Các cuộc tấn công của “Người hầu gái tai ác” vào các ổ cứng đã mã hóa

"Evil Maid" Attacks on Encrypted Hard Drives

Schneier on Security

A blog covering security and security technology.

« James Bamford on the NSA | Main | Friday Squid Blogging: Draw-a-Squid Contest »

October 23, 2009

Theo: http://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html

Bài được đưa lên Internet ngày: 23/10/2009

Lời người dịch: “Ngay khi bạn bỏ sự kiểm soát vật lý đối với máy tính của bạn, tất cả mọi sự đánh cược của bạn đều mất hết”. Đó là sự thật về các cuộc ăn cắp dữ liệu máy tính thường được tổ chức trong các phòng khách sạn khi bạn đi xa. Các cuộc tấn công có cái tên “Người hầu gái Tai ác” thường có kịch bản như sau:

Bước 1: Kẻ tấn công chiếm quyền truy cập vào máy tính đã tắt của bạn và khởi động nó từ một thiết bị riêng biệt. Kẻ tấn công ghi một trình khởi động để thâm nhập vào máy của bạn, rồi tắt máy.

Bước 2: Bạn khởi động máy tính của bạn có sử dụng trình khởi động để thâm nhập của kẻ tấn công, gõ vào khóa mật mã của bạn. Một khi đĩa cứng được mở khóa, thì trình khởi động để thâm nhập thực hiện sự ác điểu của nó. Nó có thể cài đặt phần mềm độc hại để chụp lại khóa và gửi nó qua mạng Internet tới đâu đó, hoặc lưu nó ở một vài vị trí trên đĩa để được gọi ra lại sau đó, hoặc bất kỳ thứ gì.

Đầu tháng này, Joanna Rutkowska đã triển khai cuộc tấn công “người hầu gái tai ác” chống lại TrueCrypt. Dạng y hệt cuộc tấn công phải làm việc chống lại bất kỳ sự mã hóa toàn bộ đĩa cứng nào, bao gồm cả PGP Disk và BitLocker.

Về cơ bản, cuộc tấn công làm việc như thế này:

Bước 1: Kẻ tấn công chiếm quyền truy cập vào máy tính đã tắt của bạn và khởi động nó từ một thiết bị riêng biệt. Kẻ tấn công ghi một trình khởi động để thâm nhập vào máy của bạn, rồi tắt máy.

Bước 2: Bạn khởi động máy tính của bạn có sử dụng trình khởi động để thâm nhập của kẻ tấn công, gõ vào khóa mật mã của bạn. Một khi đĩa cứng được mở khóa, thì trình khởi động để thâm nhập thực hiện sự ác điểu của nó. Nó có thể cài đặt phần mềm độc hại để chụp lại khóa và gửi nó qua mạng Internet tới đâu đó, hoặc lưu nó ở một vài vị trí trên đĩa để được gọi ra lại sau đó, hoặc bất kỳ thứ gì.

Bạn có thể thấy vì sao nó được gọi là cuộc tấn công của “người hầu gái tai ác”; một kịch bản có lẽ thế này là việc bạn bỏ máy tính đã được mã hóa của bạn trong phòng khách sạn của bạn khi bạn đi ra ngoài ăn tối, và người hầu gái lẻn vào trong và cài đặt trình khởi động để thâm nhập. Chính người hầu gái này có thể còn ngay cả lẻn ngược lại vào tối tiếp sau và xóa bỏ bất kỳ dấu vết nào về các hành động của cô ta.

Cuộc tấn công này khai thác chính cái chỗ bị tổn thương cơ bản này như là cuộc tấn công “Khởi động Lạnh” từ năm ngoái, và cuộc tấn công “Khởi động có Lát đá” từ đầu năm nay, và không có sự phòng vệ thực sự nào đối với dạng này. Ngay khi bạn bỏ sự kiểm soát vật lý đối với máy tính của bạn, tất cả mọi sự đánh cược của bạn đều mất hết.

Các cuộc tấn công dựa trên phần cứng tương tự đã là những lý do chính vì sao mà Giám đốc công nghệ CTO của Symantec là Mark Bregman gần đây đã được tư vấn bởi “các cơ quan 3 chữ cái trong Chính phủ Mỹ” sử dụng máy tính xách tay và thiết bị di động riêng rẽ khi du lịch tới Trung Quốc, nói về sự tổn thương dựa trên phần cứng một cách tiềm tàng.

Earlier this month, Joanna Rutkowska implemented the "evil maid" attack against TrueCrypt. The same kind of attack should work against any whole-disk encryption, including PGP Disk and BitLocker. Basically, the attack works like this:

Step 1: Attacker gains access to your shut-down computer and boots it from a separate volume. The attacker writes a hacked bootloader onto your system, then shuts it down.

Step 2: You boot your computer using the attacker's hacked bootloader, entering your encryption key. Once the disk is unlocked, the hacked bootloader does its mischief. It might install malware to capture the key and send it over the Internet somewhere, or store it in some location on the disk to be retrieved later, or whatever.

You can see why it's called the "evil maid" attack; a likely scenario is that you leave your encrypted computer in your hotel room when you go out to dinner, and the maid sneaks in and installs the hacked bootloader. The same maid could even sneak back the next night and erase any traces of her actions.

This attack exploits the same basic vulnerability as the "Cold Boot" attack from last year, and the "Stoned Boot" attack from earlier this year, and there's no real defense to this sort of thing. As soon as you give up physical control of your computer, all bets are off.

Similar hardware-based attacks were among the main reasons why Symantec’s CTO Mark Bregman was recently advised by "three-letter agencies in the US Government" to use separate laptop and mobile device when traveling to China, citing potential hardware-based compromise.

PGP tổng kết trên blog của họ.

Không một sản phẩm an ninh nào trên thị trường ngày nay có thể bảo vệ được bạn nếu máy tính bên trong đã bị tổn thương bởi phần mềm độc hại với các quyền ưu tiên quản trị mức gốc. Nghĩa là, ở đó tồn tại ý nghĩa chung được hiểu rõ bảo vệ chống lại “Khởi động Lạnh”, “Khởi động có Lát đá”, “Người hầu gái Tai ác” và nhiều cuộc tấn công khác vâng sẽ được đặt tên và được công bố.

Việc bảo vệ về cơ bản là xác thực 2 yếu tố: một thẻ token bạn không để lại trong phòng khách sạn của bạn cho người hầu gái tìm thấy để sử dụng. Người hầu gái có thể vẫn làm hỏng máy tính, nhưng công việc là nhiều hơn so với chỉ là việc lưu trữ mật khẩu để sử dụng sau này. Việc đặt các dữ liệu của bạn trên một ổ USB và mang nó theo bạn là không ổn; khi bạn quay trở về bạn sẽ cắm nó vào một máy tính đã bị hỏng.

Sự bảo vệ thực tế ở đây là khởi động tin cậy, thứ gì đó mà Điện toán Tin cậy giả sử được phép. Nhưng Điện toán Tin cậy có những vấn đề của riêng nó, mà nó giải thích vì sao chúng ta đã không thấy bất kỳ thứ gì ngoài Microsoft trong vòng hơn 7 năm họ đã và đang làm việc trên nó (Tôi đã viết điều này vào năm 2002 về những gì họ sau đó gọi là Palladium).

Trong khi chờ đợi, mọi người mà mã hóa các ổ cứng của họ, hoặc phân ổ trên các ổ đĩa cứng của họ, phải nhận thức được rằng sự mã hóa trao cho họ sự bảo vệ ít hơn sơ với họ có thể tin tưởng. Nó bảo vệ chống lại ai đó tịch thu hoặc ăn cắp máy tính của họ và rồi thì cố gắng lấy được các dữ liệu. Nó không bảo vệ chống lại một kẻ tấn công mà có sự truy cập tới máy tính của bạn qua một chu kỳ thời gian trong đó bạn cũng sử dụng nó.

Được sửa để bổ sung (23/10): Một số ít bạn đọc đã chỉ ra rằng BitLocker, một thứ mà đã ra khỏi sáng kiến Điện toán Tin cậy của Microsoft trong vòng hơn 7 năm nay họ đã và đang làm việc về nó, có thể ngăn ngừa được những dạng tấn công này nếu máy tính có một module TPM, phiên bản 1.2 hoặc mới hơn, trên bo mạch chủ. (Lưu ý: Không phải tất cả các máy tính đều làm thế) Tôi thực sự đã biết điều đó; Tôi chỉ không nhớ nó.

PGP sums it up in their blog.

No security product on the market today can protect you if the underlying computer has been compromised by malware with root level administrative privileges. That said, there exists well-understood common sense defenses against "Cold Boot," "Stoned Boot" "Evil Maid," and many other attacks yet to be named and publicized.

The defenses are basically two-factor authentication: a token you don't leave in your hotel room for the maid to find and use. The maid could still corrupt the machine, but it's more work than just storing the password for later use. Putting your data on a thumb drive and taking it with you doesn't work; when you return you're plugging your thumb into a corupted machine.

The real defense here is trusted boot, something Trusted Computing is supposed to enable. But Trusted Computing has its own problems, which is why we haven't seen anything out of Microsoft in the seven-plus years they have been working on it (I wrote this in 2002 about what they then called Palladium).

In the meantime, people who encrypt their hard drives, or partitions on their hard drives, have to realize that the encryption gives them less protection than they probably believe. It protects against someone confiscating or stealing their computer and then trying to get at the data. It does not protect against an attacker who has access to your computer over a period of time during which you use it, too.

EDITED TO ADD (10/23): A few readers have pointed out that BitLocker, the one thing that has come out of Microsoft's Trusted Computing initiative in the seven-plus years they've been working on it, can prevent these sorts of attacks if the computer has a TPM module, version 1.2 or later, on the motherboard. (Note: Not all computers do.) I actually knew that; I just didn't remember it.

Các bình luận

Trình khởi động cũng có thể chộp các mã từ thẻ token của USB và các mật khẩu.

Bảo vệ: Khởi động từ ổ USB và băm trình khởi động để chắc chắn nó không bị thay đổi.

'Các cuộc tấn công ở phòng khách sạn' khác: máy quay ẩn để chụp mật khẩu của bạn; máy ghi âm để ghi việc gõ của bạn để xác định mật khẩu; một khi mật khẩu được xác định, hãy ăn cắp máy tính.

Được gửi bởi: YesSir ngày 23/10/2009.

Comments

The bootloader could also grab the code from the USB token and the password.

Defense: boot from USB drive and hash the bootloader to make sure it hasn't changed.

Other 'hotel room attacks': hidden camera to capture your password; sound recorder to capture your typing and determine password; once the password is determined, steal the computer.

Posted by: YesSir at October 23, 2009 7:04 AM

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com