Stvar gre takole. Uporabnik v hotelski sobi pusti ugasnjen prenosni računalnik, na katerem so s TrueCryptom zašifrirani podatki. Zlobna sobarica vstopi v uporabnikovo sobo in med čiščenjem računalnik zažene s pomočjo posebnega LiveUSB ključka, na katerem se nahaja zlobni program.
Program se zažene, preišče disk računalnika in lokacijo, kjer je shranjena izvršilna datoteka programa TrueCrypt ter nekoliko "popravi" funkcijo, ki uporabnika vpraša za geslo. Popravljena funkcija je sedaj ugrabljena (ang. hooked) in čaka, da bo uporabnik vpisal svoje geslo za dostop do TrueCrypt programa.
Ko se uporabnik nič hudega sluteč vrne v hotelsko sobo in zažene računalnik ter priklopi TrueCrypt šifrirni kontejner, Evil Maid (zadnje) vpisano geslo shrani na poseben prostor na disku. Ko zlobna sobarica računalnik ob naslednjem "čiščenju" sobe ponovni zažene z Evil Maid USB ključkom, le-ta izpiše TrueCrypt geslo.
Učinkovite rešitve proti napadu (še) ni, Rutkowska pa predlaga fizično varovanje prenosnika, uporabo TPM, uporabo šifriranja celotnega trdega diska (čeprav je podoben napad na šifrirane trde diske mogoč tudi tam) ali pa preverjanje integritete TrueCrypt izvršilnih datotek (s pomočjo tim. hasherja).
@sammy73 It tretjega odstavka novice sklepam da si potem varen. Ni exe/elf fajla TC-ja, ni mount pounta hookanja.
Večina daje prenosnik v času neuporabe v standby, tak da pritisneš "any key" in se kišta zbudi v parih sekundah, če imaš tu vklopljen da lahko OS rebootaš samo ko si prijavljen v uporabniški račun lahko zlobna sobarica reboota kišto samo tako da izšteka el. napajanje + odstrani baterijo
Če zlobna sobarica vstopi v uporabnikovo sobo in med čiščenjem računalnik **nekako** zažene s pomočjo posebnega usb ključka se potem OS spremeni uptime čas na 0 (predvidevamo da zlobna sobarica ne ve gesla za uporabniški račun in/ali uporabljaš še fingerprint) . --> zaznava 1 ; da ne omenjam že prej pognanih programov, po rebootu pa te čaka prazno namizje --> zaznava 2
Če uporabljaš v biosu geslo za dostop do bootanja in do HDDja (ter zlobna sobarica ne ve obeh gesel) potem je usb ključek neuporaben (tudi če HDD prestaviš na drugo kišto ga sploh ne zazna).
Temu se zdaj reče nek nov napad? Podobne zadeve smo počeli (pa ziher nismo bili ne prvi ne edini) pred davnimi časi, ko smo uporabnikom velikih sistemov nastavljali na terminale fake login. To skoraj ni nič bolj napad, kot da uporabnika lepo mlatiš, dokler ti ne pove gesla. Ali pa da mu nastaviš keylogger na tipkovnico.
Al pa custom "varovanje" laptopa. Nek skrit "switch", ki je naknadno implementiran v ohišje laptopa in za katerega veš samo ti (zaradi mene lahko tudi drobtina kruha 3 cm od spodnjega roba prenosnika, kateri je spravljen v zaklenjeni omari-ni prepiha, ni živali, ni sobarice). Če je bil laptop odprt, ko te ni bilo, veš da je nekdo minglal po njem.
Problem rešen. V tem primeru zaženeš kompjuter narediš kompleten check kompjutra ali pa na novo zakriptiraš kontejner oz. disk.
Samo malo bolj sodoben keyloger. V vsakem primeru mora nekdo 2 krat fizično šariti po tvojem računalniku, da se dokoplje do gesla. Hitreje prideš do gesla, če najameš enega silaka, ki bo lastniku računalnika lomil prste in pulil nohte
Hitreje prideš do gesla, če najameš enega silaka, ki bo lastniku računalnika lomil prste in pulil nohte
v demokratičnih deželah policija tega ne sme početi! medtem o fizični dostop do tvojega prenosnikalahko dobijo. v malo manj demokratičnih deželah pa imajo podobne pravice tudi razni varnostniki sponzorirani s strani kapitalsko močnejših
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain
Če že maš neke take stvari, sploh nevem zakaj bi pušču prenosnik kjerkoli..za ostalih 99.9% uporabnikov pa je tale zgodbica bolj sci-fi kot kaj realnega.
Policija se raje poslužuje psihičnega maltretiranja in groženj z zaporom. Zelo dvomim, da bodo kdajkoli tako sofisticirani, da bodo vlamljali v stanovanja in podtikali zlobne programčke. Da ne omenjamo, da to ni ravno zakonito pridobivanje informacij. Zlobne sobarice po moje so bolj v domeni in industrijskega vohunjenja. Če imaš v hotelski sobi na prenosniku načrt najnovejšega električnega avtomobila, ki z enim polnjenjem prevozi 500 km, potem si lahko prepričan, da te bo spodaj v baru začela osvajati najlepša ženska, ki si jo videl v življenju, medtem ko ti bo zgoraj v sobi zlobna sobarica šarila po računalniku. Sicer pa ne vem kaj bi z takimi načrti počel v hotelski sobi. Razen če nisi Anglež, kjer tajni agentje vse državne skrivnosti tovorijo naokoli na svojih prenosnikih in jih zraven še redno pozabljajo.
Al pa custom "varovanje" laptopa. Nek skrit "switch", ki je naknadno implementiran v ohišje laptopa in za katerega veš samo ti (zaradi mene lahko tudi drobtina kruha 3 cm od spodnjega roba prenosnika, kateri je spravljen v zaklenjeni omari-ni prepiha, ni živali, ni sobarice). Če je bil laptop odprt, ko te ni bilo, veš da je nekdo minglal po njem.
Problem rešen. V tem primeru zaženeš kompjuter narediš kompleten check kompjutra ali pa na novo zakriptiraš kontejner oz. disk.
Tudi tukaj je glavni junak izvajal take kontrole (na skrivaj je pisal dnevnik, ki ga je skrival v predalu na tocno dolecen mestu, zraven je pa dal mislim, da trak, ki bi se premaknil ze, ko bi nekdo odprl predal). Vendar na koncu, ko so ga zaprli zaradi "zlocinov", je prisel do spoznanja, da so bili agenti pozorni na take fore in so poskrbeli, da jih ni posumil.
se prav je se zmer cist varen. na tak nacin lahko tud windows al pa linux al pa karkol "heknes". Spremenis dost fajlov, da ti sistem ne tezi, da je blo karkol spremenjen in si not. INMHO tole ni glih nek exploit.Pa verjetn je ze dost da uporabljas na winsih encrypted folder(kokr vem naj bi tist zakriptiral s certifikatom od uporabnika vse fajle v folderju ...ne bom pa trdil da je 100%).
Nič ni 100%. Je res, da EFS zakriptira z uporabnikovim certifikatom. Ampak dela samo na NTFS particijah. Če ti kopiraš kriptirano datoteko na FAT formatiran medij ga shrani nekriptirano.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25
A malce bolj sposoben keylogger ne bi bil boljša rešitev? Ker ti znajo keylog mailat in dvakratni fizični dostop ni potreben.
Nisi dobro prebral novice. Šlo se je za primer, ko je celotni disk kriptiran in torej nimaš kam zapisati klasičnega keylogerja, ker je disk na videz neformatiran, dokler ne vpišeš pravilnega gesla. Kolikor jaz vidim iz tistega ekrana, se tale Zlobna sobarica namesti v boot sektor diska zraven TrueCryptovega boot loaderja.
Samo Bittlocker s TPM-jem , je varneši. V glavnem če imam boot na HDD, pa vstavim bootable CD ali USB ključek, mi takoj zateži, da je boot state spremenjen, enako je z če karkoli spremenim v biosu. Recovery geslo, mi zahteva tudi v sledečem primeru : Bootnem v dockingu prenosnik, z zaprtim pokrovom, gledam pa sliko na zunanjem monitorju. Pokačam da se mi pojavi okno za vsnos pin kode, sedaj oprem pokrov prenosnika. Vpišem PIN, in mi reče prosim za recovery password, ker se je state spremenilo.
Seveda zadeva deluje, da imam varno shranjen recovery password.
Se pa bo verjetno dalo Bittlocker premagati z VBootkit 2.0 (is proof-of-concept code ), samo mora biti sistem že aktiven, torej Integritetni certifikat, preko katerega se dekripta sistenmski disk, če aktiven. Po domače moraš biti že winskih da je koda aktivna. Seveda pa VBootkit , ne sme tripniti Bittlocker "boot" state reset. http://pcworld.about.com/od/securit1/Bi... ""TPM and BitLocker (collectively) would stop VBootkit from working"
Verjetno bo naslednja verzija Trucripta podpirala TPM modul.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
Politika podjetja : Hm gre admin na dopust, pa ima na prenosniku kakšne podatke. Recimo kakšen user name & password stranke, ali pa sheme omrežja, ali pa ima finančnik podtake o zaposlenih, ali pa piše nekaj o strategijah razvoja, itd. Hm nekdo ukrade tak prenosnik : A. Če podatki niso kriptirani, do teh podatkov pride brez težav. Če pa so podatki kriptirani, se pa lahko praska.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To z zlobno sobarico je bilo omenjeno na blogu od Rutkowske ze januarja. Evil Maid je le prakticna implementacija ideje, PoC exploit recimo.
Vse skupaj jasno ni nic novega ali revolucionarnega. Ni tako, da bi bil TrueCrypt ali pa kak drug program pomankljiv. Fora je samo v tem, da ne mores racunati, da program dela ok, ce pa je npr. BIOS, OS ali pa karkoli drugega kar prej dobi kontrolo (oz. je celo bolj "low-level") popravljeno. Backdoor se lahko naseli teoreticno tudi v firmware mrezne, tako da to ali je celoten disk kriptiran ali ne ni prav relevantno. To je mogoce omejitev le za konkretno implementacijo, ki je bila predstavljena.
Seveda lahko cim vec stvari zakriptiras, ampak se vedno moras imeti na zacetku neko kodo, ki zna vse skupaj s pravim geslom tudi desifrirati. In problem je ravno v tem, kako narediti da lahko zaupas temu, da _ta_ koda ni bila spremenjena. Resitev je TPM, se pravi nek namenski cip, ki ga je sila neprakticno spreminjati, ta pa potem poskrbi za to, da je vsak naslednja zadeva, ki se pricne izvajati (kakorkoli ze) preverjena.
V praksi niti ne gre za keylogger, ampak za "fake login prompt". Ampak tukaj je v poudarek na tem, da ne nasedejo samo naivni ljudje. _Nihce_ namrec ne zna lociti ponarejenega poziva za geslo od pravega (tako da to ni kot npr. "phishing").
Ok, a se sam men zdi, al je to napaka pri implementaciji trueCrypta?
Truecrypt bi brez problema ob vsakem zagonu sistema preveril hash loaderja in ga primerjal s hashem shranjenim na zakriptiranemu delu diska. Ce se ne bi ujemala, bi pac obvestil uporabnika/restoral originalni loader.
C2Q Q6600, P5W DH Deluxe,6GB 800MHz Rama
GF 8600gt, 2xSataII WD 250GB, LC Power 550W Green Power
----watter in my vains----
