喬安娜·魯特克絲卡，既是無(wú)影實(shí)驗(yàn)室的創(chuàng)始人和首席執(zhí)行官，也是一名著名的安全研究人員。你可能還記得她，魯特克絲卡女士是利用虛擬化技術(shù)導(dǎo)致無(wú)法被安全工具檢測(cè)到的rootkit工具Blue　Pill的共同開(kāi)發(fā)者。

[[8769]]

現(xiàn)在，魯特克絲卡女士又開(kāi)發(fā)出了一種可以顛覆現(xiàn)有規(guī)則的工具。亞歷克斯·捷列什金，無(wú)影實(shí)驗(yàn)室的首席研究員和魯特克絲卡女士改良了可以破解整個(gè)驅(qū)動(dòng)器上的全局加密的惡意代碼。他們將該惡意軟件命名為邪惡女傭。這個(gè)名字看上去很奇怪，但卻非常形象地說(shuō)明了軟件的工作方式。在進(jìn)行攻擊的時(shí)間，邪惡女傭需要攻擊者通過(guò)物理連接進(jìn)入計(jì)算機(jī)，這讓移動(dòng)辦公一族成為完美的目標(biāo)。

它的工作原理

作為兼職的移動(dòng)辦公一族，我非常相信TrueCrypt。但現(xiàn)在，魯特克絲卡女士讓我對(duì)自己的選擇產(chǎn)生了懷疑。為了說(shuō)明我產(chǎn)生懷疑的原因，讓我們來(lái)看看在路上會(huì)發(fā)生什么樣的情況。在拜訪了客戶后，我回到酒店，開(kāi)始撰寫(xiě)文章。在接下來(lái)的幾個(gè)小時(shí)中，我應(yīng)該和客戶共進(jìn)午餐。因此，我關(guān)閉筆記本計(jì)算機(jī)，前往酒店的餐廳。

我不知道原因是什么，但有人非常想看看我寫(xiě)了些什么。因此，他收買(mǎi)了一名酒店員工潛入我的房間，進(jìn)行了下面的活動(dòng)：

Ø 攻擊者利用包含邪惡女傭的USB存儲(chǔ)器啟動(dòng)了我的計(jì)算機(jī)。

Ø 在啟動(dòng)后，一個(gè)叫做“邪惡女傭嗅探器”的應(yīng)用工具被安裝到TrueCrypt的啟動(dòng)列表中，效果如下圖(魯特克絲卡女士提供)所示：　

Ø 攻擊者關(guān)閉筆記本計(jì)算機(jī)并離開(kāi)。

Ø 不久以后我返回房間并決定繼續(xù)撰寫(xiě)文章。

Ø 在我打開(kāi)筆記本計(jì)算機(jī)電源的時(shí)間，邪惡女傭嗅探器就記錄了我輸入的TrueCrypt密碼，并將信息保存在預(yù)先安排好的硬盤(pán)區(qū)域上。

Ø 我并沒(méi)有發(fā)現(xiàn)任何問(wèn)題，只是繼續(xù)寫(xiě)作。過(guò)了一會(huì)兒，我覺(jué)得有點(diǎn)渴。因此，我關(guān)閉筆記本計(jì)算機(jī)并到酒吧去喝幾杯。

Ø 攻擊者發(fā)現(xiàn)了這個(gè)機(jī)會(huì)，就偷偷返回我的房間，利用包含邪惡女傭的USB存儲(chǔ)器啟動(dòng)了筆記本計(jì)算機(jī)。

Ø 該工具檢測(cè)到TrueCrypt的啟動(dòng)列表被感染，并顯示如下(魯特克絲卡女士提供)所示的密碼：

Ø 攻擊者重新啟動(dòng)我的筆記本計(jì)算機(jī)，輸入正確的密碼對(duì)硬盤(pán)驅(qū)動(dòng)器進(jìn)行解密，并將我的文章復(fù)制出來(lái)。

現(xiàn)在你應(yīng)該明白它為什么被叫做邪惡女傭攻擊了;它的效果取決于酒店的環(huán)境。魯特克絲卡女士還提到，一旦密碼被獲取就可能導(dǎo)致筆記本計(jì)算機(jī)被盜。

可能的防范手段

在最新發(fā)布的安全日志中，布魯斯先生對(duì)邪惡女傭有一條有趣的評(píng)價(jià)：

“該工具和去年出現(xiàn)了“冷啟動(dòng)”攻擊，以及今年早些時(shí)間出現(xiàn)的“去核啟動(dòng)”攻擊利用的是相同的漏洞，對(duì)于它們并沒(méi)有真正的防范措施一說(shuō)。只要你放松了對(duì)計(jì)算機(jī)的物理控制，就會(huì)出現(xiàn)全盤(pán)皆輸?shù)那闆r?！?/P>

TrueCrypt已經(jīng)在書(shū)面文件中承認(rèn)了這種說(shuō)法。施奈爾先生接著指出，所有可能的修復(fù)手段中，下面可能是最好的：

“一些讀者指出，如果計(jì)算機(jī)配備的是包含可信賴平臺(tái)模塊(TPM)芯片的主板的話，BitLocker可以防止這種類(lèi)型的攻擊?！?/P>

開(kāi)發(fā)邪惡女傭的原因

魯特克絲卡女士同意施奈爾先生的說(shuō)法，并且一直試圖說(shuō)服TrueCrypt的開(kāi)發(fā)者發(fā)布一個(gè)基于TPM技術(shù)的版本：

“我個(gè)人希望看到TrueCrypt在啟動(dòng)過(guò)程中應(yīng)用基于TPM技術(shù)的可信賴模式，但與此同時(shí)，我該怎么辦?繼續(xù)利用邪惡女傭類(lèi)的攻擊讓TrueCrypt開(kāi)發(fā)團(tuán)隊(duì)保持警惕，并希望他們最終考慮提供TPM的支持。”

在此之前，看起來(lái)似乎唯一可行的解決辦法是在任何時(shí)候都確保計(jì)算機(jī)的物理安全。不過(guò)，我注意到在施奈爾先生關(guān)于邪惡女傭文章的回復(fù)中有不少有趣的可能解決方案。

最后的思考

看來(lái)，硬盤(pán)全局加密并不是象大多數(shù)人想的那樣是靈丹妙藥。它防止的是試圖盜竊計(jì)算機(jī)后竊取數(shù)據(jù)的人。但如果攻擊者可以多次物理連接計(jì)算機(jī)，那一切防御措施都是徒勞的。

【編輯推薦】

1. 為什么惡意軟件開(kāi)發(fā)者轉(zhuǎn)向開(kāi)放源代碼
2. 春節(jié)7天新增病毒54萬(wàn) 釣魚(yú)欺詐成最大威脅
3. 2010年黑帽：安全人員演示W(wǎng)i-Fi網(wǎng)絡(luò)上最新安全威脅