Připojím disk, objeví se malé mass storage zařízení se soubory unlock.exe, unlock.sh a třeba dokumentace.pdf. Provedu odemčení, malé mass storage zmizí a objeví se velké mass storage s daty.
Jenže k tomu budete potřebovat administrátorská práva. A je dost velké riziko, že to nebude fungovat zrovna ve vaší distribuci, nebo že to přestane fungovat s příští verzí Windows nebo MacOS.
Nejsem odborník na Windows, ale myslím, že pokud má zařízení správnou USB třídu, například se tváří jako HID nebo jako sériák (CDC ACM), tak by mělo fungovat rovnou i pod uživatelem. (pokud není třeba doménová politika zakazující připojování USB obecně)
Navíc tohle může komunikovat i „hloupě“ přes ten mass storage, takhle fungují updaty firmwaru v některých procesorech, typicky rodiny STM32 (
náhodný odkaz 1 a
2).
Na linuxových distribucích je typicky uživatel třeba ve skupině dialout (sériák) defaultně, HID nejspíš taky, minimálně třeba
dokumentace trezoru se o nutnosti sudo nezmiňuje, ale osobně jsem to nezkoušel.
Jestliže používáš Windows tak Bitlocker.
U BitLockeru pozor že měl u některých nastavení tendenci ukládat klíče nešifrovaně do TPM, a to i když to bylo separátní TPM na desce, které udělalo unsealing na základě securebootu a poslalo klíč nešifrovaně po sběrnici. A pak to taky má tendenci zálohovat klíče do MS cloudu. Obecně mi vadí věci u kterých není naprosto jasně a jednoduše vidět co který klíč dělá a jak je vytvořen. Pak vznikají průšvihy jako tohle nebo třeba nekonečný příběh pass-the-hash.
43 Odpovědí
16422 Zhlédnutí