Нападение злой горничной

Любое оставленное без присмотра устройство, такое как изображенный на фотографии ноутбук, подвергается риску нападения злой горничной.

Атака злой горничной — это атака на оставленное без присмотра устройство, при которой злоумышленник, имеющий физический доступ, каким-то необнаружимым образом изменяет его, чтобы впоследствии получить доступ к устройству или данным на нем.

Название относится к сценарию, когда горничная может вывести из строя устройство, оставленное без присмотра в гостиничном номере, но сама концепция также применима к таким ситуациям, как перехват устройства во время транспортировки или временное изъятие сотрудниками аэропорта или правоохранительных органов.

Обзор

Источник

В своем блоге 2009 года аналитик по безопасности Джоанна Рутковска ввела термин «Атака злой горничной», поскольку гостиничные номера являются обычным местом, где устройства остаются без присмотра. ^[1]^[2] В посте подробно описан метод компрометации прошивки на автоматическом компьютере через внешний USB-накопитель — и, следовательно, обход шифрования диска TrueCrypt . ^[2]

Д. Дефриз, специалист по компьютерной безопасности, впервые упомянул о возможности атаки злой горничной на смартфоны Android в 2011 году. ^[1] Он рассказал о дистрибутиве WhisperCore для Android и его способности обеспечивать шифрование дисков для Android. ^[1]

Известность

В 2007 году бывший министр торговли США Карлос Гутьеррес предположительно подвергся нападению злой горничной во время деловой поездки в Китай. ^[3] Он оставил свой компьютер без присмотра во время торговой беседы в Пекине и заподозрил, что его устройство было взломано. ^[3] Хотя обвинения еще не подтверждены и не опровергнуты, этот инцидент заставил правительство США с большей осторожностью относиться к физическим нападениям. ^[3]

В 2009 году Symantec Марку Брегману оставить свои устройства в США перед поездкой в Китай. несколько агентств США посоветовали техническому директору ^[4] Ему было приказано купить новые перед отъездом и выбросить их по возвращении, чтобы любые физические попытки получить данные были неэффективными. ^[4]

Методы атаки

Классическая злая горничная

Атака начинается, когда жертва оставляет свое устройство без присмотра. ^[5] Затем злоумышленник может приступить к вмешательству в систему. Если устройство жертвы не имеет защиты паролем или аутентификации, злоумышленник может включить компьютер и немедленно получить доступ к информации жертвы. ^[6] Однако если устройство защищено паролем, как при полном шифровании диска , необходимо взломать прошивку устройства, обычно это делается с помощью внешнего диска. ^[6] Затем скомпрометированная прошивка предоставляет жертве поддельный пароль, идентичный оригиналу. ^[6] После ввода пароля скомпрометированная прошивка отправляет пароль злоумышленнику и удаляется после перезагрузки. ^[6] Чтобы успешно завершить атаку, злоумышленник должен вернуться к устройству после того, как оно останется без присмотра во второй раз, чтобы украсть доступные теперь данные. ^[5]^[7]

Другой метод атаки — атака DMA , при которой злоумышленник получает доступ к информации жертвы через аппаратные устройства, которые подключаются непосредственно к физическому адресному пространству. ^[6] Злоумышленнику просто необходимо подключиться к аппаратному устройству, чтобы получить доступ к информации.

Сеть злая горничная

Атака злой горничной также может быть осуществлена путем замены устройства жертвы на идентичное устройство. ^[1] Если исходное устройство имеет пароль загрузчика , то злоумышленнику достаточно получить устройство с идентичным экраном ввода пароля загрузчика. ^[1] Однако если устройство имеет экран блокировки , процесс усложняется, поскольку злоумышленнику необходимо получить фоновое изображение, чтобы поместить его на экран блокировки имитирующего устройства. ^[1] В любом случае, когда жертва вводит свой пароль на поддельном устройстве, устройство отправляет пароль злоумышленнику, у которого есть исходное устройство. ^[1] Злоумышленник может получить доступ к данным жертвы. ^[1]

Уязвимые интерфейсы

Устаревший BIOS

Устаревший BIOS считается небезопасным против атак злой горничной. ^[8] Его архитектура старая, обновления и дополнительные ПЗУ , не подписаны а конфигурация незащищена. ^[8] Кроме того, он не поддерживает безопасную загрузку . ^[8] Эти уязвимости позволяют злоумышленнику загрузиться с внешнего диска и скомпрометировать прошивку. ^[8] Затем скомпрометированную прошивку можно настроить на удаленную отправку нажатий клавиш злоумышленнику. ^[8]

Единый расширяемый интерфейс прошивки

Унифицированный расширяемый интерфейс прошивки (UEFI) предоставляет множество необходимых функций для предотвращения атак злой горничной. ^[8] Например, он предлагает платформу для безопасной загрузки, аутентифицированные переменные во время загрузки и TPM . безопасность инициализации ^[8] Несмотря на имеющиеся меры безопасности, производители платформ не обязаны их использовать. ^[8] Таким образом, проблемы безопасности могут возникнуть, когда эти неиспользуемые функции позволяют злоумышленнику использовать устройство. ^[8]

Системы полного шифрования диска

Многие системы полнодискового шифрования , такие как TrueCrypt и PGP Whole Disk Encryption , подвержены атакам злой горничной из-за неспособности аутентифицировать себя перед пользователем. ^[9] Злоумышленник по-прежнему может изменять содержимое диска, несмотря на то, что устройство выключено и зашифровано. ^[9] Злоумышленник может изменить коды загрузчика системы шифрования, чтобы украсть пароли у жертвы. ^[9]

Также исследуется возможность создания канала связи между загрузчиком и операционной системой для удаленной кражи пароля к диску, защищенному FileVault 2. ^[10] В системе macOS эта атака имеет дополнительные последствия из-за технологии «переадресации паролей», в которой пароль учетной записи пользователя также служит паролем FileVault, что обеспечивает дополнительную поверхность атаки за счет повышения привилегий.

Удар молнии

В 2019 году было объявлено об уязвимости под названием « Thunderclap » в портах Intel Thunderbolt , обнаруженной на многих ПК, которая может позволить злоумышленнику получить доступ к системе через прямой доступ к памяти (DMA). Это возможно, несмотря на использование блока управления памятью ввода-вывода (IOMMU). ^[11]^[12] Эта уязвимость была в основном исправлена поставщиками. За этим в 2020 году последовал « Thunderspy », который, как полагают, не подлежит обновлению и позволяет аналогично использовать DMA для получения полного доступа к системе в обход всех функций безопасности. ^[13]

Любое необслуживаемое устройство

Любое оставленное без присмотра устройство может быть уязвимо для сетевой атаки злой горничной. ^[1] Если злоумышленник достаточно хорошо знает устройство жертвы, он может заменить устройство жертвы на устройство идентичной модели с механизмом кражи пароля. ^[1] Таким образом, когда жертва вводит свой пароль, злоумышленник мгновенно будет уведомлен об этом и сможет получить доступ к информации украденного устройства. ^[1]

смягчение последствий

Обнаружение

Один из подходов заключается в обнаружении того, что кто-то находится рядом с оставленным без присмотра устройством или обращается с ним. Сигнализация приближения, сигнализация детектора движения и беспроводные камеры могут использоваться для предупреждения жертвы, когда злоумышленник находится рядом с ее устройством, тем самым сводя на нет фактор внезапности нападения злой горничной. ^[14] Android- приложение Haven было создано в 2017 году Эдвардом Сноуденом для проведения такого мониторинга и передачи результатов на смартфон пользователя. ^[15]

В отсутствие вышеперечисленного можно использовать различные технологии защиты от несанкционированного доступа, чтобы определить, было ли устройство разобрано, включая недорогое решение, заключающееся в нанесении блестящего лака для ногтей на отверстия для винтов. ^[16]

После того, как возникло подозрение на атаку, жертва может проверить свое устройство на предмет установки какого-либо вредоносного ПО, но это сложно. Предлагаемые подходы — проверка хешей выбранных секторов и разделов диска. ^[2]

Профилактика

Если устройство постоянно находится под наблюдением, злоумышленник не сможет совершить атаку злой горничной. ^[14] Если оставить устройство без присмотра, его также можно поместить в сейф, чтобы злоумышленник не имел к нему физического доступа. ^[14] Однако могут возникнуть ситуации, например, когда устройство временно забирают сотрудники аэропорта или правоохранительных органов, когда это непрактично.

Базовые меры безопасности, такие как наличие последней актуальной прошивки и выключение устройства перед тем, как оставить его без присмотра, предотвращают атаку, использующую уязвимости в устаревшей архитектуре и позволяющую внешним устройствам подключаться к открытым портам соответственно. ^[5]

Системы шифрования дисков на базе ЦП, такие как TRESOR и Loop-Amnesia, предотвращают уязвимость данных для атаки DMA, гарантируя, что они не утекут в системную память. ^[17]

безопасная загрузка на основе TPM смягчает атаки злой горничной за счет аутентификации устройства для пользователя. Было показано, что ^[18] Он делает это путем разблокировки только в том случае, если пользователь указывает правильный пароль и если он определяет, что на устройстве не было выполнено несанкционированного кода. ^[18] Эти измерения выполняются корневыми системами доверия, такими как технология Microsoft BitLocker и технология Intel TXT. ^[9] Программа Anti Evil Maid использует безопасную загрузку на основе TPM и пытается аутентифицировать устройство для пользователя. ^[1]

См. также

Ссылки

^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л Готцфрид, Йоханнес; Мюллер, Тило. «Анализ функции полного шифрования диска Android» (PDF) . Группа исследований инновационной информатики и технологий . Проверено 29 октября 2018 г.
^ Jump up to: ^а ^б ^с Рутковска, Джоанна (16 октября 2009 г.). «Блог Лаборатории невидимых вещей: Злая горничная преследует TrueCrypt!» . Блог Лаборатории невидимых вещей . Проверено 30 октября 2018 г.
^ Jump up to: ^а ^б ^с «Китайцы взломали ноутбук секретаря кабинета министров?» . msnbc.com . 29 мая 2008 г. Проверено 30 октября 2018 г.
^ Jump up to: ^а ^б Данчев, Данчо. « Злая горничная» атакует USB-накопитель с помощью кейлогов и парольных фраз TrueCrypt» . ЗДНет . Проверено 30 октября 2018 г.
^ Jump up to: ^а ^б ^с «Руководство F-Secure по атакам злых горничных» (PDF) . F-безопасный . Проверено 29 октября 2018 г.
^ Jump up to: ^а ^б ^с ^д ^и «Помешать «злой девице» [LWN.net]» . lwn.net . Проверено 30 октября 2018 г.
^ Хоффман, Крис (28 сентября 2020 г.). «Что такое нападение «злой горничной» и чему оно нас учит?» . Как компьютерщик . Проверено 21 ноября 2020 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я Булыгин, Юрий (2013). «Злая дева стала еще злее» (PDF) . КанСекВест . Архивировано из оригинала (PDF) 10 июня 2016 года . Проверено 29 октября 2018 г.
^ Jump up to: ^а ^б ^с ^д Терешкин, Александр (07.09.2010). «Злая служанка преследует PGP-шифрование всего диска» . Материалы 3-й международной конференции «Безопасность информации и сетей — СИН '10» . АКМ. п. 2. дои : 10.1145/1854099.1854103 . ISBN 978-1-4503-0234-0 . S2CID 29070358 .
^ Бурсалян, Армен; Штамп, Марк (19 августа 2019 г.). «BootBandit: атака на загрузчик macOS» . Инженерные отчеты . 1 (1). дои : 10.1002/eng2.12032 .
^ Персонал (26 февраля 2019 г.). «Удар грома: современные компьютеры уязвимы для вредоносных периферийных устройств» . Проверено 12 мая 2020 г.
^ Гартенберг, Хаим (27 февраля 2019 г.). « Уязвимость «Thunderclap» может сделать компьютеры Thunderbolt уязвимыми для атак. Помните: не подключайте к компьютеру случайные устройства» . Грань . Проверено 12 мая 2020 г.
^ Рютенберг, Бьорн (17 апреля 2020 г.). «Нарушение безопасности протокола Thunderbolt: отчет об уязвимостях. 2020 г.» (PDF) . Thunderspy.io . Проверено 11 мая 2020 г.
^ Jump up to: ^а ^б ^с Данчев, Данчо. « Злая горничная» атакует USB-накопитель с помощью кейлогов и парольных фраз TrueCrypt» . ЗДНет . Проверено 30 октября 2018 г.
^ Шейх, Рафия (22 декабря 2017 г.). «Эдвард Сноуден теперь поможет вам превратить ваш телефон в «сторожевую собаку» » . Wccftech . Проверено 30 октября 2018 г.
^ «Атаки Evil Maid могут позволить киберпреступникам установить бэкдор прошивки на устройство за считанные минуты | Cyware» . Сайваре . Проверено 30 октября 2018 г.
^ Бласс, Эрик-Оливер; Робертсон, Уильям (3 декабря 2012 г.). TRESOR-HUNT: атака на шифрование, связанное с процессором . АКМ. стр. 71–78. дои : 10.1145/2420950.2420961 . ISBN 978-1-4503-1312-4 . S2CID 739758 .
^ Jump up to: ^а ^б Рутковска, Джоанна (октябрь 2015 г.). «Intel x86 считается вредным» (PDF) . Невидимые вещи . S2CID 37285788 .

[:0-1] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л Готцфрид, Йоханнес; Мюллер, Тило. «Анализ функции полного шифрования диска Android» (PDF) . Группа исследований инновационной информатики и технологий . Проверено 29 октября 2018 г.

[:1-2] Jump up to: ^а ^б ^с Рутковска, Джоанна (16 октября 2009 г.). «Блог Лаборатории невидимых вещей: Злая горничная преследует TrueCrypt!» . Блог Лаборатории невидимых вещей . Проверено 30 октября 2018 г.

[:2-3] Jump up to: ^а ^б ^с «Китайцы взломали ноутбук секретаря кабинета министров?» . msnbc.com . 29 мая 2008 г. Проверено 30 октября 2018 г.

[:3-4] Jump up to: ^а ^б Данчев, Данчо. « Злая горничная» атакует USB-накопитель с помощью кейлогов и парольных фраз TrueCrypt» . ЗДНет . Проверено 30 октября 2018 г.

[:9-5] Jump up to: ^а ^б ^с «Руководство F-Secure по атакам злых горничных» (PDF) . F-безопасный . Проверено 29 октября 2018 г.

[:4-6] Jump up to: ^а ^б ^с ^д ^и «Помешать «злой девице» [LWN.net]» . lwn.net . Проверено 30 октября 2018 г.

[7] Хоффман, Крис (28 сентября 2020 г.). «Что такое нападение «злой горничной» и чему оно нас учит?» . Как компьютерщик . Проверено 21 ноября 2020 г.

[:5-8] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я Булыгин, Юрий (2013). «Злая дева стала еще злее» (PDF) . КанСекВест . Архивировано из оригинала (PDF) 10 июня 2016 года . Проверено 29 октября 2018 г.

[:6-9] Jump up to: ^а ^б ^с ^д Терешкин, Александр (07.09.2010). «Злая служанка преследует PGP-шифрование всего диска» . Материалы 3-й международной конференции «Безопасность информации и сетей — СИН '10» . АКМ. п. 2. дои : 10.1145/1854099.1854103 . ISBN 978-1-4503-0234-0 . S2CID 29070358 .

[10] Бурсалян, Армен; Штамп, Марк (19 августа 2019 г.). «BootBandit: атака на загрузчик macOS» . Инженерные отчеты . 1 (1). дои : 10.1002/eng2.12032 .

[TC-20190226-11] Персонал (26 февраля 2019 г.). «Удар грома: современные компьютеры уязвимы для вредоносных периферийных устройств» . Проверено 12 мая 2020 г.

[VRG-20190227-12] Гартенберг, Хаим (27 февраля 2019 г.). « Уязвимость «Thunderclap» может сделать компьютеры Thunderbolt уязвимыми для атак. Помните: не подключайте к компьютеру случайные устройства» . Грань . Проверено 12 мая 2020 г.

[TSY-20200417-13] Рютенберг, Бьорн (17 апреля 2020 г.). «Нарушение безопасности протокола Thunderbolt: отчет об уязвимостях. 2020 г.» (PDF) . Thunderspy.io . Проверено 11 мая 2020 г.

[:7-14] Jump up to: ^а ^б ^с Данчев, Данчо. « Злая горничная» атакует USB-накопитель с помощью кейлогов и парольных фраз TrueCrypt» . ЗДНет . Проверено 30 октября 2018 г.

[15] Шейх, Рафия (22 декабря 2017 г.). «Эдвард Сноуден теперь поможет вам превратить ваш телефон в «сторожевую собаку» » . Wccftech . Проверено 30 октября 2018 г.

[16] «Атаки Evil Maid могут позволить киберпреступникам установить бэкдор прошивки на устройство за считанные минуты | Cyware» . Сайваре . Проверено 30 октября 2018 г.

[17] Бласс, Эрик-Оливер; Робертсон, Уильям (3 декабря 2012 г.). TRESOR-HUNT: атака на шифрование, связанное с процессором . АКМ. стр. 71–78. дои : 10.1145/2420950.2420961 . ISBN 978-1-4503-1312-4 . S2CID 739758 .

[:8-18] Jump up to: ^а ^б Рутковска, Джоанна (октябрь 2015 г.). «Intel x86 считается вредным» (PDF) . Невидимые вещи . S2CID 37285788 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]