Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Achtergrond
image

FireWire-aanval bedreigt ook Thunderbolt en eSata

woensdag 30 mei 2012, 12:09 door Redactie, 7 reacties

De Firewire-aanval die tijdens Hack in the Box Amsterdam werd gedemonstreerd, werkt ook tegen computers met Thunderbolt en eSata, zo laten de studenten in een interview met Security.nl weten. De aanval die Rory Breuk en Albert Spruyt, studenten System and Network Engineering aan de Universiteit van Amsterdam, tijdens HITB demonstreerden werkt zowel tegen Windows-, Linux- als Mac-computers. Door een FireWire-kabel aan te sluiten kunnen de studenten een dump van het geheugen maken en zo allerlei vertrouwelijke gegevens achterhalen, waaronder wachtwoorden en encryptiesleutels.

Het zijn echter niet alleen eigenaren van een computer met FireWire die zich zorgen moeten maken. Ook machines met Thunderbolt, eSata en PCMCIA PCCard/ExpressCard aansluitingen zijn kwetsbaar. Aanvallers kunnen via een FireWire-adapter voor bijvoorbeeld Thunderbolt toch de aanval uitvoeren. Alles wat Direct Memory Access (DMA) ondersteunt is kwetsbaar. "Ook al heb je geen FireWire, ook al heb je geen Thunderbolt, als je wel express card of PCMCIA hebt klik je voor 14 euro een adapter er aan en dan heb je ook zo'n interface", waarschuwen de studenten. Daarnaast is het ook mogelijk om de benodigde hardware op maat te maken.

Bouwtekening
Het probleem is dat er nog steeds computers met externe DMA-aansluitingen verschijnen. DMA is platform onafhankelijk en het probleem dat de studenten voor hun aanval misbruiken is een ontwerpprobleem. "Vergelijk het met het bouwen van een huis. Als jij een veilige bouwtekening voor een huis hebt, kun je best een veilig huis bouwen, als je een goede aannemer hebt. In dit geval bevat de bouwtekening van het huis gevaarlijke ontwerpfouten", merken de studenten op. "Ook al bouw je volgens de tekening, dan is het resultaat nog steeds dat je geen goed huis hebt."

De beste bescherming is volgens Spruyt en Breuk de input/output memory management unit (IOMMU). Een chip die op modernere hardware aanwezig is. Daarnaast wijzen de twee ook naar het besturingssysteem dat beveiligingsexpert Joanna Rutkowska aan het ontwikkelen is, onder andere om DMA-aanvallen te voorkomen.

Oplossing
De werkelijke oplossing is het vervangen van DMA. Het ontwerpprobleem is dat er een interface op zit met eigenschappen die niet extern beschikbaar zouden moeten zijn. FireWire mag dan aan populariteit verliezen, het probleem komt door Thunderbolt en eSata weer terug. In theorie zou het zelfs mogelijk zijn om een aanval direct op deze poorten uit te voeren, zonder FireWire-adapter. Zover is het nog niet, maar de kosten van een FireWire-adapter zijn zo laag dat dit een aanvaller niet zal tegenhouden. Daarnaast zijn er al real-life opties voor PCI.

De kans dat het probleem op korte termijn wordt opgelost lijkt onwaarschijnlijk. De oorzaak zit namelijk in de DMA-standaard zelf, niet de implementatie ervan. "Het probleem is dat mensen niet geloven dat het een probleem is, totdat ze het zien. Dat is misschien logisch voor security professionals, maar de doorsnee gebruiker moet het eerst zien of gehoord hebben dat het kan, anders bestaat het niet."

Door het toevoegen van de Firewall-aanval aan hacker-toolkit Metasploit, wordt het een stuk eenvoudiger om de aanval te laten zien. "Hopelijk komt de discussie omtrent dit probleem hiermee opnieuw opgang."

Misbruik
Sommige critici beweren dat het alleen een theoretische aanval betreft en de kans op actueel misbruik zeer klein is. De studenten erkennen dat het vooral voor aanvallers interessant is die gericht te werk gaan. Toch zijn er nog andere scenario's, zoals bijvoorbeeld een datacentrum waar een shared hosting-omgeving wordt aangeboden. Er zijn servers die over een FireWire-aansluiting beschikken en het is bij sommige kasten eenvoudig om een kabeltje naar binnen te werken. "Dit gereedschap is ook heel interessant voor gelegenheid aanvallers. Gelegenheid maakt nog altijd de dief."

Een ander scenario is het laten aannemen van een stagiair bij een multinational die deze aanval kan uitvoeren. Via de standaard laptop die veel bedrijven uitgeven kan vervolgens het adminwachtwoord worden achterhaal. De kans is vervolgens groot dat dit wachtwoord toegang tot veel meer machines geeft. "Zo kun je een hele omgeving compromitteren, beginnend bij het eerste punt, wat prima een FireWire-aanval kan zijn op middelen die het bedrijf zelf heeft uitgegeven." De studenten stellen dat het risicoprofiel hoger is dan veel mensen denken.

Risico
Systeembeheerders die hun omgeving willen beschermen krijgen het advies om de poorten, zoals FireWire, eSata en PCMCIA, in de BIOS uit te schakelen. "En dan echt alle poorten, niet alleen FireWire", benadrukken de twee studenten. Dat ondermijnt echter ook de functionaliteit van de computer. "Je moet je dan ook afvragen wat je te verdedigen, te verliezen hebt, en wat een aanvaller kan winnen. Als een aanvaller via wat eenvoudige software en hardware de inloggegevens van een zakelijke omgeving kan stelen, is dat niet in evenwicht."

Bedrijven die met vertrouwelijke gegevens omgaan doen er dan ook verstandig aan om het risico uit te sluiten en de functionaliteit uit te schakelen. "Denk niet dat jouw systemen niet op deze manier aangevallen zullen worden. Risico's die niet geadresseerd zijn, zijn de gevaarlijkste."

Forensisch experts vrezen encryptie smartphones
Juridische vraag: advocaat eist 400 euro voor 'gratis' foto
Reacties (7)
30-05-2012, 13:56 door Anoniem
Misschien handig als security.nl ook de link naar de presentatie erbij zet:
http://conference.hitb.org/hitbsecconf2012ams/materials/

[admin] Thanks en done! [/admin]
30-05-2012, 15:33 door Anoniem
Microsoft vertelt je hoe je FireWire-interfaces uit kunt schakelen om aanvallen op (o.a.) BitLocker te voorkomen:
http://support.microsoft.com/kb/2516445

Linux:
$ rmmod ohci1394
$ modprobe ohci1394 phys_dma=0
of
# Prevent automatic loading of the ohci1394 module.
blacklist ohci1394
# Prevent manual loading of the ohci1394 module.
install ohci1394 false
# Iff we should ever load the ohci1394 module, force the use of the 'phys_dma=0' option.
options ohci1394 phys_dma=0

Mac:
$ sudo kextunload /System/Library/Extensions/IOFireWireFamily.kext/Contents/PlugIns/AppleFWOHCI.kext
30-05-2012, 21:03 door Anoniem
eSATA is toch gewoon SATA, maar dan met een externe aansluiting? Als het werkt via eSATA, werkt het ook voor een interne SATA aansluiting?
31-05-2012, 12:22 door Anoniem
De aanval werkt in theorie op alle aansluitingen waarbij DMA gebruikt wordt. De beperkende factor is de beschikbare hardware. Op eSATA is het dus ook alleen maar theoretisch een dreiging. Voor Thunderbolt is die hardware inmiddels wel al beschikbaar, in de vorm van een FireWire kaartje.
31-05-2012, 13:24 door Anoniem
Is dit niet al jaren bekent?
01-06-2012, 11:27 door Anoniem
Is dit niet al jaren bekent?
Ja, alleen is er middels een recente demo aangetoond dat het niet alleen een theoretische aanval is, maar dat het in de praktijk ook kan werken. Volgens mij maken forensische rechercheurs van deze methode gebruik als ze een memory dump willen maken van een lopende computer.
02-06-2012, 21:35 door Anoniem
VZIW kun je dit al jaren bekende probleem met hoe de firewire adapter werkt vrij makkelijk fixen door de adapter niet de toegang tot het hele geheugen te geven; anders instellen van de hardware zeg maar. Leuk te zien dat (e)sata en thunderbolt precies hetzelfde probleem hebben. Nuja, leuk, het geeft aan hoe brak de hardware ontworpen wordt. Dat zie je met wel meer interfaces, overigens, ook al hebben ze niet precies dit probleem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Security consultant

Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!

Lees meer

Poll: Controle thuiswerker met behulp van monitoring software:

16 reacties
Aantal stemmen: 772
Certified Secure LIVE Online training
Pleeg je handel in voorkennis als je doet alsof je voorkennis verkoopt op het dark web?
07-04-2021 door Arnoud Engelfriet

Juridische vraag: Ik las dat in de VS een meneer aangeklaagd wordt voor handel in voorkennis, omdat hij op het dark web ...

5 reacties
Lees meer
Datalek bij nieuwbouw
13-04-2021 door Anoniem

In de randstand was het begin deze maand mogelijk om je in te schrijven voor een loting van 28 nieuwbouw huizen. Om zo ...

14 reacties
Lees meer
Beste manier om een wachtwoord te bewaren?
09-04-2021 door EenVraag

Iemand enig idee wat de beste manier is om een wachtwoord te bewaren?

17 reacties
Lees meer
Datakluis als gouden kogel tegen datalekken?
15-04-2021 door Anoniem

Bij een webwinkel waar net een datalek is geweest staat de volgende tekst op de site Welke maatregelen neemt X om herhaling ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter