अपने कंप्यूटर को थंडरस्पी हमले से बचाने के लिए टिप्स

थंडरबोल्ट (Thunderbolt)इंटेल(Intel) द्वारा विकसित हार्डवेयर ब्रांड इंटरफेस है । यह कंप्यूटर और बाहरी उपकरणों के बीच एक इंटरफेस के रूप में कार्य करता है। जबकि अधिकांश विंडोज(Windows) कंप्यूटर सभी प्रकार के पोर्ट के साथ आते हैं, कई कंपनियां विभिन्न प्रकार के उपकरणों से जुड़ने के लिए थंडरबोल्ट का उपयोग करती हैं। (Thunderbolt)यह कनेक्ट करना आसान बनाता है, लेकिन आइंडहोवन यूनिवर्सिटी(Eindhoven University) ऑफ टेक्नोलॉजी(Technology) के शोध के अनुसार , थंडरबोल्ट(Thunderbolt) के पीछे की सुरक्षा को एक तकनीक - थंडरस्पी(Thunderspy) का उपयोग करके भंग किया जा सकता है । इस पोस्ट में, हम उन युक्तियों को साझा करेंगे जिनका पालन करके आप अपने कंप्यूटर को थंडर्सपी(Thunderspy) से सुरक्षित रख सकते हैं ।

टंडरस्पी(Tunderspy) क्या है ? यह कैसे काम करता है?

यह एक स्टील्थ अटैक है जो हमलावर को उपकरणों से समझौता करने के लिए डायरेक्ट मेमोरी एक्सेस ( डीएमए ) कार्यक्षमता तक पहुंचने की अनुमति देता है। (DMA)सबसे बड़ी समस्या यह है कि कोई निशान नहीं बचा है क्योंकि यह मैलवेयर या लिंक बैट के किसी भी दिमाग को तैनात किए बिना काम करता है। यह सर्वोत्तम सुरक्षा प्रथाओं को बायपास कर सकता है और कंप्यूटर को लॉक कर सकता है। तो यह कैसे काम करता है? हमलावर को कंप्यूटर तक सीधी पहुंच की आवश्यकता होती है। शोध के अनुसार, सही टूल के साथ इसमें 5 मिनट से भी कम समय लगता है।

थंडरस्पी से बचाव के टिप्स

हमलावर सोर्स डिवाइस के थंडरबोल्ट कंट्रोलर फर्मवेयर(Thunderbolt Controller Firmware) को अपने डिवाइस में कॉपी कर लेता है। इसके बाद यह थंडरबोल्ट(Thunderbolt) फर्मवेयर में लागू सुरक्षा मोड को अक्षम करने के लिए फर्मवेयर पैचर ( टीसीएफपी(TCFP) ) का उपयोग करता है । संशोधित संस्करण को बस पाइरेट(Bus Pirate) डिवाइस का उपयोग करके लक्ष्य कंप्यूटर पर वापस कॉपी किया जाता है । फिर एक थंडरबोल्ट(Thunderbolt) -आधारित हमला डिवाइस उस डिवाइस से जुड़ा होता है जिस पर हमला किया जा रहा है। यह तब कर्नेल मॉड्यूल को लोड करने के लिए PCILeech टूल का उपयोग करता है जो (PCILeech)विंडोज(Windows) साइन-इन स्क्रीन को बायपास करता है।

इसलिए भले ही कंप्यूटर में सिक्योर बूट(Secure Boot) , मजबूत BIOS , और ऑपरेटिंग सिस्टम अकाउंट पासवर्ड जैसी सुरक्षा सुविधाएं हों, और पूर्ण डिस्क एन्क्रिप्शन सक्षम, सक्षम हो, फिर भी यह सब कुछ बायपास कर देगा।

सुझाव(TIP) : स्पाईचेक जांच करेगा कि आपका पीसी थंडरस्पी हमले की चपेट में है या नहीं ।

थंडरस्पी से बचाव के टिप्स

Microsoft आधुनिक खतरे से बचाव के लिए तीन तरीके सुझाता है (recommends)इन सुविधाओं में से कुछ जो विंडोज़ में निर्मित हैं, का लाभ उठाया जा सकता है जबकि कुछ को हमलों को कम करने के लिए सक्षम किया जाना चाहिए।

  • सुरक्षित-कोर पीसी सुरक्षा
  • कर्नेल डीएमए सुरक्षा
  • हाइपरवाइजर-संरक्षित कोड अखंडता ( HVCI )

उस ने कहा, यह सब एक सुरक्षित-कोर पीसी पर संभव है। आप इसे नियमित पीसी पर लागू नहीं कर सकते क्योंकि हार्डवेयर उपलब्ध नहीं है जो इसे हमले से सुरक्षित कर सके। यह पता लगाने का सबसे अच्छा तरीका है कि आपका पीसी इसका समर्थन करता है या नहीं , विंडोज सुरक्षा(Windows Security) ऐप के देविक सुरक्षा(Devic Security) अनुभाग की जांच कर रहा है।

1] सुरक्षित-कोर पीसी सुरक्षा

विंडोज डिफेंडर सिस्टम गार्ड

विंडोज सिक्योरिटी(Windows Security) , माइक्रोसॉफ्ट का इन-हाउस सुरक्षा सॉफ्टवेयर, विंडोज डिफेंडर सिस्टम गार्ड और वर्चुअलाइजेशन-आधारित सुरक्षा प्रदान करता है। हालाँकि, आपको एक ऐसे उपकरण की आवश्यकता है जो सिक्योर्ड-कोर पीसी(Secured-core PCs) का उपयोग करता हो । यह सिस्टम को एक विश्वसनीय स्थिति में लॉन्च करने के लिए आधुनिक सीपीयू(CPU) में निहित हार्डवेयर सुरक्षा का उपयोग करता है । यह फर्मवेयर स्तर पर मैलवेयर द्वारा किए गए प्रयासों को कम करने में मदद करता है।

2] कर्नेल डीएमए सुरक्षा

विंडोज 10(Windows 10) v1803 में पेश किया गया , कर्नेल डीएमए सुरक्षा (Kernel DMA)पीसीआई(PCI) हॉटप्लग डिवाइस जैसे थंडरबोल्ट का उपयोग करके डायरेक्ट (Thunderbolt)मेमोरी एक्सेस(Memory Access) ( डीएमए(DMA) ) हमलों से बाहरी बाह्य उपकरणों को ब्लॉक करना सुनिश्चित करती है । इसका मतलब है कि अगर कोई दुर्भावनापूर्ण थंडरबोल्ट(Thunderbolt) फर्मवेयर को मशीन में कॉपी करने की कोशिश करता है , तो उसे थंडरबोल्ट(Thunderbolt) पोर्ट पर ब्लॉक कर दिया जाएगा । हालांकि, यदि उपयोगकर्ता के पास उपयोगकर्ता नाम और पासवर्ड है, तो वह इसे बायपास कर सकेगा।

3] हाइपरविजर-संरक्षित(Hypervisor-protected) कोड अखंडता ( एचवीसीआई(HVCI) ) के साथ सख्त(Hardening) सुरक्षा

मेमोरी इंटीग्रिटी कोर आइसोलेशन विंडोज सिक्योरिटी को बंद करें

विंडोज 10(Windows 10) पर हाइपरविजर-संरक्षित कोड अखंडता या एचवीसीआई(HVCI) सक्षम होना चाहिए । यह कोड अखंडता सबसिस्टम को अलग करता है और सत्यापित करता है कि वहाँ कर्नेल कोड (Kernel)Microsoft द्वारा सत्यापित और हस्ताक्षरित नहीं है । यह यह भी सुनिश्चित करता है कि असत्यापित कोड निष्पादित नहीं होता है यह सुनिश्चित करने के लिए कर्नेल कोड लिखने योग्य और निष्पादन योग्य दोनों नहीं हो सकता है।

थंडरस्पी (Thunderspy)विंडोज(Windows) साइन-इन स्क्रीन को बायपास करने वाले कर्नेल मॉड्यूल को लोड करने के लिए पीसीआईएलईच(PCILeech) टूल का उपयोग करता है । एचवीसीआई(HVCI) का उपयोग करने से इसे रोकना सुनिश्चित होगा क्योंकि यह इसे कोड निष्पादित करने की अनुमति नहीं देगा।

जब कंप्यूटर खरीदने की बात आती है तो सुरक्षा हमेशा सबसे ऊपर होनी चाहिए। यदि आप महत्वपूर्ण डेटा से निपटते हैं, विशेष रूप से व्यवसाय के साथ, तो सिक्योर्ड-कोर पीसी(Secured-core PC) डिवाइस खरीदने की अनुशंसा की जाती है। यहाँ Microsoft वेबसाइट पर ऐसे उपकरणों(such devices) का आधिकारिक पृष्ठ है ।



Owais Handa

About the author

मैं एक सॉफ्टवेयर इंजीनियर हूं, जिसके पास मोबाइल और डेस्कटॉप एप्लिकेशन पर काम करने का दो साल से अधिक का अनुभव है। मुझे विंडोज़ अपडेट, सेवाओं और जीमेल में विशेषज्ञता हासिल है। मेरे कौशल मुझे विंडोज़ एप्लिकेशन विकसित करने या ईमेल क्लाइंट बनाए रखने जैसे कार्यों के लिए सही उम्मीदवार बनाते हैं।


Related posts