부트 로더를 USB로 이동할 수있는 방법을 찾았습니다. 그런 다음 변경 사항이 있으면 부팅 후 USB의 해시를 확인하는 것에 대해 생각했습니다. 하드 드라이브가 암호화되기 때문에 악의 메이드는 어떤 파일에 해시가 포함되어 있는지 알 수 없습니다. 아니면 해시를 종이에 쓸 수 있습니다.
내가 궁금한 것은 악의 메이드 스크립트를 사용할 수 없다는 것입니다. 부트 로더에서 기본적으로 USB의 변경 사항을 되돌릴 수 있습니까? 따라서 해시는 동일하지만 키로거 스크립트가로드되고 하드 드라이브에 저장 될 수 있습니까? 이것은 아마도 비현실적인 일이지만 여전히 결함이있을 수 있습니다.
항상 USB를 주머니에 넣고 다니는 것 외에 이것을 불가능하게 만드는 방법은 무엇입니까?
업데이트 : SD 카드에 대한 쓰기 방지를 영구적으로 잠글 수있는 도구를 찾았습니다. 작동하지 않으면 테스트하겠습니다. 부트 로더를 넣은 후 SD 카드를 수정하려고합니다.
https://github.com/BertoldVdb/sdtool
댓글
- 언제나 USB를 휴대 할 수 있다면 이것은 정말 나쁜 일이 아닙니다. 상당한 시간 동안 컴퓨터를 방치하는 것이 아이디어 인 가정부 상황.
- xkcd.com/538
- @icarus는 완전히 정확하지 않습니다. 누군가가 USB 스틱 (픽 포켓)에 액세스 할 수 있다면 위험은 여전히 동일합니다. 하드웨어를 조각 (USB 스틱 사용)으로 분해하면 사악한 메이드 공격이 더 까다로워집니다. 하지만 불가능하지는 않습니다.
- @PhilipCouling 소매치기가 USB 스틱에 접근 할 수있는 경우 OP는 포켓 내부에서 공격이 발생하지 않는 한 항상 소지하지 않습니다. 무인 상태가 아닙니다.
- @icarus는 완전히 정확하지 않습니다. USB 스틱이 도난 당하고 반납 되기 때문입니다. 소유자 모르게 기회가 있습니다. " … 실례합니다. 이걸 떨어 뜨 렸습니다 … " . 노트북이있을 수있는 곳에서 공격을 수행하기 위해 해체 할 필요가 없기 때문에 USB를 사용하면 '이 작업이 더 쉽습니다. 우리 중 아주 소수가 항상 주머니에 열쇠를 보관합니다. 우리 중 누구도 연중 무휴 24 시간 의식이 없습니다. 소매치기 / 반품 시나리오는 한 가지 가능한 예이지만 많은 경우가 있습니다.
답변
이블 메이드 공격은 특히 반박하기 어렵다. 그렇기 때문에 물리적 보안은 소프트웨어 보안뿐만 아니라 항상 중요합니다.
가장 극단적 인 시나리오에서는 누군가가 전체 컴퓨터를 복제로 교체하고 실제 컴퓨터에 액세스 할 수있는 충분한 키 입력을 기록 / 전송할 수 있습니다. 이러한 시나리오는 다소 환상적입니다 ( https://www.xkcd.com/538/ ). 가정으로서이를 이해할 가치가 있습니다. 또는 상업용 사용자에게 균형 잡힌 조언을 제공합니다. 일급 비밀 문서를 소지 한 정부 공무원이라면 " 균형 " 조언은 귀하에게 적합하지 않습니다.
위키 백과 정의 : https://en.wikipedia.org/wiki/Evil_maid_attack
사악한 가정부 공격은 무인 장치. 물리적 액세스 권한이있는 공격자가 나중에 액세스 할 수 있도록 감지 할 수없는 방식으로 장치를 변경합니다. 장치 또는 데이터.
이름은 하녀가 호텔 방에 방치 된 장치를 파괴 할 수있는 시나리오를 나타냅니다. 그러나 개념 자체는 장치가 도청되는 상황에도 적용됩니다. 운송 중이거나 공항 또는 법 집행 기관 직원이 일시적으로 가져가는 경우.
어떻게 할 수 있습니까?
첫 번째 방어선은 올바르게 구성하고 TPM 을 설정하는 것입니다. 시스템의 TPM을 올바르게 사용하면 일반적으로 운영 체제를 " 악의 하나. HD 암호화 키는 TPM에 저장되어야하며 TPM은 이러한 키를 신뢰할 수없는 (서명되지 않은) 운영 체제에 공개해서는 안됩니다.
이 작업을 수행하는 방법을 완전히 설명하지 않습니다. 옵션이며 시스템에 대한 조사가 필요할 수 있습니다. 그러나 몇 가지 링크를 살펴 보겠습니다.
TPM이 완전히 안전하지 않은 이유는 무엇입니까?
해결하기 가장 어려운 문제는 누군가가 RAM과 마더 보드 사이에 일부 하드웨어를 설치하고 암호화를 읽을 수 있다는 것입니다. 메모리에서 바로 키.일반적인 공격자가 이런 종류의 기술을 가지고있을 가능성은 낮지 만 “국경을 넘어 정부 비밀을 소지하고 있다면 모든 베팅이 해제됩니다.
하드웨어가 변조되지 않았다고 가정하면 소프트웨어 수정에만 기반한 또 다른 공격 벡터 : 사용자
두 가지 시나리오를 상상해보세요.
시나리오 1
- 노트북을 켰는데 부팅이되지 않는다는 것을 알게되었습니다.
- 조사하고 HD에서 무언가가 손상되었음을 발견했습니다. TPM이 하드 드라이브 암호 해독을위한 키 제공을 거부합니다.
- 백업 암호 해독 암호 를 성실하게 입력합니다.
- TPM을 재설정하고 정상적으로 작동합니다.
시나리오 2
- 사악한 하녀가 여러분의 OS를 사악한 하녀로 대체합니다.
- 찾기 스위치를 켜면 (가짜) 부팅되지 않습니다.
- 조사 결과 TPM이 하드 드라이브 암호 해독을 거부하고 있음을 발견했습니다.
- 백업 복호화 암호를 성실하게 입력합니다.
- TPM을 재설정하고 가짜 OS를 OS로 허용하도록합니다 (죄송합니다).
알림 TPM과 사악한 하녀 공격과의 약한 연결 고리는 당신 입니다. 문제가 발생하면 노트북을 부팅하지 말고 별도의 시스템을 통해 복구하고 무엇이 잘못되었는지 신중하게 조사해야한다는 점을 이해하는 것이 중요합니다.
정말로 이로부터 보호하고 싶은 경우 ( https://www.xkcd.com/538/ 여기서) 다음과 같은 시스템을 고려할 수 있습니다.
- 첫 번째 비밀 암호를 입력합니다.
- 비밀이있는 노트북 응답 첫 번째 암호로만 액세스 할 수 있습니다.
- 두 번째 비밀 암호를 입력합니다.
이 방법으로 만 편안합니다 ( tin foil hat way )는 [두 번째] 암호를 입력하기 전에 컴퓨터가 손상되지 않았 음을 나타냅니다.
여기서 두 번째 암호는 2 단계 인증 .