如何抵禦”邪惡女僕”攻擊
保護辦公電腦不受未授權物理訪問的侵擾。
“邪惡女僕”(evil-maid)攻擊是一種最原始的計算設備攻擊,但它也是最讓人厭惡的攻擊之一。”邪惡女僕”主要攻擊無人看管的設備,試圖竊取機密訊息、安裝間諜軟體或遠程訪問工具,從而獲得企業網路的訪問權限。本文探討如何有效抵禦這種入侵。
經典案例
2007年12月,美國商務部代表團前往北京進行有關聯合打擊盜版戰略的討論。然而有傳言稱,在返回美國的過程中,商務部長發現筆記本電腦感染了間諜軟體,而安裝這種軟體需要具有電腦的物理訪問權限。商務部長表示,在談判期間,他一直都隨身攜帶這台電腦,並且只有在下樓就餐時才將它放在酒店房間的保險箱中。
從理論上講,專業黑客可以在3-4分鐘內入侵電腦,但這往往發生在電腦無人看管且未被鎖定(或未使用密碼保護)的場景。即使採取了基本的安全措施,邪惡女僕攻擊還是有成功的可能性。
攻擊者如何獲取訊息
有很多獲取關鍵訊息的方法,它們的效果取決於電腦及其安全軟體的使用年限。例如,不支持安全引導的老式電腦可從通過外部驅動器啟動,因此它們無法抵禦邪惡女僕攻擊,而現代PC往往會默認啟用安全引導。
支持數據快速交換或與設備內存直接交互的通訊端口可以被用作提取個人或公司機密的快速管道。例如,雷電接口(Thunderbolt)通過直接訪問內存來實現其高速數據傳輸,這同時也為邪惡女僕攻擊敞開了大門。
電腦安全專家比約恩·魯伊滕貝格(BjörnRuytenberg)去年分享了他發現的一種用於入侵任何配備了雷電接口的Windows或Linux電腦的方法,甚至包括那些被鎖定並且默認禁止和陌生設備通過外部端口連接的電腦。魯伊滕貝格的方法被稱為Thunderspy,這種方法假設攻擊者俱有電腦的物理訪問權限,並且需要重新編寫控制器韌體。
Thunderspy需要攻擊者使用他們的韌體版本對雷電接口芯片進行重新編程。新韌體將停止內置保護機制,因此攻擊者將完全控制設備。
內核直接內存訪問保護策略理論上修補了這個漏洞,但並非所有人都使用它(Windows 10之前的版本無法使用)。然而英特爾之前宣布了針對該問題的解決方案:雷電接口4。
傳統USB也是攻擊管道之一,用於攻擊的小型設備被插入USB接口,它會在用戶開機時被啟動並發動BadUSB攻擊。
如果攻擊者的目標是特別有價值的訊息,那麼網路犯罪分子甚至可能會冒險嘗試高成本的方法——竊取電腦並用包含間諜軟體的類似設備將其替換。當然,這很快會露出馬腳,但是在此之前受害者很可能已經輸入了密碼。幸運的是,正如我們所說,這種攻擊方式難度和成本都很高。
如何使風險降到最低
防範邪惡女僕攻擊的最簡單可靠的方法,是將設備放在只有自己可以訪問的地方。如果可以的話,請不要將其留在酒店房間中。如果企業的關鍵職員必須攜帶筆記本電腦出差,可以採取以下步驟來降低風險:
- 使用無法訪問重要企業系統或者工作數據的臨時筆記本電腦,在每次出差結束後格式化硬碟並重新安裝操作系統;
- 要求員工在無法攜帶工作電腦時將電腦關閉;
- 對任何需要帶出辦公室的的電腦硬碟進行加密;
- 使用可以阻攔可疑流量外流的安全解決方案;
- 確保你的安全解決方案可以檢測出BadUSB的攻擊(卡巴斯基中小企業網路解決方案可以做到這點);
- 養成及時更新所有軟體尤其是操作系統的習慣;
- 限制通過火線、雷電接口、PCI接口和PCI express接口對電腦內存的直接訪問權限。
資料來源: https://www.kaspersky.com/blog/evil-maid-attack/37901/