Cóż, nie jest to wprost problem truecrypta, bo tego typu atak ma z nim wspólnego tyle co zamontowanie kamery w pokoju ofiary, podsłuch klawiatury, czy tortury. Problem leży raczej po stronie sprzętu, który nie jest projektowany z myślą o tego typu zagrożeniach. Z jednej strony można wymyślić kilka sposobów na zabezpieczenie się przed takim atakiem, z drugiej jednak nie istnieje coś takiego jak stuprocentowe bezpieczeństwo. Zawsze zostają tortury ;)
Kapsułkę z cyjankiem można mieć w pogotowiu, ale dzięki ukrytym partycjom możesz spokojnie w razie przymusu ujawnić hasło, a oprawca i tak nie uzyska dostępu do najważniejszych danych. Co więcej, nie będzie w ogóle w stanie stwierdzić czy na dysku znajdują się jeszcze jakieś dane i czy ma powód dalej Cię męczyć.
Na miejscu atakujacego profilaktycznie bym goscia pomeczyl, na wypadek jakby tam jednak byla ukryta partycja, predzej czy pozniej wyjawi obydwa hasla. Poddawanie sie po otrzymaniu pierwszego byloby niezla glupota (chyba, ze atakujacy nie zna mozliwosci truecrypta, ale to raczej malo prawdopobne w sprawach az tak wielkiej wagi)
Ale można na wszelki wypadek torturować, dopóki nie poda drugiego hasła - nawet jeśli nie mamy pewności, że ukryta partycja istnieje. Jeśli torturowany umrze, upierając się, że nie ma drugiego hasła, to będziemy mogli z dużym prawdopodobieństwem założyć, że tak było.
Jednen z oczywistych faktów dotyczących bezpieczeństwa systemów komputerowych:
Jeżeli ktoś uzyskał fizyczny dostęp do twojego systemu komputerowego, to to nie jest już twój system komputerowy.
Co oznacza ,mniej więcej tyle, że jeżeli ktoś dostaje w łapy twój sprzęt, to może z nim zrobić wszystko i żadne zabezpieczenia tu nie pomogą. Zabezpieczenia mogą co najwyżej utrudnić napastnikowi zadanie (zresztą taki własnie mają cel).
Jednak nie do końca, bo przeprowadzenie tego ataku wymaga dwukrotnego dostępu do komputera, pomiędzy którymi użytkownik wprowadzi poprawne hasło. Jednokrotny dostęp (np. kradzież) nie wystarczy do uzyskania dostępu.
Atakujący może wyjąć dysk twardy i podłączyć do swojego laptopa na którym go zainfekuje. Jednak to że ktoś rozkręcał laptop łatwiej wykryć niż podłączenie czegoś do portu USB, i wymaga to więcej czasu.
Zanim zaszyfrujesz cały system proponowałbym poćwiczyć z szyfrowaniem pliku czy partycji. "Oswoisz się" z nim , a także przede wszystkim dobrze zapamiętasz sobie hasło (zalecenia >20 znaków). Wiem z własnego doświadczenia, jak szybko człowiek może się spocić gdy TC za trzecim razem, przy wolnym wpisywaniu hasła nie znajduje partycji :)
Ja właśnie mam jeden dysk z akademika zaszyfrowany truecryptem. Zapomniałem hasła. Co prawda chyba nie mam tam ciekawych danych (rok nieużywania na to wskazuje) ale jednak nie mam jeszcze jaj by go sformatować. Chociaż jak już brak miejsca mnie zacznie cisnąć to pewnie to zrobię.
Niech to będzie nauczką na przyszłość - zapisać gdzieś hasło i schować w np. w rzadko otwieraną książkę. Chyba że mamy tak paranoidalny stosunek do rzeczywistości że obawiamy się, że ktoś będzie ją przeszukiwał.
Czyli po każdym powrocie do pokoju hotelowego wyciągamy swojego pendrive, który zawiera wcześniej zapisaną sumę kontrolną MBR+Kod TC. Po paru sekundach dostajemy informacje czy pokojówka podmieniła nam MBR czy nie. Aha, BIOS też można podmienić i w podobny sposób się przed tym atakiem bronić.
lub
za każdym razem bootujemy z nośnika tylko do odczytu.
W tym albo w poprzednim wpisie na ten temat jest też o mechanizmie trustet boot wykorzystywanym m. in. przez windowsowy bit locker - generalnie polega to na tym, że system przed żądaniem hasła sprawdza, czy ktoś nie dłubał w mechanizmie bootowania sprawdzając poprostu sumy kontrolne.
Ok, tyle że to co piszesz to "sposób" na jeden konkretny atak. Idąc tym tokiem myślenia, musisz mieć na swoim magicznym pendrive zapisane sumy kontrolne wszystkich pików w systemie. I do tego musisz tam mieć program, który je liczy (nie używający dynamicznych bibliotek z systemu, bo mogą być podmienione).
Fizyczny dostęp do sprzętu -> przegrałeś :) W ostateczności ktoś może podmienić jakiś chip na płycie głównej tak, żeby wysyłał przez wifi wszystko co wychodzi z klawiatury. Zorientujesz się?
Nie pamiętam dokładnie mechanizmu działania tego wynalazku, chodziło w każdym razie o to, że elementy uwierzytelniały się na wzajem jeszcze zanim system zaczął się wogóle ładować (więc o żadnych bibliotekach nie ma mowy), po szczegóły musisz zajrzeć na bloga.(oczywiście trusted boot - edycja się skończyła zanim zauważyłem błąd :) )
Z drugiej strony 100% bezpieczeństwa oczywiście nigdy nie ma, ale fizyczne majstrowanie przy laptopie wymaga już czasu i wprawy, a podłączyć pendrive potrafi każde dziecko.
Właśnie o to chodzi, żeby zapobiec temu wstrzeleniu :) W najprostszej wersji działa to tak, że jakiś niewymienny firmware hash##e bios w celu sprawdzenia, czy ktoś go nie podmienił, jeśli ok to bios hash##e MBR itd itd, dopiero kiedy wszystko jest ok system pyta o hasło. W sumie gdyby pierwszy układ zaszyć głęboko w bebechach płyty głównej pokojówka miała by dość małe szanse na wymienienie go :)
To chyba niewykonalne. Pomijając bezsensowność/bezcelowość 'hasowania mbr' (bo skąd niby bios ma wiedzieć jaki mbr jest OK?), to nawet gdyby to miało sens, można zainstalować brzydki kawałek o krok dalej. Jeśli zdecydujesz się to sprawdzać, można to zrobić jeszcze dalej. I tak w nieskończoność ;)
Sens sensem, a w BitLockerze to już jest i wg. Rutkowskiej się przydaje :)
Z drugiej strony od uruchomienia do ekranu logowania jest określona ilość elementów i można ją kontrolować. Zresztą to co opisałem to najprostsza implementacja metody statycznej, są jeszcze inne, no i metoda dynamiczna, której póki co nie chciało mi się zgłębiać - być może nie ma już tych wad :)
Generalnie nie znam się na tym na tyle, żeby stwierdzić na ile to rozwiązanie jest bezpieczne, ale ponoć się sprawdza.
Mniej więcej tak:
Wtykasz pendraka USB do wyłączonego lapka ofiary -> odpalasz go -> lapek automatycznie odpala programik z USB -> programik ten sprawdza czy dysk wygląda na zabezpieczony TrueCryptem (zakładamy, że jest) -> programik wzbogaca zawartość dysku o pewną dodatkową funkcję -> wyłączamy lapka, wyjmujemy pena -> ofiara wraca, nic nie podejrzewając odpala lapka, wpisuje hasło TrueCrypta, wcześniej wspomniana funkcja podpatruje i zapamiętuje to hasło -> ofiara kończy używać lapka -> zakradamy się, ponownie wkładamy pendraka i opalamy kompa -> podpatrzone wcześniej hasło ląduje na naszym penie.
Q: I've disabled boot from USB in BIOS and my BIOS is password protected, am I protected against EM?
No. Taking out your HDD, hooking it up to a USB enclosure case and later installing it back to your laptop increases the attack time by some 5-15 minutes at most. A maid has to carry her own laptop to do this though.
Jest taki "patent" z drzwiami i zapałką, żeby było wiadomo, że ktoś nieautoryzowany wcześniej otwierał drzwi. Więc... zapewne z gniazdami USB można zrobić podobnie, jakąś prostą metodą.
Q: I've disabled boot from USB in BIOS and my BIOS is password protected, am I protected against EM?
No. Taking out your HDD, hooking it up to a USB enclosure case and later installing it back to your laptop increases the attack time by some 5-15 minutes at most. A maid has to carry her own laptop to do this though.
Ja tam się nie znam, ale czy nie byłoby szybciej użyć uniwersalnego hasła BIOSu?
W cywilizowanym świecie wystarczyłoby chyba tylko wyłączyć USB :D i nie pracować na koncie admina. Do tego jest jeszcze TPM gdzie zmiana MBR powoduje zmianę hashy i jest od razu zauważana.
Właściwie można fizycznie zblokować porty usb (kiedyś widziałem taką pseudo-kłódkę która blokowała się w środku portu i można ją było wyjąć tylko specjalnym kluczem ), dalej to oczywiście nie blokuje możliwości wyciągnięcia dysku :).
Haha :) mam rozwiązanie, TrueCriptem kodujemy wszystkie partycje, domyślne (proste) hasło ładuje "normalny system", Inne hasło ładuje system ukryty. Taka funkcja jest od niedawna zaimplementowana w TC. Do tego dodajemy zmodyfikowane TPM który zapisuje klucz nie w module TPM tylko na Pendrive USB lub karcie Pamięci TransFlash która jest wodoszczelna i możemy ja mieć zawsze przy sobie np. w medaliku czy lub ukrytą np w telefonie. Na bez tej karty dyski podpięte do innego komputera będą nie czytelne. A żeby jeszcze bardziej namieszać i zdezorientować atakującego - niektóre laptopy maja dwa dyski i wspierają RAID Strippe - próba wyjęcia i podłączenia zakodowanych TPM i TrueCriptem dysków i ich podpięcia zajmie dużo więcej czasu. A bez klucza kodu TPM nici. Bios oczywiście może być za hasłowany ale jak wspomniał w FAQ autor można go przecież zmodyfikować lub podpiąć dyski do innego komputera. Ale wykręcenie dysków może zostawić ślad na obudowie jeśli np uszkodzone zostaną modeli nowe pieczęci na śrubach od kieszeni na HDD w laptopie.
Bzdurny artykuł to oczywiste, że taki atak jest możliwy, dlatego lepiej jest nie startować systemu z TrueCrypta, a jeżeli tak, to mieć do każdego dysku z danymi odrębne hasła, wtedy trzeba będzie się więcej napracować, zainstalowanie keyloggera w systemie nie jest tak oczywiste, jeszcze lepiej mieć klucze na USB, które wyjmujemy wtedy keylogger może sobie logować, co chce :)
+ True Crypt
+ hasło na BIOS'ie (w sensie ogólnie dostęp do całego systemu - zworka i bateria są pod klawiaturą, o ile nie trzeba pół laptopa rozkręcić)
+ uniemożliwić wyjęcie dysku...
Ja myślę, że jest sposób żeby przywrócić jego skuteczność, niestety artykuł nie porusza tego tematu... Mianowicie chodzi o dodatkowe użycie kluczy w plikach, w celu szyfrowania partycji/kontenera, a nie tylko samego hasła. Skoro "virus" tylko skanuje znaki z klawiatury, to włamywacz nie pozna zawartości pliku-hasła i tymsamym nie odszyfruje danych.
Ogólnie rzecz biorąc ten atak (bardzo prosty) udowadnia po raz kolejny, że gdy atakujący ma fizyczny dostęp do maszyny ŻADNE zabezpieczenie programistyczne nie jest w stanie pomóc. Sprzętowe zabezpieczenie -- tylko o punkcik lepsze. Najlepiej zabierać komputer ze sobą, albo wynająć dwóch drechów do pilnowania danych (i dobrze im płacić, żeby nie mieli dziwnych pomysłów).
Ale do tego ataku nie wystarczy fizyczny dostęp do komputera - potrzebny jest dostęp przynajmniej dwukrotny a pomiędzy nimi użytkownik musi wprowadzić poprawne hasło i nie może się zorientować o ingerencji. Co możesz zrobić, gdy dostaniesz do ręki notebook z dyskiem zaszyfrowanym TrueCryptem? Wg mojej wiedzy pozostaje Ci brute force.
No to dość kiepsko czytałeś.
"As explained a few months ago on this blog, a reasonably good solution against Evil Maid attack seems to be to take advantage of either static or dynamic root of trust offered by TPM."
Łał, keylogger który wrzuca sie w bootloader truecrypta. Nie ma to jak przygotowac gotowe oprogramowanie do tego i udostepnic, wannabie beda miec radoche.
Nieciekawie to wygląda, że można z bootloadera wyciągać hasło, chociaż tego się spodziewałem. TC powinien jakoś zabezpieczyć się przed tym w nowych wersjach programu. Może wystarczy tylko wprowadzić prostą klawiaturę ekranową?
Nie wyciąga hasła z bootloadera. Instaluje się zamiast bootloadera TC, a tego przenosi gdzieś dalej i pyta o hasło. Po wpisaniu zapisuje sobie hasło i uruchamia bootloadera TC.
Nic nie rozwala TC. To tak jakby ktoś napisał, że złamał AES, bo zainstalował keyloggera.
Niedawno były podobne bzdury o podsłuchiwaniu Skype, gdzie soft(wirusik) nagrywał dźwięk przed zaszyfrowaniem.
Ten problem jest już dosyć stary i istnieje na niego łatka - TC sprawdza swoje fizyczne położenie na HD i liczy hashe, po infekcji bootloader po prostu nie rusza. Przywraca się go bootowalnym ISO robionym przy instalacji. Do tego też służy właśnie TPM
eee tam kolejny keylogger nic nowego
na upartego mozna zrobić użądzenie wpinane po drodze do klawiatury i wpjąć je podczas nieobecności uzytkownika
można też zawsze takiego uzytkonika przymusic do podania hasła to chyba najprostsza metoda
zresztą żadne zabezpieczenie nie jest w 100% pewne może tylko utrudniać dostep do naszych danych
To na upartego da się jeszcze odczytać hasło z pola jakie wytwarzają obwody klawiatury przy wpisywaniu haseł, postawić jakąś minikamerę, spuścić ostry [treść usunięta przez złą pokojówkę] by podał hasło.
Tylko, że żaden sposób (wraz z wykopanym) nie dotyczy mnie, moich stacjonarnych, mojego laptopa i pewnie wszystkich, którzy czytali ten wykop.
Te sposób praktycznie działa tylko wtedy gdy ktoś zostawi zalogowanego kompa w niepilnowanym miejscu (tak wyglądała stara wersja tego ataku) albo ma posrane w biosie. Nikt z ludzi nazwanych w artykule "reasonably paranoid user" nie będzie miał inaczej niż bootowanie najpierw z HDD i hasło w biosie.
Cały atak dotyczy (w/g mnie) tylko jakiegoś promila osób, które zabiły dechami drzwi (TC na partycji z OS) i z zostawili wszystkie okna otwarte (brak hasła w biosie lub bootowanie inne niż z HDD).
Ach, właśnie się zorientowałem, dlaczego wyjęcie bateryjki albo użycie uniwersalnego hasła nie jest rozważane w artykule. Dlatego że takie działanie zresetuje hasło. Myślę, że użytkownik się o tym zorientuje. ;)
Co nie zmienia faktu, że można przełożyć dysk do innego komputera i zmodyfikować MBR bez problemu.
Baterię możesz sobie wyjmować ile chcesz...
Po pierwsze primo : wymaga to rozkręcenia laptopa
Po drugie primo : wyjęcie baterii nie resetuje w laptopie hasła - zabezpieczenie przed kradzieżą, najwyżej zegarek padnie
Po trzecie primo : zaczynam się bać współczesnych pokojówek
Nie masz racji, producenci na ogół udostępniają możliwość zresetowania BIOSu do ustawień pierwotnych - zabezpieczenie przed słabą pamięcią (przypadek częściej występujący niż kradzież) ;). Sam tego na szczęście nie musiałem robić, ale (z relacji innych) w zależności od modelu wystarczy: odłączyć zasilanie, wyjąć zwykłą baterię + bateryjkę biosu lub odłączyć zasilanie, wyjąć zwykłą baterię i przytrzymać POWER powyżej dwóch minut lub użycie specjalnego klucza pod port równoległy itd.
Nie wiedziałem, że można zresetować hasło w laptopie. Ciekaw jestem jak się to wykonuje na moim lapku.
Nie zmienia to faktu, że w prawidłowo zabezpieczonym laptopie bez rozkręcania sprzętu ten atak jest niewykonalny.
Jest na to zupełnie prosty sposób - po zainstalowaniu TC należy wyczyścić pierwsze 63 sektory dysku (chyba płytka rescue TC to potrafi ) i przywrócić bootloader z przed instalacji, a następnie uruchamiać kompa z rescueCD lub bootowalnego pendrive'a z obrazem rescue CD
to ja mam jeszcze lepsze:
Z LiveCD uruchamiasz: dd if=/dev/sdXof=/sdY/blablabla.... bs=512 count=1
potem robisz sobie czyszczenie dd if=/dev/null of=/sdXbs=512 count=1
i teraz przed każdym uruchomieniem uruchomieniem z jakiegoś LiveCD wpisujesz dd if=/dev/sdY/blablabla of=/sdXbs=512 count=1
po wyłączeniu oczywiście znów dd if=/dev/null of=/sdX_ bs=512 count=1_
i tak w kółko...
Tak, jednocześnie też parę razy padło, że wystarczy wyjąć hdd i mieć głęboko w D Twoje śmieszne hasła w BIOSie :)
Mój sposób sprawia, iż nie odwołujesz się do MBR, przez co nic ci się nie uruchomi, choćby nawet zostało tam wgrane przez agenta Tomka.
To może lepiej wypieprzyć kompa i zakupić Pegasusa? Prawdziwi paranoicy mogą go jeszcze trzymać w przygotowanej mikrofali - tylko domknąć drzwiczki w razie zagrożenia, a kartridże nosić ze sobą (oczywiście wraz z minimikrofalą).
I wykręcać jeszcze korki przed wyjściem z domu.
Reklamy Google