Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

IEEE1394, avagy közvetlen kapcsolat az agyba. Bemutatkozás Barta Csaba Deloitte Zrt. manager CHFI

Hasonló előadás


Az előadások a következő témára: "IEEE1394, avagy közvetlen kapcsolat az agyba. Bemutatkozás Barta Csaba Deloitte Zrt. manager CHFI"— Előadás másolata:

1 IEEE1394, avagy közvetlen kapcsolat az agyba

2 Bemutatkozás Barta Csaba Deloitte Zrt. manager CHFI

3 IEEE1394 – Rövid történet aka. FireWire –1986 – Apple elkezdi a fejlesztést –1995 – Elkészül a szabvány –2000 – 1394a-2000 kiegészítés (új fejlesztés, gyorsítás) –2002 – 1394b-2002 kiegészítés (FireWire 800) –2006 – 1394c-2006 kiegészítés (FireWire S1600)

4 IEEE1394 – Fast vs. secure Gyorsaság –A külső tároló eszközök (merevlemez meghajtók) közvetlen fizikai memória hozzáférést kapnak –Ezt az OS biztosítja Biztonság –A memóriához történő hozzáférés lehet Olvasás Írás!!!

5 IEEE1394 – DMA? Hogyan lehet DMA-t szerezni –Tetteni kell, hogy külső merevlemez van a mi oldalunkon Az OS ekkor hozzáférést ad a memóriához –Ehhez a mi oldalunkon firmware módosítás szükséges Libraw1394 Megfelelő firmware

6 A módszer rövid története 2004 PacSec –Maximillian Dornseif Owned by an iPod 2005 CanSecWest –Maximillian Dornseif és mások All your memory belong to us 2006 RUXCON –Adam Boileau Hit by a bus Winlockpwn

7 Jelenleg elérhető eszközök Problémák –Nem, vagy csak instabil módon működnek a jelenlegi linux disztribúciókon –A mellékelt firmware nem megfelelő –A támadások nem vagy csak korlátozottan működnek az újabb OSek ellen

8 Általam végzett módosítások Linux FireWire kernel driver módosítása Memóriaterületek kiválasztása –új, generális szignatúrák A támadások implementálása

9 BurnIT – Működés lépései 1.FireWire firmware update –Tettetjük, hogy a számítógépünk egy külső merevemez –A másik olalon levő OS DMA-t ad nekünk 2.A megfelelő területek keresünk a fizikai memóriában 3.Ezen területek módosítjuk

10 BurnIT – Követelmények Linux disztró –Ubuntu en tesztelve libraw1394 Régi FireWire stack –az új stack (“Juju”) még nem tökéletes FireWire / PCMCIA port mindkét oldalon

11 BurnIT - Mire használható Password recovery –Hozzáférés szerzés (ha ELFELEJTETTED a jelszavadat) –Betörési teszt Forensics –Incidens reagálás –Memória pillanatkép készítés és fizikai memória vizsgálat

12 BurnIT – Mit “támogat” “Támogatott” OS-ek: –Windows Vista, 7, Server 2008 NT Authority / SYSTEM hozzáférés –Ubuntu 10.10, Fedora 14 root hozzáférés shadow kinyerés dmcrypt jelszó kinyerés (nem minden esetben)

13

14 IEEE1394 – Érdekesség

15 Védekezés - Linux Régi firewire stack phys_dma=0 Új firewire stack (aka “Juju”) Feketelistára tenni a következőket –firewire_core –firewire_ohci –firewire_sbp2 –firewire_net

16 Védekezés - Windows Driver class tiltása group policy-ból A “Prevent installation of drivers matching device setup classes” opció –“d48179be-ec20-11d1-b6b8-00c04fa372a7” GUID –Sajnos csak Vista/2008 és újabb verziók esetén Néhány URL –http://support.microsoft.com/kb/ /en- us?sd=rss&spid=14481http://support.microsoft.com/kb/ /en- us?sd=rss&spid=14481 –http://blogs.msdn.com/b/si_team/archive/2008/02/25/protecting- bitlocker-from-cold-attacks-and-other-threats.aspxhttp://blogs.msdn.com/b/si_team/archive/2008/02/25/protecting- bitlocker-from-cold-attacks-and-other-threats.aspx

17 Védekezés – Néhány tanács Soha ne hagyjuk a laptopot zárolva, vagy “sleep” módban őrizetlenül Ha lehet inkább a hibernálást vagy a kikapcsolást válasszuk

18 Köszönöm a figyelmet!


Letölteni ppt "IEEE1394, avagy közvetlen kapcsolat az agyba. Bemutatkozás Barta Csaba Deloitte Zrt. manager CHFI"

Hasonló előadás


Google Hirdetések