Атака злой горничной - Evil maid attack

Любое оставленное без присмотра устройство, такое как изображенный ноутбук, подвергается риску нападения злой горничной.

An злая горничная атака представляет собой атаку на автоматическое устройство, при которой злоумышленник с физическим доступом изменяет его каким-то необнаружимым образом, чтобы впоследствии получить доступ к устройству или данным на нем.

Название относится к сценарию, в котором служанка может подорвать устройство, оставленное без присмотра в гостиничном номере, но сама концепция также применима к таким ситуациям, как перехват устройства во время транспортировки или его временное увозение сотрудниками аэропорта или правоохранительных органов.

Обзор

Источник

В сообщении в блоге 2009 г., аналитик по безопасности Иоанна Рутковска придумал термин «Атака Злой Девы»; из-за того, что гостиничные номера являются обычным местом, где устройства остаются без присмотра.[1][2] В сообщении подробно описан метод взлома прошивки на автономном компьютере через внешний USB-накопитель - и, следовательно, в обход TrueCrypt шифрование диска.[2]

Д. Дефриз, специалист по компьютерной безопасности, впервые упомянул о возможности атаки злой горничной на смартфоны Android в 2011 году.[1] Он рассказал о дистрибутиве WhisperCore Android и его способности обеспечивать шифрование дисков для Android.[1]

Известность

В 2007 году бывший министр торговли США Карлос Гутьеррес якобы стал объектом нападения злой горничной во время деловой поездки в Китай.[3] Он оставил свой компьютер без присмотра во время торговой беседы в Пекине и подозревал, что его устройство было взломано.[3] Хотя обвинения еще предстоит подтвердить или опровергнуть, инцидент заставил правительство США более осторожно относиться к физическим нападениям.[3]

В 2009, Symantec Несколько агентств США посоветовали техническому директору Марка Брегману оставить свои устройства в США перед поездкой в ​​Китай.[4] Ему было приказано купить новые перед отъездом и избавиться от них, когда он вернется, чтобы любые физические попытки получить данные были бы неэффективными.[4]

Способы атаки

Классическая злая горничная

Атака начинается, когда жертва оставляет свое устройство без присмотра.[5] Затем злоумышленник может приступить к вмешательству в систему. Если устройство жертвы не имеет защиты паролем или аутентификации, злоумышленник может включить компьютер и немедленно получить доступ к информации жертвы.[6] Однако, если устройство защищено паролем, как при полном диске шифрование, прошивка устройства должна быть взломана, обычно это делается с помощью внешнего диска.[6] Скомпрометированная прошивка часто предлагает жертве поддельный пароль, идентичный оригиналу.[6] После ввода пароля скомпрометированная прошивка отправляет пароль злоумышленнику и удаляется после перезагрузки.[6] Чтобы успешно завершить атаку, злоумышленник должен вернуться к устройству после того, как оно было оставлено без присмотра во второй раз, чтобы украсть теперь доступные данные.[5][7]

Другой метод атаки - через DMA атака в котором злоумышленник получает доступ к информации жертвы через аппаратные устройства, которые напрямую подключаются к физическому адресному пространству.[6] Злоумышленнику просто нужно подключиться к аппаратному устройству, чтобы получить доступ к информации.

Сеть злая горничная

Атака злой горничной также может быть осуществлена ​​путем замены устройства жертвы идентичным устройством.[1] Если исходное устройство имеет загрузчик пароль, то злоумышленнику нужно только получить устройство с идентичным экраном ввода пароля загрузчика.[1] Если на устройстве есть экран блокировки Однако этот процесс становится более трудным, поскольку злоумышленник должен получить фоновое изображение, чтобы поместить его на экран блокировки имитирующего устройства.[1] В любом случае, когда жертва вводит свой пароль на поддельном устройстве, устройство отправляет пароль злоумышленнику, который владеет исходным устройством.[1] После этого злоумышленник может получить доступ к данным жертвы.[1]

Уязвимые интерфейсы

Устаревший BIOS

Наследие BIOS считается небезопасным от нападений злых горничных.[8] Его архитектура старая, обновленная и Дополнительные ПЗУ находятся беззнаковый, и конфигурация не защищена.[8] Кроме того, он не поддерживает безопасная загрузка.[8] Эти уязвимости позволяют злоумышленнику загрузиться с внешнего диска и поставить под угрозу прошивку.[8] Затем скомпрометированную прошивку можно настроить на отправлять нажатия клавиш злоумышленнику удаленно.[8]

Унифицированный расширяемый интерфейс встроенных микропрограмм

Унифицированный расширяемый интерфейс встроенных микропрограмм (UEFI) предоставляет множество необходимых функций для защиты от атак злой горничной.[8] Например, он предлагает платформу для безопасной загрузки, аутентифицированных переменных во время загрузки и TPM безопасность инициализации.[8] Несмотря на эти доступные меры безопасности, производители платформ не обязаны их использовать.[8] Таким образом, могут возникнуть проблемы безопасности, когда эти неиспользуемые функции позволяют злоумышленнику использовать устройство.[8]

Системы полного шифрования диска

Много полное шифрование диска системы, такие как TrueCrypt и Шифрование всего диска PGP, восприимчивы к атакам злобных горничных из-за их неспособности аутентифицироваться для пользователя.[9] Злоумышленник может изменять содержимое диска, несмотря на то, что устройство выключено и зашифровано.[9] Злоумышленник может изменить коды загрузчика системы шифрования, чтобы украсть пароли у жертвы.[9]

Возможность создания канала связи между загрузчиком и операционной системой для удаленного кражи пароля для диска, защищенного FileVault 2, также исследуется.[10] В системе macOS эта атака имеет дополнительные последствия из-за технологии «пересылки паролей», в которой пароль учетной записи пользователя также служит паролем FileVault, обеспечивая дополнительную поверхность атаки за счет повышения привилегий.

Thunderbolt

В 2019 году уязвимость под названием «Thunderclap» в Intel Thunderbolt были объявлены порты, обнаруженные на многих ПК, которые могут позволить злоумышленнику получить доступ к системе через прямой доступ к памяти (DMA). Это возможно, несмотря на использование ввода / вывода. блок управления памятью (IOMMU).[11][12] Эта уязвимость была в значительной степени исправлена ​​поставщиками. В 2020 году за ним последовал «Thunderspy», который, как считается, не подлежит исправлению и позволяет аналогичным образом использовать DMA для получения полного доступа к системе в обход всех функций безопасности.[13]

Любое необслуживаемое устройство

Любое автоматическое устройство может быть уязвимо для сетевой атаки злой горничной.[1] Если злоумышленник достаточно хорошо знает устройство жертвы, он может заменить устройство жертвы на идентичную модель с механизмом кражи пароля.[1] Таким образом, когда жертва вводит свой пароль, злоумышленник будет немедленно уведомлен об этом и сможет получить доступ к информации украденного устройства.[1]

Смягчение

Обнаружение

Один из подходов состоит в том, чтобы обнаружить, что кто-то находится рядом с оставленным без присмотра устройством или обращается с ним. Сигнализация приближения, сигнализация детектора движения и беспроводные камеры могут использоваться для предупреждения жертвы, когда злоумышленник находится рядом с устройством, тем самым сводя на нет фактор неожиданности злая горничная нападение.[14] В Приложение Haven для Android был создан в 2017 году Эдвард Сноуден проводить такой мониторинг и передавать результаты на смартфон пользователя.[15]

В отсутствие вышеуказанного технология защиты от несанкционированного доступа для определения того, было ли разобрано устройство, можно использовать различные виды, включая недорогое решение нанесения блесток на отверстия для винтов.[16]

После подозрения на атаку жертва может проверить свое устройство на наличие вредоносных программ, но это непросто. Предлагаемые подходы - это проверка хэшей выбранных секторов и разделов диска.[2]

Профилактика

Если устройство находится под постоянным наблюдением, злоумышленник не сможет выполнить атаку злой горничной.[14] Если оставить устройство без присмотра, оно также может быть помещено в сейф, чтобы злоумышленник не имел к нему физического доступа.[14] Однако возможны ситуации, например, когда устройство временно забирают сотрудники аэропорта или правоохранительных органов, когда это нецелесообразно.

Базовые меры безопасности, такие как наличие последней последней версии микропрограммы и выключение устройства перед тем, как оставить его без присмотра, предотвращают использование атакой уязвимостей в устаревшей архитектуре и возможность подключения внешних устройств к открытым портам соответственно.[5]

Системы шифрования дисков на базе ЦП, такие как ТРЕЗОР и Loop-Amnesia, предотвращают уязвимость данных для DMA-атак, гарантируя, что они не попадут в системную память.[17]

Безопасная загрузка на основе TPM было показано, что он смягчает атаки злобных горничных, аутентифицируя устройство для пользователя.[18] Он выполняет это путем разблокировки только в том случае, если пользователь дает правильный пароль и если он измеряет, что на устройстве не был выполнен несанкционированный код.[18] Эти измерения выполняются корневыми системами доверия, такими как Microsoft BitLocker и технология Intel TXT.[9] Программа Anti Evil Maid основывается на безопасной загрузке на основе TPM и в дальнейшем пытается аутентифицировать устройство для пользователя.[1]

Смотрите также

Рекомендации

  1. ^ а б c d е ж грамм час я j k л Гоцфрид, Йоханнес; Мюллер, Тило. «Анализируя функцию шифрования полного диска Android» (PDF). Группа инновационных исследований в области информационных наук и технологий. Получено 29 октября, 2018.
  2. ^ а б c Рутковска, Иоанна (16.10.2009). «Блог Лаборатории невидимых вещей: Evil Maid идет за TrueCrypt!». Блог Лаборатории невидимых вещей. Получено 2018-10-30.
  3. ^ а б c "Китайцы взломали ноутбук секретаря кабинета министров?". msnbc.com. 2008-05-29. Получено 2018-10-30.
  4. ^ а б Данчев, Данчо. "'Кейлоггеры атак с USB-накопителя Evil Maid Парольные фразы TrueCrypt | ZDNet ". ZDNet. Получено 2018-10-30.
  5. ^ а б c "Руководство F-Secure по атакам злых горничных" (PDF). F-Secure. Получено 29 октября, 2018.
  6. ^ а б c d е "Противодействие" злой горничной "[LWN.net]". lwn.net. Получено 2018-10-30.
  7. ^ Хоффман, Крис. «Что такое нападение« злой девы »и чему оно нас учит?». How-To Компьютерщик. Получено 2020-11-21.
  8. ^ а б c d е ж грамм час я Булыгин, Юрий (2013). "Злая дева только что разозлилась" (PDF). CanSecWest. Получено 29 октября, 2018.
  9. ^ а б c d Терешкин, Александр (07.09.2010). «Злая горничная пытается зашифровать весь диск PGP». Материалы 3-й международной конференции по безопасности информации и сетей - SIN '10. ACM. п. 2. Дои:10.1145/1854099.1854103. ISBN  9781450302340.
  10. ^ Бурсалиан, Армен; Штамп, Марк (19 августа 2019 г.). «BootBandit: атака загрузчика macOS». Инженерные отчеты. 1 (1). Дои:10.1002 / eng2.12032.
  11. ^ Персонал (26 февраля 2019 г.). «Удар грома: современные компьютеры уязвимы для вредоносных периферийных устройств». Получено 12 мая 2020.
  12. ^ Гартенберг, Хаим (27 февраля 2019 г.). "'Уязвимость Thunderclap может сделать компьютеры Thunderbolt открытыми для атак. Помните: не подключайте к компьютеру случайные вещи ". Грани. Получено 12 мая 2020.
  13. ^ Руйтенберг, Бьёрн (17 апреля 2020 г.). «Нарушение безопасности протокола Thunderbolt: отчет об уязвимостях. 2020» (PDF). Thunderspy.io. Получено 11 мая 2020.
  14. ^ а б c Данчев, Данчо. "'Кейлоггеры атак с USB-накопителя Evil Maid Парольные фразы TrueCrypt | ZDNet ". ZDNet. Получено 2018-10-30.
  15. ^ Шейх, Рафия (22 декабря 2017 г.). "Эдвард Сноуден теперь помогает превратить ваш телефон в" сторожевую собаку """. Wccftech. Получено 2018-10-30.
  16. ^ «Атаки Evil Maid могут позволить киберпреступникам установить бэкдор прошивки на устройство за считанные минуты | Cyware». Cyware. Получено 2018-10-30.
  17. ^ Бласс, Эрик-Оливер; Робертсон, Уильям (2012-12-03). TRESOR-HUNT: атака на шифрование, привязанное к процессору. ACM. С. 71–78. Дои:10.1145/2420950.2420961. ISBN  9781450313124.
  18. ^ а б Рутковская, Иоанна (октябрь 2015 г.). «Intel x86 считается вредным». S2CID  37285788. Цитировать журнал требует | журнал = (помощь)