Esiste un modo affidabile per simulare la manomissione del percorso di avvio di "Evil Maid Attack" quando si utilizza il bitlocker?

Naviga le tue risposte
3

Supponiamo di avere un sistema il cui disco OS è crittografato con bitlocker e utilizza l'autenticazione TPM + PIN per autenticare il percorso di avvio contro la manomissione. A quanto ho capito, questa configurazione protegge teoricamente dai bootkits che altrimenti potrebbero surrettiziamente registrare la password o la chiave utilizzata per decrittografare Disco del sistema operativo. Cioè, protegge contro questo tipo di "malefico attacco di cameriera" .

Esiste un modo per simulare in modo affidabile la manomissione del percorso di avvio per verificare se l'autenticazione del percorso di avvio funzioni effettivamente?

Conosco questa implementazione dell'attacco malvagio cameriera ma è stato progettato per attaccare TrueCrypt, non Bitlocker.

    
posta alx9r 13.02.2013 - 01:40
fonte

2 risposte

0

È possibile eseguire la propria manomissione del percorso di avvio eseguendo una modifica banale del volume di sistema riservato (SRV).

Dovraiutilizzareunsupportodiavvioconunsoftwareingradodimodificareilvolume:Windowssembraproteggerel'SRVcheèstatoutilizzatoperl'avvio.HousatounCDdiavviodiAcronisDiskDirectorpereseguirequestamodifica:

Al riavvio, BitLocker ha restituito questa schermata:

    
risposta data 17.03.2013 - 23:23
fonte
2

Bitlocker è vulnerabile allo stesso attacco.

Questo documento descrive un attacco contro il PIN: "Al successivo avvio, l'MBR boot loader carica questo file e trasferisce il controllo su di esso Viene visualizzato un falso prompt di BitLocker (vedere figura 1), il PIN inserito viene memorizzato nella partizione NTFS, l'MBR originale viene ripristinato e il sistema riavviato. leggere dalla partizione NTFS. "

La scoperta più importante: "L'uso di un TPM per la gestione delle chiavi in modo semplice fornisce una protezione molto limitata contro un attaccante dedicato Nessuna delle nostre strategie di attacco ha come obiettivo il TPM in quanto tale. Tutti sfruttano il modo in cui viene utilizzato da uno particolare implementazione della crittografia del disco ". Il che mi porta a credere che TPM non sia, in linea di principio rotto, ma che dobbiamo ancora sviluppare un sistema sicuro contro un avversario che è fisicamente presente.

    
risposta data 13.02.2013 - 09:02
fonte

Leggi altre domande sui tag

Quanto sono vulnerabili le passphrase con struttura grammaticale? Computer di fronte pubblico in un laboratorio multimediale