Thursday, October 22, 2009

"Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data" from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Evil Maid


I recently posted "Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data" from Whom?. I wrote:

[P]rivate citizens (and most organizations who are not nation-state actors) do not have a chance to win against a sufficiently motivated and resourced high-end threat.

Joanna Rutkowska provides a great example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary in her post Evil Maid goes after TrueCrypt!, a follow-up to her January post Why do I miss Microsoft BitLocker?

Her post describes how she and Alex Tereshkin implemented a physical attack against laptops with TrueCrypt full disk encryption. They implemented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack (called "Evil Maid") as a bootable USB image that an intruder would use to boot a target laptop. Evil Maid hooks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TrueCrypt function that asks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user for a passphrase on boot, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n stores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passphrase for later physical retrieval.

The scenario is this:

  1. User leaves laptop alone in hotel room.

  2. Attacker enters room, boots laptop with Evil Maid, and compromises TrueCrypt loader. Attacker leaves.

  3. User returns to hotel room, boots laptop, enters TrueCrypt passphrase. Game over.

  4. User leaves laptop alone in hotel room again.

  5. Attacker enters room again, boots laptop with Evil Maid again, and retrieves passphrase.


Joanna recommends implementing a product that supports Trusted Platform Module (TPM), like Microsoft BitLocker. A detection-oriented workaround is to calculate hashes of selected disk sectors and partitions and decide that mismatches indicate an intrusion has occurred. That approach still misses BIOS-based attacks but it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best one can do without TPM support.

11 comments:

Mike Rothman said...

More likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Evil Maid is going to poach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop and sell it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gray market for $50. Security researchers spend a lot of time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se edge cases, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 soft chewy center is still where most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems are.

I'm not saying that understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 soft targets within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 devices and operating systems we use isn't important. But it's a big world out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attack vectors just don't seem very likely to me.

We are better served to fill cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gaping holes before we worry about evil maids.

Mike Rothman
http://blog.securityincite.com
http://blog.eiqnetworks.com

Anonymous said...

Wouldn't this be defeated by using a keyfile? If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyfile is on a usb flash drive that you keep with you, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passphrase alone would do no good.
I haven't used TC's full disk encryption yet. Does it support key files cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way as it does for encrypted volumes?

-oldami

Richard Bejtlich said...

oldami, Joanna's posts and comments address this.

John Ward said...

If i was an intruder with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motivation to bribe maids to let me in to install key stealers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n chances are pretty good that I'm also motivated enough to "brute force" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user as well. broken fingers are an amazing tool in pain compliance. Physical security is always cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weakest link in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chain. It's a cool POC though.

John Ward said...

forgot to mention, if its a girl, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could always use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir feminine wiles to get that password. might have a higher rate of success too.

Anonymous said...

it is pointless to fight against physical attacks, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have physical access to your pc, you will be powned

IBM Laptop Mocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rboards said...

I think this is a clear reason why 1) hotels stress cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not responsible for items left in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rooms, and 2) Why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are increasingly larger safes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rooms now. Call me paranoid, but I am one of those people who hides everything that is of value in an area that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maid has no place being. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I do not even allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maid in unless absolutely necessary. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to guarantee that your belongings are safe.

Richard Bejtlich said...

I hope readers understand that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "maid" isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem here... it's anyone who might enter a room when he or she is not authorized, i.e., someone who really wants to steal your data.

Also, such a party doesn't want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim to know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim has lost his data.

John Ward said...

That depends entirely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. A juicy bit of information used for insider trading might warrant less descretion on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary than a buisiness competitor stealing trade secrets. It also depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences. A state sponsored, forign actor has less to lose than a native employee of a competitor who can face jail time.

I understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point, that Truecrypt lacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate protections against tampering of a host machine to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encrypted data. 0 trust in protecting your data means you might want to consider anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r product or method. My point is that if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 checks suggested, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are still ways to get that password.

Anton Chuvakin said...

Whenever I read smth as fun as this, I always wonder: has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of security really split in two pieces? One piece has to GENUINELY worry about "evil maid-"style attacks while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r has to be told 1000 times to update that anti-virus and deploy that Windows patch from 2007....

This just cannot end well :-(

Sven Türpe said...

The preventive effect of a TPM on evil maid attacks is pretty limited. Even with TPM-supported disk encryption, our evil maid can install a hardware key logger; manipulate boot code and spoof password prompts; and replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire computer with a different machine.