Jump to content

Нападение злой горничной

(Перенаправлено со Злой горничной )
Любое оставленное без присмотра устройство, такое как изображенный на фотографии ноутбук, подвергается риску нападения злой горничной.

Атака злой горничной — это атака на оставленное без присмотра устройство, при которой злоумышленник, имеющий физический доступ, каким-то необнаружимым образом изменяет его, чтобы впоследствии получить доступ к устройству или данным на нем.

Название относится к сценарию, когда горничная может вывести из строя устройство, оставленное без присмотра в гостиничном номере, но сама концепция также применима к таким ситуациям, как перехват устройства во время транспортировки или временное изъятие сотрудниками аэропорта или правоохранительных органов.

Источник

[ редактировать ]

В своем блоге 2009 года аналитик по безопасности Джоанна Рутковска ввела термин «Атака злой горничной», поскольку гостиничные номера являются обычным местом, где устройства остаются без присмотра. [1] [2] В посте подробно описан метод компрометации прошивки на автоматическом компьютере через внешний USB-накопитель — и, следовательно, обход шифрования диска TrueCrypt . [2]

Д. Дефриз, специалист по компьютерной безопасности, впервые упомянул о возможности атаки злой горничной на смартфоны Android в 2011 году. [1] Он рассказал о дистрибутиве WhisperCore для Android и его способности обеспечивать шифрование дисков для Android. [1]

Известность

[ редактировать ]

В 2007 году бывший министр торговли США Карлос Гутьеррес предположительно подвергся нападению злой горничной во время деловой поездки в Китай. [3] Он оставил свой компьютер без присмотра во время торговой беседы в Пекине и заподозрил, что его устройство было взломано. [3] Хотя обвинения еще не подтверждены и не опровергнуты, этот инцидент заставил правительство США с большей осторожностью относиться к физическим нападениям. [3]

В 2009 году Symantec Марку Брегману оставить свои устройства в США перед поездкой в ​​Китай. несколько агентств США посоветовали техническому директору [4] Ему было приказано купить новые перед отъездом и выбросить их по возвращении, чтобы любые физические попытки получить данные были неэффективными. [4]

Методы атаки

[ редактировать ]

Классическая злая горничная

[ редактировать ]

Атака начинается, когда жертва оставляет свое устройство без присмотра. [5] Затем злоумышленник может приступить к вмешательству в систему. Если устройство жертвы не имеет защиты паролем или аутентификации, злоумышленник может включить компьютер и немедленно получить доступ к информации жертвы. [6] Однако если устройство защищено паролем, как при полном шифровании диска , необходимо взломать прошивку устройства, обычно это делается с помощью внешнего диска. [6] Затем скомпрометированная прошивка предоставляет жертве поддельный пароль, идентичный оригиналу. [6] После ввода пароля скомпрометированная прошивка отправляет пароль злоумышленнику и удаляется после перезагрузки. [6] Чтобы успешно завершить атаку, злоумышленник должен вернуться к устройству после того, как оно останется без присмотра во второй раз, чтобы украсть доступные теперь данные. [5] [7]

Другой метод атаки — атака DMA , при которой злоумышленник получает доступ к информации жертвы через аппаратные устройства, которые подключаются непосредственно к физическому адресному пространству. [6] Злоумышленнику просто необходимо подключиться к аппаратному устройству, чтобы получить доступ к информации.

Сеть злая горничная

[ редактировать ]

Атака злой горничной также может быть осуществлена ​​путем замены устройства жертвы на идентичное устройство. [1] Если исходное устройство имеет пароль загрузчика , то злоумышленнику достаточно получить устройство с идентичным экраном ввода пароля загрузчика. [1] Однако если устройство имеет экран блокировки , процесс усложняется, поскольку злоумышленнику необходимо получить фоновое изображение, чтобы поместить его на экран блокировки имитирующего устройства. [1] В любом случае, когда жертва вводит свой пароль на поддельном устройстве, устройство отправляет пароль злоумышленнику, у которого есть исходное устройство. [1] Злоумышленник может получить доступ к данным жертвы. [1]

Уязвимые интерфейсы

[ редактировать ]

Устаревший BIOS

[ редактировать ]

Устаревший BIOS считается небезопасным против атак злой горничной. [8] Его архитектура старая, обновления и дополнительные ПЗУ , не подписаны а конфигурация незащищена. [8] Кроме того, он не поддерживает безопасную загрузку . [8] Эти уязвимости позволяют злоумышленнику загрузиться с внешнего диска и скомпрометировать прошивку. [8] Затем скомпрометированную прошивку можно настроить на удаленную отправку нажатий клавиш злоумышленнику. [8]

Единый расширяемый интерфейс прошивки

[ редактировать ]

Унифицированный расширяемый интерфейс прошивки (UEFI) предоставляет множество необходимых функций для предотвращения атак злой горничной. [8] Например, он предлагает платформу для безопасной загрузки, аутентифицированные переменные во время загрузки и TPM . безопасность инициализации [8] Несмотря на имеющиеся меры безопасности, производители платформ не обязаны их использовать. [8] Таким образом, проблемы безопасности могут возникнуть, когда эти неиспользуемые функции позволяют злоумышленнику использовать устройство. [8]

Системы полного шифрования диска

[ редактировать ]

Многие системы полнодискового шифрования , такие как TrueCrypt и PGP Whole Disk Encryption , подвержены атакам злой горничной из-за неспособности аутентифицировать себя перед пользователем. [9] Злоумышленник по-прежнему может изменять содержимое диска, несмотря на то, что устройство выключено и зашифровано. [9] Злоумышленник может изменить коды загрузчика системы шифрования, чтобы украсть пароли у жертвы. [9]

Также исследуется возможность создания канала связи между загрузчиком и операционной системой для удаленной кражи пароля к диску, защищенному FileVault 2. [10] В системе macOS эта атака имеет дополнительные последствия из-за технологии «переадресации паролей», в которой пароль учетной записи пользователя также служит паролем FileVault, что обеспечивает дополнительную поверхность атаки за счет повышения привилегий.

Удар молнии

[ редактировать ]

В 2019 году было объявлено об уязвимости под названием « Thunderclap » в портах Intel Thunderbolt , обнаруженной на многих ПК, которая может позволить злоумышленнику получить доступ к системе через прямой доступ к памяти (DMA). Это возможно, несмотря на использование блока управления памятью ввода-вывода (IOMMU). [11] [12] Эта уязвимость была в основном исправлена ​​поставщиками. За этим в 2020 году последовал « Thunderspy », который, как полагают, не подлежит обновлению и позволяет аналогично использовать DMA для получения полного доступа к системе в обход всех функций безопасности. [13]

Любое необслуживаемое устройство

[ редактировать ]

Любое оставленное без присмотра устройство может быть уязвимо для сетевой атаки злой горничной. [1] Если злоумышленник достаточно хорошо знает устройство жертвы, он может заменить устройство жертвы на устройство идентичной модели с механизмом кражи пароля. [1] Таким образом, когда жертва вводит свой пароль, злоумышленник мгновенно будет уведомлен об этом и сможет получить доступ к информации украденного устройства. [1]

смягчение последствий

[ редактировать ]

Обнаружение

[ редактировать ]

Один из подходов заключается в обнаружении того, что кто-то находится рядом с оставленным без присмотра устройством или обращается с ним. Сигнализация приближения, сигнализация детектора движения и беспроводные камеры могут использоваться для предупреждения жертвы, когда злоумышленник находится рядом с ее устройством, тем самым сводя на нет фактор внезапности нападения злой горничной. [14] Android- приложение Haven было создано в 2017 году Эдвардом Сноуденом для проведения такого мониторинга и передачи результатов на смартфон пользователя. [15]

В отсутствие вышеперечисленного можно использовать различные технологии защиты от несанкционированного доступа, чтобы определить, было ли устройство разобрано, включая недорогое решение, заключающееся в нанесении блестящего лака для ногтей на отверстия для винтов. [16]

После того, как возникло подозрение на атаку, жертва может проверить свое устройство на предмет установки какого-либо вредоносного ПО, но это сложно. Предлагаемые подходы — проверка хешей выбранных секторов и разделов диска. [2]

Профилактика

[ редактировать ]

Если устройство постоянно находится под наблюдением, злоумышленник не сможет совершить атаку злой горничной. [14] Если оставить устройство без присмотра, его также можно поместить в сейф, чтобы злоумышленник не имел к нему физического доступа. [14] Однако могут возникнуть ситуации, например, когда устройство временно забирают сотрудники аэропорта или правоохранительных органов, когда это непрактично.

Базовые меры безопасности, такие как наличие последней актуальной прошивки и выключение устройства перед тем, как оставить его без присмотра, предотвращают атаку, использующую уязвимости в устаревшей архитектуре и позволяющую внешним устройствам подключаться к открытым портам соответственно. [5]

Системы шифрования дисков на базе ЦП, такие как TRESOR и Loop-Amnesia, предотвращают уязвимость данных для атаки DMA, гарантируя, что они не утекут в системную память. [17]

безопасная загрузка на основе TPM смягчает атаки злой горничной за счет аутентификации устройства для пользователя. Было показано, что [18] Он делает это путем разблокировки только в том случае, если пользователь указывает правильный пароль и если он определяет, что на устройстве не было выполнено несанкционированного кода. [18] Эти измерения выполняются корневыми системами доверия, такими как технология Microsoft BitLocker и технология Intel TXT. [9] Программа Anti Evil Maid использует безопасную загрузку на основе TPM и пытается аутентифицировать устройство для пользователя. [1]

См. также

[ редактировать ]
  1. ^ Jump up to: а б с д и ж г час я дж к л Готцфрид, Йоханнес; Мюллер, Тило. «Анализ функции полного шифрования диска Android» (PDF) . Группа исследований инновационной информатики и технологий . Проверено 29 октября 2018 г.
  2. ^ Jump up to: а б с Рутковска, Джоанна (16 октября 2009 г.). «Блог Лаборатории невидимых вещей: Злая горничная преследует TrueCrypt!» . Блог Лаборатории невидимых вещей . Проверено 30 октября 2018 г.
  3. ^ Jump up to: а б с «Китайцы взломали ноутбук секретаря кабинета министров?» . msnbc.com . 29 мая 2008 г. Проверено 30 октября 2018 г.
  4. ^ Jump up to: а б Данчев, Данчо. « Злая горничная» атакует USB-накопитель с помощью кейлогов и парольных фраз TrueCrypt» . ЗДНет . Проверено 30 октября 2018 г.
  5. ^ Jump up to: а б с «Руководство F-Secure по атакам злых горничных» (PDF) . F-безопасный . Проверено 29 октября 2018 г.
  6. ^ Jump up to: а б с д и «Помешать «злой девице» [LWN.net]» . lwn.net . Проверено 30 октября 2018 г.
  7. ^ Хоффман, Крис (28 сентября 2020 г.). «Что такое нападение «злой горничной» и чему оно нас учит?» . Как компьютерщик . Проверено 21 ноября 2020 г.
  8. ^ Jump up to: а б с д и ж г час я Булыгин, Юрий (2013). «Злая дева стала еще злее» (PDF) . КанСекВест . Архивировано из оригинала (PDF) 10 июня 2016 года . Проверено 29 октября 2018 г.
  9. ^ Jump up to: а б с д Терешкин, Александр (07.09.2010). «Злая служанка преследует PGP-шифрование всего диска» . Материалы 3-й международной конференции «Безопасность информации и сетей — СИН '10» . АКМ. п. 2. дои : 10.1145/1854099.1854103 . ISBN  978-1-4503-0234-0 . S2CID   29070358 .
  10. ^ Бурсалян, Армен; Штамп, Марк (19 августа 2019 г.). «BootBandit: атака на загрузчик macOS» . Инженерные отчеты . 1 (1). дои : 10.1002/eng2.12032 .
  11. ^ Персонал (26 февраля 2019 г.). «Удар грома: современные компьютеры уязвимы для вредоносных периферийных устройств» . Проверено 12 мая 2020 г.
  12. ^ Гартенберг, Хаим (27 февраля 2019 г.). « Уязвимость «Thunderclap» может сделать компьютеры Thunderbolt уязвимыми для атак. Помните: не подключайте к компьютеру случайные устройства» . Грань . Проверено 12 мая 2020 г.
  13. ^ Рютенберг, Бьорн (17 апреля 2020 г.). «Нарушение безопасности протокола Thunderbolt: отчет об уязвимостях. 2020 г.» (PDF) . Thunderspy.io . Проверено 11 мая 2020 г.
  14. ^ Jump up to: а б с Данчев, Данчо. « Злая горничная» атакует USB-накопитель с помощью кейлогов и парольных фраз TrueCrypt» . ЗДНет . Проверено 30 октября 2018 г.
  15. ^ Шейх, Рафия (22 декабря 2017 г.). «Эдвард Сноуден теперь поможет вам превратить ваш телефон в «сторожевую собаку» » . Wccftech . Проверено 30 октября 2018 г.
  16. ^ «Атаки Evil Maid могут позволить киберпреступникам установить бэкдор прошивки на устройство за считанные минуты | Cyware» . Сайваре . Проверено 30 октября 2018 г.
  17. ^ Бласс, Эрик-Оливер; Робертсон, Уильям (3 декабря 2012 г.). TRESOR-HUNT: атака на шифрование, связанное с процессором . АКМ. стр. 71–78. дои : 10.1145/2420950.2420961 . ISBN  978-1-4503-1312-4 . S2CID   739758 .
  18. ^ Jump up to: а б Рутковска, Джоанна (октябрь 2015 г.). «Intel x86 считается вредным» (PDF) . Невидимые вещи . S2CID   37285788 .
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 847186d9677511c3a1d1ddde8a26f323__1722696300
URL1:https://arc.ask3.ru/arc/aa/84/23/847186d9677511c3a1d1ddde8a26f323.html
Заголовок, (Title) документа по адресу, URL1:
Evil maid attack - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)