喬安娜·魯特克絲卡，既是無影實(shí)驗(yàn)室的創(chuàng)始人和首席執(zhí)行官，也是一名著名的安全研究人員。你可能還記得她，魯特克絲卡女士是利用虛擬化技術(shù)導(dǎo)致無法被安全工具檢測(cè)到的rootkit工具Blue　Pill的共同開發(fā)者。

[[8769]]

現(xiàn)在，魯特克絲卡女士又開發(fā)出了一種可以顛覆現(xiàn)有規(guī)則的工具。亞歷克斯·捷列什金，無影實(shí)驗(yàn)室的首席研究員和魯特克絲卡女士改良了可以破解整個(gè)驅(qū)動(dòng)器上的全局加密的惡意代碼。他們將該惡意軟件命名為邪惡女傭。這個(gè)名字看上去很奇怪，但卻非常形象地說明了軟件的工作方式。在進(jìn)行攻擊的時(shí)間，邪惡女傭需要攻擊者通過物理連接進(jìn)入計(jì)算機(jī)，這讓移動(dòng)辦公一族成為完美的目標(biāo)。

它的工作原理

作為兼職的移動(dòng)辦公一族，我非常相信TrueCrypt。但現(xiàn)在，魯特克絲卡女士讓我對(duì)自己的選擇產(chǎn)生了懷疑。為了說明我產(chǎn)生懷疑的原因，讓我們來看看在路上會(huì)發(fā)生什么樣的情況。在拜訪了客戶后，我回到酒店，開始撰寫文章。在接下來的幾個(gè)小時(shí)中，我應(yīng)該和客戶共進(jìn)午餐。因此，我關(guān)閉筆記本計(jì)算機(jī)，前往酒店的餐廳。

我不知道原因是什么，但有人非常想看看我寫了些什么。因此，他收買了一名酒店員工潛入我的房間，進(jìn)行了下面的活動(dòng)：

Ø 攻擊者利用包含邪惡女傭的USB存儲(chǔ)器啟動(dòng)了我的計(jì)算機(jī)。

Ø 在啟動(dòng)后，一個(gè)叫做“邪惡女傭嗅探器”的應(yīng)用工具被安裝到TrueCrypt的啟動(dòng)列表中，效果如下圖(魯特克絲卡女士提供)所示：　

Ø 攻擊者關(guān)閉筆記本計(jì)算機(jī)并離開。

Ø 不久以后我返回房間并決定繼續(xù)撰寫文章。

Ø 在我打開筆記本計(jì)算機(jī)電源的時(shí)間，邪惡女傭嗅探器就記錄了我輸入的TrueCrypt密碼，并將信息保存在預(yù)先安排好的硬盤區(qū)域上。

Ø 我并沒有發(fā)現(xiàn)任何問題，只是繼續(xù)寫作。過了一會(huì)兒，我覺得有點(diǎn)渴。因此，我關(guān)閉筆記本計(jì)算機(jī)并到酒吧去喝幾杯。

Ø 攻擊者發(fā)現(xiàn)了這個(gè)機(jī)會(huì)，就偷偷返回我的房間，利用包含邪惡女傭的USB存儲(chǔ)器啟動(dòng)了筆記本計(jì)算機(jī)。

Ø 該工具檢測(cè)到TrueCrypt的啟動(dòng)列表被感染，并顯示如下(魯特克絲卡女士提供)所示的密碼：

Ø 攻擊者重新啟動(dòng)我的筆記本計(jì)算機(jī)，輸入正確的密碼對(duì)硬盤驅(qū)動(dòng)器進(jìn)行解密，并將我的文章復(fù)制出來。

現(xiàn)在你應(yīng)該明白它為什么被叫做邪惡女傭攻擊了;它的效果取決于酒店的環(huán)境。魯特克絲卡女士還提到，一旦密碼被獲取就可能導(dǎo)致筆記本計(jì)算機(jī)被盜。

可能的防范手段

在最新發(fā)布的安全日志中，布魯斯先生對(duì)邪惡女傭有一條有趣的評(píng)價(jià)：

“該工具和去年出現(xiàn)了“冷啟動(dòng)”攻擊，以及今年早些時(shí)間出現(xiàn)的“去核啟動(dòng)”攻擊利用的是相同的漏洞，對(duì)于它們并沒有真正的防范措施一說。只要你放松了對(duì)計(jì)算機(jī)的物理控制，就會(huì)出現(xiàn)全盤皆輸?shù)那闆r?！?/P>

TrueCrypt已經(jīng)在書面文件中承認(rèn)了這種說法。施奈爾先生接著指出，所有可能的修復(fù)手段中，下面可能是最好的：

“一些讀者指出，如果計(jì)算機(jī)配備的是包含可信賴平臺(tái)模塊(TPM)芯片的主板的話，BitLocker可以防止這種類型的攻擊?！?/P>

開發(fā)邪惡女傭的原因

魯特克絲卡女士同意施奈爾先生的說法，并且一直試圖說服TrueCrypt的開發(fā)者發(fā)布一個(gè)基于TPM技術(shù)的版本：

“我個(gè)人希望看到TrueCrypt在啟動(dòng)過程中應(yīng)用基于TPM技術(shù)的可信賴模式，但與此同時(shí)，我該怎么辦?繼續(xù)利用邪惡女傭類的攻擊讓TrueCrypt開發(fā)團(tuán)隊(duì)保持警惕，并希望他們最終考慮提供TPM的支持。”

在此之前，看起來似乎唯一可行的解決辦法是在任何時(shí)候都確保計(jì)算機(jī)的物理安全。不過，我注意到在施奈爾先生關(guān)于邪惡女傭文章的回復(fù)中有不少有趣的可能解決方案。

最后的思考

看來，硬盤全局加密并不是象大多數(shù)人想的那樣是靈丹妙藥。它防止的是試圖盜竊計(jì)算機(jī)后竊取數(shù)據(jù)的人。但如果攻擊者可以多次物理連接計(jì)算機(jī)，那一切防御措施都是徒勞的。

【編輯推薦】

1. 為什么惡意軟件開發(fā)者轉(zhuǎn)向開放源代碼
2. 春節(jié)7天新增病毒54萬 釣魚欺詐成最大威脅
3. 2010年黑帽：安全人員演示W(wǎng)i-Fi網(wǎng)絡(luò)上最新安全威脅