Как не стать жертвой evil maid attack

Защищаем корпоративный компьютер от угрозы несанкционированного физического доступа.

«Атака злой горничной» — чуть ли не самый примитивный, но от этого и один из самых неприятных видов атаки. Ее жертвами становятся устройства, оставленные без присмотра. Атакующие пытаются добраться до секретной информации, устанавливают на скомпрометированный компьютер шпионские программы или средства удаленного доступа, чтобы проникнуть в корпоративную сеть. Рассказываем, как защититься от действий злоумышленников.

Классический пример

Когда речь заходит об «атаке злой горничной», обычно вспоминают случай, о котором активно писали в американских СМИ в 2008 году. В декабре 2007 года делегация министерства торговли США отправилась в Пекин, на переговоры о совместном противодействии пиратству. Переговоры прошли достаточно успешно, но через три месяца спецслужбы обнаружили в ноутбуке министра главы делегации шпионское ПО, установить которое можно было только получив физический доступ к компьютеру. Владелец ноутбука уверял, что на переговорах все время носил ноутбук с собой и лишь на несколько минут оставил его в сейфе гостиничного номера, когда спустился на ужин.

Злоумышленникам хватило примерно получаса — и это весьма комфортные условия. Теоретически профессионалы могут скомпрометировать устройство за 3–4 минуты. Чаще всего такие случаи происходят, когда компьютер оставляют без присмотра включенным или незапароленным. Но даже если не пренебрегать элементарными мерами безопасности, вероятность стать жертвой атаки evil maid все равно остается.

Как злоумышленники получают доступ к информации

Способов добраться до критически важной информации — масса. Они зависят от возраста компьютера и имплементированных средств защиты. Например, старые компьютеры с BIOS беззащитны перед «злой горничной» — ведь они не поддерживают безопасную загрузку и легко позволяют загружаться с внешних дисков.

Невольными проводниками к личным или корпоративным секретам могут стать коммуникационные порты, поддерживающие быстрый обмен данными или прямое взаимодействие с памятью устройства. Например, такие как Thunderbolt. Высокая скорость передачи данных через него достигается как раз прямым доступом к памяти, и это открывает дорогу «злым горничным».

Весной этого года эксперт по компьютерной безопасности Бьорн Рюйтенберг сообщил, что нашел способ взломать любое устройство с Thunderbolt, на котором установлена операционная система Windows или Linux, даже если этот компьютер заблокирован, а его владелец запретил подключение через внешние порты незнакомых устройств. Метод Рюйтенберга, получивший название Thunderspy, предусматривает физический доступ к гаджету и состоит в подмене контролирующий порт прошивки.

Для этого атакующему необходимо вскрыть корпус компьютера, подключиться к чипу Thunderbolt напрямую и при помощи программатора перепрошить чип своей версией микропрограммы. Новая прошивка отключает встроенную защиту, и злоумышленник получает полный контроль над устройством.

Теоретически уязвимость закрывается при помощи политики Kernel Direct Memory Access Protection — вот только эта функция доступна пользователям Windows 10, а она используется далеко не всеми. Впрочем, Intel анонсировала решение проблемы с появлением Thunderbolt 4.

Старый добрый USB тоже может стать каналом атаки. Злоумышленник может вставить в USB-порт миниатюрное устройство, которое активизируется после того, как пользователь включит компьютер и начнет работать с ним. Скорее всего, оно окажется модифицированной для эксплуатации трюка BadUSB-флешкой (система воспримет ее как клавиатуру и получит с нее команду злоумышленников).

Если информация особенно ценная, преступники могут пойти даже на такой экзотический и весьма дорогостоящий в исполнении финт, как кража устройства и подмена его аналогичным, но уже содержащим шпионскую программу. Разумеется, подмена будет раскрыта достаточно быстро, но уже после того, как жертва введет свои пароли. Впрочем, для такой атаки нужно тщательное изучение компьютера жертвы.

Как минимизировать риски

Самый надежный и простой способ защиты от evil maid attack — не оставлять свое устройство там, где к нему могут получить доступ посторонние: в тех же гостиничных номерах. Впрочем, этот совет не всегда выполним. Если ваши сотрудники часто отправляются в командировки со служебными ноутбуками, то имеет смысл:

  • завести специальные временные ноутбуки для командировок, на которых нет ни доступа к важным корпоративным системам, ни рабочих данных, а после каждой поездки форматировать жесткий диск и перезаливать систему;
  • если нет возможности постоянно носить рабочий ноутбук с собой — по крайней мере не оставлять его включенным;
  • запретить прямой доступ к памяти через FireWire, Thunderbolt, PCI, PCI Express и другие порты, если ваш ноутбук поддерживает такую функцию;
  • зашифровать жесткие диски компьютеров, которые покидают здание офиса;
  • включить в настройках ноутбуков функции привязки к жесткому диску;
  • использовать защитные решения, которые позволят как минимум блокировать подозрительный исходящий трафик, — ведь для того, чтобы отправить информацию, скомпрометированный компьютер будет пытаться соединиться с сервером злоумышленников;
  • убедиться, что используемое вами защитное решение может выявить атаку Bad USB (Kaspersky Endpoint Security для бизнеса — может);
  • своевременно обновлять ПО, особенно операционную систему.
Советы