神刀安全网

解密「从根儿上干掉你」的黑客攻击

这次简单一点,给大家带来另一个 Black Hat 2014 听译的视频:《Protecting Data In-Use from Firmware and Physical Attacks》。我自己不是做物理安全的,对这个领域并不是很熟悉。不过,视频中提到的很多攻击手段让我觉得真是脑洞大开……这帮黑帽子们真是无所不用其极啊。反过来,魔高一尺,道高一丈,白帽子们也不是吃素的,各种解决方案也相继出台。这篇专栏中,我们来简单看下,在固件和物理层有哪些攻击行为。至于具体防护措施,留个坑,后面有时间继续总结。

0 前言

现在这个时代,组装个台式机已经不是个难事了。有点经验的人,打开台式机一看,估计就知道里面哪个部分是干什么用的了。什么显卡啊、声卡啊、网卡啊、CPU 啊,一目了然。不过,在服务器中可就不是那么回事了。先来个图, 谁能告诉我这都是什么服务器?这都是服务器的什么部分?

解密「从根儿上干掉你」的黑客攻击

估计大家都不太清楚…实际上,左边的图是:

解密「从根儿上干掉你」的黑客攻击

而右边的图是:

解密「从根儿上干掉你」的黑客攻击

画红色圈的地方都是恶意设备。这玩意,非专业人士完全看不出来啊… 对了,就是因为看不出来,这东西才能默默地安装在服务器上,用于窃取用户数据的。有的知友们说了:我们不怕,密码学保护我们!不过,这里面有个很直接也很简单的问题,密码学确实能保护数据隐私,但是解密的时候你怎么也得输入密码吧?解密过程总得在计算机中运行吧?举个简单的例子,很多浏览器都支持“记住密码”功能,不过有谁知道浏览器是怎么记住密码的吗?来看个简单的例子,这是谷歌浏览器对于我网页中密码的存储情况:

解密「从根儿上干掉你」的黑客攻击

好吧…请允许我对图片处理一下,只留个邮箱。好家伙,点击【显示】,密码全都显示出来了啊!

  • 谷歌不是号称厉害吗?这问题都解决不了?谷歌说了:如果你电脑能让外人使用,那这个外人也是可以信任的啊,有什么问题?
  • 那不行,不能这么存!谷歌说了:那好啊,登录了我才存你密码,你密码用登录的密码加密,行不?

但是,用的时候还是要把密码恢复出来才能填写在表单里面。那攻击者乐呵了,只要密码被恢复出来过,那就好办!怎么办呢?我们来总结下视频中列举的方法吧。

1 Boot Integrity Attack

解密「从根儿上干掉你」的黑客攻击

服务器或者计算机启动的时候,我就开始搞你!方法很简单。想必有知友们用过老毛桃等工具吧?系统启动不了的时候,用这个工具就能重装系统,对电脑修复什么的。

不过不知道大家注意过没有,这种工具还有一个功能:重置计算机登录口令。这是怎么做到的呢?很简单。反正你从 U 盘启动了对吧?U 盘启动了,电脑就得听 U 盘里面操作系统的话了,U 盘里面的操作系统可以任意添加、修改、删除硬盘里面的东西,当然也包括操作系统文件喽。只要我把操作系统中存放用户密码的文件重置了,密码也就没了。

不过,这种方法有个小问题,那就是我们得先把主板上的启动模式改成从 USB 启动。如果我想防止别人用这种方法重置我电脑的登录密码,我把主板 BIOS 锁定了不就行了? Boot Integrity Attack 就是这样一种攻击方法,直接对 BIOS 进行攻击,从而篡改启动信息,令攻击设备得到系统的完全控制权。 令人惊讶的是,这种攻击方法早就被使用了,而且是大名鼎鼎的 NSA 用的。NSA 是哪里?棱镜门都知道吧?棱镜门的发起者就是 NSA,美国国家安全局嘛。

NSA 的攻击方式可是多种多样。大家可能只知道 NSA 在 RSA 公司的产品里面安装后门这回事吧?远不止这么点攻击方法。NSA 和很多公司都签订了协议,或者应用了很多技术,攻击某些公司的特定设备,比如:

解密「从根儿上干掉你」的黑客攻击

DeityBounce 就是利用这种技术,通过 USB 设备攻击 BIOS,对 BIOS 进行篡改,从而得到系统的全部访问权限。攻击方法呢?很简单,往服务器插个类似 U 盘的东西就行了… 我们还会看到,NSA 可不仅仅攻击 Dell 的设备,还有很多其他的公司的设备也遭到了攻击:

解密「从根儿上干掉你」的黑客攻击

当然了,这是 2008 年就被披露的了,现在这些设备是否安全我就不知道了。不过,大家想一想,公司或者学校上一次更换网络硬件设备是什么时候……嗯,想想的话,有点后怕啊……还有一些其他 NSA 采用的技术,比如攻击硬盘固件的主引导区,从而获取硬件控制权限:

解密「从根儿上干掉你」的黑客攻击

实际上,不光是硬盘、BIOS,几乎所有的固件设备都存在漏洞。比如鼠标和键盘中可能植入记录操作的设备;USB 驱动程序可能有漏洞,被植入后门,等等等等。

解密「从根儿上干掉你」的黑客攻击

2 Direct Memory Access Attack

回到上面的问题,密码总是会被恢复的对吗?那密码恢复后总有个存储的位置吧?这个位置就是我们的内存了。黑帽子们了解了这个,开心了。那我弄个设备,把内存中的所有数据都记录下来,然后远程发送给黑帽子,不就行了?

Direct Memory Access Attack 就是这样一种攻击方式。在服务器中放置一个设备,这个设备可以随时将内存中的信息读取并记录下来,然后远程发送。NSA 也使用了这个技术进行攻击。GINSU 就是 NSA 的攻击方法工程。它是一个带有无线功能的硬件设备。把这个设备插到服务器上,就可以对内存信息直接访问,然后通过无线信道发送给黑帽子。

解密「从根儿上干掉你」的黑客攻击

不仅如此,我们还可以使用硬件接口执行 Direct Access Attack。早期 iPod 的硬件接口就有这样的漏洞。在 iPod 接口中插入一个设备,扩展出一个 PCI 接口,就能够通过这个 PCI 接口读取内存数据了。

解密「从根儿上干掉你」的黑客攻击

3 Physical Memory Extraction

上述两种攻击方法虽然好,但是总得弄个什么硬件设备吧?专业人士一来就能看出来。那么,能不能不插硬件就能读取内存数据呢?当然有!不过这要利用内存的一个特性:易失特性。

什么叫易失特性呢?内存的数据读写速度很快,但是没法长时间保存数据。掉了电了、重置了什么的,都会导致内存数据的丢失。我想所有知友们都有过没有 Ctrl+S 追悔莫及的经历吧?这就是因为计算机死机时,内存中的工作还没有保存,写入到硬盘中,从而导致了数据丢失。

不过,问题来了:内存真的具有易失特性吗?答案是:不一定。要是搞点什么,内存没准就能保留一会数据了。

Princeton 大学的研究者们发现了这么一个特性:电脑运行一段时间后关闭。关闭后立即把内存条拆下来,然后冷却。奇迹出现了… 内存中的数据还是在丢失,但是数据丢失速度大大降低了!实际上,这么一来内存中的数据可以保留 1 分钟左右的时间。

解密「从根儿上干掉你」的黑客攻击

这方法有用吗?真的有用!演讲者称,他一个法律的同事,就是通过这种方法进行取证,成功率很高哦!

解密「从根儿上干掉你」的黑客攻击

不过,拆内存总不是个好办法……那干脆,黑帽子说了,我们找个机会,偷偷摸摸把服务器上的内存换了。花个大价钱, 弄个不具有易失特性,但是读写速度依然很快的内存 (这种内存当然更贵了……)给它换上。这样,内存中的数据不就可以长时间保留了嘛。的确有这种攻击方法。黑帽子们更狠,这个内存不光具有非易失特性,还 TMD 有个硬盘……随时随地把内存数据往硬盘里面拷。过个几年,找个机会把这个设备拆回去分析,就能得到数据了。

解密「从根儿上干掉你」的黑客攻击

4 防护方法?

这么多神奇的攻击方法,能防护吗?当然了,魔高一尺道高一丈嘛!不过,我今天得睡了,防护措施,我们下周继续。

解密「从根儿上干掉你」的黑客攻击

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 解密「从根儿上干掉你」的黑客攻击

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址