任何有導電性的物體(手指、鼻子或小熊軟糖等)都能解鎖電腦,存取所有隱私內容。

這種針對記憶體的攻擊並不罕見,因為很多程式執行時數據都會暫時存在記憶體,攻擊者就利用這機會趁機修改數據。如果電腦落入懂技術的不法分子手裡,那「機密文件」大概凶多吉少。

不過恰好有使用 TPM 晶片防護入侵,一切就另當別論。David 入侵另一台 Windows 11 電腦,發現指紋辨識依然正確運作。這是因指紋辨識資訊不再簡單存在記憶體,而是隔離出來鎖定於獨立安全的虛擬區域,每次讀取都需密鑰校驗。

密鑰則存在與外界隔絕的 TPM 晶片,安全性大大提高。

David 稱目前 Windows 11 很多安全功能也能在 Windows 10 使用,只是上一版這些功能還只是選擇性功能,現在提高 Windows 11 的安全性能而預設啟用。無論是否打算從 Windows 10 升級到 Windows 11,微軟都建議用戶檢查 TPM 版本,並從 BIOS 啟用。

是時候重視安全晶片了

除了系統級安全防護,TPM 2.0 晶片的保護措施還有很多,最常見的應該就是從 Windows Vista 時期加入的 Bitlocker。對企業級用戶而言,Bitlocker 驅動加密已不可或缺。Bitlocker 是全卷加密技術,簡單來說就是幫硬碟上鎖,即使硬碟被盜,小偷也不能存取資訊。保護資訊的關鍵,就是 TPM 2.0 晶片。當為磁碟加密時,加密部分密鑰會存在 TPM 晶片裡。

這不僅提供安全性更高的加密保護,當硬碟不幸落入他人之手,也會因缺少 TPM 晶片密鑰而無法使用,提供強力脫機保護。

數位貨幣和虛擬資產流行,很多「數位大亨」價值數十萬美元的 NFT 資產、數位錢包密鑰可能就存在硬碟裡,一旦遺失後果不堪設想。因此對個人用戶來說,利用類似 Bitlocker 等硬體級加密技術保護重要資料很有必要。

TPM 晶片除了確保數據安全,還有一些意想不到的用途,如遊戲防作弊。

近年不少遊戲突然爆紅如《絕地求生》、《Apex 英雄》、《糖豆人:終極淘汰賽》等,爆紅原因各不相同,但「涼掉」的理由大多一樣──外掛太多。

遊戲開發者與外掛者的鬥爭,從遊戲誕生那天起便開始,現在有些開發者決定用更嚴苛的手段對付作弊者,包括《英雄聯盟》開發商 Riot Games。

Riot Games 新作《特戰英豪》防作弊系統 Vanguard 會檢測 Windows 11 玩家是否啟用 TPM 2.0,如果未啟用將不能進入遊戲。有安全專家分析,Riot Games 打算以 TPM 2.0 晶片確認作弊者的硬體資訊,並針對設備層面封鎖帳號。

《特戰英豪》手法激進大膽,這可能會啟發其他遊戲公司,用物理封鎖拉高作弊者成本,但當然也有更嚴格監管是侵犯個人隱私的聲音。不過在 Windows 11 推動下,類似《特戰英豪》需調用 TPM 2.0 晶片的遊戲或應用也許會越來越多。屆時更高標準的資訊安全防護需求,可能會成為人們更換設備的新理由。

(本文由 愛范兒 授權轉載;首圖來源:微軟

延伸閱讀: