image

FireWire-aanval bedreigt ook Thunderbolt en eSata

woensdag 30 mei 2012, 12:09 door Redactie, 7 reacties

De Firewire-aanval die tijdens Hack in the Box Amsterdam werd gedemonstreerd, werkt ook tegen computers met Thunderbolt en eSata, zo laten de studenten in een interview met Security.nl weten. De aanval die Rory Breuk en Albert Spruyt, studenten System and Network Engineering aan de Universiteit van Amsterdam, tijdens HITB demonstreerden werkt zowel tegen Windows-, Linux- als Mac-computers. Door een FireWire-kabel aan te sluiten kunnen de studenten een dump van het geheugen maken en zo allerlei vertrouwelijke gegevens achterhalen, waaronder wachtwoorden en encryptiesleutels.

Het zijn echter niet alleen eigenaren van een computer met FireWire die zich zorgen moeten maken. Ook machines met Thunderbolt, eSata en PCMCIA PCCard/ExpressCard aansluitingen zijn kwetsbaar. Aanvallers kunnen via een FireWire-adapter voor bijvoorbeeld Thunderbolt toch de aanval uitvoeren. Alles wat Direct Memory Access (DMA) ondersteunt is kwetsbaar. "Ook al heb je geen FireWire, ook al heb je geen Thunderbolt, als je wel express card of PCMCIA hebt klik je voor 14 euro een adapter er aan en dan heb je ook zo'n interface", waarschuwen de studenten. Daarnaast is het ook mogelijk om de benodigde hardware op maat te maken.

Bouwtekening
Het probleem is dat er nog steeds computers met externe DMA-aansluitingen verschijnen. DMA is platform onafhankelijk en het probleem dat de studenten voor hun aanval misbruiken is een ontwerpprobleem. "Vergelijk het met het bouwen van een huis. Als jij een veilige bouwtekening voor een huis hebt, kun je best een veilig huis bouwen, als je een goede aannemer hebt. In dit geval bevat de bouwtekening van het huis gevaarlijke ontwerpfouten", merken de studenten op. "Ook al bouw je volgens de tekening, dan is het resultaat nog steeds dat je geen goed huis hebt."

De beste bescherming is volgens Spruyt en Breuk de input/output memory management unit (IOMMU). Een chip die op modernere hardware aanwezig is. Daarnaast wijzen de twee ook naar het besturingssysteem dat beveiligingsexpert Joanna Rutkowska aan het ontwikkelen is, onder andere om DMA-aanvallen te voorkomen.

Oplossing
De werkelijke oplossing is het vervangen van DMA. Het ontwerpprobleem is dat er een interface op zit met eigenschappen die niet extern beschikbaar zouden moeten zijn. FireWire mag dan aan populariteit verliezen, het probleem komt door Thunderbolt en eSata weer terug. In theorie zou het zelfs mogelijk zijn om een aanval direct op deze poorten uit te voeren, zonder FireWire-adapter. Zover is het nog niet, maar de kosten van een FireWire-adapter zijn zo laag dat dit een aanvaller niet zal tegenhouden. Daarnaast zijn er al real-life opties voor PCI.

De kans dat het probleem op korte termijn wordt opgelost lijkt onwaarschijnlijk. De oorzaak zit namelijk in de DMA-standaard zelf, niet de implementatie ervan. "Het probleem is dat mensen niet geloven dat het een probleem is, totdat ze het zien. Dat is misschien logisch voor security professionals, maar de doorsnee gebruiker moet het eerst zien of gehoord hebben dat het kan, anders bestaat het niet."

Door het toevoegen van de Firewall-aanval aan hacker-toolkit Metasploit, wordt het een stuk eenvoudiger om de aanval te laten zien. "Hopelijk komt de discussie omtrent dit probleem hiermee opnieuw opgang."

Misbruik
Sommige critici beweren dat het alleen een theoretische aanval betreft en de kans op actueel misbruik zeer klein is. De studenten erkennen dat het vooral voor aanvallers interessant is die gericht te werk gaan. Toch zijn er nog andere scenario's, zoals bijvoorbeeld een datacentrum waar een shared hosting-omgeving wordt aangeboden. Er zijn servers die over een FireWire-aansluiting beschikken en het is bij sommige kasten eenvoudig om een kabeltje naar binnen te werken. "Dit gereedschap is ook heel interessant voor gelegenheid aanvallers. Gelegenheid maakt nog altijd de dief."

Een ander scenario is het laten aannemen van een stagiair bij een multinational die deze aanval kan uitvoeren. Via de standaard laptop die veel bedrijven uitgeven kan vervolgens het adminwachtwoord worden achterhaal. De kans is vervolgens groot dat dit wachtwoord toegang tot veel meer machines geeft. "Zo kun je een hele omgeving compromitteren, beginnend bij het eerste punt, wat prima een FireWire-aanval kan zijn op middelen die het bedrijf zelf heeft uitgegeven." De studenten stellen dat het risicoprofiel hoger is dan veel mensen denken.

Risico
Systeembeheerders die hun omgeving willen beschermen krijgen het advies om de poorten, zoals FireWire, eSata en PCMCIA, in de BIOS uit te schakelen. "En dan echt alle poorten, niet alleen FireWire", benadrukken de twee studenten. Dat ondermijnt echter ook de functionaliteit van de computer. "Je moet je dan ook afvragen wat je te verdedigen, te verliezen hebt, en wat een aanvaller kan winnen. Als een aanvaller via wat eenvoudige software en hardware de inloggegevens van een zakelijke omgeving kan stelen, is dat niet in evenwicht."

Bedrijven die met vertrouwelijke gegevens omgaan doen er dan ook verstandig aan om het risico uit te sluiten en de functionaliteit uit te schakelen. "Denk niet dat jouw systemen niet op deze manier aangevallen zullen worden. Risico's die niet geadresseerd zijn, zijn de gevaarlijkste."

Reacties (7)
30-05-2012, 13:56 door Anoniem
Misschien handig als security.nl ook de link naar de presentatie erbij zet:
http://conference.hitb.org/hitbsecconf2012ams/materials/

[admin] Thanks en done! [/admin]
30-05-2012, 15:33 door Anoniem
Microsoft vertelt je hoe je FireWire-interfaces uit kunt schakelen om aanvallen op (o.a.) BitLocker te voorkomen:
http://support.microsoft.com/kb/2516445

Linux:
$ rmmod ohci1394
$ modprobe ohci1394 phys_dma=0
of
# Prevent automatic loading of the ohci1394 module.
blacklist ohci1394
# Prevent manual loading of the ohci1394 module.
install ohci1394 false
# Iff we should ever load the ohci1394 module, force the use of the 'phys_dma=0' option.
options ohci1394 phys_dma=0

Mac:
$ sudo kextunload /System/Library/Extensions/IOFireWireFamily.kext/Contents/PlugIns/AppleFWOHCI.kext
30-05-2012, 21:03 door Anoniem
eSATA is toch gewoon SATA, maar dan met een externe aansluiting? Als het werkt via eSATA, werkt het ook voor een interne SATA aansluiting?
31-05-2012, 12:22 door Anoniem
De aanval werkt in theorie op alle aansluitingen waarbij DMA gebruikt wordt. De beperkende factor is de beschikbare hardware. Op eSATA is het dus ook alleen maar theoretisch een dreiging. Voor Thunderbolt is die hardware inmiddels wel al beschikbaar, in de vorm van een FireWire kaartje.
31-05-2012, 13:24 door Anoniem
Is dit niet al jaren bekent?
01-06-2012, 11:27 door Anoniem
Is dit niet al jaren bekent?
Ja, alleen is er middels een recente demo aangetoond dat het niet alleen een theoretische aanval is, maar dat het in de praktijk ook kan werken. Volgens mij maken forensische rechercheurs van deze methode gebruik als ze een memory dump willen maken van een lopende computer.
02-06-2012, 21:35 door Anoniem
VZIW kun je dit al jaren bekende probleem met hoe de firewire adapter werkt vrij makkelijk fixen door de adapter niet de toegang tot het hele geheugen te geven; anders instellen van de hardware zeg maar. Leuk te zien dat (e)sata en thunderbolt precies hetzelfde probleem hebben. Nuja, leuk, het geeft aan hoe brak de hardware ontworpen wordt. Dat zie je met wel meer interfaces, overigens, ook al hebben ze niet precies dit probleem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.