U heeft uw computer beveiligd met sterke schijfversleuteling en beveiligingssoftware. Het is veilig - zolang u het binnen het gezichtsveld houdt. Maar zodra een aanvaller fysieke toegang tot uw computer heeft, zijn alle weddenschappen uitgeschakeld. Maak kennis met de "evil maid" -aanval.
Wat is een "Evil Maid" -aanval?
Het wordt vaak herhaald in cyberbeveiliging: zodra een aanvaller fysieke toegang heeft tot uw computerapparaat, zijn alle weddenschappen uitgeschakeld. De "evil maid" -aanval is een voorbeeld - en niet alleen een theoretische - van hoe een aanvaller toegang zou kunnen krijgen tot een apparaat zonder toezicht en dit zou kunnen compromitteren. Beschouw de "boze meid" als een spion.
Wanneer mensen voor zaken of plezier reizen, laten ze hun laptop vaak in hotelkamers achter. Nu, wat als er een "slechte meid" aan het werk was in het hotel - een schoonmaakster (of iemand vermomd als schoonmaakster) die, tijdens het normale schoonmaken van de hotelkamer, zijn fysieke toegang tot het apparaat gebruikte om wijzigen en compromitteren?
Dit is waarschijnlijk niet iets waar de gemiddelde persoon zich zorgen over hoeft te maken. Maar het is een zorg voor hoogwaardige doelen, zoals overheidsmedewerkers die internationaal reizen of leidinggevenden die zich zorgen maken over industriële spionage.
Het is niet alleen "Evil Maids"
De term "evil maid" -aanval werd voor het eerst bedacht door computerbeveiligingsonderzoeker Joanna Rutkowska in 2009. Het concept van een "evil" meid met toegang tot een hotelkamer is ontworpen om het probleem te illustreren. Maar een "evil maid" -aanval kan verwijzen naar elke situatie waarin uw apparaat uw gezichtsvermogen verlaat en een aanvaller er fysieke toegang toe heeft. Bijvoorbeeld:
- U bestelt een apparaat online. Tijdens het verzendproces opent iemand met toegang tot het pakket de doos en brengt het apparaat in gevaar.
- Grensagenten aan een internationale grens nemen uw laptop, smartphone of tablet mee naar een andere kamer en brengen deze wat later weer terug.
- Wetshandhavers brengen uw apparaat naar een andere kamer en brengen het later terug.
- U bent een leidinggevende op hoog niveau en u laat uw laptop of ander apparaat achter op een kantoor waar andere mensen mogelijk toegang toe hebben.
- Bij een computerbeveiligingsconferentie laat u uw laptop onbeheerd achter in een hotelkamer.
Er zijn talloze voorbeelden, maar de toetsencombinatie is altijd dat u uw apparaat onbeheerd hebt achtergelaten - buiten uw zicht - waar iemand anders er toegang toe heeft.
Wie moet zich echt zorgen maken?
Laten we hier realistisch zijn: aanvallen van kwade meiden zijn niet zoals veel computerbeveiligingsproblemen. Ze zijn geen probleem voor de gemiddelde persoon.
Ransomware en andere malware verspreiden zich als een lopend vuurtje van apparaat naar apparaat over het netwerk. Een kwaadaardige meidaanval daarentegen vereist dat een echte persoon zijn best doet om uw apparaat specifiek in gevaar te brengen - persoonlijk. Dit is spionnen.
Vanuit een praktisch perspectief zijn aanvallen van kwade dienstmeisjes een punt van zorg voor politici die internationaal reizen, leidinggevenden op hoog niveau, miljardairs, journalisten en andere waardevolle doelwitten.
In 2008 hebben bijvoorbeeld Chinese functionarissen stiekem toegang tot de inhoud van de laptop van een Amerikaanse functionaris tijdens handelsbesprekingen in Peking. De ambtenaar liet zijn laptop onbeheerd achter. Zoals het Associated Press-verhaal uit 2008 het verwoordt: "Sommige voormalige handelsfunctionarissen vertelden de AP dat ze ervoor zorgden om elektronische apparaten te allen tijde bij zich te houden tijdens reizen naar China."
Vanuit een theoretisch perspectief zijn aanvallen van kwade dienstmeisjes een nuttige manier om een geheel nieuwe klasse van aanvallen te bedenken en samen te vatten waartegen beveiligingsprofessionals zich kunnen verdedigen.
met andere woorden: u hoeft zich waarschijnlijk geen zorgen te maken dat iemand uw computerapparatuur in gevaar brengt bij een gerichte aanval wanneer u ze uit uw ogen laat. Iemand als Jeff Bezos hoeft zich hier echter zeker zorgen over te maken.
Hoe werkt een boze meidaanval?
Een kwaadaardige meidaanval is afhankelijk van het wijzigen van een apparaat op een niet-detecteerbare manier. Bij het bedenken van de term, Rutkowska demonstreerde een aanval compromissen sluiten TrueCrypt-systeemschijfversleuteling .
Ze maakte software die op een opstartbare USB-drive kon worden geplaatst. Het enige dat een aanvaller hoeft te doen, is de USB-drive in een uitgeschakelde computer plaatsen, deze inschakelen, opstarten vanaf de USB-drive en ongeveer een minuut wachten. De software zou opstarten en de TrueCrypt-software wijzigen om het wachtwoord op schijf op te slaan.
Het doelwit keerde dan terug naar zijn hotelkamer, zette de laptop aan en voer zijn wachtwoord in. Nu kon de kwade meid terugkeren en de laptop stelen - de gecompromitteerde software zou het decoderingswachtwoord op schijf hebben opgeslagen en de slechte meid had toegang tot de inhoud van de laptop.
Dit voorbeeld, dat het aanpassen van de software van een apparaat laat zien, is slechts één benadering. Een kwaadaardige meid-aanval kan ook inhouden dat je een laptop, desktop of smartphone fysiek opent, de interne hardware aanpast en vervolgens weer sluit.
Kwaadaardige meidaanvallen hoeven niet eens zo ingewikkeld te zijn. Stel dat een schoonmaakster (of iemand die zich voordoet als schoonmaakster) toegang heeft tot het kantoor van een CEO bij een Fortune 500-bedrijf. Ervan uitgaande dat de CEO een desktopcomputer gebruikt, zou de "slechte" schoonmaakster een hardware key logger tussen het toetsenbord en de computer kunnen installeren. Ze konden dan een paar dagen later terugkomen, de hardware key logger pakken en alles zien wat de CEO typte terwijl de key logger was geïnstalleerd en toetsaanslagen registreerde.
Het apparaat zelf hoeft niet eens gecompromitteerd te worden: stel dat een CEO een specifiek model laptop gebruikt en die laptop in een hotelkamer achterlaat. Een boosaardige meid komt binnen in de hotelkamer, vervangt de laptop van de CEO door een laptop die er identiek uitziet met gecompromitteerde software, en vertrekt. Wanneer de CEO de laptop aanzet en zijn versleutelingswachtwoord invoert, belt de gecompromitteerde software naar huis en stuurt het versleutelingswachtwoord naar de boze meid.
Wat het ons leert over computerbeveiliging
Een kwaadaardige meidaanval laat echt zien hoe gevaarlijk fysieke toegang tot uw apparaten is. Als een aanvaller zonder toezicht fysieke toegang heeft tot een apparaat dat u onbeheerd achterlaat, kunt u weinig doen om uzelf te beschermen.
In het geval van de aanvankelijke kwade meid-aanval, toonde Rutkowska aan dat zelfs iemand die de basisregels volgde om schijfversleuteling mogelijk te maken en zijn apparaat uit te schakelen wanneer hij het met rust liet, kwetsbaar was.
Met andere woorden, zodra een aanvaller fysieke toegang tot uw apparaat heeft buiten uw gezichtsvermogen, zijn alle weddenschappen uitgeschakeld.
Hoe kunt u zich beschermen tegen kwaadaardige meidaanvallen?
Zoals we hebben opgemerkt, hoeven de meeste mensen zich echt geen zorgen te maken over dit soort aanvallen.
Om u te beschermen tegen kwaadaardige meidaanvallen, is de meest effectieve oplossing om een apparaat onder toezicht te houden en ervoor te zorgen dat niemand er fysiek toegang toe heeft. Wanneer de leiders van de machtigste landen ter wereld reizen, kun je er zeker van zijn dat ze hun laptops en smartphones niet zonder toezicht laten rondslingeren in hotelkamers waar ze kunnen worden gecompromitteerd door de inlichtingendienst van een ander land.
Een apparaat kan ook in een afgesloten kluis of een ander type lockbox worden geplaatst om ervoor te zorgen dat een aanvaller geen toegang heeft tot het apparaat zelf, hoewel iemand mogelijk het slot kan openen. Terwijl veel hotelkamers bijvoorbeeld ingebouwde kluizen hebben, hotelmedewerkers hebben over het algemeen hoofdsleutels .
Moderne apparaten worden steeds beter bestand tegen sommige soorten kwaadaardige meidaanvallen. Bijvoorbeeld, Secure Boot zorgt ervoor dat apparaten normaal gesproken niet-vertrouwde USB-drives opstarten. Het is echter onmogelijk om je te beschermen tegen elk type kwaadaardige meidaanval.
Een vastberaden aanvaller met fysieke toegang zal een manier kunnen vinden.
Telkens wanneer we schrijven over computerbeveiliging, vinden we het nuttig om opnieuw te bezoeken een klassieke xkcd-strip over beveiliging .
Een kwaadaardige meidaanval is een geavanceerd type aanval waar de gemiddelde persoon waarschijnlijk niet mee te maken krijgt. Tenzij u een waardevol doelwit bent dat waarschijnlijk het doelwit is van inlichtingendiensten of bedrijfsspionage, zijn er tal van andere digitale bedreigingen waar u zich zorgen over moet maken, waaronder ransomware en andere geautomatiseerde aanvallen.
