Hackers beveiligen laptop met nagellak
Wie zijn laptop of andere apparatuur op reis of vakantie meeneemt en niet wil dat anderen er ongezien mee knoeien krijgt het advies om nagellak te gebruiken. Glitternagellak om precies te zijn. Dat lieten Eric Michaud en Ryan Lackey tijdens het Chaos Communication Congress in Hamburg weten.
Michaud, CEO van Rift Recon en hacker, en Lackey, oprichter van de CryptoSeal VPN-dienst, waarschuwden voor het gevaar als mensen fysiek toegang tot bijvoorbeeld een laptop krijgen. Dit kan bij de douane gebeuren, maar ook bijvoorbeeld in een hotel. Zodra een aanvaller fysiek toegang heeft kan hij allerlei zaken aanpassen, van firmware en software tot zelfs de hardware.
Encryptie
Ook het gebruik van encryptie biedt in dit geval geen voldoende bescherming meer. Een bekende aanval is de "Evil maid attack", waarbij een aanvaller in het geval van een met TrueCrypt versleutelde laptop de passphrase probeert te stelen. De eerste keer dat de aanvaller fysiek toegang heeft installeert die een keylogger in de bootloader van TrueCrypt.
Zodra de gebruiker inlogt en zijn passphrase invult, wordt die door de keylogger opgeslagen. Aangezien het systeem verder gewoon werkt, heeft de gebruiker niets door. De aanvaller probeert vervolgens een tweede keer fysiek toegang tot de laptop te krijgen zodat hij de opgeslagen passphrase kan bemachtigen en de versleutelde harde schijf kan ontsleutelen.
Oplossing
Om fysieke aanvallen te voorkomen wordt soms het gebruik van "seals" aangeraden, die over schroeven en poorten worden aangebracht. De twee hackers stellen dat die eenvoudig te vervangen en ongezien te openen zijn, zelfs door iemand met minimale training, zo meldt Wired. Als oplossing stellen de twee daarom het gebruik van "Physically Unclonable Functions" (PUFs) voor. Dit is een zegel dat onmogelijk is na te maken. Een goed voorbeeld van een PUF is glitternagellak.
Eenmaal aangebracht op schroeven en stickers op toegangspoorten beschikt het over een willekeurig patroon. De gebruiker maakt met zijn smartphone, die hij altijd bij zich draagt, een foto van de aangebrachte nagellak. Zodra de gebruiker bijvoorbeeld op zijn hotelkamer terugkomt maakt hij weer een foto en vergelijkt beide foto's met een speciaal programma. Op die manier kan hij redelijk zeker weten dat er niet met het systeem is geknoeid.
De twee hackers werken zelfs aan een tweetrapsverificatiesysteem, waarbij iemand eerst de foto's moet vergelijken voordat er bijvoorbeeld op een VPN mag worden ingelogd. De tool die dit mogelijk maakt zou binnen een paar maanden moeten verschijnen.
En net als bij de gemakkelijk te vervangen sealbag lijkt het me niet heel erg moeilijk nieuwe nagellak aan te brengen op de schroeven. Oh ja, die heeft een uniek patroon. Hoe groot is de kans dat iemand deze foto's gaat maken bij elke terugkeer in zijn hotelkamer om te zien of er andere nagellak op zit? Het antwoord ligt voor de hand.
Mensen blijven mensen, en als de beveiliging afhangt van een zelfcontrole of handmatige test, dan doet slechts 50% dit de eerste paar keer, en na 5 keer gecontroleerd te hebben is nog slechts 5% van de mensen zo gedisciplineerd om dat telkenmale opnieuw te verifiëren.
Het is onzin dat seabags makkelijk te vervangen of ongezien te openen zijn. Ik werk er regelmatig mee en ongemerkt openen is onmogelijk. Alleen vervangen lukt, maar dan moet je wel beschikken over identieke exemplaren met gelijke opdruk. Ik praat hier natuurlijk over echte sealbags, en niet de dichtgesealde plasticfolie waar tijdschriften in zetten. Bij de eindexamens van dit jaar noemden ze deze verpakking ten onrechte ook 'sealbags'.
Echter, als ik de originele bron op de wired link nalees, hebben zij het niet over 'sealbags' maar over seals. Hoe de redactie deze foute vertaalslag kon maken zie ik zo even niet.
http://www.truecrypt.org/docs/system-encryption
"Pre-boot authentication is handled by the TrueCrypt Boot Loader, which resides in the first track of the boot drive and on the TrueCrypt Rescue Disk."
Is toch niet zo moeilijk?
En net als bij de gemakkelijk te vervangen sealbag lijkt het me niet heel erg moeilijk nieuwe nagellak aan te brengen op de schroeven. Oh ja, die heeft een uniek patroon. Hoe groot is de kans dat iemand deze foto's gaat maken bij elke terugkeer in zijn hotelkamer om te zien of er andere nagellak op zit? Het antwoord ligt voor de hand.
Mensen blijven mensen, en als de beveiliging afhangt van een zelfcontrole of handmatige test, dan doet slechts 50% dit de eerste paar keer, en na 5 keer gecontroleerd te hebben is nog slechts 5% van de mensen zo gedisciplineerd om dat telkenmale opnieuw te verifiëren.
Heel simpel, als je niet 2 matchende foto's hebt dan krijg je gewoon geen VPN toegang.
Als jij zo met security van je laptop bezig bent, zul je hem nooit bij een onbekend reparatiebureau inleveren maar doe je de reparatie intern. Heb je die optie niet, dan schrijft je de laptop af, of je stuurt hem op zijn minst zonder harde schijf op ter reparatie, zodat je de lak er toch al zelf afgehaald hebt.
Schroeven op toetsenbord thuis en op kantoor ook. (security industrie).
foto-tool wel handige toevoeging idd.
Nagellak bevat vluchtige oplosmiddelen zoals bv. aceton of amylacetaat. Een laptop bevat veel plastic componenten, ik weet niet zeker of dit goede combinaties zijn. Als je ergens nagellak op smeert zal de damp ook je laptop intrekken en mogelijk pas na verloop van tijd componenten beschadigen .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Hoe om te gaan met onbekende dreigingen? Op 5 juni a.s. informeert iSOC24 u tijdens weer een nieuwe ‘be in control’ ochtendsessie samen met Synack, Darktrace en Blueliv over machine learning en AI, crowdsourced security testing en actionable intelligence. Als u erbij wilt zijn kunt u zich nu inschrijven.