image

Studenten hacken pc's via FireWire en Metasploit

donderdag 24 mei 2012, 06:23 door Redactie, 12 reacties

Enige jaren geleden is gedemonstreerd dat het mogelijk is om ongeautoriseerd toegang te krijgen tot het interne geheugen van een computer, door misbruik te maken van interfaces die DMA (Direct Memory Access) gebruiken. Aanvallers kunnen op deze manier een dump van het interne geheugen van een computer maken, waarna gezocht kan worden naar gevoelige gegevens als wachtwoorden en encryptiesleutels.

Daarnaast is het mogelijk om door de computer uitgevoerde code te wijzigen om zo bijvoorbeeld een schermbeveiliging te omzeilen. Het platformonafhankelijke concept van de aanval lijkt echter in de vergetelheid geraakt te zijn.

Opfrisbeurt
De Nederlandse studenten Rory Breuk en Albert Spruyt hebben de bekende FireWire-gebaseerde aanvallen een grondige opfrisbeurt gegeven en zullen dat vrijdag tijdens Hack in the Box Amsterdam demonstreren. Zo is nieuwe functionaliteit toegevoegd voor Windows 7 Service Pack 1 en Ubuntu 12.04 LTS. Op het doelsysteem wordt een nieuw proces gestart die het geheugen van het aangevallen proces terugbrengt in de originele staat en zorg draagt voor de verdere communicatie met de aanvaller.

Hierdoor blijft het aangevallen systeem na het wijzigen van live code - anders dan bij aanvallen met eerder gepubliceerde tools - normaal reageren en wordt detectie van de aanval veel complexer. Ook is het mogelijk geworden om het doelsysteem verbinding te laten leggen met de aanvaller via TCP/IP. Als gevolg hiervan hoeft een aanvaller slechts seconden toegang te hebben tot de FireWire-poort van een doelsysteem waarna verdere interactie over IP elders en ongemerkt plaats kan vinden. Dit in tegenstelling tot de eerdere situatie waarin een aanvaller via FireWire zo lang verbonden moest blijven als de analyse duurde.

Metasploit
Als laatste is al het bovenstaande geïntegreerd in het populaire security-tool Metasploit waardoor gebruik gemaakt kan worden van geavanceerde functionaliteit die al in Metasploit aanwezig is. Toekomstige uitbreiding voor bijvoorbeeld ondersteuning van toekomstige platformen wordt zo ook een stuk laagdrempeliger.

Bewustzijn
Breuk en Spruyt, die System and Network Engineering aan de Universiteit van Amsterdam studeren, hopen dat het bewustzijn met betrekking tot DMA-aanvallen door hun werk zal groeien, zowel bij beheerpartijen als bij OS- en hardwareontwikkelaars. Het probleem lijkt immers al jaren genegeerd te worden met grote onnodige security-risico's voor bedrijven en individuen als gevolg. Met de komst van nieuwe DMA-interfaces als Thunderbolt lijken de aanvalsmogelijkheden zelfs uitgebreider te worden.

Reacties (12)
24-05-2012, 09:20 door sloepie
Als ik het goed begrijp moet men dus fysiek toegang hebben tot je pc en bovendien moet je pc ook nog eens beschikken over een firewirepoort?
24-05-2012, 09:31 door choi
Door sloepie: Als ik het goed begrijp moet men dus fysiek toegang hebben tot je pc en bovendien moet je pc ook nog eens beschikken over een firewirepoort?
In eerste instantie wel lijkt me:
'Ook is het mogelijk geworden om het doelsysteem verbinding te laten leggen met de aanvaller via TCP/IP. Als gevolg hiervan hoeft een aanvaller slechts seconden toegang te hebben tot de FireWire-poort van een doelsysteem waarna verdere interactie over IP elders en ongemerkt plaats kan vinden.'
24-05-2012, 09:33 door Anoniem
@9:20: ja, hoewel een Thunderbolt poort ook goed is. Deze poorten hebben DMA om latency tegen te gaan (poorten worden vaak voor video signalen gebruikt).
Dat fysieke toegang nodig is lijkt een meevaller, maar het tegendeel is waar. Als ik mijn Mac met full-disk encryption stand-by laat staan kan men op deze manier een dump maken van mijn RAM en zo de hele encryptie omzeilen (de key's zitten immers in de memory dump). Ook heeft het locken van een systeem geen zin meer, omdat een passant direct toegang heeft tot de inhoud van het geheugen.
Daar ligt het echte gevaar van deze methodiek.
24-05-2012, 09:47 door Anoniem
Fysiek access is niet erg moeilijk, als je eenmaal in een gebouw bent loop je tijdens de lunchpause naar een (natuurlijk wel) gelockte PC sluit je firewire toolkit aan en binnen een paar seconden schijnbaar resultaat .
24-05-2012, 10:28 door Mysterio
Door Anoniem: Fysiek access is niet erg moeilijk, als je eenmaal in een gebouw bent loop je tijdens de lunchpause naar een (natuurlijk wel) gelockte PC sluit je firewire toolkit aan en binnen een paar seconden schijnbaar resultaat .
Het blijft erg bewerkelijk. Je moet dus weten welk gebouw je moet hebben, welke kamer, welk systeem en wanneer er een lunchpauze is. Ik werk niet met gevoelige informatie en mijn deur gaat op slot wanneer ik er niet ben. Mijn collega Apple gebruiker laat zijn bak altijd stand-by staan, dus daar kan ik me nog wel wat bij voorstellen. Maar gezien het obstakel dat je fysiek bij de machine moet kunnen verwacht ik dat het risico wel mee valt.
24-05-2012, 10:30 door Anoniem
winlockpwn v2? :D
24-05-2012, 11:12 door Anoniem
Liep deze dame niet al een beetje voor?

USB-stick steelt TrueCrypt wachtwoorden
19-10-2009,11:44
http://www.security.nl/artikel/31210/1/USB-stick_steelt_TrueCrypt_wachtwoorden.html
24-05-2012, 11:36 door SirDice
Door Anoniem: Liep deze dame niet al een beetje voor?
Volstrekt andere techniek. Voor die USB stick zul je minimaal een keer de machine moeten laten opstarten vanaf die stick. De stick installeert dan een soort root-kit die de rest van het OS gevirtualizeerd laat draaien.

In dit geval (Firewire) kun je dit in een draaiend systeem prikken en zo direct toegang krijgen tot het geheugen. Geen herstarts en geen enkele aanwijzing dat er ook maar iets is gebeurd.
24-05-2012, 11:53 door musiman
Door Anoniem: Liep deze dame niet al een beetje voor?

USB-stick steelt TrueCrypt wachtwoorden
19-10-2009,11:44
http://www.security.nl/artikel/31210/1/USB-stick_steelt_TrueCrypt_wachtwoorden.html
Nee, want EvilMaid is geen DMA hack, maar een keyboardsniffer die je in de bootpartitie plaatst. En hier is trouwens ook nog eens twee keer access nodig. De tweede keer om de info op je usb key te zetten en de oude bootpartitie terug te zetten.

edit: oeps, iemand was me al voor :P
24-05-2012, 15:45 door Anoniem
Hacken zal dus misschien alleen gaan in dit geval als er van de firewirepoort gebruik wordt gemaakt.
Ik vind het juist niet leuk dat studenten hiermee gaan spelen,want dat brengt mogelijk kwaad willende hackers op een bepaald spoor.
24-05-2012, 16:15 door Anoniem
Door Anoniem: Hacken zal dus misschien alleen gaan in dit geval als er van de firewirepoort gebruik wordt gemaakt.
Ik vind het juist niet leuk dat studenten hiermee gaan spelen,want dat brengt mogelijk kwaad willende hackers op een bepaald spoor.

Dat is wel heel erg hokjes denken he ?
24-05-2012, 17:45 door Anoniem
Dit bewijst het van zgn.laptop kluizen,daarin is je laptop beveiligd tegen onbevoegde personen die er spyware of andere malware op willen installeren.Het zou verplicht moeten worden,zeker op plaatsen als werkplek en school,maar ook thuis.Onthoudt dit:er hoeft maar 1 (!)iemand te zijn die iets met jouw pc wil uithalen en het is gebeurd! Ga je even naar het toilet,of wat eten in een andere ruimte,neem je laptop dan met je mee,of stop hem in je laptop-kluis!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.