Onderzoekers hebben een aanval gedemonstreerd waarmee het mogelijk is om het encryptiewachtwoord van versleutelde Linuxsystemen in handen te krijgen. De aanval vereist wel dat de aanvaller fysieke toegang tot het systeem heeft. In dit geval kan er code worden toegevoegd om het wachtwoord te onderscheppen.
In 2009 demonstreerde onderzoekster Joanna Rutkowska de Evil Maid-aanval, waarbij een aanvaller met fysieke toegang het encryptiewachtwoord van met TrueCrypt-versleutelde systemen kon achterhalen. Dergelijke aanvallen kunnen volgens onderzoekers van beveiligingsbedrijf Gotham Digital Science op elk besturingssysteem worden uitgevoerd. Onderzoekers van het bedrijf besloten voor hun onderzoek naar de Linux Unified Key Setup (LUKS) te kijken, de schijfversleuteling voor Linux. Ze hebben hun aanval omgedoopt tot 'EvilAbigail', waarbij Abigail een Amerikaanse term voor bediende is.
Bij een Linuxdistributie die met volledige schijfversleuteling wordt geïnstalleerd is er een kleine partitie die onversleuteld is om de decryptie en bootstrapping van de versleutelde harde schijf mogelijk te maken. Deze partitie wordt gemount en bevat de kernel en de initiële ramdisk (initrd). De initrd bestaat uit een minimale verzameling van tools voor het ontsleutelen en mouten van het root-bestandssysteem. Een aanvaller met fysieke toegang kan de initrd van kwaadaardige code voorzien, zodat het encryptiewachtwoord van de gebruiker, zodra die het de volgende keer invoert, wordt opgeslagen.
Volgens de onderzoekers kunnen gebruikers verschillende maatregelen nemen om zich tegen dit soort aanvallen te beschermen. De eerste oplossing is om de bootloader, kernel en de initrd op een externe usb-stick op te slaan en het systeem daar vanaf te starten. Hoewel dit mogelijk de veiligste oplossing is, is het ook de meest onhandige, aangezien de gebruiker altijd de usb-stick moet loskoppelen en meenemen als hij zijn laptop onbeheerd achterlaat. Een andere oplossing is het uitschakelen van de mogelijkheid om vanaf externe media op te starten.
Dit kan geheel geautomatiseerde aanvallen voorkomen, maar biedt nog steeds ruimte voor een aanvaller die het systeem handmatig mount en de initrd vanuit de initrd zelf aanpast. Een andere oplossing is het instellen van een BIOS-wachtwoord, zodat het systeem niet zonder BIOS-wachtwoord kan worden opgestart. Deze laatste twee opties bieden echter geen bescherming tegen een aanvaller die voldoende tijd heeft om de harde schijf uit de laptop te halen en op een eigen systeem aan te sluiten en zo aan te passen.
De veiligste oplossing volgens de onderzoekers is de initrd aan SecureBoot toe te voegen. Op deze manier wordt het gehele opstartproces gecontroleerd en kan aangepaste code worden gedetecteerd. Toch is er nog steeds een aanvalsvector als een aanvaller de BIOS/UEFI kan flashen om zo SecureBoot uit te schakelen. "De beste manier om jezelf tegen dit soort aanvallen te beschermen is om je systeem nooit in handen van de aanvallers te laten vallen. Onze proof-of-concept-aanval kon alle doelen in iets meer dan 2 minuten backdooren", zo waarschuwen de onderzoekers.
Deze posting is gelocked. Reageren is niet meer mogelijk.