Зло служанка атака является атакой на автоматическом устройстве, в котором злоумышленник с алтарями физическим доступа к ней , в каком - то незаметном образом , чтобы они могли впоследствии получить доступ к устройству, или на нем данные.
Название относится к сценарию, когда горничная может взломать устройство, оставленное без присмотра в гостиничном номере, но сама концепция также применима к таким ситуациям, как перехват устройства во время транспортировки или его временное увезение сотрудниками аэропорта или правоохранительных органов.
Обзор
Источник
В своем сообщении в блоге в 2009 году аналитик по безопасности Джоанна Рутковска ввела термин «Атака злой горничной»; из-за того, что гостиничные номера являются обычным местом, где устройства остаются без присмотра. [1] [2] В сообщении подробно описан метод взлома прошивки на необслуживаемом компьютере с помощью внешнего USB-накопителя - и, следовательно, обхода шифрования диска TrueCrypt . [2]
Д. Дефриз, специалист по компьютерной безопасности, впервые упомянул о возможности атаки злой горничной на смартфоны Android в 2011 году. [1] Он рассказал о дистрибутиве WhisperCore Android и его способности обеспечивать шифрование дисков для Android. [1]
Известность
В 2007 году бывший министр торговли США Карлос Гутьеррес якобы стал жертвой нападения злобной горничной во время деловой поездки в Китай. [3] Он оставил свой компьютер без присмотра во время торговой беседы в Пекине и подозревал, что его устройство было взломано. [3] Хотя обвинения еще предстоит подтвердить или опровергнуть, инцидент заставил правительство США более осторожно относиться к физическим нападениям. [3]
В 2009 году технический директор Symantec Марк Брегман получил от нескольких агентств США рекомендации оставить свои устройства в США перед поездкой в Китай. [4] Ему было приказано купить новые перед отъездом и избавиться от них, когда он вернется, чтобы любые физические попытки получить данные были бы неэффективными. [4]
Способы нападения
Классическая злая горничная
Атака начинается, когда жертва оставляет свое устройство без присмотра. [5] Затем злоумышленник может приступить к вмешательству в систему. Если устройство жертвы не имеет защиты паролем или аутентификации, злоумышленник может включить компьютер и немедленно получить доступ к информации жертвы. [6] Однако, если устройство защищено паролем, как при полном шифровании диска , микропрограммное обеспечение устройства должно быть взломано, обычно это делается с помощью внешнего диска. [6] Скомпрометированная прошивка часто предлагает жертве поддельный пароль, идентичный оригиналу. [6] После ввода пароля взломанная прошивка отправляет пароль злоумышленнику и удаляется после перезагрузки. [6] Чтобы успешно завершить атаку, злоумышленник должен вернуться к устройству после того, как оно было оставлено без присмотра во второй раз, чтобы украсть теперь доступные данные. [5] [7]
Другой метод атаки - это DMA-атака, при которой злоумышленник получает доступ к информации жертвы через аппаратные устройства, которые напрямую подключаются к физическому адресному пространству. [6] Злоумышленнику просто нужно подключиться к аппаратному устройству, чтобы получить доступ к информации.
Сеть злая горничная
Атака злой горничной также может быть осуществлена путем замены устройства жертвы идентичным устройством. [1] Если исходное устройство имеет пароль загрузчика , то злоумышленнику нужно только получить устройство с идентичным экраном ввода пароля загрузчика. [1] Однако, если устройство имеет экран блокировки , процесс становится более сложным, поскольку злоумышленник должен получить фоновое изображение, чтобы поместить его на экран блокировки имитирующего устройства. [1] В любом случае, когда жертва вводит свой пароль на фальшивом устройстве, устройство отправляет пароль злоумышленнику, который владеет исходным устройством. [1] После этого злоумышленник может получить доступ к данным жертвы. [1]
Уязвимые интерфейсы
Устаревший BIOS
Устаревший BIOS считается небезопасным от атак злой горничной. [8] Его архитектура устарела, обновления и дополнительные ПЗУ не подписаны , а конфигурация не защищена. [8] Кроме того, он не поддерживает безопасную загрузку . [8] Эти уязвимости позволяют злоумышленнику загрузиться с внешнего диска и поставить под угрозу прошивку. [8] После этого скомпрометированное микропрограммное обеспечение можно настроить на удаленную отправку нажатий клавиш злоумышленнику. [8]
Унифицированный расширяемый интерфейс встроенного ПО
Унифицированный расширяемый интерфейс микропрограмм (UEFI) предоставляет множество необходимых функций для предотвращения атак злой горничной. [8] Например, он предлагает структуру для безопасной загрузки, аутентифицированных переменных во время загрузки и безопасности инициализации TPM . [8] Несмотря на эти доступные меры безопасности, производители платформ не обязаны их использовать. [8] Таким образом, могут возникнуть проблемы с безопасностью, когда эти неиспользуемые функции позволяют злоумышленнику использовать устройство. [8]
Системы полного шифрования диска
Многие системы полнодискового шифрования , такие как TrueCrypt и PGP Whole Disk Encryption , уязвимы для атак злой горничной из-за их неспособности аутентифицировать себя для пользователя. [9] Злоумышленник может изменять содержимое диска, несмотря на то, что устройство выключено и зашифровано. [9] Злоумышленник может изменить коды загрузчика системы шифрования, чтобы украсть пароли у жертвы. [9]
Также исследуется возможность создания канала связи между загрузчиком и операционной системой для удаленного кражи пароля для диска, защищенного FileVault 2. [10] В системе macOS эта атака имеет дополнительные последствия из-за технологии «пересылки паролей», в которой пароль учетной записи пользователя также служит паролем FileVault, обеспечивая дополнительную поверхность атаки за счет повышения привилегий.
Thunderbolt
В 2019 году была объявлена уязвимость под названием «Thunderclap» в портах Intel Thunderbolt, обнаруженная на многих ПК, которая может позволить злоумышленнику получить доступ к системе через прямой доступ к памяти (DMA). Это возможно, несмотря на использование блока управления памятью ввода / вывода (IOMMU). [11] [12] Эта уязвимость в значительной степени исправлена поставщиками. В 2020 году за ним последовал «Thunderspy», который, как считается, не подлежит исправлению и позволяет аналогичным образом использовать DMA для получения полного доступа к системе в обход всех функций безопасности. [13]
Любое необслуживаемое устройство
Любое необслуживаемое устройство может быть уязвимо для сетевой атаки злой горничной. [1] Если злоумышленник достаточно хорошо знает устройство жертвы, он может заменить устройство жертвы на идентичную модель с механизмом кражи пароля. [1] Таким образом, когда жертва вводит свой пароль, злоумышленник будет немедленно уведомлен об этом и сможет получить доступ к информации украденного устройства. [1]
Смягчение
Обнаружение
Один из подходов состоит в том, чтобы обнаружить, что кто-то находится рядом с необслуживаемым устройством или обращается с ним. Сигнализация приближения, сигнализация детектора движения и беспроводные камеры могут использоваться для предупреждения жертвы, когда злоумышленник находится рядом с их устройством, тем самым сводя на нет фактор неожиданности атаки злой горничной. [14] Haven Android приложение было создано в 2017 году по Сноуден сделать такой мониторинг, и передавать результаты на смартфон пользователя. [15]
В отсутствие вышеизложенного можно использовать различные виды технологий защиты от несанкционированного вскрытия, чтобы определить, было ли устройство разобрано, включая недорогое решение нанесения блесток на отверстия для винтов. [16]
После подозрения на атаку жертва может проверить свое устройство на наличие вредоносного ПО, но это непросто. Предлагаемые подходы - это проверка хэшей выбранных секторов и разделов диска. [2]
Профилактика
Если устройство находится под постоянным наблюдением, злоумышленник не сможет выполнить атаку злой горничной. [14] Если оставить устройство без присмотра, оно также может быть помещено в сейф, чтобы злоумышленник не имел к нему физического доступа. [14] Однако могут возникать ситуации, например, когда устройство временно забирают сотрудники аэропорта или правоохранительных органов, когда это нецелесообразно.
Основные меры безопасности, такие как наличие последней последней версии микропрограммы и выключение устройства перед тем, как оставить его без присмотра, предотвращают использование атакой уязвимостей в устаревшей архитектуре и возможность подключения внешних устройств к открытым портам соответственно. [5]
Системы шифрования дисков на базе ЦП, такие как TRESOR и Loop-Amnesia, предотвращают уязвимость данных для DMA-атак, гарантируя, что они не попадут в системную память. [17]
Было показано, что безопасная загрузка на основе TPM смягчает атаки злой горничной путем аутентификации устройства для пользователя. [18] Он выполняет это путем разблокировки только в том случае, если пользователь вводит правильный пароль и если он измеряет, что на устройстве не был выполнен несанкционированный код. [18] Эти измерения выполняются корневыми системами доверия, такими как Microsoft BitLocker и технология Intel TXT. [9] Программа Anti Evil Maid основана на безопасной загрузке на основе TPM и в дальнейшем пытается аутентифицировать устройство для пользователя. [1]
Смотрите также
- Атака холодной загрузки
Рекомендации
- ^ Б с д е е г ч я J K L Gotzfried, Johannes; Мюллер, Тило. «Анализ возможностей шифрования полного диска Android» (PDF) . Группа инновационных исследований в области информационных наук и технологий . Проверено 29 октября 2018 года .
- ^ а б в Рутковска, Иоанна (16.10.2009). "Блог Лаборатории невидимых вещей: Evil Maid идет за TrueCrypt!" . Блог Лаборатории невидимых вещей . Проверено 30 октября 2018 .
- ^ а б в "Китайцы взломали ноутбук секретаря кабинета министров?" . msnbc.com . 2008-05-29 . Проверено 30 октября 2018 .
- ^ а б Данчев, Данчо. " ' Зло горничной' USB палку нападение keylogs парольную фразу TrueCrypt | ZDNet" . ZDNet . Проверено 30 октября 2018 .
- ^ а б в «Руководство F-Secure по атакам злых горничных» (PDF) . F-Secure . Проверено 29 октября 2018 года .
- ^ а б в г д "Противодействие" злой горничной "[LWN.net]" . lwn.net . Проверено 30 октября 2018 .
- ^ Хоффман, Крис. «Что такое атака« злой девы »и чему она нас учит?» . How-To Geek . Проверено 21 ноября 2020 .
- ^ Б с д е е г ч I Булыгин, Юрий (2013). "Злая дева только что разозлилась" (PDF) . CanSecWest . Проверено 29 октября 2018 года .
- ^ а б в г Терешкин, Александр (07.09.2010). «Злая дева идет после шифрования всего диска PGP» . Материалы 3-й международной конференции по безопасности информации и сетей - SIN '10 . ACM. п. 2. дои : 10,1145 / 1854099,1854103 . ISBN 9781450302340.
- ^ Бурсалиан, Армен; Штамп, Марк (19 августа 2019 г.). «BootBandit: атака загрузчика macOS» . Инженерные отчеты . 1 (1). DOI : 10.1002 / eng2.12032 .
- ^ Персонал (26 февраля 2019 г.). «Удар грома: современные компьютеры уязвимы для вредоносных периферийных устройств» . Дата обращения 12 мая 2020 . CS1 maint: обескураженный параметр ( ссылка )
- ^ Гартенберг, Хаим (27 февраля 2019 г.). « Уязвимость ' Thunderclap' может сделать компьютеры Thunderbolt открытыми для атак - помните: не вставляйте просто случайные вещи в свой компьютер» . Грань . Дата обращения 12 мая 2020 . CS1 maint: обескураженный параметр ( ссылка )
- ^ Руйтенберг, Бьорн (17 апреля 2020 г.). «Нарушение безопасности протокола Thunderbolt: отчет об уязвимостях. 2020» (PDF) . Thunderspy.io . Дата обращения 11 мая 2020 . CS1 maint: обескураженный параметр ( ссылка )
- ^ а б в Данчев, Данчо. " ' Зло горничной' USB палку нападение keylogs парольную фразу TrueCrypt | ZDNet" . ZDNet . Проверено 30 октября 2018 .
- ^ Шейх, Рафия (22 декабря 2017 г.). «Эдвард Сноуден теперь помогает превратить ваш телефон в« сторожевую собаку » » . Wccftech . Проверено 30 октября 2018 .
- ^ «Атаки Evil Maid могут позволить злоумышленникам установить бэкдор прошивки на устройство за считанные минуты | Cyware» . Cyware . Проверено 30 октября 2018 .
- ^ Бласс, Эрик-Оливер; Робертсон, Уильям (2012-12-03). TRESOR-HUNT: атака на шифрование, привязанное к процессору . ACM. С. 71–78. DOI : 10.1145 / 2420950.2420961 . ISBN 9781450313124.
- ^ а б Рутковская, Иоанна (октябрь 2015 г.). «Intel x86 считается вредным». S2CID 37285788 . Цитировать журнал требует
|journal=
( помощь )