邪恶女佣：移动办公一族的新威胁

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　作为移动办公一族，你是否知道自己的笔记本计算机在什么地方?你还是邪恶的女佣会从你和计算机那里获得最大的好处。

　　————————————————————————————————————————

　　乔安娜·鲁特克丝卡，既是无影实验室的创始人和首席执行官，也是一名著名的安全研究人员。你可能还记得她，鲁特克丝卡女士是利用虚拟化技术导致无法被安全工具检测到的rootkit工具Blue　Pill的共同开发者。

　　现在，鲁特克丝卡女士又开发出了一种可以颠覆现有规则的工具。亚历克斯·捷列什金，无影实验室的首席研究员和鲁特克丝卡女士改良了可以破解整个驱动器上的全局加密的恶意代码。他们将该恶意软件命名为邪恶女佣。这个名字看上去很奇怪，但却非常形象地说明了软件的工作方式。在进行攻击的时间，邪恶女佣需要攻击者通过物理连接进入计算机，这让移动办公一族成为完美的目标。

　　它的工作原理

　　作为兼职的移动办公一族，我非常相信TrueCrypt。但现在，鲁特克丝卡女士让我对自己的选择产生了怀疑。为了说明我产生怀疑的原因，让我们来看看在路上会发生什么样的情况。在拜访了客户后，我回到酒店，开始撰写文章。在接下来的几个小时中，我应该和客户共进午餐。因此，我关闭笔记本计算机，前往酒店的餐厅。

　　我不知道原因是什么，但有人非常想看看我写了些什么。因此，他收买了一名酒店员工潜入我的房间，进行了下面的活动：

　　Ø 攻击者利用包含邪恶女佣的USB存储器启动了我的计算机。

　　Ø 在启动后，一个叫做“邪恶女佣嗅探器”的应用工具被安装到TrueCrypt的启动列表中，效果如下图(鲁特克丝卡女士提供)所示：

　　Ø 攻击者关闭笔记本计算机并离开。

　　Ø 不久以后我返回房间并决定继续撰写文章。

　　Ø 在我打开笔记本计算机电源的时间，邪恶女佣嗅探器就记录了我输入的TrueCrypt密码，并将信息保存在预先安排好的硬盘区域上。

　　Ø 我并没有发现任何问题，只是继续写作。过了一会儿，我觉得有点渴。因此，我关闭笔记本计算机并到酒吧去喝几杯。

　　Ø 攻击者发现了这个机会，就偷偷返回我的房间，利用包含邪恶女佣的USB存储器启动了笔记本计算机。

　　Ø 该工具检测到TrueCrypt的启动列表被感染，并显示如下(鲁特克丝卡女士提供)所示的密码：

　　Ø 攻击者重新启动我的笔记本计算机，输入正确的密码对硬盘驱动器进行解密，并将我的文章复制出来。

　　现在你应该明白它为什么被叫做邪恶女佣攻击了;它的效果取决于酒店的环境。鲁特克丝卡女士还提到，一旦密码被获取就可能导致笔记本计算机被盗。

　　可能的防范手段

　　在最新发布的安全日志中，布鲁斯先生对邪恶女佣有一条有趣的评价：

　　“该工具和去年出现了“冷启动”攻击，以及今年早些时间出现的“去核启动”攻击利用的是相同的漏洞，对于它们并没有真正的防范措施一说。只要你放松了对计算机的物理控制，就会出现全盘皆输的情况。”

　　TrueCrypt已经在书面文件中承认了这种说法。施奈尔先生接着指出，所有可能的修复手段中，下面可能是最好的：

　　“一些读者指出，如果计算机配备的是包含可信赖平台模块(TPM)芯片的主板的话，BitLocker可以防止这种类型的攻击。”

　　开发邪恶女佣的原因

　　鲁特克丝卡女士同意施奈尔先生的说法，并且一直试图说服TrueCrypt的开发者发布一个基于TPM技术的版本：

　　“我个人希望看到TrueCrypt在启动过程中应用基于TPM技术的可信赖模式，但与此同时，我该怎么办?继续利用邪恶女佣类的攻击让TrueCrypt开发团队保持警惕，并希望他们最终考虑提供TPM的支持。”

　　在此之前，看起来似乎唯一可行的解决办法是在任何时候都确保计算机的物理安全。不过，我注意到在施奈尔先生关于邪恶女佣文章的回复中有不少有趣的可能解决方案。

　　最后的思考

　　看来，硬盘全局加密并不是象大多数人想的那样是灵丹妙药。它防止的是试图盗窃计算机后窃取数据的人。但如果攻击者可以多次物理连接计算机，那一切防御措施都是徒劳的。