Wie Sie einen „Evil Maid“- Angriff verhindern

Schützen Sie Ihren Firmencomputer vor unbefugtem physischen Zugriff.

Eine „Evil Maid“-Attacke, also wenn das „Dienstmädchen“ den Computer hackt, ist so ziemlich die primitivste Art von Angriff, die es gibt, aber sie ist auch eine der unangenehmsten. Stellen Sie sich einfach vor, dass die Reinigungskraft Sie bittet, kurz den Raum zu verlassen, um was auch immer zu tun. Weil Sie natürlich ein hilfsbereiter Mensch sind, tun Sie dies bereitwillig. Und weil es schnell gehen muss, lassen Sie Computer & Co. der Einfachheit halber an. Und jetzt kommt die dunkle Seite des Dienstmädchens zum Vorschein. Denn die hackende Putzkraft versucht geheime Informationen zu stehlen oder Spyware und Tools für den Fernzugriff zu installieren, um Zugang zum Unternehmensnetzwerk zu erhalten. Hier erfahren Sie, wie Sie sich vor dieser Art von Eindringlingen schützen können.

Ein klassisches Beispiel

Im Dezember 2007 reiste eine Delegation des US-Handelsministeriums zu Gesprächen über eine gemeinsame Strategie zur Bekämpfung der Piraterie nach Peking. Nach der Rückkehr in die USA befand sich jedoch auf dem Laptop des Handelsministers Spyware, deren Installation physischen Zugang zum Computer erfordert hätte. Der Besitzer des Laptops sagte, er habe das Gerät während der Verhandlungen ständig bei sich gehabt und es in seinem Hotelzimmer im Safe  während des Essens im Erdgeschoss zurückgelassen.

Theoretisch kann ein Profi ein Gerät innerhalb von 3 bis 4 Minuten kompromittieren, aber so etwas kommt häufig vor, wenn der Computer unbeaufsichtigt und nicht gesperrt (oder nicht kennwortgeschützt) bleibt. Aber selbst mit grundlegenden Sicherheitsmaßnahmen hat ein „Evil Maid“-Angriff immer noch gute Chancen.

Wie Angreifer Zugang zu Informationen erhalten

Es gibt eine Vielzahl von Möglichkeiten, an kritische Informationen zu gelangen. Sie hängen vom Alter und der Sicherheitssoftware auf dem Computer ab. Beispielsweise sind ältere Maschinen, die Secure Boot nicht unterstützen, von externen Laufwerken startfähig und daher gegen „Evil Maid“-Angriffe schutzlos. Moderne PCs neigen dazu, Secure Boot standardmäßig aktiviert zu haben.

Kommunikationsanschlüsse, die den schnellen Datenaustausch oder die direkte Interaktion mit dem Gerätespeicher unterstützen, können als Abzweigungen dienen, um persönliche oder Firmengeheimnisse zu extrahieren. Thunderbolt zum Beispiel erreicht seine hohe Datenübertragungsgeschwindigkeit durch direkten Zugriff auf den Speicher – was Angriffen durch „bösartige Dienstmädchen“ Tür und Tor öffnet.

Letzten Frühling erzählte der Computersicherheitsexperte Björn Ruytenberg von einer Methode, die er gefunden hatte, um jedes Thunderbolt-fähige Windows- oder Linux-Gerät zu hacken, selbst wenn es gesperrt ist und Verbindungen von unbekannten Geräten über externe Ports deaktiviert sind.  Ruytenbergs Methode, Thunderspy genannt, geht von einem physischen Zugriff auf das Gerät aus und erfordert das Neuschreiben der Firmware des Controllers.

Bei Thunderspy muss der Angreifer den Thunderbolt-Chip mit seiner Version der Firmware neu programmieren. Die neue Firmware deaktiviert den eingebauten Schutz, und der Angreifer erhält die volle Kontrolle über das Gerät.

Theoretisch behebt die Richtlinie zum Schutz des Kernel-Direktspeicherzugriffs die Schwachstelle, aber nicht jeder nutzt sie (und diejenigen mit Windows-Versionen kleiner als 10 können es nicht). Intel kündigte jedoch eine Lösung für das Problem an: Thunderbolt 4.

Als Angriffskanal kann ebenfalls der gute alte USB-Stick dienen. Ein Miniaturgerät, das in einen USB-Anschluss eingesteckt wird, wird aktiv, wenn der Benutzer den Computer einschaltet und einen BadUSB-Angriff ausführt.

Falls die Informationen, hinter denen sie her sind, besonders wertvoll sind, könnten Cyberkriminelle sogar die schwierige und kostspielige Mission wagen, das Gerät zu stehlen und es durch ein ähnliches zu ersetzen, das bereits Spyware enthält. Sicher, das Spoofing wird früh genug aufgedeckt werden, aber höchstwahrscheinlich erst, nachdem das Opfer sein Passwort eingegeben hat. Glücklicherweise ist es, wie wir bereits sagten, sowohl schwierig als auch kostspielig, diesen Weg zu gehen.

Wie Sie Ihre Risiken minimieren können

Die einfachste und zuverlässigste Art, sich vor „Evil Maid“-Angriffen zu schützen, besteht darin, Ihr Gerät dort aufzubewahren, wo nur Sie Zugriff darauf haben. Es nicht in einem Hotelzimmer liegen zu lassen, kann keinesfalls schaden. Sollten Ihre Mitarbeiter jedoch mit Arbeitslaptops auf Geschäftsreisen gehen müssen, finden Sie hier einige Maßnahmen, die Sie ergreifen können, um das Risiko zu mindern:

  • Stellen Sie temporäre Laptops ohne Zugriff auf kritische Unternehmenssysteme oder Arbeitsdaten bereit, formatieren Sie dann die Festplatte und installieren Sie das Betriebssystem nach jeder Reise neu;
  • Verlangen Sie von den Mitarbeitern, Arbeitslaptops, die unbeaufsichtigt bleiben müssen, komplett auszuschalten;
  • Verschlüsseln Sie die Festplatten aller Computer, die das Bürogebäude verlassen;
  • Verwenden Sie Sicherheitslösungen, die verdächtigen ausgehenden Datenverkehr blockieren;
  • Stellen Sie sicher, dass Ihre Sicherheitslösung BadUSB-Angriffe erkennt Kaspersky Endpoint Security for Business tut dies);
  • Aktualisieren Sie alle Software, insbesondere das Betriebssystem, rechtzeitig;
  • Beschränken Sie den direkten Zugriff auf den Gerätespeicher über FireWire-, Thunderbolt-, PCI- und PCI-Express-Ports auf jedem Gerät, das dies gestattet.
Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.