Нападение злой горничной

Тип нарушения компьютерной безопасности

Любое оставленное без присмотра устройство, такое как изображенный на фотографии ноутбук, подвергается риску нападения злой горничной.

Атака злой горничной — это атака на оставленное без присмотра устройство, при которой злоумышленник, имеющий физический доступ, каким-то необнаружимым образом изменяет его, чтобы впоследствии получить доступ к устройству или данным на нем.

Название относится к сценарию, когда горничная может вывести из строя устройство, оставленное без присмотра в гостиничном номере, но сама концепция также применима к таким ситуациям, как перехват устройства во время транспортировки или временное изъятие сотрудниками аэропорта или правоохранительных органов.

Обзор

Источник

В своем блоге в 2009 году аналитик по безопасности Джоанна Рутковска ввела термин «Атака злой горничной», поскольку гостиничные номера являются обычным местом, где устройства остаются без присмотра. ^{[1] [2]} В сообщении подробно описан метод компрометации прошивки на автоматическом компьютере через внешний USB-накопитель — и, следовательно, обход шифрования диска TrueCrypt . ^[2]

Д. Дефриз, специалист по компьютерной безопасности, впервые упомянул о возможности атаки злой горничной на смартфоны Android в 2011 году. ^[1] Он рассказал о дистрибутиве WhisperCore Android и его способности обеспечивать шифрование дисков для Android. ^[1]

Известность

В 2007 году бывший министр торговли США Карлос Гутьеррес предположительно подвергся нападению злой горничной во время деловой поездки в Китай. ^[3] Он оставил свой компьютер без присмотра во время торговой беседы в Пекине и заподозрил, что его устройство было взломано. ^[3] Хотя обвинения еще не подтверждены и не опровергнуты, инцидент заставил правительство США с большей осторожностью относиться к физическим нападениям. ^[3]

В 2009 году несколько агентств США посоветовали техническому директору Symantec Марку Брегману оставить свои устройства в США перед поездкой в ​​Китай. ^[4] Ему было приказано купить новые перед отъездом и выбросить их по возвращении, чтобы любые физические попытки получить данные были неэффективными. ^[4]

Методы атаки

Классическая злая горничная

Атака начинается, когда жертва оставляет свое устройство без присмотра. ^[5] После этого злоумышленник может приступить к вмешательству в систему. Если устройство жертвы не имеет защиты паролем или аутентификации, злоумышленник может включить компьютер и немедленно получить доступ к информации жертвы. ^[6] Однако, если устройство защищено паролем, как при полном шифровании диска , необходимо взломать прошивку устройства, обычно это делается с помощью внешнего диска. ^[6] Затем скомпрометированная прошивка предоставляет жертве поддельный пароль, идентичный оригиналу. ^[6] После ввода пароля скомпрометированная прошивка отправляет пароль злоумышленнику и удаляется после перезагрузки. ^[6] Чтобы успешно завершить атаку, злоумышленник должен вернуться к устройству после того, как оно останется без присмотра во второй раз, чтобы украсть доступные теперь данные. ^{[5] [7]}

Другой метод атаки — атака DMA, при которой злоумышленник получает доступ к информации жертвы через аппаратные устройства, которые подключаются непосредственно к физическому адресному пространству. ^[6] Злоумышленнику просто необходимо подключиться к аппаратному устройству, чтобы получить доступ к информации.

Сеть злая горничная

Атака злой горничной также может быть осуществлена ​​путем замены устройства жертвы на идентичное устройство. ^[1] Если исходное устройство имеет пароль загрузчика , то злоумышленнику достаточно получить устройство с идентичным экраном ввода пароля загрузчика. ^[1] Однако если устройство имеет экран блокировки , процесс усложняется, поскольку злоумышленнику необходимо получить фоновое изображение, чтобы поместить его на экран блокировки имитирующего устройства. ^[1] В любом случае, когда жертва вводит свой пароль на поддельном устройстве, устройство отправляет пароль злоумышленнику, у которого есть исходное устройство. ^[1] После этого злоумышленник может получить доступ к данным жертвы. ^[1]

Уязвимые интерфейсы

Устаревший BIOS

Устаревший BIOS считается небезопасным против атак злой горничной. ^[8] Его архитектура старая, обновления и дополнительные ПЗУ не подписаны , а конфигурация не защищена. ^[8] Кроме того, он не поддерживает безопасную загрузку . ^[8] Эти уязвимости позволяют злоумышленнику загрузиться с внешнего диска и поставить под угрозу прошивку. ^[8] Затем скомпрометированную прошивку можно настроить на удаленную отправку нажатий клавиш злоумышленнику. ^[8]

Унифицированный расширяемый интерфейс встроенного ПО

Унифицированный расширяемый интерфейс прошивки (UEFI) предоставляет множество необходимых функций для предотвращения атак злой горничной. ^[8] Например, он предлагает структуру для безопасной загрузки, аутентифицированные переменные во время загрузки и безопасность инициализации TPM . ^[8] Несмотря на эти доступные меры безопасности, производители платформ не обязаны их использовать. ^[8] Таким образом, проблемы безопасности могут возникнуть, когда эти неиспользуемые функции позволяют злоумышленнику использовать устройство. ^[8]

Системы полного шифрования диска

Многие системы полнодискового шифрования , такие как TrueCrypt и PGP Whole Disk Encryption , подвержены атакам злой горничной из-за неспособности аутентифицировать себя перед пользователем. ^[9] Злоумышленник по-прежнему может изменять содержимое диска, несмотря на то, что устройство выключено и зашифровано. ^[9] Злоумышленник может изменить коды загрузчика системы шифрования, чтобы украсть пароли у жертвы. ^[9]

Также исследуется возможность создания канала связи между загрузчиком и операционной системой для удаленной кражи пароля к диску, защищенному FileVault 2. ^[10] В системе macOS эта атака имеет дополнительные последствия из-за технологии «переадресации паролей», в которой пароль учетной записи пользователя также служит паролем FileVault, что обеспечивает дополнительную поверхность атаки за счет повышения привилегий.

Удар молнии

В 2019 году было объявлено об уязвимости под названием « Thunderclap » в портах Intel Thunderbolt , обнаруженной на многих ПК, которая может позволить злоумышленнику получить доступ к системе через прямой доступ к памяти (DMA). Это возможно, несмотря на использование блока управления памятью ввода-вывода (IOMMU). ^{[11] [12]} Эта уязвимость была в основном исправлена ​​поставщиками. За этим в 2020 году последовал « Thunderspy », который, как полагают, не подлежит обновлению и позволяет аналогично использовать DMA для получения полного доступа к системе в обход всех функций безопасности. ^[13]

Любое необслуживаемое устройство

Любое оставленное без присмотра устройство может быть уязвимо для сетевой атаки злой горничной. ^[1] Если злоумышленник достаточно хорошо знает устройство жертвы, он может заменить устройство жертвы на устройство идентичной модели с механизмом кражи пароля. ^[1] Таким образом, когда жертва вводит свой пароль, злоумышленник мгновенно будет уведомлен об этом и сможет получить доступ к информации украденного устройства. ^[1]

смягчение последствий

Обнаружение

Один из подходов заключается в обнаружении того, что кто-то находится рядом с оставленным без присмотра устройством или обращается с ним. Сигнализация приближения, сигнализация детектора движения и беспроводные камеры могут использоваться для предупреждения жертвы, когда злоумышленник находится рядом с ее устройством, тем самым сводя на нет фактор внезапности нападения злой горничной. ^[14] Android- приложение Haven было создано в 2017 году Эдвардом Сноуденом для проведения такого мониторинга и передачи результатов на смартфон пользователя. ^[15]

В отсутствие вышеперечисленного можно использовать различные технологии защиты от несанкционированного доступа, чтобы определить, было ли устройство разобрано, включая недорогое решение, заключающееся в нанесении блестящего лака для ногтей на отверстия для винтов. ^[16]

После того, как возникло подозрение на атаку, жертва может проверить свое устройство на предмет наличия какого-либо вредоносного ПО, но это сложно. Предлагаемые подходы — проверка хешей выбранных секторов и разделов диска. ^[2]

Профилактика

Если устройство постоянно находится под наблюдением, злоумышленник не сможет совершить атаку злой горничной. ^[14] Если оставить устройство без присмотра, его также можно поместить в сейф, чтобы злоумышленник не имел к нему физического доступа. ^[14] Однако могут возникнуть ситуации, например, когда устройство будет временно изъято сотрудниками аэропорта или правоохранительных органов, когда это нецелесообразно.

Базовые меры безопасности, такие как наличие последней актуальной прошивки и выключение устройства перед тем, как оставить его без присмотра, предотвращают атаку, использующую уязвимости в устаревшей архитектуре и позволяющую внешним устройствам подключаться к открытым портам, соответственно. ^[5]

Системы шифрования дисков на базе ЦП, такие как TRESOR и Loop-Amnesia, предотвращают уязвимость данных к атаке DMA, гарантируя, что они не попадут в системную память. ^[17]

Было показано, что безопасная загрузка на основе TPM смягчает атаки злой горничной за счет аутентификации устройства для пользователя. ^[18] Он делает это путем разблокировки только в том случае, если пользователь указывает правильный пароль и если он измеряет, что на устройстве не было выполнено несанкционированного кода. ^[18] Эти измерения выполняются корневыми системами доверия, такими как Microsoft BitLocker и технология Intel TXT. ^[9] Программа Anti Evil Maid использует безопасную загрузку на основе TPM и пытается аутентифицировать устройство для пользователя. ^[1]

Смотрите также

• Атака с холодной загрузкой
• Плечо серфинг (компьютерная безопасность)

Рекомендации

1. Готцфрид, Йоханнес; Мюллер, Тило. «Анализ функции полного шифрования диска Android» (PDF) . Группа исследований инновационной информатики и технологий . Проверено 29 октября 2018 г.
2. Рутковска, Джоанна (16 октября 2009 г.). «Блог Лаборатории невидимых вещей: Злая горничная преследует TrueCrypt!». Блог Лаборатории невидимых вещей . Проверено 30 октября 2018 г.
3. «Китайцы взломали ноутбук секретаря кабинета министров?». msnbc.com . 29 мая 2008 г. Проверено 30 октября 2018 г.
4. Данчев, Данчо. «Злая горничная» атакует USB-накопитель, использует парольные фразы TrueCrypt» . ЗДНет . Проверено 30 октября 2018 г.
5. «Руководство F-Secure по атакам злых горничных» (PDF) . F-безопасный . Проверено 29 октября 2018 г.
6. «Помешать «злой горничной» [LWN.net]». lwn.net . Проверено 30 октября 2018 г.
7. Хоффман, Крис (28 сентября 2020 г.). «Что такое нападение «злой горничной» и чему оно нас учит?». Как компьютерщик . Проверено 21 ноября 2020 г.
8. Булыгин, Юрий (2013). «Злая дева стала еще злее» (PDF) . КанСекВест . Архивировано из оригинала (PDF) 10 июня 2016 года . Проверено 29 октября 2018 г.
9. Терешкин, Александр (07 сентября 2010 г.). «Злая служанка преследует PGP-шифрование всего диска». Материалы 3-й международной конференции «Безопасность информации и сетей — СИН '10» . АКМ. п. 2. дои : 10.1145/1854099.1854103. ISBN 978-1-4503-0234-0. S2CID  29070358.
10. Бурсалян, Армен; Штамп, Марк (19 августа 2019 г.). «BootBandit: атака загрузчика macOS». Инженерные отчеты . 1 (1). дои : 10.1002/eng2.12032 .
11. Сотрудники (26 февраля 2019 г.). «Удар грома: современные компьютеры уязвимы для вредоносных периферийных устройств» . Проверено 12 мая 2020 г.
12. Гартенберг, Хаим (27 февраля 2019 г.). «Уязвимость Thunderclap может сделать компьютеры Thunderbolt уязвимыми для атак. Помните: не подключайте к компьютеру случайные устройства». Грань . Проверено 12 мая 2020 г.
13. Рюйтенберг, Бьорн (17 апреля 2020 г.). «Нарушение безопасности протокола Thunderbolt: отчет об уязвимостях. 2020 г.» (PDF) . Thunderspy.io . Проверено 11 мая 2020 г.
14. Данчев, Данчо. «Злая горничная» атакует USB-накопитель, использует парольные фразы TrueCrypt» . ЗДНет . Проверено 30 октября 2018 г.
15. Шейх, Рафия (22 декабря 2017 г.). «Эдвард Сноуден теперь поможет вам превратить ваш телефон в «сторожевую собаку»». Wccftech . Проверено 30 октября 2018 г.
16. «Атаки Evil Maid могут позволить киберпреступникам установить бэкдор прошивки на устройство за считанные минуты | Cyware» . Сайваре . Проверено 30 октября 2018 г.
17. Бласс, Эрик-Оливер; Робертсон, Уильям (3 декабря 2012 г.). TRESOR-HUNT: атака на шифрование, связанное с процессором . АКМ. стр. 71–78. дои : 10.1145/2420950.2420961. ISBN 978-1-4503-1312-4. S2CID  739758.
18. Рутковска, Джоанна (октябрь 2015 г.). «Intel x86 считается вредным» (PDF) . Невидимые вещи . S2CID  37285788.