Атака злой горничной — это атака на оставленное без присмотра устройство, при которой злоумышленник, имеющий физический доступ, каким-то необнаружимым образом изменяет его, чтобы впоследствии получить доступ к устройству или данным на нем.
Название относится к сценарию, когда горничная может вывести из строя устройство, оставленное без присмотра в гостиничном номере, но сама концепция также применима к таким ситуациям, как перехват устройства во время транспортировки или временное изъятие сотрудниками аэропорта или правоохранительных органов.
В своем блоге в 2009 году аналитик по безопасности Джоанна Рутковска ввела термин «Атака злой горничной», поскольку гостиничные номера являются обычным местом, где устройства остаются без присмотра. [1] [2] В сообщении подробно описан метод компрометации прошивки на автоматическом компьютере через внешний USB-накопитель — и, следовательно, обход шифрования диска TrueCrypt . [2]
Д. Дефриз, специалист по компьютерной безопасности, впервые упомянул о возможности атаки злой горничной на смартфоны Android в 2011 году. [1] Он рассказал о дистрибутиве WhisperCore Android и его способности обеспечивать шифрование дисков для Android. [1]
В 2007 году бывший министр торговли США Карлос Гутьеррес предположительно подвергся нападению злой горничной во время деловой поездки в Китай. [3] Он оставил свой компьютер без присмотра во время торговой беседы в Пекине и заподозрил, что его устройство было взломано. [3] Хотя обвинения еще не подтверждены и не опровергнуты, инцидент заставил правительство США с большей осторожностью относиться к физическим нападениям. [3]
В 2009 году несколько агентств США посоветовали техническому директору Symantec Марку Брегману оставить свои устройства в США перед поездкой в Китай. [4] Ему было приказано купить новые перед отъездом и выбросить их по возвращении, чтобы любые физические попытки получить данные были неэффективными. [4]
Атака начинается, когда жертва оставляет свое устройство без присмотра. [5] После этого злоумышленник может приступить к вмешательству в систему. Если устройство жертвы не имеет защиты паролем или аутентификации, злоумышленник может включить компьютер и немедленно получить доступ к информации жертвы. [6] Однако, если устройство защищено паролем, как при полном шифровании диска , необходимо взломать прошивку устройства, обычно это делается с помощью внешнего диска. [6] Затем скомпрометированная прошивка предоставляет жертве поддельный пароль, идентичный оригиналу. [6] После ввода пароля скомпрометированная прошивка отправляет пароль злоумышленнику и удаляется после перезагрузки. [6] Чтобы успешно завершить атаку, злоумышленник должен вернуться к устройству после того, как оно останется без присмотра во второй раз, чтобы украсть доступные теперь данные. [5] [7]
Другой метод атаки — атака DMA, при которой злоумышленник получает доступ к информации жертвы через аппаратные устройства, которые подключаются непосредственно к физическому адресному пространству. [6] Злоумышленнику просто необходимо подключиться к аппаратному устройству, чтобы получить доступ к информации.
Атака злой горничной также может быть осуществлена путем замены устройства жертвы на идентичное устройство. [1] Если исходное устройство имеет пароль загрузчика , то злоумышленнику достаточно получить устройство с идентичным экраном ввода пароля загрузчика. [1] Однако если устройство имеет экран блокировки , процесс усложняется, поскольку злоумышленнику необходимо получить фоновое изображение, чтобы поместить его на экран блокировки имитирующего устройства. [1] В любом случае, когда жертва вводит свой пароль на поддельном устройстве, устройство отправляет пароль злоумышленнику, у которого есть исходное устройство. [1] После этого злоумышленник может получить доступ к данным жертвы. [1]
Устаревший BIOS считается небезопасным против атак злой горничной. [8] Его архитектура старая, обновления и дополнительные ПЗУ не подписаны , а конфигурация не защищена. [8] Кроме того, он не поддерживает безопасную загрузку . [8] Эти уязвимости позволяют злоумышленнику загрузиться с внешнего диска и поставить под угрозу прошивку. [8] Затем скомпрометированную прошивку можно настроить на удаленную отправку нажатий клавиш злоумышленнику. [8]
Унифицированный расширяемый интерфейс прошивки (UEFI) предоставляет множество необходимых функций для предотвращения атак злой горничной. [8] Например, он предлагает структуру для безопасной загрузки, аутентифицированные переменные во время загрузки и безопасность инициализации TPM . [8] Несмотря на эти доступные меры безопасности, производители платформ не обязаны их использовать. [8] Таким образом, проблемы безопасности могут возникнуть, когда эти неиспользуемые функции позволяют злоумышленнику использовать устройство. [8]
Многие системы полнодискового шифрования , такие как TrueCrypt и PGP Whole Disk Encryption , подвержены атакам злой горничной из-за неспособности аутентифицировать себя перед пользователем. [9] Злоумышленник по-прежнему может изменять содержимое диска, несмотря на то, что устройство выключено и зашифровано. [9] Злоумышленник может изменить коды загрузчика системы шифрования, чтобы украсть пароли у жертвы. [9]
Также исследуется возможность создания канала связи между загрузчиком и операционной системой для удаленной кражи пароля к диску, защищенному FileVault 2. [10] В системе macOS эта атака имеет дополнительные последствия из-за технологии «переадресации паролей», в которой пароль учетной записи пользователя также служит паролем FileVault, что обеспечивает дополнительную поверхность атаки за счет повышения привилегий.
В 2019 году было объявлено об уязвимости под названием « Thunderclap » в портах Intel Thunderbolt , обнаруженной на многих ПК, которая может позволить злоумышленнику получить доступ к системе через прямой доступ к памяти (DMA). Это возможно, несмотря на использование блока управления памятью ввода-вывода (IOMMU). [11] [12] Эта уязвимость была в основном исправлена поставщиками. За этим в 2020 году последовал « Thunderspy », который, как полагают, не подлежит обновлению и позволяет аналогично использовать DMA для получения полного доступа к системе в обход всех функций безопасности. [13]
Любое оставленное без присмотра устройство может быть уязвимо для сетевой атаки злой горничной. [1] Если злоумышленник достаточно хорошо знает устройство жертвы, он может заменить устройство жертвы на устройство идентичной модели с механизмом кражи пароля. [1] Таким образом, когда жертва вводит свой пароль, злоумышленник мгновенно будет уведомлен об этом и сможет получить доступ к информации украденного устройства. [1]
Один из подходов заключается в обнаружении того, что кто-то находится рядом с оставленным без присмотра устройством или обращается с ним. Сигнализация приближения, сигнализация детектора движения и беспроводные камеры могут использоваться для предупреждения жертвы, когда злоумышленник находится рядом с ее устройством, тем самым сводя на нет фактор внезапности нападения злой горничной. [14] Android- приложение Haven было создано в 2017 году Эдвардом Сноуденом для проведения такого мониторинга и передачи результатов на смартфон пользователя. [15]
В отсутствие вышеперечисленного можно использовать различные технологии защиты от несанкционированного доступа, чтобы определить, было ли устройство разобрано, включая недорогое решение, заключающееся в нанесении блестящего лака для ногтей на отверстия для винтов. [16]
После того, как возникло подозрение на атаку, жертва может проверить свое устройство на предмет наличия какого-либо вредоносного ПО, но это сложно. Предлагаемые подходы — проверка хешей выбранных секторов и разделов диска. [2]
Если устройство постоянно находится под наблюдением, злоумышленник не сможет совершить атаку злой горничной. [14] Если оставить устройство без присмотра, его также можно поместить в сейф, чтобы злоумышленник не имел к нему физического доступа. [14] Однако могут возникнуть ситуации, например, когда устройство будет временно изъято сотрудниками аэропорта или правоохранительных органов, когда это нецелесообразно.
Базовые меры безопасности, такие как наличие последней актуальной прошивки и выключение устройства перед тем, как оставить его без присмотра, предотвращают атаку, использующую уязвимости в устаревшей архитектуре и позволяющую внешним устройствам подключаться к открытым портам, соответственно. [5]
Системы шифрования дисков на базе ЦП, такие как TRESOR и Loop-Amnesia, предотвращают уязвимость данных к атаке DMA, гарантируя, что они не попадут в системную память. [17]
Было показано, что безопасная загрузка на основе TPM смягчает атаки злой горничной за счет аутентификации устройства для пользователя. [18] Он делает это путем разблокировки только в том случае, если пользователь указывает правильный пароль и если он измеряет, что на устройстве не было выполнено несанкционированного кода. [18] Эти измерения выполняются корневыми системами доверия, такими как Microsoft BitLocker и технология Intel TXT. [9] Программа Anti Evil Maid использует безопасную загрузку на основе TPM и пытается аутентифицировать устройство для пользователя. [1]