id: Гость   вход   регистрация
текущее время 17:16 28/03/2024
Владелец: unknown (создано 16/11/2009 11:18), редакция от 16/11/2009 16:31 (автор: unknown) Печать
Категории: инфобезопасность, защита дисков, антивирусная защита, модель угрозы
https://www.pgpru.com/Новости/2009/ИнфицированиеЗагрузчикаДляОбходаШифрованныхФайловыхСистем
создать
просмотр
редакции
ссылки

16.11 // Инфицирование загрузчика для обхода шифрованных файловых систем


Месяц назад, 16 октября, Joanna Rutkowska опубликовала практическую демонстрацию атаки на системы с полнодисковым шифрованием, которая была известна и ранее, но не была публично продемонстрирована. В качестве демонстрации был использован компьютер, диск которого зашифрован с помощью Truecrypt (несложно создать версии и против других программ шифрования).


Атака "злонамеренной уборщицы" практически выглядит так: в отсутствие свидетелей злоумышленник загружает компьютер жертвы с USB-флэшки, которая в течении максимум пары минут производит все необходимые операции по инфицированию загрузчика. Инфицированный загрузчик перехватывает пароль, введённый пользователем на расшифровку операционной системы и может сохранить его в другой части диска или переслать по сети.


После похищения пароля загрузчик можно вернуть в исходное состояние, чтобы замести следы вторжения (если потратить немного больше времени, то можно скопировать и всё содержимое винчестера в зашифрованном виде, так что если его владелец и сменит пароль позднее — это будет уже неактуально, так как пароль к старой версии содержимого уже будет получен).


Атака похожа на ранее продемонстрированную Stoned boot attack, отличаясь лишь тем, на каком этапе работы системы внедряется троян.


Также есть сходство с атаками с холодной перезагрузкой или использованием аппаратных перехватчиков паролей.


По комментариям PGP corp полной защиты от атак такого рода не существует.


Использование технологии "Trusted computing" опирается на проприетарные решения и доверие к закрытым аппаратным решениям от корпораций. Кроме того, как считает Joanna Rutkowska, в экстремальном случае высокооснащённый противник (АНБ) может подменить процессор и платы памяти.


Если отбросить вмешательство в аппаратную часть, то относительно простым решением может быть использование двухфакторной аутентификации — использование собственного загрузчика с USB-флэшки или компакт-диска, которые противник не может подменить. Эти загрузчики могут проверять хэш незашифрованной части диска или полностью загружать операционную систему.


Однако, следует помнить об общем принципе — невозможно быть уверенным в надёжности защиты при дальнейшей работе пользователя с зашифрованной информацией на компьютере после того как противник имел к нему физический доступ.


Как отмечает в комментариях в своём блоге Брюс Шнайер — многие пользователи вероятно ошибочно оценивают уровень защиты, предоставляемый средствами шифрования, фактически он сводится к защите информации при конфискации или похищения компьютера или носителей данных, но не защищает против активных атак.


Источник: Joanna Rutkowska Invisible Things Blog


 
На страницу: 1, 2, 3 След.
Комментарии [скрыть комментарии/форму]
— Гость (21/11/2009 04:08)   <#>
Так теперь что, только с внешним загрузчиком ходить? Только так можно чувствовать себя в безопасности.
— Гость (21/11/2009 07:16)   <#>
Давно использую DiskCryptor и хожу с внешним загрузчиком. Ради этого перешел на DiskCryptor с TrueCrypt.
— SATtva (21/11/2009 13:04)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Принимая во внимание вероятность установки аппаратных закладок, ходить надо только в обнимку с компом.
— qazqaz (21/11/2009 16:11)   <#>
И комп этот должен быть спаян самим собою по опенсурсным схемам.
— Гость (22/11/2009 00:25)   <#>
И из оупенсорсных деталей. Такой многоэтажный домик...
— Гость (23/11/2009 03:14)   <#>
Я не понял, как может помочь внешний загрузчик, если будет модифицирован БИОС?
— SATvа (23/11/2009 14:33)   <#>
Дурашка, БИОС не модифицируется. Инфицируется загрузчик, который обычно находится на жестком диске. А если переписать загрузчик на, например, флэшку – то вариант с его подменой исключается.
— Гость (23/11/2009 15:40)   <#>
Дурашка, БИОС не модифицируется
Умняшка, почитай тут :)
— Гость (23/11/2009 20:18)   <#>
Скажем так, в новости речь о модификации загрузчика, и ответ на вопрос закрывает только эту дыру, а не все потенциальные. Да, есть и "биосные трои", но речь не об этом.
— Гость (24/11/2009 02:51)   <#>
По комментариям PGP corp полной защиты от атак такого рода не существует.
— Гость (24/11/2009 03:40)   <#>
есть и "биосные трои", но речь не об этом
В самом источнике речь и об этом тоже:
if the attacker found a way to bypass the BIOS reflashing protection on my laptop, then he or she can install a rootkit there that would sniff my passphrase
Разница в том, что для БИОСА не выложена реализация. Но она возможна, и при этом действия уборщицы при похищении пароля останутся те же самые.
— PGPAdmin (25/11/2009 09:01)   <#>
Т.е. вы предлагаете обезвредить уборщицу?
— Гость (25/11/2009 15:29)   <#>
А касается ли данная проблема устанавливаемой с полной шифровкой dmcrypt разделов (в т.ч. системного) ОС Debian?
— SATtva (25/11/2009 16:45)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Проблема касается любого случая, когда противник может нужным ему образом модифицировать систему. Это может включать:
  • Инфицирование загрузчика, если он доступен на диске.
  • Инфицирование BIOS, если имеется программная или аппаратная возможность записи.
  • Постановка аппаратного кейлоггера.

А касается ли данная проблема устанавливаемой с полной шифровкой dmcrypt разделов (в т.ч. системного) ОС Debian?

Да, загрузчик и ядро ведь остаются на диске. Другое дело, если Вы их вынесли на внешний носитель, но это устранит только первую угрозу из списка.
— _owl (25/11/2009 21:31)   профиль/связь   <#>
комментариев: 105   документов: 20   редакций: 3
а можно ли организовать "выносной" загрузчик при использовании WinXP и PGP WDE 9.10?
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3