I recently posted "Protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Data" from Whom?. I wrote:
[P]rivate citizens (and most organizations who are not nation-state actors) do not have a chance to win against a sufficiently motivated and resourced high-end threat.
Joanna Rutkowska provides a great example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of knowing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary in her post Evil Maid goes after TrueCrypt!, a follow-up to her January post Why do I miss Microsoft BitLocker?
Her post describes how she and Alex Tereshkin implemented a physical attack against laptops with TrueCrypt full disk encryption. They implemented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack (called "Evil Maid") as a bootable USB image that an intruder would use to boot a target laptop. Evil Maid hooks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TrueCrypt function that asks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user for a passphrase on boot, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n stores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passphrase for later physical retrieval.
The scenario is this:
- User leaves laptop alone in hotel room.
- Attacker enters room, boots laptop with Evil Maid, and compromises TrueCrypt loader. Attacker leaves.
- User returns to hotel room, boots laptop, enters TrueCrypt passphrase. Game over.
- User leaves laptop alone in hotel room again.
- Attacker enters room again, boots laptop with Evil Maid again, and retrieves passphrase.
Joanna recommends implementing a product that supports Trusted Platform Module (TPM), like Microsoft BitLocker. A detection-oriented workaround is to calculate hashes of selected disk sectors and partitions and decide that mismatches indicate an intrusion has occurred. That approach still misses BIOS-based attacks but it's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best one can do without TPM support.
11 comments:
More likely cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Evil Maid is going to poach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laptop and sell it on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gray market for $50. Security researchers spend a lot of time on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se edge cases, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 soft chewy center is still where most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems are.
I'm not saying that understanding cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 soft targets within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 devices and operating systems we use isn't important. But it's a big world out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attack vectors just don't seem very likely to me.
We are better served to fill cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gaping holes before we worry about evil maids.
Mike Rothman
http://blog.securityincite.com
http://blog.eiqnetworks.com
Wouldn't this be defeated by using a keyfile? If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 keyfile is on a usb flash drive that you keep with you, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 passphrase alone would do no good.
I haven't used TC's full disk encryption yet. Does it support key files cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way as it does for encrypted volumes?
-oldami
oldami, Joanna's posts and comments address this.
If i was an intruder with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motivation to bribe maids to let me in to install key stealers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n chances are pretty good that I'm also motivated enough to "brute force" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user as well. broken fingers are an amazing tool in pain compliance. Physical security is always cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 weakest link in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chain. It's a cool POC though.
forgot to mention, if its a girl, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could always use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir feminine wiles to get that password. might have a higher rate of success too.
it is pointless to fight against physical attacks, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have physical access to your pc, you will be powned
I think this is a clear reason why 1) hotels stress cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not responsible for items left in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rooms, and 2) Why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are increasingly larger safes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rooms now. Call me paranoid, but I am one of those people who hides everything that is of value in an area that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maid has no place being. Most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time I do not even allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 maid in unless absolutely necessary. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only way to guarantee that your belongings are safe.
I hope readers understand that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "maid" isn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem here... it's anyone who might enter a room when he or she is not authorized, i.e., someone who really wants to steal your data.
Also, such a party doesn't want cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim to know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim has lost his data.
That depends entirely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scenario and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data. A juicy bit of information used for insider trading might warrant less descretion on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary than a buisiness competitor stealing trade secrets. It also depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 consequences. A state sponsored, forign actor has less to lose than a native employee of a competitor who can face jail time.
I understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point, that Truecrypt lacks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate protections against tampering of a host machine to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encrypted data. 0 trust in protecting your data means you might want to consider anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r product or method. My point is that if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y did implement cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 checks suggested, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are still ways to get that password.
Whenever I read smth as fun as this, I always wonder: has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world of security really split in two pieces? One piece has to GENUINELY worry about "evil maid-"style attacks while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r has to be told 1000 times to update that anti-virus and deploy that Windows patch from 2007....
This just cannot end well :-(
The preventive effect of a TPM on evil maid attacks is pretty limited. Even with TPM-supported disk encryption, our evil maid can install a hardware key logger; manipulate boot code and spoof password prompts; and replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire computer with a different machine.
Post a Comment