Войти
Любое необслуживаемое устройство, такое как изображенный ноутбук, подвержено риску атаки злой горничной атака злой горничной - это атака на автоматическое устройство, в котором злоумышленник с физическим доступом изменяет его каким-то необнаружимым образом, чтобы впоследствии получить доступ к устройству или данным на нем.
Название относится к сценарию, когда горничная может взломать устройство, оставленное без присмотра в гостиничном номере, но сама концепция также применима к таким ситуациям, как перехват устройства во время транспортировки, или временно увезены сотрудниками аэропорта или правоохранительными органами.
В своем сообщении в блоге 2009 г. аналитик по безопасности Джоанна Рутковска ввела термин «Атака злой горничной»; из-за того, что гостиничные номера являются обычным местом, где устройства остаются без присмотра. В сообщении подробно описан метод взлома микропрограммы на автономном компьютере с помощью внешнего USB-накопителя и, следовательно, обхода TrueCrypt шифрования диска.
D. Дефриз, специалист по компьютерной безопасности, впервые упомянул о возможности атаки злой горничной на смартфоны Android в 2011 году. Он рассказал о дистрибутиве WhisperCore для Android и его способности обеспечивать шифрование дисков для Android.
В 2007 году бывший министр торговли США Карлос Гутьеррес якобы стал жертвой нападения злобной горничной во время деловой поездки в Китай. Он оставил свой компьютер без присмотра во время торговой беседы в Пекине и подозревал, что его устройство было взломано. Хотя обвинения еще не подтверждены или опровергнуты, этот инцидент заставил правительство США более осторожно относиться к физическим атакам.
В 2009 году Symantec технический директор Марк Брегман получил рекомендации от нескольких агентств США. оставить свои устройства в США перед поездкой в Китай. Ему было приказано купить новые перед отъездом и избавиться от них, когда он вернется, чтобы любые физические попытки получить данные были бы неэффективными.
Атака начинается, когда жертва оставляет свое устройство без присмотра. Затем злоумышленник может вмешаться в систему. Если устройство жертвы не имеет защиты паролем или аутентификации, злоумышленник может включить компьютер и немедленно получить доступ к информации жертвы. Однако, если устройство защищено паролем, как при полном шифровании диска , микропрограммное обеспечение устройства должно быть взломано, обычно это делается с помощью внешнего диска. Скомпрометированная прошивка часто предлагает жертве поддельный пароль, идентичный оригиналу. После ввода пароля скомпрометированная прошивка отправляет пароль злоумышленнику и удаляется после перезагрузки. Чтобы успешно завершить атаку, злоумышленник должен вернуться к устройству после того, как оно было оставлено без присмотра во второй раз, чтобы украсть теперь доступные данные.
Другой метод атаки - через атака DMA, в котором злоумышленник получает доступ к информации жертвы через аппаратные устройства, которые напрямую подключаются к физическому адресному пространству. Злоумышленнику просто нужно подключиться к аппаратному устройству, чтобы получить доступ к информации.
Атака злой горничной также может быть осуществлена путем замены устройства жертвы идентичным устройством. Если исходное устройство имеет пароль загрузчика, то злоумышленнику нужно только получить устройство с идентичным экраном ввода пароля загрузчика. Однако, если устройство имеет экран блокировки, процесс становится более сложным, поскольку злоумышленник должен получить фоновое изображение, чтобы поместить его на экран блокировки имитирующего устройства. В любом случае, когда жертва вводит свой пароль на ложном устройстве, устройство отправляет пароль злоумышленнику, который владеет исходным устройством. После этого злоумышленник может получить доступ к данным жертвы.
Устаревший BIOS считается небезопасным от атак злых горничных. Его архитектура устарела, обновления и дополнительные ПЗУ без знака, а конфигурация не защищена. Кроме того, он не поддерживает безопасную загрузку. Эти уязвимости позволяют злоумышленнику загрузиться с внешнего диска и поставить под угрозу прошивку. Затем скомпрометированное микропрограммное обеспечение может быть настроено на отправку нажатий клавиш злоумышленнику удаленно.
Unified Extensible Firmware Interface (UEFI) предоставляет множество необходимых функций для смягчения последствий злая горничная атакует. Например, он предлагает платформу для безопасной загрузки, проверенных переменных во время загрузки и безопасности инициализации TPM. Несмотря на эти доступные меры безопасности, производители платформ не обязаны их использовать. Таким образом, могут возникнуть проблемы безопасности, когда эти неиспользуемые функции позволяют злоумышленнику использовать устройство.
Многие системы полного шифрования диска, такие как TrueCrypt и PGP Whole Disk Encryption уязвимы для атак злобных горничных из-за их неспособности аутентифицировать себя для пользователя. Злоумышленник может изменять содержимое диска, несмотря на то, что устройство выключено и зашифровано. Злоумышленник может изменить коды загрузчика системы шифрования, чтобы украсть пароли у жертвы.
Возможность создания канала связи между загрузчиком и операционной системой для удаленного кражи пароля для диска, защищенного FileVault 2, также исследуется. В системе macOS эта атака имеет дополнительные последствия из-за технологии «пересылки паролей», в которой пароль учетной записи пользователя также служит паролем FileVault, обеспечивая дополнительную поверхность атаки за счет повышения привилегий.
В 2019 году было объявлено об уязвимости под названием «Thunderclap» в портах Intel Thunderbolt, обнаруженной на многих ПК, которая может позволить злоумышленнику получить доступ к системе через прямой доступ к памяти (DMA). Это возможно, несмотря на использование блока управления памятью ввода / вывода (IOMMU). Эта уязвимость была в значительной степени исправлена поставщиками. В 2020 году за ним последовал Thunderspy, который, как полагают, не подлежит исправлению и позволяет аналогичным образом использовать DMA для получения полного доступа к системе в обход всех функций безопасности.
Любое автоматическое устройство может быть уязвимо для сетевой атаки злой горничной. Если злоумышленник достаточно хорошо знает устройство жертвы, он может заменить устройство жертвы на идентичную модель с механизмом кражи пароля. Таким образом, когда жертва вводит свой пароль, злоумышленник будет немедленно уведомлен об этом и сможет получить доступ к информации об украденном устройстве.
Один из подходов - чтобы обнаружить, что кто-то находится рядом с оставленным без присмотра устройством или обращается с ним. Сигнализация приближения, сигнализация детектора движения и беспроводные камеры могут использоваться для предупреждения жертвы, когда злоумышленник находится рядом с ее устройством, тем самым сводя на нет фактор неожиданности атаки злой горничной. Приложение Haven для Android было создано в 2017 году Эдвардом Сноуденом для такого мониторинга и передачи результатов на смартфон пользователя.
В отсутствие вышеуказанного различные виды технологий защиты от несанкционированного вскрытия могут использоваться для определения того, было ли устройство разобрано, включая недорогое решение нанесения блесток на отверстия для винтов.
После нападения Если есть подозрение, жертва может проверить свое устройство на наличие вредоносного ПО, но это сложно. Предлагаемые подходы включают проверку хэшей выбранных секторов и разделов диска.
Если устройство находится под постоянным наблюдением, злоумышленник не сможет выполнить атаку злой горничной. Если оставить устройство без присмотра, оно также может быть помещено в сейф, чтобы злоумышленник не имел к нему физического доступа. Однако возможны ситуации, например, когда устройство временно забирают сотрудники аэропорта или правоохранительных органов, когда это нецелесообразно.
Основные меры безопасности, такие как наличие последней последней версии микропрограммы и выключение устройства перед тем, как оставить его без присмотра, предотвращают атаку, использующую уязвимости в устаревшей архитектуре и позволяющие внешним устройствам подключаться к открытым портам соответственно.
Системы шифрования дисков на базе ЦП, такие как TRESOR и Loop-Amnesia, предотвращают уязвимость данных для DMA-атак, гарантируя, что они не попадут в системную память.
На основе TPM Показано, что безопасная загрузка смягчает атаки злой горничной путем аутентификации устройства для пользователя. Он делает это путем разблокировки только в том случае, если пользователь вводит правильный пароль и если он измеряет, что на устройстве не был выполнен несанкционированный код. Эти измерения выполняются корневыми системами доверия, такими как Microsoft BitLocker и технология Intel TXT. Программа Anti Evil Maid основана на безопасной загрузке на основе TPM и в дальнейшем пытается аутентифицировать устройство для пользователя.
