Frage:
Was sind die potenziellen Risiken, wenn ein Gerät öffentlich, aber gesperrt bleibt?
Zee
2019-12-31 19:48:25 UTC
view on stackexchange narkive permalink

Angenommen, Sie befinden sich in einem öffentlichen Café oder einer Konferenz, in der Sie darauf vertrauen, dass Ihr Gerät nicht gestohlen wird, wenn Sie 5 Minuten auf die Toilette gehen, aber Sie vertrauen nicht darauf, dass es möglicherweise nicht manipuliert wird.

Was sind die potenziellen Sicherheitsrisiken, denen ich hier begegnen könnte, vorausgesetzt, ich sperre / melde die Benutzersitzung meines Laptops (Windows / Mac / Linux) ab und schalte sie möglicherweise sogar aus?

Abhängig vom Gerät und der Einrichtungssicherheit kann es Sekunden dauern, bis eine Kompromittierung vorliegt, oder es ist überhaupt nicht möglich.Ihre Frage ist zu allgemein.
@Overmind ist es wirklich zu allgemein?Ich freue mich über Vorschläge, wie man es genauer machen kann, aber ich habe das Gefühl, dass es sofort zu spezifisch wird, wenn ich das tue.Es gibt viele ähnliche "allgemeine" Fragen wie diese zu Sec SE (z. B. öffentliche WLAN-Risiken, Anschließen von Pendrives an Geräte-Risiken usw.), aber ich konnte keine davon mit genau diesem Szenario finden.Die Antwort muss vielleicht etwas ausführlich sein, aber wenn man sie als "zu allgemein" betrachtet, fühlt sie sich wie ein ungenaues Urteil an
Verwandte, mögliche Duplikate: [Ist ein vorübergehender physischer Zugriff gefährlich?] (Https://security.stackexchange.com/questions/187515/is-momentary-physical-access-dangerous)
Relevant: https://en.m.wikipedia.org/wiki/Evil_maid_attack
Warum nehmen Sie an, dass Ihr Gerät vor Diebstahl geschützt ist?Es könnte schöner sein als das eines anderen, dass er der Versuchung nicht widersteht.Oder vielleicht erkennt die Sicherheit es, nimmt es und macht es sicher, falls es ein Sprengmittel enthält.
https://github.com/axi0mX/ipwndfu .. https://checkm8.info ... https://blog.trailofbits.com/2019/09/27/tethered-jailbreaks-are-back/
Betrachten Sie Datenverlust als Sicherheitslücke?Wenn ja, dauert ein gut platzierter Hammerschlag erheblich weniger lange als eine Toilettenpause.
Hängt davon ab.Wenn es sich bei der fraglichen Konferenz um [DEF CON] (https://en.wikipedia.org/wiki/DEF_CON) handelt, lautet die Frage eher: "Auf wie viele verschiedene Arten wird sie gehackt?"
Neun antworten:
Conor Mancone
2019-12-31 20:17:47 UTC
view on stackexchange narkive permalink

Alles

Ich beziehe mich auf die 10 unveränderlichen Sicherheitsgesetze, insbesondere # 3:

Wenn ein Bösewicht uneingeschränkten physischen Zugang zu hat Ihr Computer, es ist nicht mehr Ihr Computer

Natürlich ist ein Computer, der 5 Minuten lang unbeaufsichtigt in einem Café sitzt, nicht so anfällig wie ein Computer Computer, der ein Jahr in der NSA-Zentrale verbringt, aber Sie wären überrascht, wie schnell jemand mit physischem Zugriff Probleme verursachen kann.

Dies ist etwas weit gefasst, und ich möchte daher ein Buch für eine Antwort vermeiden Ich werde mich nur auf eine Klasse von Angriffen konzentrieren, für die die meisten Consumer-Laptops anfällig sind: USB-basierte Angriffe. USB macht Spaß, da ein USB-Anschluss für fast alles verwendet werden kann. Dies hat zu der klassischen Form eines bösen Dienstmädchenangriffs geführt, bei dem ein Angreifer einfach ein Gerät an Ihren USB-Anschluss anschließt, dem Ihr Computer sofort gehört. Dies kann verschiedene Formen annehmen, aber ich werde nur einige auflisten:

  1. Das USB-Gerät gibt vor, eine Tastatur zu sein, und versucht, Befehle in Ihren Computer einzufügen (möglicherweise beginnend mit einer Bruteforce von Ihnen Sperrbildschirm)
  2. Das USB-Gerät gibt vor, ein Netzwerkadapter mit hoher Priorität zu sein, der langlebige DNS-Regeln in Ihr Netzwerk-Setup einfügt und effektiv einen permanenten MitM-Angriff auf Zielwebsites für Ihren Computer implementiert (aufgrund dessen, wie) Netzwerkgeräte funktionieren Dies ist normalerweise sogar bei gesperrten Computern möglich.
  3. Das USB-Gerät lädt eine Reihe von Kondensatoren von Ihrem Netzteil auf und sendet dann eine Hochspannungsladung zurück, und brät sofort Ihren gesamten Laptop.
    4. ol>

    Hier ist eine längere Liste, aber da dies eine ganze Klasse von Angriffsoptionen ist, werden sich die Optionen ändern und Google ist hier die beste Wahl. Bei vielen dieser Angriffe muss ein Gerät nur Sekunden lang angeschlossen sein. Sie können Ihren Computer völlig kompromittiert oder einfach tot lassen (auch bekannt als das effektivste DoS). Ist das wahrscheinlich? Wahrscheinlich nicht. Ist es aber möglich? Absolut mit wenig Aufwand, solange jemand mit einem Gerät in der Tasche herumläuft.

Nummer 3 ist ein bisschen albern.Jemand könnte es auch mit einem Hammer zerschlagen.oder lass es fallen."Laptops anfällig für potenzielle Energieangriffe!"
@SteveSether lol, gültiger Punkt.Diese Dinge sind jedoch in einem Café ziemlich offensichtlich.Ich kann Ihnen praktisch garantieren, dass irgendwo da draußen ein Kind mit einem USB-Killer in der Tasche herumläuft und nur nach einem unbeaufsichtigten Laptop sucht, um ihn an "for the lolz" anzuschließen.
Mein Punkt ist mehr, dass es ziemlich offensichtlich ist, dass jemand Ihren Laptop mit physischem Zugriff physisch zerstören könnte.Ist diese Methode wirklich wichtig?Sie könnten auch ein kleines Loch an der richtigen Stelle bohren und es wäre nicht sofort offensichtlich, dass jemand es getan hat.
@SteveSether Ich bin nicht anderer Meinung, aber wenn ich eine Liste möglicher Angriffe über einen USB-Anschluss erstellen möchte, wäre ich mir nicht sicher, wenn ich den USB-Killer weglassen würde.
re: 1.: Warum die rohe Gewalt?Warten Sie einfach 10 Minuten, bis der Besitzer des Laptops ihn entsperrt hat.Lenken Sie ihn dann ab und lassen Sie den böswilligen Tastaturemulator ausführen, was er will.Ein solcher Emulator kann klein genug sein, um * in * Ihren USB-Anschluss zu passen, so dass Sie ihn nicht einmal sehen würden.
@SteveSether Ist das so offensichtlich?Sicher, sobald darauf hingewiesen wird, dass jeder einen "duh" -Moment hat, aber wenn Sie tatsächlich eine Umfrage durchführen würden, in der die Teilnehmer gebeten werden, mögliche Angriffswege aufzulisten, würden Sie tatsächlich viele Antworten erhalten, die physische DOS-Angriffe beinhalten?Die Existenz solcher Fragen legt nahe, dass dies nicht für alle offensichtlich ist.
@SteveSether & andere, die den USB-Killer-Angriff verspottet haben -> Es gibt Leute, die es für "cool" halten, diese Art von Geräten zu verwenden.Auch Leute, die vielleicht Ihr Eigentum angreifen, verbrennen, verteidigen oder auf andere Weise zerstören möchten.Von alledem ist der USB-Killer-Angriff jedoch (normalerweise) leise, schnell, offensichtlich und tödlich.Es kann in Sekundenschnelle vollständig verdeckt implementiert werden.-> Setzen Sie sich an einen Tisch gegenüber oder in die Nähe eines Laptops.Schieben Sie die Hand mit dem USB-Killer in den nächsten USB-Anschluss.Zyklus.Verlassen.Das Gerät könnte vorgeladen werden, wodurch die Abschaltzeit irgendwo unter einem zweiten Einsatz zum Entfernen erreicht wird.
@SteveSether: Wie hoch sind in einer Cafeteria auf einer Konferenz oder in einem Café die Chancen, dass jemand die Sicherheit anruft (oder sich an ein Gesicht erinnert, wenn die Polizei nach Zeugen sucht), wenn 1. jemand mit einem Hammer oder einer tragbaren Bohrmaschine einen unbeaufsichtigten Laptop physisch zerstört: sehrhoch 2. Jemand setzt sich in die Nähe eines unbeaufsichtigten Laptops und steckt dann etwas hinein: viel niedriger.Vor allem, wenn Sie subtil sind und / oder zwischen dem Hinsetzen und dem Anschließen etwas warten, damit die Leute vergessen, dass es nicht Ihr Laptop war.
@SteveSether Wenn Sie mir erlauben, genau zu wählen, ist ein Laptop, der einem Hammer erliegt, nicht anfällig für * potenzielle * Energieangriffe.Es ist anfällig für kynetische Energieangriffe.
@RussellMcMahon Es gibt möglicherweise Hunderte von Möglichkeiten, einen Laptop zu zerstören, ohne dass dies sofort offensichtlich ist. Viele davon sind billiger, einfacher und erfordern noch weniger technisches Wissen als "USB-Killer".Zum Beispiel könnten Sie mit einer kleinen Spritze Säure in das Ding sprühen und es innerhalb weniger Tage langsam an den internen Schaltkreisen abfressen lassen.Es wäre nicht allzu schwer, dies zu verbergen.Ich denke, dies alles wird unter der Annahme abgedeckt, dass "jemand mit physischem Zugang zu etwas es zerstören könnte".
Ich stimme dem Kern Ihrer Antwort zu, aber hier ist ein wenig Auswahl.# 1 wird nicht funktionieren, es sei denn, es wird ständig versucht, was vom Benutzer gesehen wird.# 2 kann mit Software wie dem getarnten Penteract-Tastaturdetektor blockiert werden (der den Benutzer auch auf # 1 hinweist, wenn er sich wieder anmeldet).# 3 wurde in anderen Kommentaren erwähnt.
@SteveSether Es ist immer möglich, für jeden Standpunkt zu argumentieren.Ich habe noch nie von Säurespritzenangriffen, bulraischen Regenschirmen oder Stilletos gehört, mit denen Computer hoffentlich verdeckt zerstört werden.Es kann durchaus passieren.Gelegentlich.USB-Killer sind leider "eine Sache", die die Aufmerksamkeit der Gottlosen auf sich gezogen hat.[Garglabet behauptet 383.000 Ergebnisse für USB-Killer.] (Https://www.google.com/search?q=%22usb+killer%22&rlz=1C1CHBF_enNZ834NZ839&oq=%22usb+killer%22&aqs=chrome.0.69i59j0l7.40=UTF-8) und hier ist [usbkill.com] (https://usbkill.com/) und [hier] (https://wiki2.org/en/USB_Killer) ...
... ist der Eintrag von Wikipedia.Und [hier] (https://www.theverge.com/2019/4/17/18412427/college-saint-rose-student-guilty-usb-killer-destroyed-computers) ist ein reales Beispiel für zahlreiche Computerein solches Gerät zerstört.||||Es scheint mir seltsam, dass die Leute so heftig über einen Beitrag streiten, der solche Geräte beschreibt und zeigt, dass sie eine echte Bedrohung für die reale Welt sind.Wenn dies für das OP und andere nicht von Belang ist, dann ist das in Ordnung, hier gibt es nichts zu sehen.Es besteht die Möglichkeit, dass mehr als ein Leser diese Informationen nützlich fand.
@RussellMcMahon Sie scheinen falsch zu verstehen.Ich bin nicht anderer Meinung, dass ein Idiot Ihren Laptop mit einem USB-Killer zerstören könnte oder dass Jackasses dies tatsächlich getan haben.Ich behaupte nur, dass es offensichtlich ist, dass jemand Ihren Laptop mit physischem Zugriff zerstören könnte, und es ist bereits gut verstanden, offensichtlich und nicht erwähnenswert.
USB-Killer: könnte für die meisten Zwecke auch durch eine Tasse Kaffee oder einen unschuldigen Druck auf das Tischgerät erreicht werden.USB-Netzwerkadapter: Ich bin mir nicht sicher über Linux, aber der Windows-Laptop, den ich habe, akzeptiert keine USB-Geräte, solange er gesperrt ist.Brute Erzwingen des Sperrbildschirms: Sie überschreiten die Anzahl der Domain-Anmeldungen so schnell, dass die Person bemerkt, dass etwas nicht stimmt.Ein realistischer Angriffsmodus für mich wäre, eine "Tastatur / Maus" einzufügen, die wartet, bis der Laptop entsperrt ist (hmm. Das ist eigentlich der schwierige Teil ...) und dann Malware herunterlädt
@Sascha Der "USB-Killer" (oder ein funktionsähnliches Gerät, das an einen anderen Anschluss angeschlossen ist - z. B. eine Firewire-Kopfhörerbuchse, ...) muss nur physisch angeschlossen werden können. Es ist für ihn nicht relevant, dass das Gerät gesperrt ist.Im Gegensatz zu einer Tasse Kaffee oder einem Abstoßen vom Tisch oder einem anderen von außen zerstörenden Angriff kann es für Beobachter völlig unbemerkt sein, dass ein Angriff ausgeführt wurde oder dass Schaden angerichtet wurde.Die Angriffszeit kann unter einer Sekunde liegen.
@RussellMcMahon: Ja, aber wenn jemand Sie dabei beobachtet, wie Sie so etwas verwenden, wird das Level von einem erklärbaren unglücklichen Ereignis zu kriminellem Verhalten.
Ich denke, vielleicht lenken die Beispiele von der eigentlichen Lektion ab, um von der Regel abzuweichen: Sie lassen Ihre Geräte niemals unbeaufsichtigt."Alles" drückt es gut aus, man weiß einfach nicht, wer was tun kann, noch warum oder in wie viel Zeit.Man kann Wege finden, um Angriffe abzuwehren, aber der einzige wirkliche Weg, um Manipulationen an Ihrem Gerät zu verhindern, besteht darin, es mit auf die Toilette zu nehmen.Zumindest denke ich, dass es nützlich wäre, diese Zahl explizit zu haben.
@Sascha Treten Sie zurück und betrachten Sie dies im Kontext der ursprünglichen Frage."Wenn dich jemand beobachtet ..." Es ist ein Kaffeehaus usw. Fast jeder andere Exploit, Angriff, ... hier braucht Zeit und eine hautnahe und persönliche Interaktion mit dem Gerät des Benutzers.Ob ein Axtangriff oder was auch immer die Sicherheit ausnutzt.Das coole Kind, das sich neben das Gerät setzt und heimlich seine Hand für ungefähr 1 Sekunde (buchstäblich) darüber streicht, um seine Punktzahl zu erhöhen, ist ungefähr so verdeckt und nicht nachweisbar, wie Sie es bekommen werden.Ein EMP-Angriff kann weniger sein, wenn Sie den EMP-Generator verbergen können :-).
Diese Regel Nr. 3 ist albern.Es hängt alles vom System ab - ein verschlüsselter Laptop unterscheidet sich von einem korrekt konfigurierten iPhone.
Mildes OT, aber ich würde erwarten, dass eine Maschine, die * ein ganzes Jahr * bei der NSA verbracht hat, überall, wo ich hinkomme, unheilvoll ein paar Meter hinter mir schwebt und sich immer hinter der nächsten Ecke versteckt, was Geräusche gerade so wahrnehmbar macht, dass ich denke, ichetwas gehört ... schon wieder ???
Steve Sether
2020-01-01 01:19:53 UTC
view on stackexchange narkive permalink

Die beiden bisherigen Antworten konzentrierten sich auf das Einstecken eines USB-Geräts in den Laptop. Ich würde mir mehr Gedanken darüber machen, eine PCI (e), einen Firewire oder ein ähnliches Gerät mit direktem Buszugriff in einen Erweiterungssteckplatz des Laptops einzufügen. Während USB keinen direkten Zugriff auf den Speicher hat, können verschiedene Erweiterungskarten direkt in den Speicher lesen / schreiben, ohne die CPU zu durchlaufen. Weitere Informationen finden Sie in Wikipedia

. Das bedeutet, dass jemand den gesamten Inhalt Ihres Speichers direkt lesen und schreiben kann, indem er eine unerwünschte Erweiterungskarte in Ihren Computer einlegt.

Ich möchte hinzufügen, dass dies relativ unwahrscheinlich ist, es sei denn, Sie werden von einem Geheimdienst oder von hoch organisierten Kriminellen angegriffen, die Sie persönlich verfolgen. Ich weiß nicht, dass eine solche Hardware im Handel erhältlich ist.

Heutzutage haben nicht viele Laptops Firewire mit uneingeschränktem DMA.Ich denke, PCIe über Thunderbolt ist standardmäßig eingeschränkt, bis das Betriebssystem den Thunderbolt PCIe-Switch anweist, seine Aufgabe zu erledigen.Lässt uns mit ExpressCard als Angriffsvektor!
@Steve Geben Sie mir Zugriff auf Masse und eine etwas von der Erde isolierte Verbindung, und (sollte ich es wünschen (ich nicht)) Ihr Gerät ist Toast.Wenn Sie hohe Energie und Spannung in einen Knoten einspeisen können, der mit "Silizium" verbunden ist, das nicht isoliert und geklemmt ist, um einem immensen Energieschub standzuhalten, dann sobald er in einem IC Fuß fasst, der lose über Stromversorgungsschienen und Busse verbunden istund ... die Energie kann "überall" enden.||zB nur - USB + 5V und -ve.-ve im Wesentlichen gemahlen (wahrscheinlich)....
... 5V KANN von anderen Stromversorgungen isoliert sein, wird jedoch wahrscheinlich an eine 5V-Stromversorgung angeschlossen, die andere Bereiche versorgt.- möglicherweise über Filterung und möglicherweise über Elektronik (Handshake, Strombegrenzung, ...).Wenden Sie beispielsweise 2 kV bei so vielen Joule an, wie ich tragen möchte, und die Wahrscheinlichkeit, dass ein System nicht für Widerstand ausgelegt ist, ist gering.
@MarcusMüller Zumindest für Windows 7 ist Firewire DMA deaktiviert, wenn der Sperrbildschirm aktiv ist.Bei anderen externen DMA-fähigen Geräten bin ich mir nicht sicher.Wenn Sie den Laptop schnell öffnen können, können Sie mit PCIe-Hotplugging auf den meisten Systemspeicher zugreifen, vorausgesetzt, DMAR ist nicht konfiguriert (nicht sicher, ob Windows ihn standardmäßig konfiguriert. Ich denke, MacOS funktioniert, aber nicht sehr gut, und Linuxnur wenn du es sagst).
Kleiner Trottel für diese Antwort, aber PCI (im Gegensatz zu PCIe) unterstützt kein Hotplugging, es sei denn, Sie verwenden Server-Motherboards mit spezieller Hardware. Selbst wenn Sie einen Laptop mit PCI gefunden hätten, müssten Sie sich keine Gedanken über Hotplugging machenein Vektor für DMA-Angriff.Und ja, Hardware wie diese ist im Handel erhältlich (aber es ist wahrscheinlich besser, sie selbst zu bauen, was nicht so schwer ist ... kaufen Sie einfach ein billiges PCIe-FPGA und [programmieren Sie es für DMA-Lesevorgänge] (http: // xillybus).com /) und sichern Sie das über USB oder sogar seriell, wenn Sie die Zeit haben).
USB 4.0 ermöglicht DMA wie Thunderbolt / Firewire ...
@forest Wo kann man ein solches Gerät kaufen, um den gesamten Speicher des Laptops zu kopieren?
@RussellMcMahon Ein ähnliches Ergebnis kann mit einer vor 1 Million Jahren erfundenen Technologie erzielt werden.Es heißt ein Stein.
@SteveSether Suchen Sie nach einer FPGA-PCIe-Karte.Sie können einen PCIe-IP-Core verwenden.Es ist kein einfaches "Jeder kann es Plug-n-Play verwenden".Sie müssen es an Ihr Ziel oder zumindest an dessen Betriebssystem und Version anpassen.Es gibt einfache Plug-n-Play-Spiele, aber ich glaube, sie werden zu extrem hohen Preisen an die Strafverfolgungsbehörden verkauft (da sie selten die Fähigkeiten haben, dies selbst zu tun).Ein akademisches Beispiel (tatsächlich eines der ersten) finden Sie in der Veröffentlichung zu "Tribble" (ja, wie in "Trouble with Tribbles" von Star Trek).
@SteveSether Wissen, dass die meisten modernen Betriebssysteme DMA-Angriffe mit DMAR blockieren, obwohl es häufig Möglichkeiten gibt, dies zu umgehen (z. B. https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_05A-1_Markettos_paper.pdf).
Serge Ballesta
2019-12-31 21:51:20 UTC
view on stackexchange narkive permalink

Die meisten Laptops bieten die Möglichkeit, von einem USB-Laufwerk zu booten. Wenn dies auf BIOS-Ebene nicht blockiert ist, kann ein Angreifer auf seiner Systemfestplatte booten und dann Ihre physischen Festplatten bereitstellen und tun, was er will (Lesen / Schreiben). Dies ist die Standardmethode zum (Neu-) Installieren eines Systems.

Das ist übrigens ein guter Grund, Partitionen zu verschlüsseln, auf denen möglicherweise vertrauliche Daten gespeichert sind.
In der Zeit, die du brauchst, um zu pinkeln?Wenn ja, brauchen Sie einen Arzt, keinen Sicherheitshinweis
Nein, sie können nicht, wenn das Laufwerk verschlüsselt ist.
Verschlüsselung ist in der Tat ein guter Schutz in Ruhe unter * vertraulichen * Gesichtspunkten.Unter dem Gesichtspunkt der * Verfügbarkeit * ist es schrecklich: Die Überschreibung einiger Sektoren auf einer verschlüsselten Teilung zerstören irrelevant die ganzen Teilungsdaten.Also ja, mit Verschlüsselung kann ein Angreifer alle Ihre Daten in der Zeit zerstören, die Sie zum Pinkeln benötigen ...
@SergeBallesta: ja, aber er ist wahrscheinlich nicht in der Lage, "Ihre physischen Festplatten zu mounten und zu tun, was sie wollen (lesen / schreiben)".Nur die Festplatte zerstören zu können, ist nicht dasselbe wie das zu tun, was Sie wollen.(Übrigens ist bei den meisten Firmen-Laptops die Option "Von USB booten" blockiert.)
Die Festplattenverschlüsselung schützt nicht unbedingt vor dieser Art von Angriff.Der Verschlüsselungsschlüssel ist beim Sperren / Schlafen des Computers immer noch im RAM vorhanden, sodass das USB-Gerät möglicherweise Software zum Auffinden des Verschlüsselungsschlüssels im RAM enthält.Das Ausschalten des Geräts reicht nicht aus, um diesen Angriff zu verhindern, da der RAM seine Daten nicht sofort verliert, wenn die Stromversorgung unterbrochen wird.(Um ehrlich zu sein, ich weiß nicht, ob moderne Betriebssysteme dies durch Überschreiben des Verschlüsselungsschlüssels aus dem RAM zur Ruhe- / Sperrzeit gemildert haben, aber ich habe noch nichts davon gehört.)
Selbst wenn es auf BIOS-Ebene blockiert ist, können sie einfach die Festplatte entfernen und an einen anderen Computer anschließen.
@GeorgeMReinstateMonica gibt es andere Dinge, die Sie im Badezimmer tun können, außer pinkeln
Hast du die Frage SunshineT gelesen?Es gibt nicht viel anderes, was Sie in weniger als 5 Minuten tun können, einschließlich das Finden des Badezimmers und das Hin- und Hergehen.
Sascha
2020-01-02 21:17:46 UTC
view on stackexchange narkive permalink

Ich habe ein einfacheres Risiko: Social Engineering. Viel einfacher, wenn der Angreifer die Asset-Nummer (siehe Rückseite des Laptops), die Telefonnummer des Supports und den auf dem gesperrten Bildschirm sichtbaren Anmeldenamen notieren und möglicherweise das Unternehmen kennen kann. Der Computername (falls auf einem Asset-Tag angegeben) kann auch für spätere Unfug wie das Fälschen einer ID im Unternehmensnetzwerk, glaubwürdige Tarnung bei MITM und andere lustige Dinge nützlich sein.

averell
2020-01-02 03:25:07 UTC
view on stackexchange narkive permalink

Die Antwort ist eigentlich alles zwischen „nichts“ und „irgendetwas“ und hängt stark vom Gerät und dem Szenario ab, über das Sie sprechen.

Die wahrscheinlichsten Szenarien wären:

  • Es ist nichts passiert
  • Diebstahl [1]
  • Ein gezielter Angriff mit spezieller Hardware

Im Folgenden wird davon ausgegangen, dass der Angreifer dies nicht getan hat Beobachten Sie, wie Sie Ihren Passcode eingeben. Dies ist ebenfalls ein realistisches Szenario.

Die hier genannten USB-Angriffe wirken sich hauptsächlich auf entsperrte Geräte aus. Während der Angreifer möglicherweise etwas an den USB-Anschluss angeschlossen lässt, besteht eine hohe Wahrscheinlichkeit, dass Sie es vor dem Entsperren entdecken.

Der Angreifer könnte Ihr Gerät auf andere Weise „abhören“, dies wäre jedoch der Fall auf eine Weise zu tun, die Sie bei Ihrer Rückkehr nicht entdecken. Dies ist in 5 Minuten sehr schwierig und erfordert eine Vorplanung.

Jemand, der hinter Ihren Daten her ist, könnte natürlich einfach das Gerät stehlen, das vermutlich unbeaufsichtigt ist. Dann können sie mehr Zeit und Mühe für den Versuch aufwenden; obwohl Sie offensichtlich bemerken würden, dass es verschwunden ist.

Wenn das Gerät ausgeschaltet und verschlüsselt ist, ist der einzige Weg, um Zugriff zu erhalten, ein Wörterbuch- oder Brute-Force-Angriff auf Ihren Passcode. Alles hängt von der Sicherheit ab.

Wenn das Gerät verschlüsselt und eingeschaltet ist, wird die Verschlüsselung entsperrt. Der Angreifer kann möglicherweise Daten aus dem laufenden System extrahieren. Dies erfordert möglicherweise benutzerdefinierte Hardware, und die Schwierigkeit hängt vom Gerätetyp ab.

Wenn das Gerät nicht verschlüsselt ist, ist das Lesen der Daten trivial.

Die Wahrscheinlichkeit, dass ein zufälliger Fremder Sie gehen einfach vorbei und hacken ein verschlüsseltes, gesperrtes Gerät, das remote ist - es sei denn, Sie befinden sich auf einer Sicherheitskonferenz.

Wenn Sie sich Sorgen machen müssen, dass Sie gezielt angegriffen werden, besteht möglicherweise eine glaubwürdige Bedrohung.

Wenn Sie sich jedoch gegen einen gezielten Angriff verteidigen, ist es zu eng, nur an das Gerät selbst zu denken: Der Angreifer könnte auch versuchen, einen tatsächlichen Fehler in Ihre Tasche oder Jacke zu stecken. Oder versuchen Sie, ein USB-Gerät in Ihre Konferenztasche zu stecken, das wie Beute aussieht, in der Hoffnung, dass Sie es selbst anschließen. Oder versuchen Sie, Ihren Passcode zu filmen oder zu beobachten, wenn Sie zurückkommen, um sich auf einen späteren Angriff vorzubereiten.

Gegen einen gezielten Angreifer ist „Gerät nach Toilettenpause nicht kompromittiert“ nicht gleich „sicher“. P. >

Der wahrscheinlichste „Angriff“ ist immer noch Diebstahl - auch wenn nur, um das Ding zu verkaufen. Wenn sie die Maschine zerstören möchten, können sie auch einfach Kaffee darüber verschütten und fertig sein.

[1] Ich habe jedoch den Teil bemerkt, in dem steht, dass Sie „darauf vertrauen, dass es nicht gestohlen wird“ Es ist kaum vorstellbar, dass das Gerät so „überwacht“ wird, dass es nicht gestohlen wird und dennoch Manipulationen unbemerkt bleiben. Viele oder die meisten der hier genannten Techniken (einschließlich Neustart und Aufrufen des BIOS) sind auffälliger als Diebstahl.

Für mich interpretierte ich das "Vertrauen, dass es nicht gestohlen wird" eher als "Wenn ich aus dem Waschraum zurückkomme und mein Laptop noch da ist, kann ich davon ausgehen, dass es sicher ist".An diesem Punkt wissen Sie, dass es nicht gestohlen wurde. Die Frage ist, was in der Zwischenzeit hätte passieren können.Der Wortlaut der Frage, imo, ist einfacher zu fragen, was die Bedrohung für einen unbeaufsichtigten Laptop ist und Diebstahl auszuschließen, als die Frage nach dem Post-hoc zu stellen
Nun, ich beschäftige mich auch mit dem Szenario, aber nur 5 Minuten an einem öffentlichen Ort zu haben, ist eigentlich eine ziemlich harte Einschränkung.und noch schwieriger, wenn der Angriff nicht erkannt werden sollte.Es ist nicht unmöglich, aber es muss so ziemlich gezielt werden (es sei denn, das Gerät ist entsperrt).Viele der komplexeren Angriffe sind in diesem Szenario tatsächlich * schwerer * abzuwehren als Diebstahl.
fraxinus
2020-01-02 00:58:37 UTC
view on stackexchange narkive permalink

Links ausgeschaltet: Varianten des "bösen Dienstmädchenangriffs" (Kompromittierung Ihres Bootloaders, um Ihr Verschlüsselungskennwort zu erhalten). Oder wenn nicht verschlüsselt - einfach von einem externen Medium booten und alles Interessante im Dateisystem abrufen und / oder Rootkit installieren. Das Öffnen und Anschließen Ihres Speichers an einer anderen Stelle ist ebenfalls eine Option.

Links eingeschaltet und gesperrt:

(1) Schalten Sie ihn aus und sehen Sie oben nach (Sie werden feststellen, dass es möglicherweise zu spät ist). .

(2) ohne Ausschalten: Nutzen Sie eine Sicherheitsanfälligkeit eines externen Gerätetreibers mit einem bösen Gerät (USB, eSATA, FireWire, Mini-PCIx, NFC, CCID, Stromversorgungsdatenschnittstelle usw.) und gewinnen Sie teilweise oder komplette Kontrolle. Ja, es gibt defekte Treiber, und die meisten modernen Betriebssysteme in ihren Standardeinstellungen laden sie problemlos, wenn die richtigen Geräte-IDs über die Schnittstelle angezeigt werden. Neben defekten Gerätetreibern gibt es auch defekte Anwendungsstapel (Netzwerk, HID, pkcs11 usw.).

(3) Denial-of-Service: Versuchen Sie einige falsche Passwörter und sperren Sie Ihr Konto (nicht jedes Betriebssystem meldet, dass Ihr Konto vorhanden ist ist gesperrt)

(4) Mounten von Remote-Angriffen gegen Bluetooth, Wifi, NFC, IR usw. Einige von ihnen erfordern sichtbare Geräte in physischer Nähe.

(5) Sammeln physischer Fingerabdrücke

(6) Installieren der Spionagehardware in Ihrem Computer (z. B. Ersetzen des externen oder austauschbaren Akkus, der Maus, des Power Bricks oder eines anderen Objekts w von Ihrer Tastatur zur späteren Verwendung gegen ein Fingerabdruck-fähiges Telefon oder den Laptop selbst. w / etwas, das ähnlich aussieht und einen zellfähigen Tracker und / oder ein Mikrofon hat)

Die Liste kann wirklich weiter und weiter gehen. Einige dieser Angriffe sind komplex und / oder zielgerichtet, aber ziemlich machbar.

Ich denke, das Sammeln von Fingerabdrücken hat sehr wenig damit zu tun, Ihren Laptop unbeaufsichtigt zu lassen.Es ist genauso einfach, wenn nicht sogar einfacher, einen Fingerabdruck von einem Trinkglas zu heben.Es stimmt jedoch, dass einige Laptops über Fingerabdruckleser verfügen und mit einem gefälschten Finger entsperrt werden können.
Hier ist eine, die erst vor wenigen Jahren als nationalstaatlich eingestuft worden wäre, sich aber in der Kette zu High-End-Hackern entwickelt: Ausnutzung eines der vielen physischen ME / PSP-Zugriffsfehler, um effektiv permanente, unsichtbare, mit dem Netzwerk verbundene Malware zu injizieren.Dies ist besonders interessant, da sich die ME / PSP in jedem einzelnen modernen Laptop befinden (mit Ausnahme von beispielsweise ARM-Chromebooks), nur wenige Menschen davon wissen und die Malware das Neuladen des Betriebssystems überleben würde.Von dort könnte es z.B.Verschlüsselungsschlüssel direkt aus dem RAM (oder Daten direkt auf die Festplatte schreiben).
@madscientist159, worüber Sie sprechen, passt perfekt in den "kaputten Anwendungsstapel".ME (und Freunde) sind im Sinne der Sicherheit von der Grundidee bis zu den generischen Fehlern in bestehenden Implementierungen gebrochen.
@fraxinus Der Hauptunterschied ist der.Zumindest in den meisten Fällen kann ich eine defekte Anwendung ersetzen (oder sogar einen Ersatz schreiben, wenn es sich um geschäftskritische Funktionen handelt).Die ME / PSP sind insofern "speziell", als sie nur Binärdateien booten, die mit dem Intel / AMD-Schlüssel signiert sind (beachten Sie das Schlüsselwort "boot" - einmal gebootet, genau wie beim Jailbreak eines iPhones, können sie ausgenutzt werden).Dies bringt sie in eine ganz besondere Klasse;Mindestens ein Unternehmen, das ich kenne, musste über ansonsten einwandfreie Intel-Boards verfügen, die nicht unterstützt wurden, wenn die Deaktivierung des ME den E-Abfall gerettet hätte.
@madscientist159 Stimmen Sie aus der ganz besonderen Sicht des fortgeschrittenen Sicherheitsingenieurs zu.Ansonsten wird auf vielen Geräten heutzutage nur signierte Software ausgeführt, und dies kann in Bezug auf die Sicherheit sowohl gut als auch schlecht sein (im Allgemeinen schlecht, wie dies bei ME der Fall ist).
Michael Geary
2020-01-02 04:38:21 UTC
view on stackexchange narkive permalink

Hier ist ein bestimmtes Szenario. Sie haben ein ThinkPad und wie die meisten ThinkPad-Besitzer haben Sie noch nie ein Supervisor-BIOS-Kennwort festgelegt.

Beachten Sie, dass ein ThinkPad-BIOS zusätzlich zu den Festplattenkennwörtern zwei verschiedene Kennwörter enthält. Es gibt ein Supervisor -Kennwort und ein Einschaltkennwort .

Mit dem Einschaltkennwort können Sie den Computer starten. Dieses Passwort kann leicht zurückgesetzt werden. Im Hardware-Wartungshandbuch für viele ThinkPads ist das Verfahren zum Zurücksetzen aufgeführt. Es ist oft so einfach wie das Entfernen der Hauptbatterie und der CMOS-Batterie.

Das Supervisor-Passwort ist erforderlich, um die BIOS-Einstellungen zu ändern. Dieses Passwort ist viel schwerer zurückzusetzen. Die offizielle Methode besteht darin, die Systemplatine auszutauschen. Die inoffizielle Methode besteht darin, einen SPI-Flash-Programmierer zu erhalten, eine Kopie des aktuellen BIOS zu erfassen, diese an ein Unternehmen in Rumänien zu senden, das das BIOS für Sie patcht und dann zu flashen Das gepatchte BIOS auf Ihrem Computer.

Da Sie kein Supervisor-Kennwort festgelegt haben, kann jeder Ihren Computer über das BIOS starten und ein neues Supervisor-Kennwort festlegen, nachdem Sie Ihre BIOS-Einstellungen durcheinander gebracht haben . Dies würde nur ein oder zwei Minuten dauern und Ihnen einen nicht bootfähigen Computer und keine schnelle und einfache Möglichkeit zur Wiederherstellung hinterlassen.

Natürlich ist die schlechte Person nachdenklich genug, um Ihnen ein Haftnotizangebot zu hinterlassen Sparen Sie sich die Mühe, das oben beschriebene Verfahren durchzuführen. Sie erhalten das neue Supervisor-Passwort als Gegenleistung für eine Bitcoin-Zahlung.

Tolle Ergänzung im Allgemeinen, aber ein Trottel: Während dies für ein ThinkPad funktioniert, ist es für den Besitzer eines Geräts meistens recht einfach, das BIOS selbst zurückzusetzen (habe es selbst ein Dutzend Mal auf verschiedenen Computern gemacht).
@ConorMancone Auch für ein ThinkPad ist dies unkompliziert.
@ConorMancone und Sneftel - Vielen Dank für Ihre Kommentare.Sie haben Recht, dass das _power-on_-Passwort auch auf einem ThinkPad leicht zurückgesetzt werden kann.Ich habe die Antwort aktualisiert, um zu verdeutlichen, dass ich über das _supervisor_-Passwort gesprochen habe, das viel schwieriger zurückzusetzen ist.
Russell McMahon
2020-01-01 13:37:49 UTC
view on stackexchange narkive permalink

Diese Antwort deckt ein Nicht-Datensicherheitsrisiko ab, das ebenfalls berücksichtigt werden kann:

Worst Case "für ein System mit JEDEM Hardware-Port - vollständige interne Zerstörung in Sekunden.

"USB-Killer" wurden erwähnt - und von einer Reihe von Personen als nicht anders als andere physisch zerstörerische Angriffe abgetan.
Dieser Vergleich ist falsch.

Ein "USB-Killer" ist ein (normalerweise) Gerät in USB-Speicherstickgröße, das an einen USB-Anschluss ( oder einen anderen Anschluss, falls vorgesehen) angeschlossen wird und einen Impuls mit hoher Energie und / oder hoher Spannung liefert in den Port mit dem Ziel, so viel System wie möglich zu zerstören.
Während USB-Killer von einigen Quellen als ESD-Testgeräte angeboten oder beworben werden und um zu demonstrieren, ob die USB-Ports eine "ESD-Schwachstelle" aufweisen (einige Tests) Dies ist wahrscheinlich nicht der Grund, warum das Cool-Kid während Ihrer Abwesenheit einen an Ihren Computer anschließt. Einige Websites schlagen vor, dass durch ein ordnungsgemäßes Design Schäden vermieden werden m solche Geräte. Ich habe einen Master in Elektrotechnik und 50 Jahre Erfahrung. Wenn ich möchte (was ich sicherlich nicht tue), könnte ich ein Gerät herstellen, das alle außer Systemen besiegt, die ausdrücklich zum Schutz vor außergewöhnlichen Hochenergie-Hochspannungsangriffen entwickelt wurden. Opto- oder andere Koppler, Isolation, hochenergetische Klemmen, ....

Diese Geräte existieren wirklich.
Sie sind einfach zu bauen und einfach zu bedienen. Sie sind häufig Entwickelt zum Laden über den USB-Anschluss, kann jedoch vorgeladen werden. Ein Gerät, das z. B. "Superkondensatoren" verwendet, kann in Sekundenbruchteilen einen Impuls abgeben, der über genügend Energie verfügt, um einen Großteil des Systems erheblich zu beschädigen.
Wenn jemand scharf genug war (und einige möglicherweise) a Eine verdrahtete Kondensatorbank könnte verwendet werden, um viel mehr Energie zu liefern. Der Draht kann über einen Ärmel und über die Handfläche zum "Kopf" verlaufen. Ein Gerät mit minimalem Risiko für den Benutzer könnte leicht hergestellt werden.

Es gibt Leute, die es für "cool" halten, diese Art von Geräten zu verwenden.
Auch Leute, die vielleicht Ihr Eigentum durch Axtangriff, Verbrennung, Verteidigung, Schrotflinte, Wüstenadler oder beschädigen möchten andere "geeignete Mittel".

Von all diesen * ist der USB-Killer-Angriff jedoch (normalerweise) still, schnell, offensichtlich und tödlich. Es kann in Sekundenschnelle vollständig verdeckt implementiert werden. ->
Setzen Sie sich an einen Tisch gegenüber oder in die Nähe eines Laptops.
Schieben Sie die Hand mit dem USB-Killer in den nächstgelegenen USB-Anschluss.
Zyklus.
Verlassen.
Das Gerät könnte vorgeladen sein, wodurch irgendwo Zeit zum Töten bleibt weniger als eine Sekunde vom Einsetzen bis zum Entfernen.

* Der Wüstenadler oder die Schrotflinte können schnell und tödlich sein.
Schweigen ist auch kein bekanntes Merkmal.

Dies wird den Computer töten, aber nicht die Vertraulichkeit oder Integrität verletzen.
@forest True.Antwort aktualisiert.Vielen Dank.|Ob dieser Aspekt für das OP genauso wichtig ist wie der Datenaspekt, ist unbekannt.
Dies ähnelt eher einem Kommentar zu anderen Antworten als einer eigenständigen Antwort.Und da andere Antworten dies erwähnt haben, denke ich nicht, dass dies zu den Antworten beiträgt.
Sie beginnen damit, dass es einen Unterschied zwischen einem USB-Killer und physischen zerstörerischen Angriffen gibt, und erklären dann, welchen physischen Schaden dieses Gerät anrichtet.Vermisse ich etwas
@schroeder Mein Punkt - anscheinend nicht klar genug - wird in "JEDOCH, von all diesen * ist der USB-Killer-Angriff (normalerweise) still, schnell, offensichtlich und tödlich. Er kann möglicherweise in Sekundenschnelle vollständig verdeckt implementiert werden."|dh Alle anderen physischen Angriffe erfordern eine offensichtliche mechanische Zerstörungskraft, die für die in der Nähe befindlichen Personen sehr offensichtlich wäre, und die meisten würden keine Datenvernichtung und möglicherweise keine tödliche Gerätezerstörung ohne längeren Angriff sicherstellen.Der USB-Killer ist auch nicht ** sicher ** zu erreichen, aber es ist wahrscheinlich, dass er so leistungsfähig wie möglich gebaut wird - und die Verwendung kann 1 Sekunde dauern.
@schroeder Andere haben den USB-Killer erwähnt und dann entlassen.Es handelt sich nicht um eine Sicherheits-Kompromissmethode, aber von allen verfügbaren Möglichkeiten, um zu einem verdeckt implementierten toten und nicht wiederherstellbaren Gerät zurückzukehren, ist es wahrscheinlich die schnellste und sicherste.||Ich nehme an, Sie sind der Downvoter?Wer auch immer - eine Ablehnung bedeutet "Diese Antwort ist nicht nützlich".Seltsam.
@schroeder Ich habe mir dein Profil angesehen.Bedenken Sie: "Das Beste in infosec ist, Ihre Hacker zu vernichten, sie aus Ihren Netzwerken zu vertreiben und die Wehklagen ihrer Modems zu hören."-> Wenn anstelle von Infosec gegen Benutzer zufällige Zielzerstörung und Ärger auftreten, würde ich sagen, dass ein USB-Killer ein gutes Café-Äquivalent macht.
@RussellMcMahon *** *** *** *** nicht *** die Profile von Personen lesen und den Inhalt verwenden, um abfällige Bemerkungen zu machen.
@user64742 Ich weiß nicht, wer Sie sind (da ich davon ausgehe, dass dies nicht Ihr Name ist), aber Ihr Verständnis von "snide" oder meinen Bemerkungen scheint zu fehlen.Das sollte in keiner Weise abfällig, abfällig, negativ oder unkompliziert sein.Ich habe genau das gemeint, was ich gesagt habe, und ich bin etwas überrascht, dass Sie es als anders als beabsichtigt ansehen können....
... Wenn ich mit jemandem in erheblichem Maße interagiere, kann es nützlich sein zu sehen, was er mir über sich selbst erzählt.Ich schaute.Schröder wollte mir etwas von sich erzählen.Es schien, als würde er sich wahrscheinlich auf meine „Lösung“ beziehen, die in Begriffen ausgedrückt wurde, die er schätzte.|FWIW - [Dies ist 'ich'] (https://stackexchange.com/users/509441/russell-mcmahon?tab=accounts)
Sie scheinen meine Kommentare nicht verstanden zu haben.Andere, bevor Sie * bereits * USB Killers erwähnt haben.Im Text Ihrer Antwort geht es darum, auf die Kommentare anderer zu antworten, in denen es um die Erwähnung von USB-Killern durch andere geht.Diese Antwort fügt also nichts Neues hinzu, sondern ist eine Antwort auf eine Antwort.Wenn Sie sich mit Ihrem eigenen Fachwissen darüber beschäftigen, wie Sie ein solches Gerät entwerfen würden, wird die Frage nicht beantwortet.
@schroeder Wenn Sie sich ansehen, was in einem Sicherheitskontext über "USB-Killer" und nicht über USB gesagt wurde, dann: In Antworten auf Sicherheitsangriffe werden 11 USB-Erwähnungen erwähnt, die Ihre Wahrnehmung darüber, wie viel in Großbritannien gehandhabt wurde, möglicherweise verzerrt habenmit in Antworten.|In den Antworten enthält ein einziger Satz einen Verweis auf "USB-Killer" in [Conner Mancones Punkt 3.] (https://security.stackexchange.com/a/223487/82697).Es gibt einen Kommentar zu Conners Antwort von Steve Sether und zwei Antworten von Conner.Alle anderen Referenzen stammen von mir.Das Thema wird nicht anders behandelt.
@RussellMcMahon Sie müssen nicht wissen, wer ich bin.Eine Bemerkung darüber zu machen ist unhöflich und unnötig.
Kailash
2020-01-03 22:33:41 UTC
view on stackexchange narkive permalink

Wenn Bluetooth aktiviert ist, können Angriffe wie BlueSmack Attack ausgeführt werden. Wenn die USB-Anschlüsse aktiviert sind, treten häufig BadUSB-Angriffe auf. Dies kann auch bei Android-Geräten möglich sein, wenn das USB-Debugging aktiviert ist. Das Hauptanliegen sind offene USB-Anschlüsse. Ein Angreifer kann einen drahtlosen Key-Logger in das Gerät einfügen und Tastenanschläge im selben Netzwerk erfassen.

USB ist bereits gut abgedeckt.Hardware-Keylogger fallen nicht in den Geltungsbereich der Frage.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...