Wie zijn laptop of andere apparatuur op reis of vakantie meeneemt en niet wil dat anderen er ongezien mee knoeien krijgt het advies om nagellak te gebruiken. Glitternagellak om precies te zijn. Dat lieten Eric Michaud en Ryan Lackey tijdens het Chaos Communication Congress in Hamburg weten.
Michaud, CEO van Rift Recon en hacker, en Lackey, oprichter van de CryptoSeal VPN-dienst, waarschuwden voor het gevaar als mensen fysiek toegang tot bijvoorbeeld een laptop krijgen. Dit kan bij de douane gebeuren, maar ook bijvoorbeeld in een hotel. Zodra een aanvaller fysiek toegang heeft kan hij allerlei zaken aanpassen, van firmware en software tot zelfs de hardware.
Ook het gebruik van encryptie biedt in dit geval geen voldoende bescherming meer. Een bekende aanval is de "Evil maid attack", waarbij een aanvaller in het geval van een met TrueCrypt versleutelde laptop de passphrase probeert te stelen. De eerste keer dat de aanvaller fysiek toegang heeft installeert die een keylogger in de bootloader van TrueCrypt.
Zodra de gebruiker inlogt en zijn passphrase invult, wordt die door de keylogger opgeslagen. Aangezien het systeem verder gewoon werkt, heeft de gebruiker niets door. De aanvaller probeert vervolgens een tweede keer fysiek toegang tot de laptop te krijgen zodat hij de opgeslagen passphrase kan bemachtigen en de versleutelde harde schijf kan ontsleutelen.
Om fysieke aanvallen te voorkomen wordt soms het gebruik van "seals" aangeraden, die over schroeven en poorten worden aangebracht. De twee hackers stellen dat die eenvoudig te vervangen en ongezien te openen zijn, zelfs door iemand met minimale training, zo meldt Wired. Als oplossing stellen de twee daarom het gebruik van "Physically Unclonable Functions" (PUFs) voor. Dit is een zegel dat onmogelijk is na te maken. Een goed voorbeeld van een PUF is glitternagellak.
Eenmaal aangebracht op schroeven en stickers op toegangspoorten beschikt het over een willekeurig patroon. De gebruiker maakt met zijn smartphone, die hij altijd bij zich draagt, een foto van de aangebrachte nagellak. Zodra de gebruiker bijvoorbeeld op zijn hotelkamer terugkomt maakt hij weer een foto en vergelijkt beide foto's met een speciaal programma. Op die manier kan hij redelijk zeker weten dat er niet met het systeem is geknoeid.
De twee hackers werken zelfs aan een tweetrapsverificatiesysteem, waarbij iemand eerst de foto's moet vergelijken voordat er bijvoorbeeld op een VPN mag worden ingelogd. De tool die dit mogelijk maakt zou binnen een paar maanden moeten verschijnen.
Deze posting is gelocked. Reageren is niet meer mogelijk.