Атака злой горничной

Тип нарушения компьютерной безопасности

Любое оставленное без присмотра устройство, например, изображенный на рисунке ноутбук, подвергается риску атаки злой горничной.

Атака «злой горничной» — это атака на оставленное без присмотра устройство, при которой злоумышленник, имеющий физический доступ, изменяет его каким-либо необнаружимым образом, чтобы впоследствии получить доступ к устройству или данным на нем.

Название отсылает к сценарию, когда горничная может взломать устройство, оставленное без присмотра в номере отеля, но сама концепция применима и к таким ситуациям, как перехват устройства во время транспортировки или его временное изъятие сотрудниками аэропорта или правоохранительных органов.

Обзор

Источник

В сообщении в блоге 2009 года аналитик по безопасности Джоанна Рутковска ввела термин «атака злой горничной» (Evil Maid Attack), поскольку гостиничные номера являются обычным местом, где устройства остаются без присмотра. ^{[1] [2]} В сообщении подробно описывался метод взлома прошивки на оставленном без присмотра компьютере через внешний USB-флеш-накопитель, что позволяет обойти шифрование диска TrueCrypt . ^[2]

D. Defreez, специалист по компьютерной безопасности, впервые упомянул о возможности атаки злой горничной на смартфоны Android в 2011 году. ^[1] Он рассказал о дистрибутиве Android WhisperCore и его способности обеспечивать шифрование дисков для Android. ^[1]

Известность

В 2007 году бывший министр торговли США Карлос Гутьеррес якобы подвергся нападению злой горничной во время деловой поездки в Китай. ^[3] Он оставил свой компьютер без присмотра во время торговых переговоров в Пекине и заподозрил, что его устройство было взломано. ^[3] Хотя обвинения еще не подтверждены или опровергнуты, инцидент заставил правительство США быть более осторожным в отношении физических атак. ^[3]

В 2009 году техническому директору Symantec Марку Брегману несколько американских агентств посоветовали оставить свои устройства в США перед поездкой в ​​Китай. ^[4] Ему было поручено купить новые устройства перед отъездом и утилизировать их по возвращении, чтобы любые физические попытки извлечь данные были неэффективными. ^[4]

Методы атаки

Классическая злая горничная

Атака начинается, когда жертва оставляет свое устройство без присмотра. ^[5] Затем злоумышленник может приступить к взлому системы. Если устройство жертвы не имеет защиты паролем или аутентификации, злоумышленник может включить компьютер и немедленно получить доступ к информации жертвы. ^[6] Однако, если устройство защищено паролем, как при полном шифровании диска , необходимо взломать прошивку устройства, что обычно делается с помощью внешнего диска. ^[6] Затем взломанная прошивка предоставляет жертве поддельный запрос на ввод пароля, идентичный оригинальному. ^[6] После ввода пароля взломанная прошивка отправляет пароль злоумышленнику и удаляется после перезагрузки. ^[6] Чтобы успешно завершить атаку, злоумышленник должен вернуться к устройству, как только оно останется без присмотра во второй раз, чтобы украсть теперь доступные данные. ^{[5] [7]}

Другой метод атаки — атака DMA , при которой злоумышленник получает доступ к информации жертвы через аппаратные устройства, которые подключаются напрямую к физическому адресному пространству. ^[6] Злоумышленнику просто нужно подключиться к аппаратному устройству, чтобы получить доступ к информации.

Сетевая злая горничная

Атака злой горничной также может быть выполнена путем замены устройства жертвы идентичным устройством. ^[1] Если на оригинальном устройстве есть пароль загрузчика , то злоумышленнику нужно только получить устройство с идентичным экраном ввода пароля загрузчика. ^[1] Однако, если на устройстве есть экран блокировки , процесс становится более сложным, поскольку злоумышленнику необходимо получить фоновое изображение, чтобы поместить его на экран блокировки имитирующего устройства. ^[1] В любом случае, когда жертва вводит свой пароль на поддельном устройстве, устройство отправляет пароль злоумышленнику, который владеет оригинальным устройством. ^[1] Затем злоумышленник может получить доступ к данным жертвы. ^[1]

Уязвимые интерфейсы

Устаревший BIOS

Устаревшая версия BIOS считается небезопасной для атак Evil maid. ^[8] Ее архитектура устарела, обновления и дополнительные ПЗУ не подписаны , а конфигурация не защищена. ^[8] Кроме того, она не поддерживает безопасную загрузку . ^[8] Эти уязвимости позволяют злоумышленнику загрузиться с внешнего диска и скомпрометировать прошивку. ^[8] Затем скомпрометированную прошивку можно настроить на удаленную отправку нажатий клавиш злоумышленнику. ^[8]

Унифицированный расширяемый интерфейс прошивки

Unified Extensible Firmware Interface (UEFI) предоставляет множество необходимых функций для смягчения атак злонамеренных дев. ^[8] Например, он предлагает структуру для безопасной загрузки, аутентифицированных переменных во время загрузки и безопасности инициализации TPM . ^[8] Несмотря на эти доступные меры безопасности, производители платформ не обязаны их использовать. ^[8] Таким образом, проблемы безопасности могут возникнуть, когда эти неиспользуемые функции позволяют злоумышленнику эксплуатировать устройство. ^[8]

Системы полного шифрования диска

Многие системы полного шифрования диска , такие как TrueCrypt и PGP Whole Disk Encryption , подвержены атакам злонамеренных дев из-за их неспособности аутентифицировать себя для пользователя. ^[9] Злоумышленник все равно может изменять содержимое диска, несмотря на то, что устройство выключено и зашифровано. ^[9] Злоумышленник может изменять коды загрузчика системы шифрования, чтобы украсть пароли жертвы. ^[9]

Также изучается возможность создания канала связи между загрузчиком и операционной системой для удаленной кражи пароля для диска, защищенного FileVault 2. ^[10] В системе macOS эта атака имеет дополнительные последствия из-за технологии «пересылки пароля», в которой пароль учетной записи пользователя также служит паролем FileVault, что обеспечивает дополнительную поверхность атаки посредством повышения привилегий.

Удар молнии

В 2019 году была объявлена ​​уязвимость под названием « Thunderclap » в портах Intel Thunderbolt , обнаруженная на многих ПК, которая может позволить злоумышленнику получить доступ к системе через прямой доступ к памяти (DMA). Это возможно, несмотря на использование блока управления памятью ввода-вывода (IOMMU). ^{[11] [12]} Эта уязвимость была в значительной степени исправлена ​​поставщиками. За ней в 2020 году последовала « Thunderspy », которая, как полагают, не поддается исправлению и позволяет аналогично эксплуатировать DMA для получения полного доступа к системе в обход всех функций безопасности. ^[13]

Любое необслуживаемое устройство

Любое оставленное без присмотра устройство может быть уязвимо для сетевой атаки Evil maid. ^[1] Если злоумышленник достаточно хорошо знает устройство жертвы, он может заменить устройство жертвы идентичной моделью с механизмом кражи пароля. ^[1] Таким образом, когда жертва вводит свой пароль, злоумышленник мгновенно получает уведомление об этом и может получить доступ к информации украденного устройства. ^[1]

Смягчение

Обнаружение

Один из подходов заключается в обнаружении того, что кто-то находится близко или касается оставленного без присмотра устройства. Сигнализации приближения, датчики движения и беспроводные камеры могут использоваться для оповещения жертвы о том, что злоумышленник находится рядом с ее устройством, тем самым сводя на нет фактор неожиданности атаки злой горничной. ^[14] Приложение Haven для Android было создано в 2017 году Эдвардом Сноуденом для осуществления такого мониторинга и передачи результатов на смартфон пользователя. ^[15]

При отсутствии вышеперечисленного можно использовать различные технологии контроля несанкционированного доступа , чтобы определить, было ли устройство разобрано, включая недорогое решение — нанести блестящий лак для ногтей на отверстия для винтов. ^[16]

После подозрения на атаку жертва может проверить свое устройство на предмет установки вредоносного ПО, но это сложная задача. Предлагаемые подходы включают проверку хэшей выбранных секторов и разделов диска. ^[2]

Профилактика

Если устройство находится под постоянным наблюдением, злоумышленник не сможет выполнить атаку злой горничной. ^[14] Если устройство оставить без присмотра, его также можно поместить в сейф, чтобы злоумышленник не имел к нему физического доступа. ^[14] Однако могут возникнуть ситуации, например, если устройство временно забирает аэропорт или сотрудники правоохранительных органов, когда это нецелесообразно.

Базовые меры безопасности, такие как наличие последней обновленной прошивки и выключение устройства перед тем, как оставить его без присмотра, предотвращают атаку с использованием уязвимостей в устаревшей архитектуре и допускают доступ внешних устройств к открытым портам соответственно. ^[5]

Системы шифрования дисков на базе ЦП, такие как TRESOR и Loop-Amnesia, предотвращают уязвимость данных для атак DMA, гарантируя, что они не попадут в системную память. ^[17]

Безопасная загрузка на основе TPM продемонстрировала способность смягчать атаки злой горничной, аутентифицируя устройство для пользователя. ^[18] Она делает это, разблокируя себя только в том случае, если пользователем был предоставлен правильный пароль и если она измеряет, что на устройстве не был выполнен несанкционированный код. ^[18] Эти измерения выполняются системами root of trust, такими как технология BitLocker от Microsoft и TXT от Intel. ^[9] Программа Anti Evil Maid основана на безопасной загрузке на основе TPM и дополнительно пытается аутентифицировать устройство для пользователя. ^[1]

Смотрите также

• Атака методом холодной загрузки
• Сёрфинг через плечо (компьютерная безопасность)

Ссылки

1. Гоцфрид, Йоханнес; Мюллер, Тило. "Анализ функции полного шифрования диска Android" (PDF) . Innovative Information Science And Technology Research Group . Получено 29 октября 2018 г. .
2. Рутковска, Джоанна (16.10.2009). "Блог Invisible Things Lab: Evil Maid преследует TrueCrypt!". Блог Invisible Things Lab . Получено 30.10.2018 .
3. "Взломали ли китайцы ноутбук секретаря кабинета министров?". msnbc.com . 2008-05-29 . Получено 2018-10-30 .
4. Danchev, Dancho. "Кейлог атаки на USB-флешку 'Evil Maid' пароли TrueCrypt". ZDNet . Получено 2018-10-30 .
5. "Руководство F-Secure по атакам злой горничной" (PDF) . F-Secure . Получено 29 октября 2018 г. .
6. "Препятствуя "злой горничной" [LWN.net]". lwn.net . Получено 2018-10-30 .
7. Хоффман, Крис (28 сентября 2020 г.). «Что такое атака «Злой горничной» и чему она нас учит?». How-To Geek . Получено 21.11.2020 .
8. Булыгин, Юрий (2013). "Evil Maid Just Got Angrier" (PDF) . CanSecWest . Архивировано из оригинала (PDF) 10 июня 2016 г. . Получено 29 октября 2018 г. .
9. Терешкин, Александр (2010-09-07). "Злая горничная преследует PGP-шифрование всего диска". Труды 3-й международной конференции по безопасности информации и сетей - SIN '10 . ACM. стр. 2. doi :10.1145/1854099.1854103. ISBN 978-1-4503-0234-0. S2CID  29070358.
10. Бурсалян, Армен; Стэмп, Марк (19 августа 2019 г.). «BootBandit: атака загрузчика macOS». Engineering Reports . 1 (1). doi : 10.1002/eng2.12032 .
11. Сотрудники (26 февраля 2019 г.). «Thunderclap: Современные компьютеры уязвимы для вредоносных периферийных устройств» . Получено 12 мая 2020 г.
12. Гартенберг, Хаим (27 февраля 2019 г.). «Уязвимость «Thunderclap» может сделать компьютеры Thunderbolt уязвимыми для атак — помните: не подключайте к компьютеру что попало». The Verge . Получено 12 мая 2020 г.
13. Рютенберг, Бьёрн (17 апреля 2020 г.). «Breaking Thunderbolt Protocol Security: Vulnerability Report. 2020» (PDF) . Thunderspy.io . Получено 11 мая 2020 г. .
14. Данчев, Данчо. "Кейлог атаки на USB-флешку 'Evil Maid' пароли TrueCrypt". ZDNet . Получено 30.10.2018 .
15. Шейх, Рафия (22.12.2017). «Эдвард Сноуден теперь помогает вам превратить ваш телефон в «сторожевого пса»». Wccftech . Получено 30.10.2018 .
16. "Атаки Evil Maid могут позволить киберпреступникам установить бэкдор прошивки на устройство всего за несколько минут | Cyware". Cyware . Получено 2018-10-30 .
17. Бласс, Эрик-Оливер; Робертсон, Уильям (2012-12-03). TRESOR-HUNT: атака на шифрование, привязанное к процессору . ACM. стр. 71–78. doi :10.1145/2420950.2420961. ISBN 978-1-4503-1312-4. S2CID  739758.
18. Rutkowska, Joanna (октябрь 2015 г.). «Intel x86 считается вредным» (PDF) . Невидимые вещи . S2CID  37285788.