Evil Maid: Veikrigere pass på

Joanna Rutkowska, grunnlegger og administrerende direktør for Invisible Things Lab, er en kjent sikkerhetsforsker. Du husker kanskje Rutkowska som medutvikler av Blue Pill, et rotkit som bruker virtualisering for å forbli uoppdagelig.

Rutkowska har opprørt tingene igjen. Alex Tereshkin, prinsippeforsker ved Invisible Things Lab, og Ms Rutkowska har perfeksjonert malkoden som beseirer kryptering av hele stasjonen. De navngav skadeprogrammet Evil Maid. Navnet kan virke rart, men det er passende. Evil Maid krever at angripere fysisk har kontakt med datamaskiner og hotell fulle av vegkrigere er perfekte mål.

Hvordan det fungerer

Som en deltid road warrior tror jeg bestemt på TrueCrypt. Likevel har Rutkowska meg til å stille spørsmål ved min beslutning. For å forklare hvorfor, la oss si at jeg er på vei. Etter å ha sett klienten min, kommer jeg tilbake til hotellet og begynner å skrive denne artikkelen. Om noen timer er det på tide å møte klienten til middag. Så jeg slår av notatboken og går til hotellrestauranten.

Jeg er ikke sikker på hvorfor, men noen vil virkelig se hva jeg skriver. Så han betaler en hotellansatt for å snike seg inn på rommet mitt og gjøre følgende:

  • Angriperen starter med å starte opp datamaskinen min fra Evil Maid USB Stick.
  • Etter oppstart installeres et program kalt "Evil Maid Sniffer" på TrueCrypt-lasteren, som vist nedenfor (med tillatelse fra frk. Rutkowska):

  • Angriperen slår av notatboka og forlater.
  • Jeg kommer tilbake senere den kvelden og bestemmer meg for å skrive litt mer.
  • Så snart jeg slår på datamaskinen, registrerer Evil Maid Sniffer-applikasjonen min TrueCrypt-passord og lagrer informasjonen på en forhåndsarrangert del av harddisken.
  • Ingen klokere, fortsetter jeg å skrive. Etter en stund bestemmer jeg meg for at jeg er tørst. Så jeg slår av notatboken og drar til baren for å ta en drink.
  • Da han ser en mulighet, sniker angriperen tilbake inn på rommet mitt, støveler den bærbare datamaskinen ved å bruke Evil Maid USB Stick.
  • Applikasjonen oppdager at TrueCrypt-lasteren er infisert og viser passordfrasen som vist nedenfor (med tillatelse fra frk. Rutkowska):

  • Angriperen starter min notisbok på nytt, skriver inn riktig passfrase og dekrypterer harddisken og kopierer artikkelen min.

Du kan se hvorfor det kalles Evil Maid-angrepet; det er perfekt for hotellmiljøer. Rutkowska nevnte også at den bærbare datamaskinen kunne bli stjålet når passordfrasen er kjent.

Mulige forsvar

Mr. Bruce Schneier har i sin siste sikkerhetsblogg en interessant kommentar om Evil Maid:

"Dette angrepet utnytter den samme grunnleggende sårbarheten som" Cold Boot "-angrepet fra i fjor, og" Stoned Boot "-angrepet fra tidligere i år, og det er ikke noe reelt forsvar for denne typen ting. Så snart du gir opp fysisk kontroll på datamaskinen din, er alle spill av. "

TrueCrypt har dokumentasjon som er enig i denne vurderingen. Mr. Schneier fortsetter med å påpeke at av alle mulige rettelser, er følgende sannsynligvis det beste:

"Noen få lesere har påpekt at BitLocker kan forhindre denne typen angrep hvis datamaskinen har en TPM på hovedkortet."

Årsaken til å opprette Evil Maid

Rutkowska er enig med Mr. Schneier og har prøvd å overbevise utviklere på TrueCrypt om å implementere en TPM-versjon av TrueCrypt:

"Personlig vil jeg gjerne se TrueCrypt implementere TPM-basert pålitelig oppstart for sin laster, men vel, hva kan jeg gjøre? Fortsett å plage TrueCrypt-utviklere med Evil Maid-angrep og håper de til slutt vil vurdere å implementere TPM-støtte."

Inntil det skjer, ser det ut til at den eneste absolutte løsningen er å sikre datamaskinens fysiske sikkerhet til enhver tid. Når det er sagt, la jeg merke til mange interessante potensielle løsninger i kommentarene etter Mr. Schneiers innlegg om Evil Maid.

Siste tanker

Det ser ut til at kryptering av hele disken ikke er det universalmiddelet de fleste tror det er. Det beskytter mot noen som prøver å skaffe data etter å ha stjålet datamaskinen. Alle spill er av, hvis en angriper har fysisk tilgang til datamaskinen ved mer enn én anledning.

© Copyright 2021 | pepebotifarra.com