Έχετε ασφαλίσει τον υπολογιστή σας με ισχυρή κρυπτογράφηση δίσκου και λογισμικό ασφαλείας. Είναι ασφαλές - αρκεί να το κρατάτε εντός της όρασης. Όμως, όταν ένας εισβολέας έχει φυσική πρόσβαση στον υπολογιστή σας, όλα τα στοιχήματα είναι απενεργοποιημένα. Γνωρίστε την επίθεση «κακού κοριτσιού».
Τι είναι η επίθεση "Κακό κορίτσι";
Συχνά επαναλαμβάνεται στην ασφάλεια στον κυβερνοχώρο: Μόλις ένας εισβολέας έχει φυσική πρόσβαση στη συσκευή σας, όλα τα στοιχήματα είναι απενεργοποιημένα. Η επίθεση «κακού κοριτσιού» είναι ένα παράδειγμα –και όχι μόνο μια θεωρητική– του πώς ένας εισβολέας θα μπορούσε να έχει πρόσβαση και να θέσει σε κίνδυνο μια συσκευή χωρίς παρακολούθηση. Σκεφτείτε το «κακό κορίτσι» ως κατάσκοπος.
Όταν οι άνθρωποι ταξιδεύουν για επαγγελματικούς λόγους ή για αναψυχή, συχνά αφήνουν τους φορητούς υπολογιστές τους στα δωμάτια του ξενοδοχείου. Τώρα, τι θα συνέβαινε αν υπήρχε μια «κακή υπηρέτρια» στο ξενοδοχείο - ένα πρόσωπο καθαριότητας (ή κάποιος μεταμφιεσμένο ως καθαριστικό) που, κατά τη διάρκεια του κανονικού καθαρισμού του δωματίου του ξενοδοχείου, χρησιμοποίησε τη φυσική τους πρόσβαση στη συσκευή να το τροποποιήσετε και να το θέσετε σε κίνδυνο;
Τώρα, αυτό δεν είναι κάτι που πρέπει να ανησυχεί ο μέσος άνθρωπος. Αποτελεί όμως ανησυχία για στόχους υψηλής αξίας, όπως δημόσιοι υπάλληλοι που ταξιδεύουν διεθνώς ή στελέχη που ενδιαφέρονται για τη βιομηχανική κατασκοπεία.
Δεν είναι μόνο "Κακές υπηρέτριες"
Ο όρος «κακό κορίτσι» επιτέθηκε για πρώτη φορά από την ερευνητή ασφάλειας υπολογιστών Joanna Rutkowska το 2009. Η έννοια της «κακής» υπηρέτριας με πρόσβαση σε δωμάτιο ξενοδοχείου έχει σχεδιαστεί για να απεικονίσει το πρόβλημα. Αλλά μια επίθεση «κακού κοριτσιού» μπορεί να αναφέρεται σε οποιαδήποτε κατάσταση όπου η συσκευή σας αφήνει την όρασή σας και ένας εισβολέας έχει φυσική πρόσβαση σε αυτήν. Για παράδειγμα:
- Παραγγείλετε μια συσκευή στο διαδίκτυο. Κατά τη διαδικασία αποστολής, κάποιος με πρόσβαση στο πακέτο ανοίγει το κουτί και θέτει σε κίνδυνο τη συσκευή.
- Οι μεθοριακοί πράκτορες σε διεθνή σύνορα μεταφέρουν το φορητό υπολογιστή, το smartphone ή το tablet σας σε άλλο δωμάτιο και το επιστρέφουν λίγο αργότερα.
- Οι πράκτορες επιβολής του νόμου μεταφέρουν τη συσκευή σας σε άλλο δωμάτιο και την επιστρέφουν αργότερα
- Είστε ανώτερος υπάλληλος υψηλού επιπέδου και αφήνετε τον φορητό υπολογιστή σας ή άλλη συσκευή σε ένα γραφείο στο οποίο ενδέχεται να έχουν πρόσβαση άλλα άτομα.
- Σε μια διάσκεψη ασφαλείας υπολογιστή, αφήνετε τον φορητό υπολογιστή σας χωρίς επίβλεψη σε δωμάτιο ξενοδοχείου.
Υπάρχουν αμέτρητα παραδείγματα, αλλά ο συνδυασμός κλειδιών είναι πάντα ότι έχετε αφήσει τη συσκευή σας χωρίς επίβλεψη - από την όρασή σας - όπου κάποιος άλλος έχει πρόσβαση σε αυτήν.
Ποιος χρειάζεται πραγματικά να ανησυχεί;
Ας είμαστε ρεαλιστές εδώ: Οι επιθέσεις κακών υπηρέτων δεν τους αρέσουν πολλά προβλήματα ασφαλείας στον υπολογιστή. Δεν αποτελούν ανησυχία για το μέσο άτομο.
Ransomware και άλλα κακόβουλα προγράμματα εξαπλώνονται όπως πυρκαγιά από συσκευή σε συσκευή μέσω του δικτύου. Αντίθετα, μια επίθεση κακού κοριτσιού απαιτεί από ένα πραγματικό άτομο να ξεφύγει από το δρόμο του για να θέσει σε κίνδυνο τη συσκευή σας ειδικά - αυτοπροσώπως. Αυτό είναι spycraft.
Από πρακτική σκοπιά, οι επιθέσεις κακών κοριτσιών αποτελούν ανησυχία για πολιτικούς που ταξιδεύουν διεθνώς, στελέχη υψηλού επιπέδου, δισεκατομμυριούχους, δημοσιογράφους και άλλους πολύτιμους στόχους.
Για παράδειγμα, το 2008, οι Κινέζοι αξιωματούχοι μπορεί να έχουν αποκάλυψε κρυφά το περιεχόμενο ενός φορητού υπολογιστή Αμερικανού αξιωματούχου κατά τη διάρκεια εμπορικών συνομιλιών στο Πεκίνο. Ο αξιωματούχος άφησε το φορητό του χωρίς επίβλεψη. Όπως το αναφέρει η ιστορία του Associated Press από το 2008, «Μερικοί πρώην αξιωματούχοι του εμπορίου δήλωσαν στο AP ότι ήταν προσεκτικοί να διατηρούν τις ηλεκτρονικές συσκευές μαζί τους ανά πάσα στιγμή κατά τη διάρκεια ταξιδιών στην Κίνα»
Από θεωρητική άποψη, οι επιθέσεις κακών κοριτσιών είναι ένας χρήσιμος τρόπος για να σκεφτούμε και να συνοψίσουμε μια εντελώς νέα κατηγορία επιθέσεων για την προστασία των επαγγελματιών ασφαλείας.
Με άλλα λόγια: Πιθανότατα δεν χρειάζεται να ανησυχείτε ότι κάποιος θα θέσει σε κίνδυνο τη χρήση των υπολογιστικών σας συσκευών σε μια στοχευμένη επίθεση όταν τις αφήσετε εκτός της όρασης. Ωστόσο, κάποιος όπως ο Jeff Bezos σίγουρα πρέπει να ανησυχεί για αυτό.
Πώς λειτουργεί μια επίθεση κακού κοριτσιού;
Μια κακή επίθεση υπηρέτρια βασίζεται στην τροποποίηση μιας συσκευής με μη ανιχνεύσιμο τρόπο. Κατά τον καθορισμό του όρου, Ο Rutkowska επέδειξε επίθεση συμβιβασμός Κρυπτογράφηση δίσκου συστήματος TrueCrypt .
Δημιούργησε λογισμικό που θα μπορούσε να τοποθετηθεί σε μονάδα USB με δυνατότητα εκκίνησης. Το μόνο που πρέπει να κάνει ένας εισβολέας είναι να τοποθετήσει τη μονάδα USB σε έναν απενεργοποιημένο υπολογιστή, να την ενεργοποιήσετε, να εκκινήσετε από τη μονάδα USB και να περιμένετε περίπου ένα λεπτό. Το λογισμικό θα εκκινήσει και θα τροποποιήσει το λογισμικό TrueCrypt για να εγγράψει τον κωδικό πρόσβασης στο δίσκο.
Ο στόχος θα επέστρεφε στη συνέχεια στο δωμάτιο του ξενοδοχείου τους, θα τροφοδοτούσε τον φορητό υπολογιστή και θα εισήγαγε τον κωδικό πρόσβασης. Τώρα, η κακή υπηρέτρια θα μπορούσε να επιστρέψει και να κλέψει τον φορητό υπολογιστή - το παραβιασμένο λογισμικό θα είχε αποθηκεύσει τον κωδικό πρόσβασης αποκρυπτογράφησης στο δίσκο και η κακή υπηρέτρια θα μπορούσε να έχει πρόσβαση στα περιεχόμενα του φορητού υπολογιστή.
Αυτό το παράδειγμα, που δείχνει την τροποποίηση του λογισμικού μιας συσκευής, είναι μόνο μία προσέγγιση. Μια κακή επίθεση υπηρέτριας μπορεί επίσης να περιλαμβάνει το φυσικό άνοιγμα ενός φορητού υπολογιστή, επιτραπέζιου υπολογιστή ή smartphone, τροποποίηση του εσωτερικού υλικού του και στη συνέχεια κλείσιμο του αντιγράφου ασφαλείας.
Οι επιθέσεις κακών κοριτσιών δεν χρειάζεται καν να είναι τόσο περίπλοκες. Για παράδειγμα, ας πούμε ότι ένα καθαριστικό άτομο (ή κάποιος που θέτει ως καθαριστικό άτομο) έχει πρόσβαση στο γραφείο ενός Διευθύνοντος Συμβούλου σε μια εταιρεία Fortune 500. Υποθέτοντας ότι ο Διευθύνων Σύμβουλος χρησιμοποιεί έναν επιτραπέζιο υπολογιστή, το «κακό» άτομο καθαρισμού θα μπορούσε να εγκαταστήσει ένα καταγραφικό κλειδιού υλικού μεταξύ του πληκτρολογίου και του υπολογιστή. Θα μπορούσαν τότε να επιστρέψουν λίγες μέρες αργότερα, να αρπάξουν το καταγραφικό κλειδιού υλικού και να δουν όλα όσα πληκτρολόγησε ο Διευθύνων Σύμβουλος κατά την εγκατάσταση του καταγραφικού κλειδιών και την καταγραφή πατημάτων πλήκτρων.
Η ίδια η συσκευή δεν χρειάζεται καν να παραβιαστεί: Ας υποθέσουμε ότι ένας Διευθύνων Σύμβουλος χρησιμοποιεί ένα συγκεκριμένο μοντέλο φορητού υπολογιστή και αφήνει αυτόν τον φορητό υπολογιστή σε δωμάτιο ξενοδοχείου. Μια κακή υπηρέτρια έχει πρόσβαση στο δωμάτιο του ξενοδοχείου, αντικαθιστά τον φορητό υπολογιστή του Διευθύνοντος Συμβούλου με έναν φορητό υπολογιστή που μοιάζει πανομοιότυπος με εκτεθειμένο λογισμικό και φεύγει. Όταν ο Διευθύνων Σύμβουλος ενεργοποιεί το φορητό υπολογιστή και εισάγει τον κωδικό πρόσβασης κρυπτογράφησής τους, το παραβιασμένο λογισμικό «τηλέφωνα στο σπίτι» και μεταδίδει τον κωδικό πρόσβασης κρυπτογράφησης στην κακή υπηρέτρια.
Τι μας διδάσκει για την ασφάλεια του υπολογιστή
Μια επίθεση κακού κοριτσιού υπογραμμίζει πραγματικά πόσο επικίνδυνη είναι η φυσική πρόσβαση στις συσκευές σας. Εάν ένας εισβολέας έχει φυσική πρόσβαση χωρίς επίβλεψη σε μια συσκευή που αφήνετε χωρίς επίβλεψη, υπάρχουν λίγα που μπορείτε να κάνετε για να προστατευτείτε.
Στην περίπτωση της αρχικής επίθεσης κακού κοριτσιού, ο Rutkowska απέδειξε ότι ακόμη και κάποιος που ακολούθησε τους βασικούς κανόνες για την ενεργοποίηση της κρυπτογράφησης δίσκου και την απενεργοποίηση της συσκευής του όποτε το άφησαν μόνο του ήταν ευάλωτο.
Με άλλα λόγια, όταν ένας εισβολέας έχει φυσική πρόσβαση στη συσκευή σας έξω από την όρασή σας, όλα τα στοιχήματα είναι εκτός λειτουργίας.
Πώς μπορείτε να προστατέψετε από επιθέσεις κακών υπηρέτριων;
Όπως έχουμε επισημάνει, οι περισσότεροι άνθρωποι δεν χρειάζεται να ανησυχούν για αυτόν τον τύπο επίθεσης.
Για να προστατευτείτε από επιθέσεις κακών κοριτσιών, η πιο αποτελεσματική λύση είναι απλά να παρακολουθείτε μια συσκευή και να διασφαλίζετε ότι κανείς δεν έχει φυσική πρόσβαση σε αυτήν. Όταν ταξιδεύουν οι ηγέτες των πιο ισχυρών χωρών του κόσμου, μπορείτε να στοιχηματίσετε ότι δεν αφήνουν τους φορητούς υπολογιστές και τα τηλέφωνά τους που βρίσκονται γύρω από την επίβλεψη σε δωμάτια ξενοδοχείου, όπου θα μπορούσαν να παραβιαστούν από την υπηρεσία πληροφοριών άλλης χώρας.
Μια συσκευή θα μπορούσε επίσης να τοποθετηθεί σε κλειδωμένο χρηματοκιβώτιο ή άλλου τύπου κλειδαριά για να διασφαλίσει ότι ένας εισβολέας δεν θα έχει πρόσβαση στην ίδια τη συσκευή - αν και κάποιος μπορεί να μπορεί να πάρει το κλείδωμα. Για παράδειγμα, ενώ πολλά δωμάτια του ξενοδοχείου διαθέτουν ενσωματωμένα χρηματοκιβώτια, Οι υπάλληλοι του ξενοδοχείου έχουν γενικά βασικά κλειδιά .
Οι σύγχρονες συσκευές γίνονται πιο ανθεκτικές σε ορισμένους τύπους κακών κοριτσιών. Για παράδειγμα, Ασφαλής εκκίνηση διασφαλίζει ότι οι συσκευές δεν θα εκκινήσουν κανονικά μη αξιόπιστες μονάδες USB. Ωστόσο, είναι αδύνατο να προστατευτείτε από κάθε είδους επίθεση κακού κοριτσιού.
Ένας αποφασισμένος εισβολέας με φυσική πρόσβαση θα μπορεί να βρει έναν τρόπο.
Κάθε φορά που γράφουμε για την ασφάλεια των υπολογιστών, το βρίσκουμε χρήσιμο να το ξαναεπισκεφτούμε ένα κλασικό κόμικ xkcd για την Ασφάλεια .
Μια επίθεση κακού κοριτσιού είναι ένας περίπλοκος τύπος επίθεσης που είναι απίθανο να αντιμετωπίσει ο μέσος άνθρωπος. Εκτός αν είστε ένας στόχος υψηλής αξίας που ενδέχεται να είναι ο στόχος των υπηρεσιών πληροφοριών ή της εταιρικής κατασκοπείας, υπάρχουν πολλές άλλες ψηφιακές απειλές που πρέπει να ανησυχείτε, όπως ransomware και άλλες αυτοματοποιημένες επιθέσεις.
