邪惡女傭:移動辦公一族的新威脅
喬安娜·魯特克絲卡,既是無影實(shí)驗(yàn)室的創(chuàng)始人和首席執(zhí)行官,也是一名著名的安全研究人員。你可能還記得她,魯特克絲卡女士是利用虛擬化技術(shù)導(dǎo)致無法被安全工具檢測到的rootkit工具Blue Pill的共同開發(fā)者。
現(xiàn)在,魯特克絲卡女士又開發(fā)出了一種可以顛覆現(xiàn)有規(guī)則的工具。亞歷克斯·捷列什金,無影實(shí)驗(yàn)室的首席研究員和魯特克絲卡女士改良了可以破解整個(gè)驅(qū)動器上的全局加密的惡意代碼。他們將該惡意軟件命名為邪惡女傭。這個(gè)名字看上去很奇怪,但卻非常形象地說明了軟件的工作方式。在進(jìn)行攻擊的時(shí)間,邪惡女傭需要攻擊者通過物理連接進(jìn)入計(jì)算機(jī),這讓移動辦公一族成為完美的目標(biāo)。
它的工作原理
作為兼職的移動辦公一族,我非常相信TrueCrypt。但現(xiàn)在,魯特克絲卡女士讓我對自己的選擇產(chǎn)生了懷疑。為了說明我產(chǎn)生懷疑的原因,讓我們來看看在路上會發(fā)生什么樣的情況。在拜訪了客戶后,我回到酒店,開始撰寫文章。在接下來的幾個(gè)小時(shí)中,我應(yīng)該和客戶共進(jìn)午餐。因此,我關(guān)閉筆記本計(jì)算機(jī),前往酒店的餐廳。
我不知道原因是什么,但有人非常想看看我寫了些什么。因此,他收買了一名酒店員工潛入我的房間,進(jìn)行了下面的活動:
Ø 攻擊者利用包含邪惡女傭的USB存儲器啟動了我的計(jì)算機(jī)。
Ø 在啟動后,一個(gè)叫做“邪惡女傭嗅探器”的應(yīng)用工具被安裝到TrueCrypt的啟動列表中,效果如下圖(魯特克絲卡女士提供)所示: 
Ø 攻擊者關(guān)閉筆記本計(jì)算機(jī)并離開。
Ø 不久以后我返回房間并決定繼續(xù)撰寫文章。
Ø 在我打開筆記本計(jì)算機(jī)電源的時(shí)間,邪惡女傭嗅探器就記錄了我輸入的TrueCrypt密碼,并將信息保存在預(yù)先安排好的硬盤區(qū)域上。
Ø 我并沒有發(fā)現(xiàn)任何問題,只是繼續(xù)寫作。過了一會兒,我覺得有點(diǎn)渴。因此,我關(guān)閉筆記本計(jì)算機(jī)并到酒吧去喝幾杯。
Ø 攻擊者發(fā)現(xiàn)了這個(gè)機(jī)會,就偷偷返回我的房間,利用包含邪惡女傭的USB存儲器啟動了筆記本計(jì)算機(jī)。
Ø 該工具檢測到TrueCrypt的啟動列表被感染,并顯示如下(魯特克絲卡女士提供)所示的密碼:
Ø 攻擊者重新啟動我的筆記本計(jì)算機(jī),輸入正確的密碼對硬盤驅(qū)動器進(jìn)行解密,并將我的文章復(fù)制出來。
現(xiàn)在你應(yīng)該明白它為什么被叫做邪惡女傭攻擊了;它的效果取決于酒店的環(huán)境。魯特克絲卡女士還提到,一旦密碼被獲取就可能導(dǎo)致筆記本計(jì)算機(jī)被盜。
可能的防范手段
在最新發(fā)布的安全日志中,布魯斯先生對邪惡女傭有一條有趣的評價(jià):
“該工具和去年出現(xiàn)了“冷啟動”攻擊,以及今年早些時(shí)間出現(xiàn)的“去核啟動”攻擊利用的是相同的漏洞,對于它們并沒有真正的防范措施一說。只要你放松了對計(jì)算機(jī)的物理控制,就會出現(xiàn)全盤皆輸?shù)那闆r。”
TrueCrypt已經(jīng)在書面文件中承認(rèn)了這種說法。施奈爾先生接著指出,所有可能的修復(fù)手段中,下面可能是最好的:
“一些讀者指出,如果計(jì)算機(jī)配備的是包含可信賴平臺模塊(TPM)芯片的主板的話,BitLocker可以防止這種類型的攻擊。”
開發(fā)邪惡女傭的原因
魯特克絲卡女士同意施奈爾先生的說法,并且一直試圖說服TrueCrypt的開發(fā)者發(fā)布一個(gè)基于TPM技術(shù)的版本:
“我個(gè)人希望看到TrueCrypt在啟動過程中應(yīng)用基于TPM技術(shù)的可信賴模式,但與此同時(shí),我該怎么辦?繼續(xù)利用邪惡女傭類的攻擊讓TrueCrypt開發(fā)團(tuán)隊(duì)保持警惕,并希望他們最終考慮提供TPM的支持。”
在此之前,看起來似乎唯一可行的解決辦法是在任何時(shí)候都確保計(jì)算機(jī)的物理安全。不過,我注意到在施奈爾先生關(guān)于邪惡女傭文章的回復(fù)中有不少有趣的可能解決方案。
最后的思考
看來,硬盤全局加密并不是象大多數(shù)人想的那樣是靈丹妙藥。它防止的是試圖盜竊計(jì)算機(jī)后竊取數(shù)據(jù)的人。但如果攻擊者可以多次物理連接計(jì)算機(jī),那一切防御措施都是徒勞的。
【編輯推薦】
