image

USB-stick steelt TrueCrypt wachtwoorden

maandag 19 oktober 2009, 11:44 door Redactie, 23 reacties

De Poolse rootkit-expert Joanna Rutkowska heeft een tool ontwikkeld waarmee het kinderspel wordt om de wachtwoorden van met TrueCrypt versleutelde systemen te stelen. De tool draait vanaf een USB-stick en zou op 'plug & play' wijze zijn te gebruiken. "Het hele infectie proces duurt ongeveer één minuut en is ideaal voor kamermeisjes in een hotel", aldus Rutkowska. De "Evil Maid" aanval is het bewijs dat zelfs het volledig uitschakelen van de laptop om zo FireWire en 'Coldboot' aanvallen te voorkomen, geen volledige bescherming biedt tegen iemand die fysieke toegang tot de machine heeft.

In het scenario van de Poolse installeert een aanvaller via de USB-stick de Evil Maid Sniffer, die het encryptie wachtwoord of passphrase opslaat. "Zoals elke slimme gebruiker begrijpt, is dit gedeelte ideaal om door een kamermeisje, of iemand die zich er als één voordoet, te laten uitvoeren." In de huidige situatie moet het kamermeisje nog een keer terug om het opgeslagen wachtwoord op te halen, maar in de toekomst kan dit zelfs via het netwerk worden verstuurd.

Trusted Platform Module
De tool en bijbehorende uitleg zijn via deze pagina te downloaden. Rutkowska waarschuwt dat het waarschijnlijk strafbaar is om met Evil Maid de wachtwoorden van andere mensen zonder hun toestemming te stelen. "Je moet altijd toestemming van andere mensen vragen voordat je Evil Maid op hun laptop uitprobeert." De Poolse hoopt dat de ontwikkelaars van TrueCrypt de Trusted Platform Module gaan ondersteunen. Vista's BitLocker ondersteunt dat wel. Een aanvaller zou echter via een variant van de Evil Maid aanval, ook Microsoft's encryptie oplossing weten te omzeilen.

BIOS-wachtwoord
Als tijdelijke oplossing gebruikt Rutkowska het programma Disk Hasher, een bootable Linux USB-stick die de hashes van bepaalde schijfsectoren en partities berekent. De juiste waarden worden op de stick opgeslagen en vervolgens vergeleken. Ook dit is geen waterdichte oplossing, omdat iemand deze stick kan bemachtigen en vervalsen.

Gebruikers die standaard niet vanaf USB-starten en hun BIOS met een wachtwoord hebben beveiligd, lopen ook risico. Een aanvaller kan nog steeds de harde schijf uit de laptop halen en in een harde schijf enclosure stoppen, de sniffer aanbrengen en vervolgens weer terugplaatsen. Dit verhoogt de benodigde tijd met 5 tot 15 minuten. "Een kamermeisje moet in dit geval wel haar eigen laptop met zich meedragen." De ingebouwde harde schijf encryptie van sommige laptops heeft de onderzoekster niet onderzocht. De reden dat Rutkowska voor TrueCrypt koos, is omdat ze het een fantastisch product vindt. "We gebruiken het vaak in ons laboratorium en we zien graag dat het een betere bescherming tegen dit soort aanvallen krijgt."

Reacties (23)
19-10-2009, 11:54 door Thasaidon
Ja leuk...
maar met fysieke toegang tot een systeem en wat tijd is (bijna) alles mogelijk... Dus waar hebben we het nou over?
19-10-2009, 12:23 door SirDice
Door Thasaidon: Ja leuk...
maar met fysieke toegang tot een systeem en wat tijd is (bijna) alles mogelijk... Dus waar hebben we het nou over?
Toch is het belangrijk om te beseffen dat dit soort dingen dus mogelijk zijn.
19-10-2009, 12:31 door Thasaidon
Door SirDice: Toch is het belangrijk om te beseffen dat dit soort dingen dus mogelijk zijn.
Ja dat klopt, maar daarom zeg ik ook... "met toegang en tijd" is alles mogelijk.
Ik vind namelijk dat ze in dit voorbeeld wel erg van "het gunstigste scenario" uit gaan vwbt de "Evil Maid".
19-10-2009, 12:38 door [Account Verwijderd]
[Verwijderd]
19-10-2009, 12:42 door Anoniem
Als je paranoid bent zul je ook vast wel het booten van USB/CD-ROM hebben uitgezet en je BIOS van een paswoord hebben voorzien oid. Of is dit te simpel gedacht?
19-10-2009, 13:26 door Anoniem
Bedankt voor het plaatsen van deze info incl.links.....

misschien punt 2 van jullie doelgroep aanpassen? en daar ook scriptkiddies en en wannbee hackers bijzetten.

http://www.security.nl/page/1/Over_ons.html

p.s.plaatsen jullie ook even de oplossing??
c.q. pc in gat van min. 6 meter diep storten met cement..wel eerst even moederbord en hd kapot slaan s.v.p.
19-10-2009, 13:58 door Mazzaroth
Wat heeft "het kamermeisje" in vredesnaam aan het wachtwoord van de met truecrypt versleutelde laptop... En dan nog, hoeveel "kamermeisjes" zullen er zijn die zich met dit soort dingen bezighouden -.-
19-10-2009, 14:19 door Anoniem
"Rutkowska waarschuwt dat het waarschijnlijk strafbaar is om met Evil Maid de wachtwoorden van andere mensen zonder hun toestemming te stelen." Nou dat weet ik wel zeker. En wat doet security.nl? Die laat vrolijk zien waar je dat alles kunt vinden. Dus werkt de redactie hier mee aan strafbare feiten. En dan maar kankeren op de onveiligheid van Windows. Lekker hypocriet.
19-10-2009, 14:47 door Bitwiper
Door Peter V: Luister eens mensen, en luister eens goed: er is altijd wel ergens in te breken.
Het ontgaat me volledig wat we aan zo'n opmerking hebben. Wil je daarmee suggereren dat het zinloos is om überhaupt iets te beveiligen?

Ik ben het volledig eens met SirDice. Gewoon de best mogelijke beveiliging kiezen, maar je wel bewust zijn van de risico's. Zomaar wat gedachten:

- zo'n USB stick zou ook in een USB muis kunnen worden ingebouwd (als je weet welk model iemand heeft, zou je deze snel kunnen vervangen)

- het vervangen van een harddisk door een geprepareerd exemplaar is ook denkbaar. Deze kan hetzelfde startupscherm van de beveiligingssoftware laten zien, waarop je jouw wachtwoord invoert. Als het dan vervolgens net doet of je OS aan het opstarten is, ondertussen via het netwerk je wachtwoord verstuurt, en daarna "Error reading drive C:" meldt om zichzelf verolgens unbootable te maken, is de kans groot dat de eigenaar niet meteen zal doorhebben dat z'n data op data moment elders wordt gelezen...

Overigens kan TPM in beide gevallen uitkomst bieden (is het toch nog ergens goed voor).

PS ik ben kamermeisje, security is een hobby van me :)
19-10-2009, 15:21 door SirDice
Door Anoniem: "Rutkowska waarschuwt dat het waarschijnlijk strafbaar is om met Evil Maid de wachtwoorden van andere mensen zonder hun toestemming te stelen." Nou dat weet ik wel zeker. En wat doet security.nl? Die laat vrolijk zien waar je dat alles kunt vinden. Dus werkt de redactie hier mee aan strafbare feiten. En dan maar kankeren op de onveiligheid van Windows. Lekker hypocriet.
Het hebben van deze tool is niet strafbaar. Het gaat om het gebruik van en "het oogmerk". Je kan en mag deze tool volstrekt legaal los laten op je eigen spullen om het een en ander te testen.

Een ander voorbeeld, een betonschaar is niet verboden, een betonschaar gebruiken om sloten open te breken zodat je een ander z'n fiets mee kan nemen wel.
19-10-2009, 15:25 door SirDice
Door Gallardo: Wat heeft "het kamermeisje" in vredesnaam aan het wachtwoord van de met truecrypt versleutelde laptop... En dan nog, hoeveel "kamermeisjes" zullen er zijn die zich met dit soort dingen bezighouden -.-
Een bedrijfsspion weet ook wat een vermomming is ;)

Of wat te denken van een kamermeisje omkopen? Het enige wat je hoeft te doen is even dit in de laptop prikken, even aanzetten. Wachten, laptop uit en stick weer mee nemen.. Hier is XXX euro voor de moeite.. Het gaat erom dat dit zo simpel te gebruiken is dat zelfs een kamermeisje het zou kunnen.

Jemig, wat hebben jullie weinig fantasie zeg.. Nooit misdaadfilms gekeken? Tenzij het over het grote boze Amerika gaat, of het permanent afluisteren door weet ik veel wie. Dan is er ineens wel genoeg fantasie...
19-10-2009, 15:39 door Anoniem
Leuke reclame van die Poolse mevrouw voor haar eigen bedrijfje ;-)
19-10-2009, 15:50 door Anoniem
Wat mij een beetje onduidelijk is; Moet de stick nu in het systeem achter gelaten worden of draaid de software vanuit de bootloader?
19-10-2009, 16:49 door H.King
ligt eraan of de gehele laptop in encryptie staat of alleen een bepaalde drive. Want in het laatste geval is een keylogger genoeg lijkt me.
19-10-2009, 17:10 door spatieman
lekkere tante..
19-10-2009, 18:14 door Syzygy
Door SirDice:
Jemig, wat hebben jullie weinig fantasie zeg.. Nooit misdaadfilms gekeken? Tenzij het over het grote boze Amerika gaat, of het permanent afluisteren door weet ik veel wie. Dan is er ineens wel genoeg fantasie...

Nou vertel eens hoe ziet dat kamermeisje eruit in JOUW fantasie ;-)
19-10-2009, 18:46 door Thasaidon
Door Anoniem: Als je paranoid bent zul je ook vast wel het booten van USB/CD-ROM hebben uitgezet en je BIOS van een paswoord hebben voorzien oid. Of is dit te simpel gedacht?
Als je echt paranoia bent, laat je je laptop niet achter in je hotel kamer, maar neem je em mee als je weg gaat ;-)
19-10-2009, 19:19 door rob
Het zou mij wel opvallen als er een usb stick in m'n laptop zit als ik 'm aanzet. Dus moet het kamermeisje een ander idee vinden om mijn laptop te laten opstarten van andere media.
En mijn harde schijf eruithalen en infecteren, lukt het kamermeisje vast ook niet.

Johanna brengt haar programma op een leuke manier, door het de Evil Maid te noemen.... Daarmee scoort ze waarschijnlijk meer publiciteit dan het 'truecrypt boot fake password prompt' te noemen.

In feite is er hier niet veel nieuws gebracht. Een blog-pagina met dit idee was voldoende geweest: het behoeft niet echt een proof of concept om te geloven dat dit kan werken.

Kun je niet TPM ook uitschakelen in de BIOS?
19-10-2009, 22:47 door SirDice
Door Anoniem: Wat mij een beetje onduidelijk is; Moet de stick nu in het systeem achter gelaten worden of draaid de software vanuit de bootloader?
Inprikken, bootloader hooken, stick weer meenemen, later terugkomen om het wachtwoord op te halen.
19-10-2009, 22:53 door SirDice
Door rob: Het zou mij wel opvallen als er een usb stick in m'n laptop zit als ik 'm aanzet. Dus moet het kamermeisje een ander idee vinden om mijn laptop te laten opstarten van andere media.
Dan heb je het artikel toch niet goed gelezen.
20-10-2009, 09:30 door Bitwiper
Door SirDice:
Door rob: Het zou mij wel opvallen als er een usb stick in m'n laptop zit als ik 'm aanzet. Dus moet het kamermeisje een ander idee vinden om mijn laptop te laten opstarten van andere media.
Dan heb je het artikel toch niet goed gelezen.

Aanvulling: en, als het om welke reden dan ook nodig zou zijn dat die USB stick aanwezig is op het moment dat jij inlogt, zou die in jouw USB-muis (die veel mensen naast hun laptop hebben liggen) ingebouwd kunnen worden.

Wie weet zijn er al jaren USB-devices (keyboards, muizen, printers, scanners, webcams, ... ) in de handel met sniffer functionaliteit...
20-10-2009, 10:44 door Anoniem
Door SirDice:
Door rob: Het zou mij wel opvallen als er een usb stick in m'n laptop zit als ik 'm aanzet. Dus moet het kamermeisje een ander idee vinden om mijn laptop te laten opstarten van andere media.
Dan heb je het artikel toch niet goed gelezen.


Ahja, het dingetje installeert zich in de MBR dus?
08-08-2012, 23:08 door ernie
Door Anoniem:
Door SirDice:
Door rob: Het zou mij wel opvallen als er een usb stick in m'n laptop zit als ik 'm aanzet. Dus moet het kamermeisje een ander idee vinden om mijn laptop te laten opstarten van andere media.
Dan heb je het artikel toch niet goed gelezen.


Ahja, het dingetje installeert zich in de MBR dus?

Ga dat artikel lezen dan!
Dan kom je er misschien achter!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.