De Poolse rootkit-expert Joanna Rutkowska heeft een tool ontwikkeld waarmee het kinderspel wordt om de wachtwoorden van met TrueCrypt versleutelde systemen te stelen. De tool draait vanaf een USB-stick en zou op 'plug & play' wijze zijn te gebruiken. "Het hele infectie proces duurt ongeveer één minuut en is ideaal voor kamermeisjes in een hotel", aldus Rutkowska. De "Evil Maid" aanval is het bewijs dat zelfs het volledig uitschakelen van de laptop om zo FireWire en 'Coldboot' aanvallen te voorkomen, geen volledige bescherming biedt tegen iemand die fysieke toegang tot de machine heeft.

In het scenario van de Poolse installeert een aanvaller via de USB-stick de Evil Maid Sniffer, die het encryptie wachtwoord of passphrase opslaat. "Zoals elke slimme gebruiker begrijpt, is dit gedeelte ideaal om door een kamermeisje, of iemand die zich er als één voordoet, te laten uitvoeren." In de huidige situatie moet het kamermeisje nog een keer terug om het opgeslagen wachtwoord op te halen, maar in de toekomst kan dit zelfs via het netwerk worden verstuurd.

Trusted Platform Module
De tool en bijbehorende uitleg zijn via deze pagina te downloaden. Rutkowska waarschuwt dat het waarschijnlijk strafbaar is om met Evil Maid de wachtwoorden van andere mensen zonder hun toestemming te stelen. "Je moet altijd toestemming van andere mensen vragen voordat je Evil Maid op hun laptop uitprobeert." De Poolse hoopt dat de ontwikkelaars van TrueCrypt de Trusted Platform Module gaan ondersteunen. Vista's BitLocker ondersteunt dat wel. Een aanvaller zou echter via een variant van de Evil Maid aanval, ook Microsoft's encryptie oplossing weten te omzeilen.

BIOS-wachtwoord
Als tijdelijke oplossing gebruikt Rutkowska het programma Disk Hasher, een bootable Linux USB-stick die de hashes van bepaalde schijfsectoren en partities berekent. De juiste waarden worden op de stick opgeslagen en vervolgens vergeleken. Ook dit is geen waterdichte oplossing, omdat iemand deze stick kan bemachtigen en vervalsen.

Gebruikers die standaard niet vanaf USB-starten en hun BIOS met een wachtwoord hebben beveiligd, lopen ook risico. Een aanvaller kan nog steeds de harde schijf uit de laptop halen en in een harde schijf enclosure stoppen, de sniffer aanbrengen en vervolgens weer terugplaatsen. Dit verhoogt de benodigde tijd met 5 tot 15 minuten. "Een kamermeisje moet in dit geval wel haar eigen laptop met zich meedragen." De ingebouwde harde schijf encryptie van sommige laptops heeft de onderzoekster niet onderzocht. De reden dat Rutkowska voor TrueCrypt koos, is omdat ze het een fantastisch product vindt. "We gebruiken het vaak in ons laboratorium en we zien graag dat het een betere bescherming tegen dit soort aanvallen krijgt."