id: Гость   вход   регистрация
текущее время 02:46 29/03/2024
Владелец: unknown (создано 16/11/2009 11:18), редакция от 16/11/2009 16:31 (автор: unknown) Печать
Категории: инфобезопасность, защита дисков, антивирусная защита, модель угрозы
http://www.pgpru.com/Новости/2009/ИнфицированиеЗагрузчикаДляОбходаШифрованныхФайловыхСистем
создать
просмотр
редакции
ссылки

16.11 // Инфицирование загрузчика для обхода шифрованных файловых систем


Месяц назад, 16 октября, Joanna Rutkowska опубликовала практическую демонстрацию атаки на системы с полнодисковым шифрованием, которая была известна и ранее, но не была публично продемонстрирована. В качестве демонстрации был использован компьютер, диск которого зашифрован с помощью Truecrypt (несложно создать версии и против других программ шифрования).


Атака "злонамеренной уборщицы" практически выглядит так: в отсутствие свидетелей злоумышленник загружает компьютер жертвы с USB-флэшки, которая в течении максимум пары минут производит все необходимые операции по инфицированию загрузчика. Инфицированный загрузчик перехватывает пароль, введённый пользователем на расшифровку операционной системы и может сохранить его в другой части диска или переслать по сети.


После похищения пароля загрузчик можно вернуть в исходное состояние, чтобы замести следы вторжения (если потратить немного больше времени, то можно скопировать и всё содержимое винчестера в зашифрованном виде, так что если его владелец и сменит пароль позднее — это будет уже неактуально, так как пароль к старой версии содержимого уже будет получен).


Атака похожа на ранее продемонстрированную Stoned boot attack, отличаясь лишь тем, на каком этапе работы системы внедряется троян.


Также есть сходство с атаками с холодной перезагрузкой или использованием аппаратных перехватчиков паролей.


По комментариям PGP corp полной защиты от атак такого рода не существует.


Использование технологии "Trusted computing" опирается на проприетарные решения и доверие к закрытым аппаратным решениям от корпораций. Кроме того, как считает Joanna Rutkowska, в экстремальном случае высокооснащённый противник (АНБ) может подменить процессор и платы памяти.


Если отбросить вмешательство в аппаратную часть, то относительно простым решением может быть использование двухфакторной аутентификации — использование собственного загрузчика с USB-флэшки или компакт-диска, которые противник не может подменить. Эти загрузчики могут проверять хэш незашифрованной части диска или полностью загружать операционную систему.


Однако, следует помнить об общем принципе — невозможно быть уверенным в надёжности защиты при дальнейшей работе пользователя с зашифрованной информацией на компьютере после того как противник имел к нему физический доступ.


Как отмечает в комментариях в своём блоге Брюс Шнайер — многие пользователи вероятно ошибочно оценивают уровень защиты, предоставляемый средствами шифрования, фактически он сводится к защите информации при конфискации или похищения компьютера или носителей данных, но не защищает против активных атак.


Источник: Joanna Rutkowska Invisible Things Blog


 
На страницу: 1, 2, 3 След.
Комментарии [скрыть комментарии/форму]
— SATtva (25/11/2009 21:44)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Нет.
— _owl (26/11/2009 08:22)   профиль/связь   <#>
комментариев: 105   документов: 20   редакций: 3
славненько. а если тупо ручками переписать бинарный код загрузчика PGP на флешку и с нее грузиться?
— SATtva (26/11/2009 18:46, исправлен 26/11/2009 18:47)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Если загрузчик PGP нормально отнесётся к таким манипуляциям, то почему бы и нет. Только, опять же, это оградит от вмешательства в код загрузчика и его подмены, но не от атак на БИОС и аппаратную составляющую.

— Гость (26/11/2009 19:00)   <#>
Инфицирование загрузчика, если он доступен на диске.
Инфицирование BIOS, если имеется программная или аппаратная возможность записи.
Постановка аппаратного кейлоггера.
установка видеокамеры,...
...и прочие улавливатели побочных излучений.
— SATtva (26/11/2009 19:02)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ну, это уже не совсем атаки на машину, скорее на окружение, но да, они тоже.
— _owl (27/11/2009 21:07)   профиль/связь   <#>
комментариев: 105   документов: 20   редакций: 3
Только, опять же, это оградит от вмешательства в код загрузчика и его подмены, но не от атак на БИОС и аппаратную составляющую.

согласен. но планка (стоимость взлома) все-таки поднимется.

Интересно, а можно ли имея загрузчик на внешнем носителе встроить в него проверку целостности биоса? Типа, прочитать его бинарный код, взять от него хэш и сравнить его с хэшем девственного биоса?

правда тут же возникает вопрос: "где гарантии того, что в день нуль биос не содержал закладок"? Но даже при отсутствии гарантий мероприятие будет полезным, т.к. позволит бороться хотя бы с одной ветвью угрозы – модификацией биоса после дня нуль.
— Гость (27/11/2009 22:05)   <#>
Типа, прочитать его бинарный код, взять от него хэш и сравнить его с хэшем девственного биоса?

Где гарантии того, что мы прочитали действительно код BIOS, а не то, что нам хочет показать хитрый руткит?. И где гарантии того, что код проверки целостности не был изменен BIOS'ом так, чтобы вражеский BIOS проходил проверку.
— _owl (27/11/2009 22:31)   профиль/связь   <#>
комментариев: 105   документов: 20   редакций: 3
Где гарантии того, что мы прочитали действительно код BIOS, а не то, что нам хочет показать хитрый руткит?

гарантий нет, действительно, по крайней мере на первый взгляд

И где гарантии того, что код проверки целостности не был изменен BIOS'ом так, чтобы вражеский BIOS проходил проверку.

код проверки по условиям игры находится на внешнем носителе и м.б. вообще защищен от перезаписи. Поэтому можно говорить только об изменении кода программы проверки, загруженной в ОЗУ для выполнения.

Но это выглядит сложновато, ведь программ проверки целостности биоса м.б. много, и злостный биос должен уметь производить анализ исполняемого кода, обнаруживать признаки анализатора целостности (по сигнатурам или эвристически, как антивирус видимо) и уметь динамически его же править, причем так чтобы пользователь ничего не заметил.

Кроме того, хороший загрузчик (или воображаемый загрузчик-валидатор биоса), и это отмечалось и на сайте Рутковска, должен уметь контролировать целостность самого себя. Ведь Skype это делает, и давольно эффективно! Нужно перенять опыт...

видится и другое возможное решение: нужна доверенная аппаратная платформа для хранения и исполнения кода загрузчика-валидатора. Например что-то типа того же криптографического брелка Aladdin. Своя память, свой процессор. Никакой виртуализации. Можно вообще образ биоса хранить там и при каждой загрузке ПК переписывать его с брелка на машину.

все равно останется угроза аппаратных закладок конечно. это похоже тот самый лом... или нет?
— Гость (27/11/2009 22:39)   <#>
Только технологии Trusted Computing помогут обеспечить достойную защиту от модификации прошивок и прочего ПО.
— Гость (27/11/2009 22:50)   <#>
Поэтому можно говорить только об изменении кода программы проверки, загруженной в ОЗУ для выполнения.

Я это и имел ввиду.

и злостный биос должен уметь производить анализ исполняемого кода, обнаруживать признаки анализатора целостности (по сигнатурам или эвристически, как антивирус видимо) и уметь динамически его же править, причем так чтобы пользователь ничего не заметил.

На процессорах с поддержкой аппаратной виртуализации это не проблема, на более старых будем использовать динамическую трансляцию кода их исходников qemu. Это что касается обхода проверок чтением ОЗУ. Ну а чтение flash через порты эмулируется легко и непринужденно через SMM/VMX.
Написание такого руткита – это уровень хорошего программиста-системщика, бюджет проекта $10-$30к, в зависимости от числа поддерживаемых чипсетов и типов процессоров.

Например что-то типа того же криптографического брелка Aladdin. Своя память, свой процессор.

И проверять ему придется свой BIOS, потому как доступ к памяти компа возможен только через CPU.

Только технологии Trusted Computing помогут обеспечить достойную защиту от модификации прошивок и прочего ПО

Ой ли? А кто будет решать можно или нельзя запускать эту конкретную прошивку? Ясен пень, что не пользователь. Вы доверяете корпорациям, основная цель которых – получение прибыли?
— Гость (27/11/2009 23:17)   <#>
А кто будет решать можно или нельзя запускать эту конкретную прошивку? Ясен пень, что не пользователь.

Админ будет решать. Так же, как сейчас он решает какой софт должен иметь какие права в ОС.
— Гость (27/11/2009 23:54)   <#>
— Гость (28/11/2009 00:02)   <#>
Только технологии Trusted Computing помогут обеспечить достойную защиту от модификации прошивок и прочего ПО.
Вот-вот. И никаких кряков и пирацтва! А также нелицензионного цитирования и комментирования высказываний представителей органов власти! А кто против – от вирусов сдохнет!
— Гость (28/11/2009 00:10)   <#>
У антивирусов есть уже замечательный термин – "потенциально нежелательное ПО". Нажо только немного расширить до "потенциально нежелательная информация", особо не распространяясь, кому нежелательная. А без антивирусов – см. выше, а самоделки не пропустит технология Trusted Computing...
— Guest435942604345 (06/12/2009 11:19)   <#>
А можно ли организовать "выносной" BioS?
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3