Перейти к содержанию

Как не стать жертвой evil maid attack


Рекомендуемые сообщения

«Атака злой горничной» — чуть ли не самый примитивный, но от этого и один из самых неприятных видов атаки. Ее жертвами становятся устройства, оставленные без присмотра. Атакующие пытаются добраться до секретной информации, устанавливают на скомпрометированный компьютер шпионские программы или средства удаленного доступа, чтобы проникнуть в корпоративную сеть. Рассказываем, как защититься от действий злоумышленников.

Классический пример

Когда речь заходит об «атаке злой горничной», обычно вспоминают случай, о котором активно писали в американских СМИ в 2008 году. В декабре 2007 года делегация министерства торговли США отправилась в Пекин, на переговоры о совместном противодействии пиратству. Переговоры прошли достаточно успешно, но через три месяца спецслужбы обнаружили в ноутбуке министра главы делегации шпионское ПО, установить которое можно было только получив физический доступ к компьютеру. Владелец ноутбука уверял, что на переговорах все время носил ноутбук с собой и лишь на несколько минут оставил его в сейфе гостиничного номера, когда спустился на ужин.

Злоумышленникам хватило примерно получаса — и это весьма комфортные условия. Теоретически профессионалы могут скомпрометировать устройство за 3–4 минуты. Чаще всего такие случаи происходят, когда компьютер оставляют без присмотра включенным или незапароленным. Но даже если не пренебрегать элементарными мерами безопасности, вероятность стать жертвой атаки evil maid все равно остается.

Как злоумышленники получают доступ к информации

Способов добраться до критически важной информации — масса. Они зависят от возраста компьютера и имплементированных средств защиты. Например, старые компьютеры с BIOS беззащитны перед «злой горничной» — ведь они не поддерживают безопасную загрузку и легко позволяют загружаться с внешних дисков.

Невольными проводниками к личным или корпоративным секретам могут стать коммуникационные порты, поддерживающие быстрый обмен данными или прямое взаимодействие с памятью устройства. Например, такие как Thunderbolt. Высокая скорость передачи данных через него достигается как раз прямым доступом к памяти, и это открывает дорогу «злым горничным».

Весной этого года эксперт по компьютерной безопасности Бьорн Рюйтенберг сообщил, что нашел способ взломать любое устройство с Thunderbolt, на котором установлена операционная система Windows или Linux, даже если этот компьютер заблокирован, а его владелец запретил подключение через внешние порты незнакомых устройств. Метод Рюйтенберга, получивший название Thunderspy, предусматривает физический доступ к гаджету и состоит в подмене контролирующий порт прошивки.

Для этого атакующему необходимо вскрыть корпус компьютера, подключиться к чипу Thunderbolt напрямую и при помощи программатора перепрошить чип своей версией микропрограммы. Новая прошивка отключает встроенную защиту, и злоумышленник получает полный контроль над устройством.

Теоретически уязвимость закрывается при помощи политики Kernel Direct Memory Access Protection — вот только эта функция доступна пользователям Windows 10, а она используется далеко не всеми. Впрочем, Intel анонсировала решение проблемы с появлением Thunderbolt 4.

Старый добрый USB тоже может стать каналом атаки. Злоумышленник может вставить в USB-порт миниатюрное устройство, которое активизируется после того, как пользователь включит компьютер и начнет работать с ним. Скорее всего, оно окажется модифицированной для эксплуатации трюка BadUSB-флешкой (система воспримет ее как клавиатуру и получит с нее команду злоумышленников).

Если информация особенно ценная, преступники могут пойти даже на такой экзотический и весьма дорогостоящий в исполнении финт, как кража устройства и подмена его аналогичным, но уже содержащим шпионскую программу. Разумеется, подмена будет раскрыта достаточно быстро, но уже после того, как жертва введет свои пароли. Впрочем, для такой атаки нужно тщательное изучение компьютера жертвы.

Как минимизировать риски

Самый надежный и простой способ защиты от evil maid attack — не оставлять свое устройство там, где к нему могут получить доступ посторонние: в тех же гостиничных номерах. Впрочем, этот совет не всегда выполним. Если ваши сотрудники часто отправляются в командировки со служебными ноутбуками, то имеет смысл:

  • завести специальные временные ноутбуки для командировок, на которых нет ни доступа к важным корпоративным системам, ни рабочих данных, а после каждой поездки форматировать жесткий диск и перезаливать систему;
  • если нет возможности постоянно носить рабочий ноутбук с собой — по крайней мере не оставлять его включенным;
  • запретить прямой доступ к памяти через FireWire, Thunderbolt, PCI, PCI Express и другие порты, если ваш ноутбук поддерживает такую функцию;
  • зашифровать жесткие диски компьютеров, которые покидают здание офиса;
  • включить в настройках ноутбуков функции привязки к жесткому диску;
  • использовать защитные решения, которые позволят как минимум блокировать подозрительный исходящий трафик, — ведь для того, чтобы отправить информацию, скомпрометированный компьютер будет пытаться соединиться с сервером злоумышленников;
  • убедиться, что используемое вами защитное решение может выявить атаку Bad USB (Kaspersky Endpoint Security для бизнеса — может);
  • своевременно обновлять ПО, особенно операционную систему.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ksp_user
      От ksp_user
      Two months ago, suddenly, my Windows 11 PC refused me login. I tried several methods and everything failed and lead to fully format the PC. 
       
      Usually, I keep a copy of my notes in Google Drive so I did not worry much. 
       
      But I have noticed that my Google Drive also infected by a ransomware almost all the files there, renamed them to <filename>.<file extention>.id[bMtMPqp].stop and encrypted. 
       
      Since I couldn't log in to my PC , most probably ransomware encrypted the system files, I did not see any ransom notes or anything.
       
      Is it possible to identify the ransomware and decrypt the files in the Google Drive?
       
      Thanks.  
    • s2s
      От s2s
      Помогите, вчера открыл документ в ворде, компьютер перезагрузился, виндовс не грузится вместо него моргает красно-белый скелет. И надпись под ним press any key. Перезагрузка не помогает, что это и как с этим бороться?
    • KL FC Bot
      От KL FC Bot
      В Интернете есть масса соблазнительных предложений быстрого и несложного заработка, но часто за ними скрываются мошеннические схемы. Разберем на примерах некоторые из них.
      Бесплатная работа на мошенников
      Кто не хотел бы зарабатывать деньги за прохождение опросов, просмотр видео, игры и другие несложные задания в Сети? Именно таким предложением мошенники привлекают жертв на одном из сайтов. Здесь стоит сразу оговориться, что данная схема — интернациональная. Помимо русского сайт доступен еще на девяти языках, однако приличной версткой может похвастаться только английская версия ресурса.
      Главная страница русской версии мошеннического сайта, предлагающего подработку на обычных действиях в Сети
       
      Посмотреть статью полностью
×
×
  • Создать...