¿Existe una manera confiable de simular la manipulación de la ruta de inicio de "Evil Maid Attack" cuando se usa bitlocker?

3

Supongamos que tiene un sistema cuya unidad de sistema operativo está cifrada con bitlocker y utiliza TPM + PIN autenticación para autenticar el camino de arranque contra la manipulación. Tal como lo entiendo, esta configuración teóricamente protege contra los bootkits que de otro modo podrían registrar de forma subrepticia la contraseña o clave utilizada para descifrar el Unidad del sistema operativo. Es decir, protege contra este tipo de "ataque de la criada malvada" .

¿Hay alguna manera de simular de manera confiable la manipulación de la ruta de inicio para comprobar si la autenticación de la ruta de inicio está funcionando realmente?

Sé de esta implementación del ataque de la criada malvada pero fue diseñado para atacar truecrypt, no bitlocker.

    
pregunta alx9r 13.02.2013 - 01:40
fuente

2 respuestas

0

Puede realizar su propia manipulación de la ruta de inicio haciendo una edición trivial del volumen reservado del sistema (SRV).

Tendráqueusarmediosdeinicioconalgúnsoftwarecapazdeeditarporvolumen.WindowspareceprotegerelSRVqueseutilizóparainiciar.UséunCDdearranquedeAcronisDiskDirectorpararealizarestaedición:

Al reiniciar, BitLocker mostró esta pantalla:

    
respondido por el alx9r 17.03.2013 - 23:23
fuente
2

Bitlocker es vulnerable a casi el mismo ataque.

Este documento describe un ataque contra el PIN: "En el siguiente arranque, el MBR el cargador de arranque carga este archivo y le transfiere el control. Se muestra un indicador de BitLocker falso (ver figura 1), el PIN ingresado se almacena en la partición NTFS, el MBR original se restaura y el sistema se reinicia. Más tarde, el PIN ingresado puede leer desde la partición NTFS. "

El principal hallazgo: "El uso de un TPM para la administración de claves de manera directa proporciona una protección muy limitada contra un atacante dedicado. Ninguna de nuestras estrategias de ataque se enfoca en el TPM como tal. Todos explotan la forma en que lo está utilizando uno Implementación particular del cifrado de disco ". Lo que me lleva a creer que TPM no está, en principio roto, pero que todavía tenemos que desarrollar un sistema seguro contra un adversario que esté físicamente presente.

    
respondido por el Bob Watson 13.02.2013 - 09:02
fuente

Lea otras preguntas en las etiquetas