новая атака на системы шифрования дисков

[Vinni]

исследователи из Принстона обнаружили уязвимость, которая делает системы прозрачного шифрования дисков бесполезными, если атакующий получил физический доступ к компьютеру.

Атака требует несколько минут для своего проведения и использует ключ шифрования, который хранится в оперативной памяти компьютера.

Используется возможность восстановления содержимого оперативной памяти даже после выключения питания (!).

 

 

SANS NewsBites Vol. 10 Num. 15

Researchers from Princeton University, the Electronic Frontier

Foundation, and Wind River Systems have published a paper explaining how

attackers with physical access to computers can use disk encryption keys

in the machine's RAM to bypass disk encryption. Apparently encryption

keys remain in RAM for a period of time even when the computer is

powered off. powered off. One of the researchers calls the problem "a

fundamental limitation in the way these systems were designed."

http://blog.wired.com/27bstroke6/2008/02/r...rchers-dis.html

[Editor's Note (Northcutt): Definitely worth your time to read this

paper. They have a video explaining this that even non-technical

audiences will be able to understand. If you have bought a full disk

encryption product, start a dialog with your vendor. And above all, if

an officer or auditor from your organization asks you if DRAM memory

retains information even when the system is powered off, say yes!

(Skoudis): The concepts underlying the attacks have been rumored and

discussed for years. But, the paper provides more details and

real-world explanations than I've seen anywhere else on this topic.

(Honan): The paper is a very interesting read and highlights a number

of takeaways that we regularly discuss in NewsBites. Firstly, once

someone has physical access to your computer it is extremely difficult

to secure the data on it. Secondly having data distributed across many

devices and locations makes it difficult to protect that data. Thirdly,

new attacks are constantly being developed and you need to regularly

review your defences and your incident response plan accordingly.

(Guest Editor Frantzen): Critical questions need to be asked of

encryption software vendors: how they keep the keys in memory, and if

they wipe the data whenever a screensaver is activated, whenever the

computer is put to sleep, whenever the computer is hibernating.]

[Игорь Нежданов]

Дорогой Vinni, зачем вы постоянно нас пугаете? :) Мы и так уже поняли что защититься нельзя... рано или поздно все равно все сопрут плохие дяди или большой брат.

[Vinni]

Дорогой Vinni, зачем вы постоянно нас пугаете? :) Мы и так уже поняли что защититься нельзя... рано или поздно все равно все сопрут плохие дяди или большой брат.

Не-е-е. Я как раз не пугаю, а предупреждаю. Это мастер Loo любит пугать... :smile1:

[Игорь Нежданов]

Не-е-е. Я как раз не пугаю, а предупреждаю. Это мастер Loo любит пугать... :smile1:

Ага - вот чтоб себя обезопасить я после ваших предупреждений ищу разборный жесткий диск :). Чтоб один блин на ночь под подушку, второй в бачек унитаза, третий на балкон..... А по утру все в кучку собрал и опа - вся моя информация при мне.

[Vinni]

Ага - вот чтоб себя обезопасить я после ваших предупреждений ищу разборный жесткий диск :). Чтоб один блин на ночь под подушку, второй в бачек унитаза, третий на балкон..... А по утру все в кучку собрал и опа - вся моя информация при мне.

Тогда уж лучше, как в "Джонни-мнемонике" хранить всю информацию в своей голове :smile5:

[Vinni]

а вот еще одна атака, о которой известно уже несколько лет и которая тоже требует физического доступа к компьютеру

идея в том, что в большинстве ноутбуков есть firewire-интерфейс (он же 1394). или можно вставить в компьютер pcmcia-карту (слот-то есть) для этого.

после этого можно управляя этим интерфейсом читать/писать в память компьютера. в марте 2008 года была сделана программа, позволяющая с помощью этой технологии отключить парольную аутентификацию в ноутбуке... :smile19:

 

_ttp://www.sec-consult.com/fileadmin/Whitepapers/Vista_Physical_Attacks.pdf

In a nutshell, it is

possible to access the system memory of other nodes on a firewire bus via DMA and firewire’s

addressing scheme. This works for reading as well as for writing. The only requirement on the

target is a firewire interface, which most laptops and a lot of workstations have built in. Laptops

without a firewire interface can be provided by an attacker with a PC Card (PCMCIA Card) which

is automatically installed – even if the screen is locked. This means that even laptop computers

without a firewire interface are vulnerable. It has been proven that Linux, MAC OS X and

Windows XP are vulnerable to this attack. In March 2008, Adam Boileau released a tool called

winlockpwn (4), which implements several attacks against Windows XP SP2.

A while ago, SEC Consult has implemented its own proof of concepts for most versions of

Windows. This includes workstations running Windows Vista. The Vista POC disables password

authentication in the default login routine, making it possible to log in to the workstation with an

arbitrary password.

 

 

а вот статья на русском - http://www.securitylab.ru/news/348024.php

 

Специалист по безопасности из Новой Зеландии придумал способ обхода парольной защиты Windows XP в считанные секунды. Для этого он предлагает использовать распространенный на сегодняшний день интерфейс FireWire. Автор утверждает, что Microsoft знает о данной дыре уже как минимум два года, однако так и не удосужилась ее устранить.

 

Специалист по компьютерной безопасности Адам Бойли (Adam Boileau) из новозеландской компании Immunity может обойти пароль Windows XP за несколько секунд. На персональном сайте он опубликовал инструкцию по доступу к Windows XP, заблокированной по Alt+Ctrl+Del или через экран приветствия, без необходимости ввода пароля.

 

Для выполнения операции необходим второй компьютер на базе Linux, который должен быть подключен к целевому компьютеру посредством интерфейса FireWire. Далее специальный скрипт открывает полный доступ к оперативной памяти взламываемого компьютера, из которой хакер может читать информацию или записывать в нее. Таким образом злоумышленник может узнать в том числе и требуемый пароль.

 

Разъемами FireWire оснащаются многие настольные ПК и почти все современные ноутбуки. Их нельзя найти разве что в старых системах. В основном FireWire служит для подключения внешних накопителей данных.

 

Данный способ был придуман Бойли еще в далеком 2006 г. Однако тогда он не решился обнародовать документацию, так как Microsoft не нашла данную брешь существенной, и Бойли решил зря не будоражить индустрию. Однако сейчас, спустя 2 года, когда Microsoft так и не позаботилась о соответствующей заплатке, он все же пошел на данный шаг.

 

По словам технического директора компании Sophos Пола Даклина (Paul Ducklin), обнаруженная Бойли брешь не является ни дырой, ни багом в традиционном значении этих слов, так как предоставление доступа к ОЗУ является одной из функций FireWire. Чтобы обезопасить себя от несанкционированного доступа, он рекомендует, во-первых, ограничить доступ к компьютеру третьим лицам, и, во-вторых, отключить порт FireWire, если он не используется. Комментариев от Microsoft пока не поступало.

 

На своем сайте Бойли утверждает, что корпорация Microsoft прекрасно знает обо всем этом (ссылаясь на спецификацию OHCI-1394), однако большая часть пользователей и понятия не имеют о том, что доступ к их системам получить настолько просто.

[Loo]

Vinni? щас же атака на RAM модно, шифрование прахом пошло такого плана :о)) http://www.mcgrewsecurity.com/

[Vinni]

Vinni? щас же атака на RAM модно, шифрование прахом пошло такого плана :о)) http://www.mcgrewsecurity.com/

Спасибо за ссылку - вот уже и инструмент в открытом доступе выложен, позволяющий сделать USB с очень маленьким загрузчиком, который после запуска копирует всю оперативную память в себя. Автор, кстати, отметил, что на его ноутбуке память держала значения до 10 минут после выключения. По ссылке целая инструкция по созданию такой USB и сама программа в исходниках.

Насчет "пошло прахом" не соглашусь -см. анализ SANS о распространенных программах шифрования.

Не у всех все так плохо...

[korsar]

Не совсем понятно при чем здесь все системы шифрования дисков? Взять тот же секрет диск - убран Е Тoken - убраны ключи и сертификаты, ну а когда он вставлен, то тут понятно. А не допустить физического доступа к системе с ключами уже организационно-техническая задача. Для этого, кстати , в том же секрет диске существует красная кнопка у консоли админа, затирающая все ключи или просто уничтожающая всю инфу на винтах.