IEEE1394, avagy közvetlen kapcsolat az agyba
Bemutatkozás Barta Csaba Deloitte Zrt. manager CHFI
IEEE1394 – Rövid történet aka. FireWire –1986 – Apple elkezdi a fejlesztést –1995 – Elkészül a szabvány –2000 – 1394a-2000 kiegészítés (új fejlesztés, gyorsítás) –2002 – 1394b-2002 kiegészítés (FireWire 800) –2006 – 1394c-2006 kiegészítés (FireWire S1600)
IEEE1394 – Fast vs. secure Gyorsaság –A külső tároló eszközök (merevlemez meghajtók) közvetlen fizikai memória hozzáférést kapnak –Ezt az OS biztosítja Biztonság –A memóriához történő hozzáférés lehet Olvasás Írás!!!
IEEE1394 – DMA? Hogyan lehet DMA-t szerezni –Tetteni kell, hogy külső merevlemez van a mi oldalunkon Az OS ekkor hozzáférést ad a memóriához –Ehhez a mi oldalunkon firmware módosítás szükséges Libraw1394 Megfelelő firmware
A módszer rövid története 2004 PacSec –Maximillian Dornseif Owned by an iPod 2005 CanSecWest –Maximillian Dornseif és mások All your memory belong to us 2006 RUXCON –Adam Boileau Hit by a bus Winlockpwn
Jelenleg elérhető eszközök Problémák –Nem, vagy csak instabil módon működnek a jelenlegi linux disztribúciókon –A mellékelt firmware nem megfelelő –A támadások nem vagy csak korlátozottan működnek az újabb OSek ellen
Általam végzett módosítások Linux FireWire kernel driver módosítása Memóriaterületek kiválasztása –új, generális szignatúrák A támadások implementálása
BurnIT – Működés lépései 1.FireWire firmware update –Tettetjük, hogy a számítógépünk egy külső merevemez –A másik olalon levő OS DMA-t ad nekünk 2.A megfelelő területek keresünk a fizikai memóriában 3.Ezen területek módosítjuk
BurnIT – Követelmények Linux disztró –Ubuntu en tesztelve libraw1394 Régi FireWire stack –az új stack (“Juju”) még nem tökéletes FireWire / PCMCIA port mindkét oldalon
BurnIT - Mire használható Password recovery –Hozzáférés szerzés (ha ELFELEJTETTED a jelszavadat) –Betörési teszt Forensics –Incidens reagálás –Memória pillanatkép készítés és fizikai memória vizsgálat
BurnIT – Mit “támogat” “Támogatott” OS-ek: –Windows Vista, 7, Server 2008 NT Authority / SYSTEM hozzáférés –Ubuntu 10.10, Fedora 14 root hozzáférés shadow kinyerés dmcrypt jelszó kinyerés (nem minden esetben)
IEEE1394 – Érdekesség
Védekezés - Linux Régi firewire stack phys_dma=0 Új firewire stack (aka “Juju”) Feketelistára tenni a következőket –firewire_core –firewire_ohci –firewire_sbp2 –firewire_net
Védekezés - Windows Driver class tiltása group policy-ból A “Prevent installation of drivers matching device setup classes” opció –“d48179be-ec20-11d1-b6b8-00c04fa372a7” GUID –Sajnos csak Vista/2008 és újabb verziók esetén Néhány URL – us?sd=rss&spid=14481http://support.microsoft.com/kb/ /en- us?sd=rss&spid=14481 – bitlocker-from-cold-attacks-and-other-threats.aspxhttp://blogs.msdn.com/b/si_team/archive/2008/02/25/protecting- bitlocker-from-cold-attacks-and-other-threats.aspx
Védekezés – Néhány tanács Soha ne hagyjuk a laptopot zárolva, vagy “sleep” módban őrizetlenül Ha lehet inkább a hibernálást vagy a kikapcsolást válasszuk
Köszönöm a figyelmet!