it-swarm.com.de

Was sind die potenziellen Risiken, wenn ein Gerät öffentlich, aber gesperrt bleibt?

Angenommen, Sie befinden sich in einem öffentlichen Café oder einer Konferenz, in der Sie darauf vertrauen, dass Ihr Gerät nicht gestohlen wird, wenn Sie 5 Minuten auf die Toilette gehen, aber Sie vertrauen nicht darauf, dass es möglicherweise nicht manipuliert wird.

Was sind die potenziellen Sicherheitsrisiken, denen ich hier begegnen könnte, vorausgesetzt, ich sperre/melde die Benutzersitzung meines Laptops (Windows/Mac/Linux) ab und schalte sie möglicherweise sogar aus?

41
Zee

Alles

Ich beziehe mich auf die 10 unveränderlichen Sicherheitsgesetze, insbesondere # :

Wenn ein Bösewicht uneingeschränkten physischen Zugriff auf Ihren Computer hat, ist dies nicht mehr Ihr Computer

Natürlich ist ein Computer, der 5 Minuten lang unbeaufsichtigt in einem Café sitzt, nicht als anfällig wie ein Computer, der ein Jahr bei NSA Hauptsitz, aber Sie wären überrascht, wie schnell jemand mit physischem Zugang Probleme verursachen kann.

Dies ist ein bisschen weit gefasst und ich möchte ein Buch für eine Antwort vermeiden, daher werde ich mich nur auf eine Klasse von Angriffen konzentrieren, für die die meisten Consumer-Laptops anfällig sind: USB-basierte Angriffe. USB macht Spaß, da ein USB-Anschluss für fast alles verwendet werden kann. Dies hat zu der klassischen Form eines bösen Dienstmädchenangriffs geführt, bei dem ein Angreifer einfach ein Gerät an Ihren USB-Anschluss anschließt, dem Ihr Computer sofort gehört. Dies kann eine Reihe von Formen annehmen, aber ich werde nur einige auflisten:

  1. Das USB-Gerät gibt vor, eine Tastatur zu sein, und versucht, Befehle in Ihr Gerät einzufügen (möglicherweise beginnend mit einer Bruteforce Ihres Sperrbildschirms).
  2. Das USB-Gerät gibt vor, ein Netzwerkadapter mit hoher Priorität zu sein, der langlebige DNS-Regeln in Ihr Netzwerk-Setup einfügt und effektiv einen permanenten MitM-Angriff auf Zielwebsites für Ihren Computer implementiert (aufgrund der Funktionsweise von Netzwerkgeräten ist dies normalerweise auch bei gesperrten Geräten möglich Computers)
  3. Das USB-Gerät lädt eine Reihe von Kondensatoren von Ihrem Netzteil auf und sendet dann eine Hochspannungsladung zurück, brät sofort Ihren gesamten Laptop .

Hier ist eine längere Liste, aber da dies eine ganze Klasse von Angriffsoptionen ist, werden sich die Optionen ändern und Google ist hier die beste Wahl. Bei vielen dieser Angriffe muss ein Gerät nur Sekunden lang angeschlossen sein. Sie können Ihren Computer vollständig kompromittiert oder einfach tot lassen (auch bekannt als das effektivste DoS). Ist das wahrscheinlich? Wahrscheinlich nicht. Ist es aber möglich? Absolut, mit wenig Aufwand, solange jemand mit einem Gerät in der Tasche herumläuft.

60
Conor Mancone

Die beiden bisherigen Antworten konzentrierten sich auf das Einstecken eines USB-Geräts in den Laptop. Ich würde mir mehr Gedanken darüber machen, eine PCI (e), einen Firewire oder ein ähnliches Gerät mit direktem Buszugriff in einen Erweiterungssteckplatz des Laptops einzufügen. Während USB keinen direkten Zugriff auf den Speicher hat, können verschiedene Erweiterungskarten direkt in den Speicher lesen/schreiben, ohne die CPU zu durchlaufen. Weitere Informationen erhalten Sie unter Wikipedia

Das bedeutet, dass jemand den gesamten Inhalt Ihres Speichers direkt lesen und schreiben kann, indem er eine nicht autorisierte Erweiterungskarte in Ihren Computer einlegt.

Ich möchte hinzufügen, dass dies relativ unwahrscheinlich ist, es sei denn, Sie werden von einem Geheimdienst oder von hoch organisierten Kriminellen angegriffen, die Sie persönlich verfolgen. Ich weiß nicht, dass eine solche Hardware im Handel erhältlich ist.

14
Steve Sether

Die meisten Laptops bieten die Möglichkeit, von einem USB-Laufwerk zu booten. Wenn dies auf BIOS-Ebene nicht blockiert ist, kann ein Angreifer auf seiner Systemfestplatte booten und dann Ihre physischen Festplatten bereitstellen und tun, was er will (Lesen/Schreiben). Dies ist die Standardmethode zum (Neu-) Installieren eines Systems.

11
Serge Ballesta

Ich habe ein einfacheres Risiko: Social Engineering. Viel einfacher, wenn der Angreifer die Asset-Nummer (siehe Rückseite des Laptops), die Telefonnummer des Supports und den auf dem gesperrten Bildschirm sichtbaren Anmeldenamen notieren und möglicherweise das Unternehmen kennen kann. Der Computername (falls auf einem Asset-Tag angegeben) kann auch für spätere Unfug hilfreich sein, z. B. das Fälschen einer ID im Unternehmensnetzwerk, eine glaubwürdige Tarnung bei MITM und andere lustige Dinge.

9
Sascha

Die Antwort ist eigentlich alles zwischen „nichts“ und „irgendetwas“ und hängt stark vom Gerät und dem Szenario ab, über das Sie sprechen.

Die wahrscheinlichsten Szenarien wären:

  • Nichts ist passiert
  • Diebstahl [1]
  • Ein gezielter Angriff mit spezieller Hardware

Im Folgenden wird davon ausgegangen, dass der Angreifer Sie bei der Eingabe Ihres Passcodes nicht beobachtet hat. Dies ist ebenfalls ein realistisches Szenario.

Die hier erwähnten USB-Angriffe sind hauptsächlich gegen entsperrte Geräte wirksam. Während der Angreifer möglicherweise etwas an den USB-Anschluss angeschlossen lässt, besteht eine hohe Wahrscheinlichkeit, dass Sie es vor dem Entsperren entdecken.

Der Angreifer könnte Ihr Gerät auf andere Weise „abhören“, dies müsste jedoch auf eine Weise geschehen, die Sie bei Ihrer Rückkehr nicht entdecken. Dies ist in 5 Minuten sehr schwierig und erfordert eine Vorplanung.

Jemand, der hinter Ihren Daten her ist, könnte natürlich einfach das Gerät stehlen, was vermutlich unbeaufsichtigt ist. Dann können sie mehr Zeit und Mühe für den Versuch aufwenden. obwohl Sie offensichtlich bemerken würden, dass es gegangen ist.

Wenn das Gerät ausgeschaltet und verschlüsselt ist, besteht die einzige Möglichkeit, Zugriff zu erhalten, in einem Wörterbuch oder einem Brute-Force-Angriff auf Ihren Passcode. Alles würde von der Sicherheit abhängen.

Wenn das Gerät verschlüsselt und eingeschaltet ist, wird die Verschlüsselung entsperrt. Der Angreifer kann möglicherweise Daten aus dem laufenden System extrahieren. Dies erfordert möglicherweise benutzerdefinierte Hardware, und die Schwierigkeit hängt vom Gerätetyp ab.

Wenn das Gerät nicht verschlüsselt ist, ist das Lesen der Daten trivial.

Die Wahrscheinlichkeit, dass ein zufälliger Fremder einfach vorbeikommt und ein verschlüsseltes, gesperrtes Gerät hackt, ist gering - es sei denn, Sie nehmen an einer Sicherheitskonferenz teil.

Wenn Sie sich Sorgen machen müssen, dass Sie gezielt angegriffen werden, besteht möglicherweise eine glaubwürdige Bedrohung.

Wenn Sie sich jedoch gegen einen gezielten Angriff verteidigen, ist es zu eng, nur an das Gerät selbst zu denken: Der Angreifer könnte auch versuchen, einen tatsächlichen Fehler in Ihre Tasche oder Jacke zu stecken. Oder versuchen Sie, ein USB-Gerät in Ihre Konferenztasche zu stecken, das wie Swag aussieht, in der Hoffnung, dass Sie es selbst anschließen. Oder versuchen Sie, Ihren Passcode zu filmen oder zu beobachten, wenn Sie zurückkommen, um sich auf einen späteren Angriff vorzubereiten.

Gegen einen gezielten Angreifer ist „Gerät nach Toilettenpause nicht kompromittiert“ nicht gleich „sicher“.

Der wahrscheinlichste „Angriff“ ist immer noch Diebstahl - auch wenn nur, um das Ding zu verkaufen. Oder wenn sie die Maschine zerstören wollen, können sie auch einfach Kaffee darüber verschütten und fertig sein.

[1] Mir ist der Teil aufgefallen, in dem steht, dass Sie darauf vertrauen, dass es nicht gestohlen wird, obwohl es schwer vorstellbar ist, dass das Gerät so überwacht wird, dass es nicht gestohlen wird und dennoch Manipulationen unbemerkt bleiben. Viele oder die meisten der hier genannten Techniken (einschließlich Neustart und Aufrufen des BIOS) sind in erster Linie auffälliger als Diebstahl.

5
averell

Links ausgeschaltet: Varianten des "bösen Dienstmädchenangriffs" (Kompromittierung Ihres Bootloaders, um Ihr Verschlüsselungskennwort zu erhalten). Oder wenn nicht verschlüsselt - einfach von einem externen Medium booten und alles Interessante im Dateisystem abrufen und/oder Rootkit installieren. Das Öffnen und Anschließen Ihres Speichers an einer anderen Stelle ist ebenfalls eine Option.

Links eingeschaltet und verriegelt:

(1) Schalten Sie es aus und sehen Sie oben (Sie werden es bemerken, aber es kann spät sein).

(2) ohne auszuschalten: Nutzen Sie eine Sicherheitsanfälligkeit für externe Gerätetreiber mit einem bösen Gerät (USB, eSATA, FireWire, Mini-PCIx, NFC, CCID, Datenschnittstelle für die Stromversorgung usw.) und erlangen Sie eine teilweise oder vollständige Kontrolle. Ja, es gibt defekte Treiber, und die meisten modernen Betriebssysteme in ihren Standard-Setups laden sie problemlos, wenn die richtigen Geräte-IDs über die Schnittstelle angezeigt werden. Neben defekten Gerätetreibern gibt es auch defekte Anwendungsstapel (Netzwerk, HID, pkcs11, was auch immer)

(3) Denial-of-Service: Versuchen Sie einige falsche Passwörter und sperren Sie Ihr Konto (nicht jedes Betriebssystem meldet, dass Ihr Konto gesperrt ist).

(4) Fernangriffe gegen Bluetooth, Wifi, NFC, IR usw. - einige von ihnen erfordern sichtbare Geräte in physischer Nähe.

(5) Sammeln von physischen Fingerabdrücken von Ihrer Tastatur zur späteren Verwendung auf einem Fingerabdruck-fähigen Telefon oder dem Laptop selbst.

(6) Installieren der Spionagehardware in Ihrem Computer (z. B. Ersetzen Ihrer externen oder austauschbaren Batterie, Maus, Power Brick oder etwas anderem mit ähnlichem Aussehen und zellaktiviertem Tracker und/oder Mikrofon)

Die Liste kann wirklich weiter und weiter gehen. Einige dieser Angriffe sind komplex und/oder zielgerichtet, aber ziemlich machbar.

4
fraxinus

Hier ist ein bestimmtes Szenario. Sie haben ein ThinkPad und wie die meisten ThinkPad-Besitzer haben Sie noch nie ein Supervisor-BIOS-Passwort festgelegt.

Beachten Sie, dass ein ThinkPad-BIOS zusätzlich zu den Festplattenkennwörtern zwei verschiedene Kennwörter enthält. Es gibt ein Supervisor-Passwort und ein Power-On-Passwort .

Mit dem Einschaltkennwort können Sie den Computer starten. Dieses Passwort kann leicht zurückgesetzt werden. Im Hardware-Wartungshandbuch für viele ThinkPads ist das Verfahren zum Zurücksetzen aufgeführt. Es ist oft so einfach wie das Entfernen der Hauptbatterie und der CMOS Batterie).

Das Supervisor-Passwort ist erforderlich, um die BIOS-Einstellungen zu ändern. Dieses Passwort ist viel schwerer zurückzusetzen. Die offizielle Methode besteht darin, die Systemplatine auszutauschen. Die inoffizielle Methode beinhaltet das Abrufen eines SPI Flash-Programmierers), das Erfassen einer Kopie des aktuellen BIOS und das Senden an eine Firma in Rumänien, die das BIOS patchen wird für Sie und dann das gepatchte BIOS auf Ihrem Computer flashen.

Da Sie kein Supervisor-Passwort festgelegt haben, kann jeder Ihren Computer im BIOS starten und ein neues Supervisor-Passwort festlegen , nachdem Sie Ihre BIOS-Einstellungen durcheinander gebracht haben. Dies würde nur ein oder zwei Minuten dauern und Ihnen einen nicht bootfähigen Computer und keine schnelle und einfache Möglichkeit zur Wiederherstellung bieten.

Natürlich ist die schlechte Person so nachdenklich, dass sie Ihnen eine Haftnotiz hinterlässt, um Ihnen die Mühe zu ersparen, das oben beschriebene Verfahren durchzuführen. Sie geben Ihnen das neue Supervisor-Passwort als Gegenleistung für eine Bitcoin-Zahlung.

4
Michael Geary

Diese Antwort deckt ein Nicht-Datensicherheitsrisiko ab, das möglicherweise ebenfalls in Betracht gezogen werden sollte:

Worst case "für ein System mit JEDEM Hardware-Port - vollständige interne Zerstörung in Sekunden.

"USB-Killer" wurden erwähnt - und von einer Reihe von Personen als nicht anders als andere physisch zerstörerische Angriffe abgetan.
Dieser Vergleich ist falsch.

Ein "USB-Killer" ist ein (normalerweise) Gerät in USB-Speicherstickgröße, das an einen USB-Anschluss angeschlossen wird
( oder ein anderer Port, falls dies vorgesehen ist ) und liefert einen Hochenergie- und/oder Hochspannungsimpuls in den Port mit dem entworfenen Ziel von so viel wie möglich vom System zerstören.
Während USB-Killer von einigen Quellen als ESD Testgeräte) angeboten oder beworben werden und um zu demonstrieren, ob die USB-Ports eine "ESD-Schwachstelle" aufweisen (einige Tests), ist dies wahrscheinlich nicht der Fall Grund dafür, dass das Cool-Kid einen an Ihren Computer anschließt, während Sie abwesend sind. Einige Websites schlagen vor, dass durch ein ordnungsgemäßes Design Schäden durch solche Geräte vermieden werden. Ich habe einen Master in Elektrotechnik und 50 Jahre Erfahrung. Sollte ich es wünschen (was ich möchte) sicherlich nicht) Ich könnte ein Gerät herstellen, das alle außer Systemen besiegt, die ausdrücklich zum Schutz vor außergewöhnlichen Hochenergie-Hochspannungsangriffen entwickelt wurden. Opto oder andere Koppler, Isolation, hochenergetische Klemmen, ....

Diese Geräte existieren wirklich.
Sie sind einfach zu bauen und einfach zu bedienen. Sie werden häufig zum Laden über den USB-Anschluss entwickelt, können jedoch vorgeladen werden. Ein Gerät, das z. B. "Superkondensatoren" verwendet, kann in Sekundenbruchteilen einen Impuls abgeben, der über genügend Energie verfügt, um einen Großteil des Systems erheblich zu beschädigen.
Wenn jemand scharf genug wäre (und einige vielleicht auch), könnte eine verdrahtete Kondensatorbank verwendet werden, um viel mehr Energie zu liefern. Der Draht kann über einen Ärmel und über die Handfläche zum "Kopf" verlaufen. Ein Gerät mit minimalem Risiko für den Benutzer könnte leicht hergestellt werden.

Es gibt Leute, die es für "cool" halten, solche Geräte zu verwenden.
Auch Personen, die Ihr Eigentum möglicherweise mit Axtangriff, Verbrennung, Verteidigung, Schrotflinte, Wüstenadler oder anderen "geeigneten Mitteln" beschädigen möchten.

Von all diesen * ist der USB-Killer-Angriff jedoch (normalerweise) leise, schnell, unauffällig und tödlich. Es kann in Sekundenschnelle vollständig verdeckt implementiert werden. ->
Setzen Sie sich an einen Tisch gegenüber oder in die Nähe eines Laptops.
Schieben Sie die Hand mit dem USB-Killer in den nächsten USB-Anschluss.
Zyklus.
Verlassen.
Das Gerät kann vorgeladen werden, sodass die Eintötungszeit vom Einsetzen bis zum Entfernen weniger als eine Sekunde beträgt.


* Der Wüstenadler oder die Schrotflinte können schnell und tödlich sein.
Schweigen ist auch kein bekanntes Merkmal.

1
Russell McMahon