Firewire-ön keresztül feltörhetők az operációs rendszerek

Titkosítás, biztonság, privát szféra

Úgy tűnik, hogy hiába minden biztonsági intézkedés, ha a rosszindulatú támadó hozzáférhet fizikailag egy olyan géphez, amelyen firewire port van, akkor az a gép többé nem a gazdája gépe.

Maximillian Dornseif a Laboratory for Dependable Distributed Systems at RWTH Aachen University munkatársa egy az ``0wned by an iPod'' névre hallgató bemutató során számos olyan technikát mutatott be, amely az IEEE 1394 (firewire) interfésszel kapcsolatos. A firewire napjaink korszerű eszközeinek (pl. laptop-ok, desktop-ok, néhány szerver, kézi kütyük) szerves része. A firewire-t felhasználhatjuk jó (külső debug-olási céllal - pl. az operációs rendszer hibáinak felderítéséhez) vagy rossz szándékkal is.

A szakértők olyan hibát találtak a firewire tervezésében, amelyet kihasználva a rosszindulatú támadó hozzáférhet a megtámadott gép memóriájához. A szakember szerint minden operációs rendszer érintett. A teszteket végrehajtották FreeBSD 5.3, FreeBSD 5.2.1, MacOS 10.3.5 és MacOS 10.3.4, Knoppix (Linux) 3.6 rendszereken. Teszteltek Windows 2000 operációs rendszert is, amely összeomlott mikor Mac kliens kapcsolódott hozzá. A FireWire/IEEE 1394 specifikáció lehetővé teszi a kliens eszközök számára, hogy közvetlenül hozzáféhessenek a host számítógép memóriájához úgy, hogy keresztülhágják az operációs rendszerek korlátozásait. Az ártó szándékkal csatlakoztatott kliens eszköz (akár egy iPod is) képes arra, hogy olvassa és módosítsa a host gép memóriáját. Ez a hiba privilégium emeléshez, érzékeny adatok kinyeréséhez, rendszer összeomlasztáshoz használható fel. Minden olyan eszköz veszélyben van és biztonsági szempontból sebezhetőnek tekinthető, amely érzékeny adatokat tárol és fizikailag hozzáférhető. Ez lehet egy publikus rendszer vagy éppen egy lezárt laptop is.

A javításra egyelőre olyan ötletek vannak, hogy az ilyen gépekről fizikailag távolítsuk el a firewire portot, vagy notebook esetében epoxy gyantával öntsük ki a firewire csatlakozót, ha ezt el tudjuk viselni...

A teljes bejelentés itt.

( Sea-you | 2004. 11. 17., sze – 20:05 )

ciki, ez van ha nem katonak tervezik a dolgokat :D :D

( syntern | 2004. 11. 17., sze – 20:17 )

"Teszteltek Windows 2000 operációs rendszert is, amely összeomlott"

Tehát nem sikerült feltörni :P

( sz | 2004. 11. 17., sze – 21:20 )

És ha BIOS-ból letiltjuk, vagy ilyesmi? Az ellen nem véd?

( willy v | 2004. 11. 17., sze – 21:37 )

Igazan***** erzes ha valaki a gepunkhoz nyul es firewire kell neki a szarratoreshez..

Megy az eccerubben is nem?

Mondjuk egy lezart notebook all az asztalon az irodaban, ahol sok ember megfordul. Ujra nem tudja bootolni a gonosz, mert eszreveszik (uptime pl.). Ezen oknal fogva nem tudja belole kivenni a hdd-t se. Tegyuk fel, hogy halozaton nem tudja megtorni, de odasetal egy iPod-dal, es 10 perc mulva elsetal az adatokkal.

Hat annyira nem kellemes szerintem.

On 2004-11-17, LiRul <lirul@hixsplit.hu> wrote:
>
> Es ha nem is forgatok IEEE1394 supportot a kernelembe? Bar ha ilyen
> epoxi gyantaval jonnek (ROTFL), akkor...

"Firewire/1394 host adapters which comply to the OHCI specification
allow remote devices to initiate direct DMA based memory access to the
host computers main memory. This access takes place completely without
involvement of the operating system on the host computer."

HCs

persze, ha nincs kernelbe forgatva vagy a modul betöltve, akkor nincs baj, a gép nem reagál semmilyen adatra a fizika réteg felől.

ezért nem kell hotplug a gépre, és csak azokat a modulokat betölteni amire tényleg szükség van és csak addig amíg szükség van rá.

de ezt egy 1.0-ás user nem fogja értékelni.

( x-daemon | 2004. 11. 18., cs – 04:47 )

ez ugyanígy igaz lehet bármilyen I/O egységre amihez fut a hardware kezelő réteg és kétirányú kommunikációra képes.

ethernet - speciálisan formázott keretek,

telefonvonal - ha a pppd fut,

firewire - no comment,

usb - és még az automount nincs is engedélyezve,

billentyűzet v. egér - ez is soros port

monitor - a speciálisan formázott DDC adatokat sem zárhatjuk ki.

persze ez így paranoiának tűnhet de jobb megvizsgálni a lehetőségeket.

Az ipari kemkedes egyik fajtaja a social engineering, aminek egyik alfaja, hogy az illeto munkara jelentkezik az adott cegnel, ott beepul, es a kello pillanaban ellopja az adatokat. Lehetoleg ezt ugy, hogy ne vegyek eszre kesobb se a lopast. Pl. az en irodamban naponta legalabb 40 ember fordul meg, es az asztalomon van a notebook.

Persze ez csak egy a lehetosegek kozul. Persze a tulzott para itt sem kell szerintem :-)

Simán megcsinálhatná még az újraindítást is, a kutya se venné észre. Ki nézi az uptime-ot? Mezei felhasználók közül senki, azt sem tudja mi az. Ha tényleg működik a fireware porton keresztül a behatolás, akkor az nagyon gáz. Nálunk a mérnökök szinte kizárólag laptopokon dolgoznak a mobilitás miatt. El tudom képzelni, hogy valaki odaül mellé, aztán egy kedélyes beszélgetés közben "biztonsági mentést" csinál az autocad állományokról:(

Gáz.

Nem tudja ujrabootolni. Ez azt jelenti, hogy a gep be van bootolva, az operacios rendszer fut, de mondjuk a hasznaloja elment ebedelni, es a gepe le van lock-olva. Nyilvan ha azt valaki rebootolja azon ido alatt mig nincs ott, akkor a tamado nem tud a jelszavaval visszajelentkezni (mert nem ismeri, hiszen ha ismerne minek kene ez az egesz), tehat nem olyan allapotban lesz a gepe, mint amikor elment ebedelni.

Itt a firewire eseten tok ugyanugy lesz a gepe, es semmit nem vesz eszre belole az aldozat.

( PaXTeam | 2004. 11. 18., cs – 08:48 )

ez mar vagy 3 hetes hir... http://marc.theaimsgroup.com/?l=bugtraq&m=109881362530790&w=2

( kupcsik v | 2004. 11. 18., cs – 08:53 )

Hat,, ha valaki fizikailag hozzafer a gepedhez, akkor onnantol kezdve cseszheted a biztonsagot... firewire ide vagy oda...

En ugy gondolom, hogy arra, hogy ezeka dolgok megtortenjenek, marmint, hogy egy erre kepes emberke, egy erre kepes eszkozzel pont ott tartozkodjon, es akkor amikor kell, elegge kicsi a valoszinusege...

Egy ilyen helyen ha otthagynak egy gepet, akkor az eltunik..., illetve nem sok fontos adat lehet rajta...

Vannak olyan notebookok, ipari számítógépek, amelyek úgy vannak tervezve, hogy fizikai hozzáférés esetén se lehessen róluk az adatokat lemásolni (merevlemez vezérlőkkel, amelyek "on the fly" kódolják az adatokat, stb.), ezeknél kérdéses igazán, hogy érintettek-e...

En arra celoztam szenzitiv adat nincs elolhagyott notebook-on meg pici cegnel sem.

Nagy cegnel meg be se jutsz a fonokhoz, ha igen akkor kulsoskent hasonlo esellyel.

Szoval ez csak annyival konnyiti meg a dolgot, hogy nem kell szetszedni a gepet.

Nem dolt le a torony tole, bar nem orulok, hogy kerneldriver iroja baszott tudni errol.

Vegyünk még egy életszerű példát: valaki bemegy egy erre fölkészített cuccal egy internetkávézóba és ott piszkálja meg az egyik gépet (bár ha Windows fut rajta, akkor védett, mert az összeomlik :)))). Nem arra gondolok, hogy onnét lop adatot, hanem fölrak pl. egy keyloggert, vmi trójait, amit később távolról tud irányítani, stb.

Bár ha belegondolok jobban, akkor Windowsnál ezekhez nem is kell fizikai hozzáférés. :)))))

A 3 hetes erős eufemizmus. Tessék elolvasni pl. ezt, a témába abszolút nem vágó cikket a FreeBSD GBDE alrendszeréről. http://phk.freebsd.dk/pubs/bsdcon-03.gbde.paper.pdf

Ez a tavalyi BSDCON-ra készült előadásanyag. Ennek 4. oldalán már expliciten elhangzik az a kitétel, hogy a FireWire milyen viccekre is képes. De akit érdekel nézegesse pl. a freebsd-security elmúlt egy-két hetes archívumjait, pár szót erről is ejtenek, lévén FreeBSD-ben ezt erőteljesen használják - oprendszer távoli debug-jára.

Igy igaz, egy komoly biztonsagi felulvizsgalatnal ezeket mind figyelembe kell venni.

De itt most arrol van szo, hogy a firewire porton keresztul tetszoleges memoria-hozzaferest kezdemenyezhetsz, mindenfele privilegium-vizsgalat nelkul! Ezert szivas a dolog.

Amugy nemtom, ki hasznal firewire-t az usb2.0 koraban. En spec. meg nem lattam eszkozt, ami ilyen csatlakozot igenyelt volna. USB-set meg legalabb kettucatnyit...

Nekem van bootpasswd beállítva. Ha nem tudod nem is bootol tovább. flashben tárolja, az aksi, gombelem buhera sem segít. (plusz setup passwd).

A winchester titkosított particiót partalmaz a kényes adatoknak. A screensaver passwd-s. Lehetne még grub jelszót is tenni,de az macerás már.

A winchester kiszedése ellen meg kell esztergáltatni a sima indulsz vagy torz csavar helyett valami speciális nem szabvány kicsavaróval. tök jó ötlet.

Vince.

>Amugy nemtom, ki hasznal firewire-t az usb2.0 koraban.

>En spec. meg nem lattam eszkozt, ami ilyen csatlakozot

>igenyelt volna. USB-set meg legalabb kettucatnyit...

A legtobb DV kamera FireWire-t hasznal. Ha jol emlekszem, a DV adatformatum es a FW adatformatum ugyanaz, tehat konverzio nelkul lehet atnyomni.

Vannak meg FW-n kapcsolodo mas eszkozok (LAN, hdd), de ilyesmit nem lattam eloben.

De nem is ez a lenyeg, hanem az, hogy ha a gepeden van FW port, akkor ott a bejarat. Kar.

Gee

( zg | 2004. 11. 18., cs – 16:59 )

Az epoxy jo, de vehetunk pl Clevo D470W notit is, es akkor fel ev mulva garantaltan tonkremegy a firewire port :)

hunger wrote:
> Vannak olyan notebookok, ipari számítógépek, amelyek úgy vannak tervezve,
> hogy fizikai hozzáférés esetén se lehessen róluk az adatokat lemásolni
> (merevlemez vezérlőkkel, amelyek "on the fly" kódolják az adatokat, stb.),
> ezeknél kérdéses igazán, hogy érintettek-e...

Vegso megoldaskent forgalmas utcan elkapnak, mikor epp cipeled a notebook -od,
bedobnak egy kocsiba, es b.szhatod a titkositott vezerlodet...

Ha nem cipeled magaddal, hanem a cegnel van, akkor oda mennek be es viszik el
fizikailag a gepet...


IroNiQ
--
Web: http://ironiq.hu
Email: iron@ironiq.hu
LinuxCounter: #331532

( Husky | 2004. 11. 18., cs – 19:36 )

Én hülye meg visszavittem garba azt a gyilkos FW kártyát ami 12 voltot nyomott minden kimenetén... Ha ezt tudom, most szabotálhatnám a szabotőr szabotálóját...