Верхнее

Злонамеренная горничная

Встретил интересное описание атаки на систему шифрования жёстких дисков TrueCrypt в блоге Джуаны Рутковской (Joanna Rutkowska), она назвала её «EvilMaid» или в вольном переводе — «Злонамеренная горничная».

Судя по описанию, аналогичная атака применима к любым системам, шифрования системных/жёстких дисков целиком: PGPDisk, BitLocker, StrongBoot, SecretDisk и т.п.

В общем случае атака выглядит так:
  1. Злоумышленник получает доступ к Вашему выключенному компьютеру и загружает его с внешнего носителя (CD, флешка и т.п.) либо переставляет жёсткий диск в другой компьютер, если BIOS или специальные средства в Вашем компьютере запрещают загрузку с внешних носителей. После загрузки злоумышленник перезаписывает на место загрузчика на Вашем жёстком диске свой собственный. Далее диск возвращается на прежнее место и Ваш компьютер выключается.
  2. Вы загружаете свой компьютер и, не зная того, используете при этом модифицированный загрузчик, вводите свой секретный пароль/подключаете USB-ключ и т.п. Модифицированный загрузчик, получив напрямую от Вас всю необходимую для доступа к Вашему жёсткому диску информацию, загружает Вашу операционную систему и, как вариант, запускает специального шпиона, который при первом же подключении к сети Интернет высылает всю собранную информацию злоумышленнику либо сохраняет все собранные данные где-либо на жёстком диске, после чего может полностью деинсталлироваться с Вашего компьютера.

Понятно, почему для атаки выбрано именно такое название. Один из вариантов её применения: Вы оставляете свой зашифрованный ноутбук в номере отеля, отправляясь на деловой ужин, а подкупленная горничная устанавливает Вам модифицированный загрузчик и, при Вашем неподключении к сети Интернет, на следующий день может прийти повторно, чтобы скопировать все данные и удалить любые возможные следы.

Как это ни странно, на рынке на сегодня нет ни одного продукта, который позволил бы на 100% защититься от подобных атак, основанных на получении административных прав (читай — физического) доступа к Вашему компьютеру.

Двухфакторная аутентификация в данном случае способна помочь в том только случае, если сами данные на диске расшифровываются внутри USB-ключа, что на практике не реализуемо из-за слишком низкой производительности подобных устройств. На самом деле, аппаратно, с помощью USB-ключа шифруется только так называемый мастер-ключ, на котором и зашифрованы сами данные. Модифицированный загрузчик вполне может этот мастер-ключ похитить, имитируя работу настоящего загрузчика.

Использование внешнего жёсткого диска тоже не поможет, так как по возвращении в номер вы подключите его к заражённому компьютеру со всеми вытекающими…

Итак, нужно понимать, что шифрование жёсткого диска защищает лишь от случаев кражи Вашего компьютера, но не защищает от всех мыслимых атак.

Кстати, одно из «передовых» решений по безопасности от Microsoft – BitLocker с TPM, тоже подвержено подобной атаке.