it-swarm.com.de

Was genau ist ein böser Dienstmädchenangriff?

Heute habe ich nach dem Booten meines PCs die folgende Nachricht erhalten:

(enter image description here

Was genau ist ein "Evil Maid" - Angriff? Was sind mögliche Wege, um davon angegriffen zu werden? Was bedeutet es in diesem Fall, dass meine Festplatte "manipuliert" wurde?

8
Artery

"Evil Maid" -Angriffe können alles sein, was einem Computer über physischen Zugriff zugefügt wird, während er ausgeschaltet ist, obwohl er verschlüsselt ist. Der Name stammt von der Idee, dass ein Angreifer das Reinigungspersonal überall dort infiltrieren oder auszahlen könnte, wo Sie sich aufhalten, um Ihren Laptop während Ihrer Abwesenheit zu gefährden.

Bei einem verschlüsselten Gerät sind die wahrscheinlichsten bösen Dienstmädchenangriffe eine Art Keylogger, entweder physisch oder per Software. Physische Logger sind in der Software so gut wie unmöglich zu erkennen, können jedoch durch physische Untersuchung ermittelt werden (obwohl dies je nach verfügbarem Speicherplatz in einem Laptop und der einfachen Trennung der Tastatur möglicherweise so erfolgt, wie Sie es nicht tun würden). t sehen, ohne es selbst wieder zu zerlegen ...). Software-Keylogger sind jedoch eine große Bedrohung.

Der VeraCrypt-Bootloader (der Ihr Kennwort verwendet und das verschlüsselte Volume oder zumindest den nächsten zum Booten erforderlichen Teil entschlüsselt) muss selbst entschlüsselt werden. Wenn er verschlüsselt wäre, könnte er nicht ausgeführt werden, ohne dass etwas anderes entschlüsselt werden muss it = - Es ist also ein Hauptziel für einen Ort, an dem ein Software-Keylogger platziert werden kann. Nehmen Sie eine verschlüsselte Festplatte, schließen Sie sie an einen anderen Computer an, ersetzen Sie den VeraCrypt-Bootloader durch einen kompromittierten, der das Kennwort heimlich speichert, und legen Sie es wieder in den Computer des Opfers ein. Wenn das Opfer das nächste Mal den Computer startet, wird sein Festplattenkennwort zum späteren Abrufen protokolliert. VeraCrypt versucht dies zu erkennen, indem ein kryptografischer Fingerabdruck des Bootloaders berechnet wird, um festzustellen, ob er manipuliert wurde. Ein erfahrener Angreifer könnte dies jedoch ebenfalls verhindern, es sei denn, der Computer verwendet ein TPM oder ähnliches, das den Bootloader anhand eines Schlüssels überprüft, den der Angreifer kann nicht überschreiben.

Es sieht also so aus, als ob die Überprüfung des Bootloaders fehlgeschlagen ist. Aus diesem Grund fordert VeraCrypt Sie auf, Ihr Festplattenkennwort sofort zu ändern. Der Angreifer kann das Passwort wahrscheinlich nicht stehlen während Sie es eingeben - es wäre stattdessen ein mehrstufiger Angriff, bei dem zuerst der Bootloader kompromittiert und das Passwort später abgerufen wird, nachdem Sie die Möglichkeit hatten, es einzugeben es - aber wenn sie nach dem einmaligen Entsperren, aber bevor Sie das Passwort ändern, wieder auf den Computer gelangen, können sie dieses Passwort (und alle Daten auf der Festplatte) stehlen.

Natürlich ist es möglich, dass etwas völlig Unschädliches passiert ist und es keinen Angreifer gibt. Alles, was mit Festplatten auf niedriger Ebene zu tun hat, wie Partitionierungstools, Sicherungs-/Wiederherstellungstools, Betriebssysteminstallationsprogramme/-aktualisierer oder einige andere Dinge, kann möglicherweise den Fingerabdruck des Bootloaders ungültig machen, ohne tatsächlich etwas Bösartiges zu tun. Das Ändern des Passworts ist wahrscheinlich trotzdem eine gute Idee ... wann haben Sie das das letzte Mal gemacht?

13
CBHacking