Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
KiadtaLídia Orsósné Megváltozta több, mint 10 éve
1
IEEE1394, avagy közvetlen kapcsolat az agyba
2
Bemutatkozás Barta Csaba Deloitte Zrt. manager CHFI cbarta@deloittece.com csaba.barta@gmail.com
3
IEEE1394 – Rövid történet aka. FireWire –1986 – Apple elkezdi a fejlesztést –1995 – Elkészül a szabvány –2000 – 1394a-2000 kiegészítés (új fejlesztés, gyorsítás) –2002 – 1394b-2002 kiegészítés (FireWire 800) –2006 – 1394c-2006 kiegészítés (FireWire S1600)
4
IEEE1394 – Fast vs. secure Gyorsaság –A külső tároló eszközök (merevlemez meghajtók) közvetlen fizikai memória hozzáférést kapnak –Ezt az OS biztosítja Biztonság –A memóriához történő hozzáférés lehet Olvasás Írás!!!
5
IEEE1394 – DMA? Hogyan lehet DMA-t szerezni –Tetteni kell, hogy külső merevlemez van a mi oldalunkon Az OS ekkor hozzáférést ad a memóriához –Ehhez a mi oldalunkon firmware módosítás szükséges Libraw1394 Megfelelő firmware
6
A módszer rövid története 2004 PacSec –Maximillian Dornseif Owned by an iPod 2005 CanSecWest –Maximillian Dornseif és mások All your memory belong to us 2006 RUXCON –Adam Boileau Hit by a bus Winlockpwn - 2008
7
Jelenleg elérhető eszközök Problémák –Nem, vagy csak instabil módon működnek a jelenlegi linux disztribúciókon –A mellékelt firmware nem megfelelő –A támadások nem vagy csak korlátozottan működnek az újabb OSek ellen
8
Általam végzett módosítások Linux FireWire kernel driver módosítása Memóriaterületek kiválasztása –új, generális szignatúrák A támadások implementálása
9
BurnIT – Működés lépései 1.FireWire firmware update –Tettetjük, hogy a számítógépünk egy külső merevemez –A másik olalon levő OS DMA-t ad nekünk 2.A megfelelő területek keresünk a fizikai memóriában 3.Ezen területek módosítjuk
10
BurnIT – Követelmények Linux disztró –Ubuntu 10.10-en tesztelve libraw1394 Régi FireWire stack –az új stack (“Juju”) még nem tökéletes FireWire / PCMCIA port mindkét oldalon
11
BurnIT - Mire használható Password recovery –Hozzáférés szerzés (ha ELFELEJTETTED a jelszavadat) –Betörési teszt Forensics –Incidens reagálás –Memória pillanatkép készítés és fizikai memória vizsgálat
12
BurnIT – Mit “támogat” “Támogatott” OS-ek: –Windows Vista, 7, Server 2008 NT Authority / SYSTEM hozzáférés –Ubuntu 10.10, Fedora 14 root hozzáférés shadow kinyerés dmcrypt jelszó kinyerés (nem minden esetben)
14
IEEE1394 – Érdekesség
15
Védekezés - Linux Régi firewire stack phys_dma=0 Új firewire stack (aka “Juju”) Feketelistára tenni a következőket –firewire_core –firewire_ohci –firewire_sbp2 –firewire_net
16
Védekezés - Windows Driver class tiltása group policy-ból A “Prevent installation of drivers matching device setup classes” opció –“d48179be-ec20-11d1-b6b8-00c04fa372a7” GUID –Sajnos csak Vista/2008 és újabb verziók esetén Néhány URL –http://support.microsoft.com/kb/2516445/en- us?sd=rss&spid=14481http://support.microsoft.com/kb/2516445/en- us?sd=rss&spid=14481 –http://blogs.msdn.com/b/si_team/archive/2008/02/25/protecting- bitlocker-from-cold-attacks-and-other-threats.aspxhttp://blogs.msdn.com/b/si_team/archive/2008/02/25/protecting- bitlocker-from-cold-attacks-and-other-threats.aspx
17
Védekezés – Néhány tanács Soha ne hagyjuk a laptopot zárolva, vagy “sleep” módban őrizetlenül Ha lehet inkább a hibernálást vagy a kikapcsolást válasszuk
18
Köszönöm a figyelmet!
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.