Các cuộc tấn công của “Người hầu gái tai ác” vào các ổ cứng đã mã hóa

"EvilMaid" Attacks on Encrypted Hard Drives

Schneier on Security

A blog covering securityand security technology.

«James Bamford on the NSA | Main| FridaySquid Blogging: Draw-a-Squid Contest »

October 23, 2009

Theo:http://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html

Bài được đưa lênInternet ngày: 23/10/2009

Lờingười dịch: “Ngay khi bạn bỏ sự kiểm soát vật lýđối với máy tính của bạn, tất cả mọi sự đánhcược của bạn đều mất hết”. Đó là sự thật vềcác cuộc ăn cắp dữ liệu máy tính thường được tổchức trong các phòng khách sạn khi bạn đi xa. Các cuộctấn công có cái tên “Người hầu gái Tai ác” thườngcó kịch bản như sau:

Bước1: Kẻ tấn công chiếm quyền truy cập vào máy tính đãtắt của bạn và khởi động nó từ một thiết bịriêng biệt. Kẻ tấn công ghi một trình khởi động đểthâm nhập vào máy của bạn, rồi tắt máy.

Bước2: Bạn khởi động máy tính của bạn có sử dụng trìnhkhởi động để thâm nhập của kẻ tấn công, gõ vàokhóa mật mã của bạn. Một khi đĩa cứng được mởkhóa, thì trình khởi động để thâm nhập thực hiện sựác điểu của nó. Nó có thể cài đặt phần mềm độchại để chụp lại khóa và gửi nó qua mạng Internet tớiđâu đó, hoặc lưu nó ở một vài vị trí trên đĩa đểđược gọi ra lại sau đó, hoặc bất kỳ thứ gì.

Đầu tháng này,Joanna Rutkowska đã triển khai cuộc tấn công “người hầugái tai ác” chống lại TrueCrypt. Dạng y hệt cuộc tấncông phải làm việc chống lại bất kỳ sự mã hóa toànbộ đĩa cứng nào, bao gồm cả PGP Disk và BitLocker.

Về cơ bản, cuộctấn công làm việc như thế này:

Bước1: Kẻ tấn công chiếm quyền truy cập vào máy tính đãtắt của bạn và khởi động nó từ một thiết bịriêng biệt. Kẻ tấn công ghi một trình khởi động đểthâm nhập vào máy của bạn, rồi tắt máy.

Bước2: Bạn khởi động máy tính của bạn có sử dụng trìnhkhởi động để thâm nhập của kẻ tấn công, gõ vàokhóa mật mã của bạn. Một khi đĩa cứng được mởkhóa, thì trình khởi động để thâm nhập thực hiện sựác điểu của nó. Nó có thể cài đặt phần mềm độchại để chụp lại khóa và gửi nó qua mạng Internet tớiđâu đó, hoặc lưu nó ở một vài vị trí trên đĩa đểđược gọi ra lại sau đó, hoặc bất kỳ thứ gì.

Bạn có thể thấy vìsao nó được gọi là cuộc tấn công của “người hầugái tai ác”; một kịch bản có lẽ thế này là việcbạn bỏ máy tính đã được mã hóa của bạn trong phòngkhách sạn của bạn khi bạn đi ra ngoài ăn tối, và ngườihầu gái lẻn vào trong và cài đặt trình khởi động đểthâm nhập. Chính người hầu gái này có thể còn ngay cảlẻn ngược lại vào tối tiếp sau và xóa bỏ bất kỳdấu vết nào về các hành động của cô ta.

Cuộc tấn công nàykhai thác chính cái chỗ bị tổn thương cơ bản này nhưlà cuộc tấn công “Khởi động Lạnh” từ năm ngoái,và cuộc tấn công “Khởi động có Lát đá” từ đầunăm nay, và không có sự phòng vệ thực sự nào đối vớidạng này. Ngay khi bạn bỏ sự kiểmsoát vật lý đối với máy tính của bạn, tất cả mọisự đánh cược của bạn đều mất hết.

Các cuộc tấn côngdựa trên phần cứng tương tự đã là những lý do chínhvì sao mà Giám đốc công nghệ CTO của Symantec là MarkBregman gần đây đã được tư vấn bởi “các cơ quan 3chữ cái trong Chính phủ Mỹ” sử dụng máy tính xáchtay và thiết bị di động riêng rẽ khi du lịch tới TrungQuốc, nói về sự tổn thương dựa trên phần cứng mộtcách tiềm tàng.

Earlierthis month, Joanna Rutkowska implementedthe "evil maid" attack against TrueCrypt. The same kind ofattack should work against any whole-disk encryption, including PGPDisk and BitLocker. Basically, the attack works like this:

Step1: Attacker gains access to your shut-down computer and boots it f-roma separate volume. The attacker writes a hacked bootloader onto yoursystem, then shuts it down.

Step2: You boot your computer using the attacker's hacked bootloader,entering your encryption key. Once the disk is unlocked, the hackedbootloader does its mischief. It might install malware to capture thekey and send it over the Internet somewhe-re, or store it in somelocation on the disk to be retrieved later, or whatever.

Youcan see why it's called the "evil maid" attack; a likelyscenario is that you leave your encrypted computer in your hotel roomwhen you go out to dinner, and the maid sneaks in and installs thehacked bootloader. The same maid could even sneak back the next nightand erase any traces of her actions.

Thisattack exploits the same basic vulnerability as the "ColdBoot" attack f-rom last year, and the "StonedBoot" attack f-rom earlier this year, and there's no realdefense to this sort of thing. As soon as you give up physicalcontrol of your computer, allbets are off.

Similarhardware-based attacks were among the main reasons why Symantec’sCTO Mark Bregman was recently advised by "three-letteragencies in the US Government"to use separate laptop and mobile device when traveling to China,citing potential hardware-based compromise.

PGP tổng kết trênblog của họ.

Không một sản phẩman ninh nào trên thị trường ngày nay có thể bảo vệđược bạn nếu máy tính bên trong đã bị tổn thươngbởi phần mềm độc hại với các quyền ưu tiên quảntrị mức gốc. Nghĩa là, ở đó tồn tại ý nghĩa chungđược hiểu rõ bảo vệ chống lại “Khởi động Lạnh”,“Khởi động có Lát đá”, “Người hầu gái Tai ác”và nhiều cuộc tấn công khác vâng sẽ được đặt tênvà được công bố.

Việc bảo vệ về cơbản là xác thực 2 yếu tố: một thẻ token bạn không đểlại trong phòng khách sạn của bạn cho người hầu gáitìm thấy để sử dụng. Người hầu gái có thể vẫnlàm hỏng máy tính, nhưng công việc là nhiều hơn so vớichỉ là việc lưu trữ mật khẩu để sử dụng sau này.Việc đặt các dữ liệu của bạn trên một ổ USB vàmang nó theo bạn là không ổn; khi bạn quay trở về bạnsẽ cắm nó vào một máy tính đã bị hỏng.

Sự bảo vệ thực tếở đây là khởi động tin cậy, thứ gì đó mà Điệntoán Tin cậy giả sử được phép. Nhưng Điện toán Tincậy có những vấn đề của riêng nó, mà nó giải thíchvì sao chúng ta đã không thấy bất kỳ thứ gì ngoàiMicrosoft trong vòng hơn 7 năm họ đã và đang làm việctrên nó (Tôi đã viết điều này vào năm 2002 về nhữnggì họ sau đó gọi là Palladium).

Trong khi chờ đợi,mọi người mà mã hóa các ổ cứng của họ, hoặc phânổ trên các ổ đĩa cứng của họ, phải nhận thức đượcrằng sự mã hóa trao cho họ sự bảo vệ ít hơn sơ vớihọ có thể tin tưởng. Nó bảo vệ chống lại ai đótịch thu hoặc ăn cắp máy tính của họ và rồi thì cốgắng lấy được các dữ liệu. Nó không bảo vệ chốnglại một kẻ tấn công mà có sự truy cập tới máy tínhcủa bạn qua một chu kỳ thời gian trong đó bạn cũng sửdụng nó.

Được sửa để bổsung (23/10): Một số ít bạn đọc đã chỉ ra rằngBitLocker, một thứ mà đã ra khỏi sáng kiến Điện toánTin cậy của Microsoft trong vòng hơn 7 năm nay họ đã vàđang làm việc về nó, có thể ngăn ngừa được nhữngdạng tấn công này nếu máy tính có một module TPM, phiênbản 1.2 hoặc mới hơn, trên bo mạch chủ. (Lưu ý: Khôngphải tất cả các máy tính đều làm thế) Tôi thực sựđã biết điều đó; Tôi chỉ không nhớ nó.

PGPsumsit up in their blog.

Nosecurity product on the market today can protect you if theunderlying computer has been compromised by malware with root leveladministrative privileges. That said, there exists well-understoodcommon sense defenses against "Cold Boot," "StonedBoot" "Evil Maid," and many other attacks yet to benamed and publicized.

Thedefenses are basically two-factor authentication: a token you don'tleave in your hotel room for the maid to find and use. The maid couldstill corrupt the machine, but it's more work than just storing thepassword for later use. Putting your data on a thumb drive and takingit with you doesn't work; when you return you're plugging your thumbinto a corupted machine.

Thereal defense here is trusted boot, something TrustedComputing is supposed to enable. But Trusted Computing has itsown problems, which is why we haven't seen anything out of Microsoftin the seven-plus years they have been working on it (I wrote thisin 2002 about what they then called Palladium).

Inthe meantime, people who encrypt their hard drives, or partitions ontheir hard drives, have to realize that the encryption gives themless protection than they probably believe. It protects againstsomeone confiscating or stealing their computer and then trying toget at the data. It does not protect against an attacker who hasaccess to your computer over a period of time during which you useit, too.

EDITEDTO ADD (10/23): A few readers have pointedoutthat BitLocker, the one thing that has come out of Microsoft'sTrusted Computing initiative in the seven-plus years they've beenworking on it, can prevent these sorts of attacks if the computer hasa TPM module, version 1.2 or later, on the motherboard. (Note: Notall computers do.) I actually knew that; I just didn't remember it.

Cácbình luận

Trình khởi độngcũng có thể chộp các mã từ thẻ token của USB và cácmật khẩu.

Bảo vệ: Khởi độngtừ ổ USB và băm trình khởi động để chắc chắn nókhông bị thay đổi.

'Các cuộc tấn côngở phòng khách sạn' khác: máy quay ẩn để chụp mậtkhẩu của bạn; máy ghi âm để ghi việc gõ của bạn đểxác định mật khẩu; một khi mật khẩu được xác định,hãy ăn cắp máy tính.

Được gửi bởi:YesSir ngày 23/10/2009.

Comments

Thebootloader could also grab the code f-rom the USB token and thepassword.

Defense:boot f-rom USB drive and hash the bootloader to make sure it hasn'tchanged.

Other'hotel room attacks': hidden camera to capture your password; soundrecorder to capture your typing and determine password; once thepassword is determined, steal the computer.

Postedby: YesSir at October23, 2009 7:04 AM

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com