Atak złej pokojówki
Atak złej pokojówki to atak na urządzenie bez nadzoru, w którym osoba atakująca mająca fizyczny dostęp modyfikuje je w niewykrywalny sposób, aby później uzyskać dostęp do urządzenia lub danych na nim.
Nazwa odnosi się do scenariusza, w którym pokojówka mogłaby przewrócić urządzenie pozostawione bez opieki w pokoju hotelowym – ale sama koncepcja odnosi się również do sytuacji, takich jak przechwycenie urządzenia podczas transportu lub tymczasowe zabranie go przez personel lotniska lub funkcjonariuszy organów ścigania.
Przegląd
Pochodzenie
W poście na blogu z 2009 roku analityk ds. Bezpieczeństwa Joanna Rutkowska ukuła termin „Atak złej pokojówki”; ze względu na to, że pokoje hotelowe są częstym miejscem pozostawiania urządzeń bez nadzoru. W poście szczegółowo opisano metodę naruszenia oprogramowania układowego na nienadzorowanym komputerze za pośrednictwem zewnętrznego dysku flash USB – a tym samym obejścia szyfrowania dysku TrueCrypt .
D. Defreez, specjalista od bezpieczeństwa komputerowego, po raz pierwszy wspomniał o możliwości ataku złej pokojówki na smartfony z Androidem w 2011 roku. Mówił o dystrybucji WhisperCore Android i jej możliwości zapewnienia szyfrowania dysku dla Androidów.
Rozgłos
W 2007 roku były sekretarz handlu USA Carlos Gutierrez został rzekomo celem ataku złej pokojówki podczas podróży służbowej do Chin. Zostawił swój komputer bez nadzoru podczas rozmowy handlowej w Pekinie i podejrzewał, że jego urządzenie zostało przejęte. Chociaż zarzuty nie zostały jeszcze potwierdzone ani zaprzeczone, incydent spowodował, że rząd USA był bardziej ostrożny wobec ataków fizycznych.
W 2009 r. kilka amerykańskich agencji doradzało dyrektorowi ds. technicznych firmy Symantec , Markowi Bregmanowi, pozostawienie urządzeń w USA przed podróżą do Chin. Poinstruowano go, aby przed wyjazdem kupił nowe i pozbył się ich po powrocie, aby wszelkie fizyczne próby odzyskania danych były nieskuteczne.
Metody ataku
Klasyczna zła pokojówka
Atak rozpoczyna się, gdy ofiara pozostawia swoje urządzenie bez opieki. Atakujący może następnie przystąpić do manipulowania systemem. Jeśli urządzenie ofiary nie ma ochrony hasłem ani uwierzytelnienia, intruz może włączyć komputer i natychmiast uzyskać dostęp do informacji ofiary. Jeśli jednak urządzenie jest chronione hasłem, tak jak w przypadku pełnego szyfrowania dysku , oprogramowanie układowe urządzenia musi zostać naruszone, co zwykle odbywa się za pomocą zewnętrznego dysku. Zaatakowane oprogramowanie sprzętowe dostarcza następnie ofierze fałszywe monit o podanie hasła, identyczny z oryginałem. Po wprowadzeniu hasła zainfekowane oprogramowanie układowe wysyła hasło do atakującego i usuwa się po ponownym uruchomieniu. Aby pomyślnie zakończyć atak, osoba atakująca musi wrócić do urządzenia po drugim pozostawieniu go bez nadzoru, aby ukraść dostępne teraz dane.
Inną metodą ataku jest atak DMA , w którym osoba atakująca uzyskuje dostęp do informacji ofiary za pośrednictwem urządzeń sprzętowych, które łączą się bezpośrednio z fizyczną przestrzenią adresową. Atakujący musi po prostu połączyć się z urządzeniem, aby uzyskać dostęp do informacji.
Sieciowa zła pokojówka
Atak złej pokojówki można również przeprowadzić, zastępując urządzenie ofiary identycznym urządzeniem. Jeśli oryginalne urządzenie ma programu ładującego , osoba atakująca musi jedynie zdobyć urządzenie z identycznym ekranem wprowadzania hasła programu ładującego. Jeśli jednak urządzenie ma ekran blokady , proces staje się trudniejszy, ponieważ osoba atakująca musi uzyskać obraz tła, aby umieścić go na ekranie blokady urządzenia naśladującego. W obu przypadkach, gdy ofiara wprowadzi swoje hasło na fałszywym urządzeniu, urządzenie wysyła hasło do atakującego, który jest w posiadaniu oryginalnego urządzenia. Atakujący może wtedy uzyskać dostęp do danych ofiary.
Wrażliwe interfejsy
Starszy BIOS
Starszy BIOS jest uważany za niezabezpieczony przed atakami złej pokojówki. Jego architektura jest stara, aktualizacje i Option ROM są niepodpisane , a konfiguracja nie jest chroniona. Ponadto nie obsługuje bezpiecznego rozruchu . Luki te umożliwiają atakującemu uruchomienie systemu z dysku zewnętrznego i złamanie oprogramowania układowego. Zaatakowane oprogramowanie układowe można następnie skonfigurować tak, aby wysyłało naciśnięcia klawiszy do atakującego.
Ujednolicony rozszerzalny interfejs oprogramowania układowego
Unified Extensible Firmware Interface (UEFI) zapewnia wiele funkcji niezbędnych do łagodzenia ataków złej pokojówki. Oferuje na przykład platformę do bezpiecznego rozruchu, uwierzytelniania zmiennych w czasie rozruchu i zabezpieczeń inicjalizacji modułu TPM . Pomimo tych dostępnych środków bezpieczeństwa, producenci platform nie są zobowiązani do ich stosowania. W związku z tym mogą pojawić się problemy z bezpieczeństwem, gdy te nieużywane funkcje pozwolą atakującemu na wykorzystanie urządzenia.
Pełne systemy szyfrowania dysku
Wiele systemów szyfrowania całego dysku , takich jak TrueCrypt i PGP Whole Disk Encryption , jest podatnych na ataki złej pokojówki ze względu na brak możliwości uwierzytelnienia się przed użytkownikiem. Osoba atakująca może nadal modyfikować zawartość dysku, mimo że urządzenie jest wyłączone i zaszyfrowane. Atakujący może zmodyfikować kody ładujące systemu szyfrowania, aby wykraść hasła od ofiary.
możliwość stworzenia kanału komunikacyjnego między bootloaderem a systemem operacyjnym w celu zdalnej kradzieży hasła do dysku chronionego przez FileVault 2. W systemie macOS atak ten ma dodatkowe implikacje ze względu na technologię „przekazywania hasła”, w której hasło do konta użytkownika służy również jako hasło FileVault, umożliwiając dodatkową powierzchnię ataku poprzez eskalację uprawnień.
Piorun
ogłoszono lukę w zabezpieczeniach o nazwie „ Thunderclap ” w portach Intel Thunderbolt wykrytą na wielu komputerach PC, która może umożliwić nieuczciwemu aktorowi uzyskanie dostępu do systemu poprzez bezpośredni dostęp do pamięci (DMA). Jest to możliwe pomimo zastosowania jednostki zarządzania pamięcią wejścia/wyjścia (IOMMU). Ta luka w zabezpieczeniach została w dużej mierze załatana przez dostawców. Następnie w 2020 r. pojawił się „ Thunderspy ”, którego uważa się za niełatalnego i umożliwia podobne wykorzystanie DMA w celu uzyskania pełnego dostępu do systemu z pominięciem wszystkich zabezpieczeń.
Każde nienadzorowane urządzenie
Każde pozostawione bez nadzoru urządzenie może być podatne na atak sieciowej złej pokojówki. Jeśli atakujący wystarczająco dobrze zna urządzenie ofiary, może wymienić urządzenie ofiary na identyczny model z mechanizmem wykradania hasła. W ten sposób, gdy ofiara wprowadzi swoje hasło, atakujący zostanie natychmiast o tym powiadomiony i będzie mógł uzyskać dostęp do informacji skradzionego urządzenia.
Łagodzenie
Wykrycie
Jednym ze sposobów jest wykrycie, że ktoś znajduje się w pobliżu lub dotyka urządzenia pozostawionego bez nadzoru. Alarmy zbliżeniowe, alarmy wykrywające ruch i kamery bezprzewodowe mogą być używane do ostrzegania ofiary, gdy atakujący znajduje się w pobliżu ich urządzenia, niwelując w ten sposób czynnik zaskoczenia ataku złej pokojówki. Aplikacja Haven na Androida została stworzona w 2017 roku przez Edwarda Snowdena w celu takiego monitorowania i przesyłania wyników do smartfona użytkownika.
W przypadku braku powyższego, do wykrycia, czy urządzenie zostało rozebrane, można zastosować różnego rodzaju technologię ujawniania manipulacji – w tym tanie rozwiązanie polegające na nałożeniu brokatowego lakieru do paznokci na otwory na śruby.
Po podejrzeniu ataku ofiara może sprawdzić swoje urządzenie, aby sprawdzić, czy nie zainstalowano złośliwego oprogramowania, ale jest to trudne. Sugerowane podejścia to sprawdzenie skrótów wybranych sektorów dysku i partycji.
Zapobieganie
Jeśli urządzenie jest cały czas pod obserwacją, atakujący nie może wykonać ataku złej pokojówki. Pozostawione bez nadzoru urządzenie może być również umieszczone w skrytce, aby atakujący nie miał do niego fizycznego dostępu. Mogą jednak wystąpić sytuacje, takie jak tymczasowe zabranie urządzenia przez personel lotniska lub organy ścigania, w których nie jest to praktyczne.
Podstawowe środki bezpieczeństwa, takie jak posiadanie najnowszego aktualnego oprogramowania układowego i wyłączenie urządzenia przed pozostawieniem go bez nadzoru, zapobiegają atakowi wykorzystującemu luki w starszej architekturze i zezwalającym urządzeniom zewnętrznym na otwarte porty.
Systemy szyfrowania dysków oparte na procesorze, takie jak TRESOR i Loop-Amnesia, zapobiegają narażeniu danych na atak DMA, zapewniając, że nie wyciekną one do pamięci systemowej.
Wykazano, że bezpieczny rozruch oparty na module TPM łagodzi ataki złej pokojówki poprzez uwierzytelnianie urządzenia dla użytkownika. Czyni to odblokowując się tylko wtedy, gdy użytkownik poda prawidłowe hasło i stwierdzi, że na urządzeniu nie został wykonany nieautoryzowany kod. Pomiary te są wykonywane przez główne systemy zaufania, takie jak BitLocker firmy Microsoft i technologia TXT firmy Intel. Program Anti Evil Maid opiera się na bezpiecznym rozruchu opartym na module TPM i dalszych próbach uwierzytelnienia urządzenia dla użytkownika.