WikiDer > Атака злой горничной

Evil maid attack
Любое оставленное без присмотра устройство, такое как изображенный ноутбук, подвергается риску нападения злой горничной.

An злая горничная атака представляет собой атаку на автоматическое устройство, при которой злоумышленник с физическим доступом изменяет его каким-то необнаружимым образом, чтобы впоследствии получить доступ к устройству или данным на нем.

Название относится к сценарию, в котором служанка может подорвать устройство, оставленное без присмотра в гостиничном номере, но сама концепция также применима к таким ситуациям, как перехват устройства во время транспортировки или его временное увозение сотрудниками аэропорта или правоохранительных органов.

Обзор

Источник

В сообщении в блоге 2009 г., аналитик по безопасности Иоанна Рутковска придумал термин «Атака Злой Девы»; из-за того, что гостиничные номера являются обычным местом, где устройства остаются без присмотра.[1][2] В сообщении подробно описан метод взлома прошивки на автономном компьютере через внешний USB-накопитель - и, следовательно, в обход TrueCrypt шифрование диска.[2]

Д. Дефриз, специалист по компьютерной безопасности, впервые упомянул о возможности атаки злой горничной на смартфоны Android в 2011 году.[1] Он рассказал о дистрибутиве WhisperCore Android и его способности обеспечивать шифрование дисков для Android.[1]

Известность

В 2007 году бывший министр торговли США Карлос Гутьеррес якобы стал объектом нападения злой горничной во время деловой поездки в Китай.[3] Он оставил свой компьютер без присмотра во время торговой беседы в Пекине и подозревал, что его устройство было взломано.[3] Хотя обвинения еще предстоит подтвердить или опровергнуть, инцидент заставил правительство США более осторожно относиться к физическим нападениям.[3]

В 2009, Symantec Несколько агентств США посоветовали техническому директору Марка Брегману оставить свои устройства в США перед поездкой в ​​Китай.[4] Ему было приказано купить новые перед отъездом и избавиться от них, когда он вернется, чтобы любые физические попытки получить данные были бы неэффективными.[4]

Способы атаки

Классическая злая горничная

Атака начинается, когда жертва оставляет свое устройство без присмотра.[5] Затем злоумышленник может приступить к вмешательству в систему. Если устройство жертвы не имеет защиты паролем или аутентификации, злоумышленник может включить компьютер и немедленно получить доступ к информации жертвы.[6] Однако, если устройство защищено паролем, как при полном диске шифрование, прошивка устройства должна быть взломана, обычно это делается с помощью внешнего диска.[6] Скомпрометированная прошивка часто предлагает жертве поддельный пароль, идентичный оригиналу.[6] После ввода пароля скомпрометированная прошивка отправляет пароль злоумышленнику и удаляется после перезагрузки.[6] Чтобы успешно завершить атаку, злоумышленник должен вернуться к устройству после того, как оно было оставлено без присмотра во второй раз, чтобы украсть теперь доступные данные.[5][7]

Другой метод атаки - через DMA атака в котором злоумышленник получает доступ к информации жертвы через аппаратные устройства, которые напрямую подключаются к физическому адресному пространству.[6] Злоумышленнику просто нужно подключиться к аппаратному устройству, чтобы получить доступ к информации.

Сеть злая горничная

Смотрите также: фишинг

Атака злой горничной также может быть осуществлена ​​путем замены устройства жертвы идентичным устройством.[1] Если исходное устройство имеет загрузчик пароль, то злоумышленнику нужно только получить устройство с идентичным экраном ввода пароля загрузчика.[1] Если на устройстве есть экран блокировкиОднако этот процесс становится более трудным, поскольку злоумышленник должен получить фоновое изображение, чтобы поместить его на экран блокировки имитирующего устройства.[1] В любом случае, когда жертва вводит свой пароль на поддельном устройстве, устройство отправляет пароль злоумышленнику, который владеет исходным устройством.[1] После этого злоумышленник может получить доступ к данным жертвы.[1]

Уязвимые интерфейсы

Устаревший BIOS

Наследие BIOS считается небезопасным от нападений злых горничных.[8] Его архитектура старая, обновленная и Дополнительные ПЗУ находятся беззнаковый, и конфигурация не защищена.[8] Кроме того, он не поддерживает безопасная загрузка.[8] Эти уязвимости позволяют злоумышленнику загрузиться с внешнего диска и поставить под угрозу прошивку.[8] Затем скомпрометированную прошивку можно настроить на отправлять нажатия клавиш злоумышленнику удаленно.[8]

Унифицированный расширяемый интерфейс встроенных микропрограмм

Унифицированный расширяемый интерфейс встроенных микропрограмм (UEFI) предоставляет множество необходимых функций для защиты от атак злой горничной.[8] Например, он предлагает платформу для безопасной загрузки, аутентифицированных переменных во время загрузки и TPM безопасность инициализации.[8] Несмотря на эти доступные меры безопасности, производители платформ не обязаны их использовать.[8] Таким образом, могут возникнуть проблемы безопасности, когда эти неиспользуемые функции позволяют злоумышленнику использовать устройство.[8]

Системы полного шифрования диска

Много полное шифрование диска системы, такие как TrueCrypt и Шифрование всего диска PGP, восприимчивы к атакам злобных горничных из-за их неспособности аутентифицироваться для пользователя.[9] Злоумышленник может изменять содержимое диска, несмотря на то, что устройство выключено и зашифровано.[9] Злоумышленник может изменить коды загрузчика системы шифрования, чтобы украсть пароли у жертвы.[9]

Возможность создания канала связи между загрузчиком и операционной системой для удаленного кражи пароля для диска, защищенного FileVault 2, также исследуется.[10] В системе macOS эта атака имеет дополнительные последствия из-за технологии «пересылки паролей», в которой пароль учетной записи пользователя также служит паролем FileVault, обеспечивая дополнительную поверхность атаки за счет повышения привилегий.

Thunderbolt

Основная статья: Thunderspy

В 2019 году уязвимость под названием «Thunderclap» в Intel Thunderbolt были объявлены порты, обнаруженные на многих ПК, которые могут позволить злоумышленнику получить доступ к системе через прямой доступ к памяти (DMA). Это возможно, несмотря на использование ввода / вывода. блок управления памятью (IOMMU).[11][12] Эта уязвимость была в значительной степени исправлена ​​поставщиками. В 2020 году за ним последовал «Thunderspy», который, как считается, не подлежит исправлению и позволяет аналогичным образом использовать DMA для получения полного доступа к системе в обход всех функций безопасности.[13]

Любое необслуживаемое устройство

Любое автоматическое устройство может быть уязвимо для сетевой атаки злой горничной.[1] Если злоумышленник достаточно хорошо знает устройство жертвы, он может заменить устройство жертвы на идентичную модель с механизмом кражи пароля.[1] Таким образом, когда жертва вводит свой пароль, злоумышленник будет немедленно уведомлен об этом и сможет получить доступ к информации украденного устройства.[1]

Смягчение

Обнаружение

Один из подходов состоит в том, чтобы обнаружить, что кто-то находится рядом с оставленным без присмотра устройством или обращается с ним. Сигнализация приближения, сигнализация детектора движения и беспроводные камеры могут использоваться для предупреждения жертвы, когда злоумышленник находится рядом с устройством, тем самым сводя на нет фактор неожиданности злая горничная нападение.[14] В Приложение Haven для Android был создан в 2017 году Эдвард Сноуден проводить такой мониторинг и передавать результаты на смартфон пользователя.[15]

В отсутствие вышеуказанного технология защиты от несанкционированного доступа для определения того, было ли разобрано устройство, можно использовать различные виды, включая недорогое решение нанесения блесток на отверстия для винтов.[16]

После подозрения на атаку жертва может проверить свое устройство на наличие вредоносных программ, но это непросто. Предлагаемые подходы - это проверка хэшей выбранных секторов и разделов диска.[2]

Профилактика

Если устройство находится под постоянным наблюдением, злоумышленник не сможет выполнить атаку злой горничной.[14] Если оставить устройство без присмотра, оно также может быть помещено в сейф, чтобы злоумышленник не имел к нему физического доступа.[14] Однако возможны ситуации, например, когда устройство временно забирают сотрудники аэропорта или правоохранительных органов, когда это нецелесообразно.

Базовые меры безопасности, такие как наличие последней последней версии микропрограммы и выключение устройства перед тем, как оставить его без присмотра, предотвращают использование атакой уязвимостей в устаревшей архитектуре и возможность подключения внешних устройств к открытым портам соответственно.[5]

Системы шифрования дисков на базе ЦП, такие как ТРЕЗОР и Loop-Amnesia, предотвращают уязвимость данных для DMA-атак, гарантируя, что они не попадут в системную память.[17]

Безопасная загрузка на основе TPM было показано, что он смягчает атаки злобных горничных, аутентифицируя устройство для пользователя.[18] Он выполняет это путем разблокировки только в том случае, если пользователь дает правильный пароль и если он измеряет, что на устройстве не был выполнен несанкционированный код.[18] Эти измерения выполняются корневыми системами доверия, такими как Microsoft BitLocker и технология Intel TXT.[9] Программа Anti Evil Maid основывается на безопасной загрузке на основе TPM и в дальнейшем пытается аутентифицировать устройство для пользователя.[1]

Смотрите также

Рекомендации

  1. ^ а б c d е ж грамм час я j k л Гоцфрид, Йоханнес; Мюллер, Тило. «Анализируя функцию шифрования полного диска Android» (PDF). Группа инновационных исследований в области информационных наук и технологий. Получено 29 октября, 2018.
  2. ^ а б c Рутковска, Иоанна (16.10.2009). «Блог Лаборатории невидимых вещей: Evil Maid идет за TrueCrypt!». Блог Лаборатории невидимых вещей. Получено 2018-10-30.
  3. ^ а б c "Китайцы взломали ноутбук секретаря кабинета министров?". msnbc.com. 2008-05-29. Получено 2018-10-30.
  4. ^ а б Данчев, Данчо. "'Кейлоггеры атак с USB-накопителя Evil Maid Парольные фразы TrueCrypt | ZDNet ". ZDNet. Получено 2018-10-30.
  5. ^ а б c "Руководство F-Secure по атакам злых горничных" (PDF). F-Secure. Получено 29 октября, 2018.
  6. ^ а б c d е "Противодействие" злой горничной "[LWN.net]". lwn.net. Получено 2018-10-30.
  7. ^ Хоффман, Крис. «Что такое нападение« злой девы »и чему оно нас учит?». How-To Компьютерщик. Получено 2020-11-21.
  8. ^ а б c d е ж грамм час я Булыгин, Юрий (2013). "Злая дева только что разозлилась" (PDF). CanSecWest. Получено 29 октября, 2018.
  9. ^ а б c d Терешкин, Александр (07.09.2010). «Злая горничная пытается зашифровать весь диск PGP». Материалы 3-й международной конференции по безопасности информации и сетей - SIN '10. ACM. п. 2. Дои:10.1145/1854099.1854103. ISBN 9781450302340.
  10. ^ Бурсалиан, Армен; Штамп, Марк (19 августа 2019 г.). «BootBandit: атака загрузчика macOS». Инженерные отчеты. 1 (1). Дои:10.1002 / eng2.12032.
  11. ^ Персонал (26 февраля 2019 г.). «Удар грома: современные компьютеры уязвимы для вредоносных периферийных устройств». Получено 12 мая 2020.
  12. ^ Гартенберг, Хаим (27 февраля 2019 г.). "'Уязвимость Thunderclap может сделать компьютеры Thunderbolt открытыми для атак. Помните: не подключайте к компьютеру случайные вещи ". Грани. Получено 12 мая 2020.
  13. ^ Руйтенберг, Бьёрн (17 апреля 2020 г.). «Нарушение безопасности протокола Thunderbolt: отчет об уязвимостях. 2020» (PDF). Thunderspy.io. Получено 11 мая 2020.
  14. ^ а б c Данчев, Данчо. "'Кейлоггеры атак с USB-накопителя Evil Maid Парольные фразы TrueCrypt | ZDNet ". ZDNet. Получено 2018-10-30.
  15. ^ Шейх, Рафия (22 декабря 2017 г.). "Эдвард Сноуден теперь помогает превратить ваш телефон в" сторожевую собаку """. Wccftech. Получено 2018-10-30.
  16. ^ «Атаки Evil Maid могут позволить киберпреступникам установить бэкдор прошивки на устройство за считанные минуты | Cyware». Cyware. Получено 2018-10-30.
  17. ^ Бласс, Эрик-Оливер; Робертсон, Уильям (2012-12-03). TRESOR-HUNT: атака на шифрование, привязанное к процессору. ACM. С. 71–78. Дои:10.1145/2420950.2420961. ISBN 9781450313124.
  18. ^ а б Рутковская, Иоанна (октябрь 2015 г.). «Intel x86 считается вредным». S2CID 37285788. Цитировать журнал требует | журнал = (помощь)