In occasione della recente Black Hat Conference 2010, svoltasi dal 31 Gennaio al 3 Febbraio scorsi ad Arlington, nello Stato della Virginia, il consulente di sicurezza Christopher Tarnovsky ha illustrato il metodo che ha utilizzato per scardinare i meccanismi di sicurezza della piattaforma Trusted Platform Module (TPM).

Si tratta di un procedimento non certo alla portata di tutti, che Taronvsky ha comunque già impiegato in precedenza per infrangere le barriere di altri soluzioni di sicurezza hardware-based. Non a caso Christopher Tarnovsky è noto per aver pubblicato sul web alcuni video "didattici" nel quale dimostra come valicare le barriere di sicurezza delle smart card per i sistemi di ricezione di programmi televisivi criptati.

La strategia seguita da Taronvsky è di fatto basata sulla possibilità di avere accesso fisico al sistema provvisto di modulo TPM e, al contempo, sulla capacità e la competenza per praticare un vero "hacking fisico" a livello di chip.

Tarnovsky ha impiegato circa sei mesi per riuscire a forzare i meccanismi di sicurezza del chip. Il processo seguito prevede anzitutto l'impiego di un bagno d'acido per dissolvere la copertura plastica del chip e, in un secondo momento, la rimozione della schiuma di protezione delle radiofrequenze per poter accedere ai collegamenti fisici e al cuore del chip.

Una volta esposte le "viscere digitali" del chip, mediante un'apposita strumentazione, Tarnovsky è stato capace di immettersi sul canale di comunicazione tra chip e sistema e di tenere traccia delle istruzioni di crittografia e di operare pertanto un reverse engineering volto a bypassare completamente le misure di sicurezza che il chip TPM è destinato a fornire.

Il Trusted Computer Group ha commentato minimizzando quanto elaborato da Tarnovsky, sostenendo che si tratta di una pratica piuttosto difficoltosa da replicare in un ambiente reale (e non hanno tutti i torti...) e che comunque sia non è mai stata negata l'eventualità che le soluzioni TPM potessero essere vulnerabili ad un attacco fisico, qualora si disponga di tempo, equipaggiamento, risorse e competenze adeguati all'impresa.