id: Гость   вход   регистрация
текущее время 18:28 29/03/2024
Владелец: unknown (создано 16/11/2009 11:18), редакция от 16/11/2009 16:31 (автор: unknown) Печать
Категории: инфобезопасность, защита дисков, антивирусная защита, модель угрозы
https://www.pgpru.com/Новости/2009/ИнфицированиеЗагрузчикаДляОбходаШифрованныхФайловыхСистем
создать
просмотр
редакции
ссылки

16.11 // Инфицирование загрузчика для обхода шифрованных файловых систем


Месяц назад, 16 октября, Joanna Rutkowska опубликовала практическую демонстрацию атаки на системы с полнодисковым шифрованием, которая была известна и ранее, но не была публично продемонстрирована. В качестве демонстрации был использован компьютер, диск которого зашифрован с помощью Truecrypt (несложно создать версии и против других программ шифрования).


Атака "злонамеренной уборщицы" практически выглядит так: в отсутствие свидетелей злоумышленник загружает компьютер жертвы с USB-флэшки, которая в течении максимум пары минут производит все необходимые операции по инфицированию загрузчика. Инфицированный загрузчик перехватывает пароль, введённый пользователем на расшифровку операционной системы и может сохранить его в другой части диска или переслать по сети.


После похищения пароля загрузчик можно вернуть в исходное состояние, чтобы замести следы вторжения (если потратить немного больше времени, то можно скопировать и всё содержимое винчестера в зашифрованном виде, так что если его владелец и сменит пароль позднее — это будет уже неактуально, так как пароль к старой версии содержимого уже будет получен).


Атака похожа на ранее продемонстрированную Stoned boot attack, отличаясь лишь тем, на каком этапе работы системы внедряется троян.


Также есть сходство с атаками с холодной перезагрузкой или использованием аппаратных перехватчиков паролей.


По комментариям PGP corp полной защиты от атак такого рода не существует.


Использование технологии "Trusted computing" опирается на проприетарные решения и доверие к закрытым аппаратным решениям от корпораций. Кроме того, как считает Joanna Rutkowska, в экстремальном случае высокооснащённый противник (АНБ) может подменить процессор и платы памяти.


Если отбросить вмешательство в аппаратную часть, то относительно простым решением может быть использование двухфакторной аутентификации — использование собственного загрузчика с USB-флэшки или компакт-диска, которые противник не может подменить. Эти загрузчики могут проверять хэш незашифрованной части диска или полностью загружать операционную систему.


Однако, следует помнить об общем принципе — невозможно быть уверенным в надёжности защиты при дальнейшей работе пользователя с зашифрованной информацией на компьютере после того как противник имел к нему физический доступ.


Как отмечает в комментариях в своём блоге Брюс Шнайер — многие пользователи вероятно ошибочно оценивают уровень защиты, предоставляемый средствами шифрования, фактически он сводится к защите информации при конфискации или похищения компьютера или носителей данных, но не защищает против активных атак.


Источник: Joanna Rutkowska Invisible Things Blog


 
На страницу: 1, 2, 3 След.
Комментарии [скрыть комментарии/форму]
— Гость (06/12/2009 17:20)   <#>
Можно, из старых плат они нахаляву вынимались и вставлялись, но это само по себе не защитит BIOS от перезаписи: зловредный код, внезапно получивший соответствующие права, легко может перепрошить BIOS, вставленный в текущий момент в материнскую плату. Носить с собой имело бы (ограниченный) смысл, только из-за оберега против оффлайновых атак, когда кто-то неавторизованный подойдёт к компу пока он выключен и что-то сделает. Однако, он может подменить в таком случае не только BIOS, но и любую другую часть железа, придав им троян/рут-функции. Интересней было бы что-то наподобие "BIOS, загружаемый по сети", но ведь кто-то же должен его загружать, а, значит, ту подсистему, которая загружает, можно троянить: проблема свелась к предыдущей.
— Нильс_Хольгерсон (15/03/2010 17:19, исправлен 15/03/2010 18:58)   <#>

Мужики, о чем речь!? Нафига перешивать БИОС и прочее?
Уже давно юзаю аппаратный PS/2 Keylogger. Разбираешь клаву. внутри подпаиваешь PS/2 Keylogger или USB Keylogger и в путь!
20 минут работы и чуть подождать и все ваши ключи у меня под контролем.
Вот описание, [рекламная ссылка удалена] в инете можно найти кейлоггеры в несколько раз дешевле чем на этом сайте.
Если что, асю найдете.

— Гость (15/03/2010 23:54)   <#>
все ваши ключи у меня под контролем.
Уборщица – не вы :)
— BrainSlug (07/06/2010 14:38)   профиль/связь   <#>
комментариев: 60   документов: 1   редакций: 1
Внезапно, дошло, что не плохо бы задать хотя бы простенький пароль на биос, хоть 8 знаков, это поднимит сложность вторжения в ноут, который выключен и оставлен на время. Без пароля любая уборщица сможет нажать F12 и загрузиться со своей флэшки. Как я понимаю, это совершенно не решит проблему, но уже нужно будет вооружиться помимо флэшки отвертками, доками и пр.
— Гость (07/06/2010 20:17)   <#>
Внезапно, дошло, что не плохо бы задать хотя бы простенький пароль на биос, хоть 8 знаков, это поднимит сложность вторжения в ноут, который выключен и оставлен на время.
Да, конечно, только главное – не забудьте его. Я однажды забыл, был холодный пот. Вспомнил. Не используйте в пароле спецсимволы – кто его знает, как их поймёт BIOS.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3