id: Гость   вход   регистрация
текущее время 15:26 02/05/2024
Владелец: unknown редакция от 16/11/2009 11:18 (автор: unknown) Печать
Категории: инфобезопасность, защита дисков, антивирусная защита, модель угрозы
http://www.pgpru.com/Новости/2009/ИнфицированиеЗагрузчикаДляОбходаШифрованныхФайловыхСистем
создать
просмотр
редакции
ссылки

Это старая редакция страницы Новости / 2009 / Инфицирование Загрузчика Для Обхода Шифрованных Файловых Систем за 16/11/2009 11:18.

16.11 // Инфицирование загрузчика для обхода шифрованных файловых систем


Месяц назад, 16 октября, Joanna Rutkowska опубликовала практическую демонстрацию атаки на системы с полнодисковым шифрованием, которая была известна и ранее, но не была публично продемонстрирована. В качестве демонстрации был использован компьютер, диск которого зашифрован с помощью Truecrypt.


Атака "злонамеренной уборщицы" практически выглядит так: в отсутствие свидетелей злоумышленник загружает компьютер жертвы с USB-флэшки, которая в течении максимум пары минут производит все необходимые операции по инфицированию загрузчика. Инфицированный загрузчик перехватывает пароль, введённый пользователем на расшифровку операционной системы и может сохранить его в другой части диска или переслать по сети.


После похищения пароля загрузчик можно вернуть в исходное состояние, чтобы замести следы вторжения (если потратить немного больше времени, то можно скопировать и всё содержимое винчестера в зашифрованном виде, так что если его владелец и сменит пароль позднее — это будет уже неактуально, так как пароль к старой версии содержимого уже будет получен).


Атака похожа на ранее продемонстрированную Stoned boot attack, отличаясь лишь тем, на каком этапе работы системы внедряется троян.


Также есть сходство с атаками с холодной перезагрузкой или использованием аппаратных перехватчиков паролей.


По комментариям PGP corp полной защиты от атак такого рода не существует.


Использование технологии "Trusted computing" опирается на проприетарные решения и доверие к закрытым аппаратным решениям от корпораций.


Относительно простым решением может быть использование двухфакторной аутентификации — использование собственного загрузчика с USB-флэшки или компакт-диска, которые противник не может подменить. Эти загрузчики могут проверять хэш незашифрованной части диска или полностью загружать операционную систему.


Однако, следует помнить об общем принципе — невозможно быть уверенным в надёжности защиты зашифрованной информации на компьютере после того как к нему имел доступ противник.


Источник: Joanna Rutkowska Invisible Things Blog