“邪恶女仆”(evil-maid)攻击是一种最原始的计算设备攻击, 但它也是最让人厌恶的攻击之一。”邪恶女仆”主要攻击无人看管的设备,试图窃取机密信息、安装间谍软件或远程访问工具,从而获得企业网络的访问权限。本文探讨如何有效抵御这种入侵。
经典案例
2007年12月,美国商务部代表团前往北京进行有关联合打击盗版战略的讨论。然而有传言称,在返回美国的过程中,商务部长发现笔记本电脑感染了间谍软件,而安装这种软件需要具有计算机的物理访问权限。商务部长表示,在谈判期间,他一直都随身携带这台电脑,并且只有在下楼就餐时才将它放在酒店房间的保险箱中。
从理论上讲,专业黑客可以在3-4分钟内入侵计算机,但这往往发生在计算机无人看管且未被锁定(或未使用密码保护)的场景。即使采取了基本的安全措施,邪恶女仆攻击还是有成功的可能性。
攻击者如何获取信息
有很多获取关键信息的方法,它们的效果取决于计算机及其安全软件的使用年限。例如,不支持安全引导的老式计算机可从通过外部驱动器启动,因此它们无法抵御邪恶女仆攻击,而现代PC往往会默认启用安全引导。
支持数据快速交换或与设备内存直接交互的通信端口可以被用作提取个人或公司机密的快速渠道。例如,雷电接口(Thunderbolt)通过直接访问内存来实现其高速数据传输,这同时也为邪恶女仆攻击敞开了大门。
计算机安全专家比约恩·鲁伊滕贝格(BjörnRuytenberg)去年分享了他发现的一种用于入侵任何配备了雷电接口的Windows或Linux计算机的方法,甚至包括那些被锁定并且默认禁止和陌生设备通过外部端口连接的计算机。鲁伊滕贝格的方法被称为Thunderspy,这种方法假设攻击者具有计算机的物理访问权限,并且需要重新编写控制器固件。
Thunderspy需要攻击者使用他们的固件版本对雷电接口芯片进行重新编程。新固件将停止内置保护机制,因此攻击者将完全控制设备。
内核直接内存访问保护策略理论上修补了这个漏洞,但并非所有人都使用它(Windows 10之前的版本无法使用)。然而英特尔之前宣布了针对该问题的解决方案:雷电接口4。
传统USB也是攻击渠道之一,用于攻击的小型设备被插入USB接口,它会在用户开机时被激活并发动BadUSB攻击。
如果攻击者的目标是特别有价值的信息,那么网络犯罪分子甚至可能会冒险尝试高成本的方法——窃取计算机并用包含间谍软件的类似设备将其替换。当然,这很快会露出马脚,但是在此之前受害者很可能已经输入了密码。幸运的是,正如我们所说,这种攻击方式难度和成本都很高。
如何使风险降到最低
防范邪恶女仆攻击的最简单可靠的方法,是将设备放在只有自己可以访问的地方。如果可以的话,请不要将其留在酒店房间中。如果企业的关键职员必须携带笔记本电脑出差,可以采取以下步骤来降低风险:
- 使用无法访问重要企业系统或者工作数据的临时笔记本电脑,在每次出差结束后格式化硬盘并重新安装操作系统;
- 要求员工在无法携带工作电脑时将电脑关闭;
- 对任何需要带出办公室的的电脑硬盘进行加密;
- 使用可以阻拦可疑流量外流的安全解决方案;
- 确保你的安全解决方案可以检测出BadUSB的攻击(卡巴斯基中小企业网络解决方案可以做到这点);
- 养成及时更新所有软件尤其是操作系统的习惯;
- 限制通过火线、雷电接口、PCI接口和PCI express接口对计算机内存的直接访问权限。