01 Jul Ataque Evil Maid: cuidado com a empregada malvada, ela pode contornar a encriptação
Imagine que está num hotel e que deixa o seu portátil no quarto enquanto vai jantar. O portátil está encriptado e você deixa-o desligado. Enquanto está a jantar, uma “empregada malvada” entra no seu quarto e inicia o seu portátil a partir de uma pen USB que irá instalar um software malicioso que irá registar a sua password da próxima vez que a inserir. Em seguida, a “empregada malvada” desliga o portátil e deixa tudo como estava quando você saiu para jantar. Quando você volta ao quarto, nem sequer suspeita de que alguém entrou no quarto, e insere a password para desbloquear o disco como é hábito. A password fica armazenada no disco do portátil, ou poderá até ser transmitida para o atacante através da rede. No dia seguinte, quando você voltar a sair do quarto, a “empregada malvada” poderá roubar o seu portátil pois já tem tudo o que necessita para aceder aos seus dados. Esta é a situação que dá o nome ao ataque “evil maid” (empregada malvada em português).
O ataque “evil maid” tira partido do facto de as soluções de encriptação total de discos, incluindo o BitLocker, o TrueCrypt, o VeraCrypt e o FileVault não encriptarem completamente o disco. O registo mestre de inicialização de um disco encriptado tem necessariamente que ser deixado sem encriptação porque os processadores apenas conseguem processar instruções não-encriptadas. Como consequência, podem ser instalados bootkits no registo mestre de inicialização do disco para subverter o bootloader (o software que inicia o sistema operativo) original.
Apesar do nome e do exemplo que inspirou o nome, um ataque “evil maid” não pode ocorrer apenas em hóteis. Este ataque pode ocorrer em qualquer lugar em que um atacante consiga obter acesso físico ao seu computador. Por exemplo, este ataque poderá ocorrer na sua própria casa ou empresa. Para se proteger, deve restringir a capacidade de iniciar o computador a partir de dispositivos removíveis, e definir uma password para BIOS para que esta opção não possa ser alterada. Se utiliza o BitLocker e o seu computador tem TPM, deve protegê-lo ainda com um PIN, pen USB ou ambos. No entanto, se acredita que um atacante pode ter acesso físico ao seu computador, o mais importante é garantir a segurança física do mesmo: se o atacante não conseguir entrar na sua casa ou escritório, não conseguirá realizar estes ataques. Num hotel, garantir a segurança física de um portátil é mais difícil, por isso, é recomendável que leve o seu portátil consigo sempre que sair do quarto. Outra possibilidade é utilizar a aplicação Haven, que transforma um telemóvel Android num sistema de vigilância, tirando partido do acelerómetro, da câmara, do microfone, do sensor de luz e do sensor de energia do dispositivo. Se deixar o telemóvel com a aplicação instalada em cima do seu portátil quando sair do quarto, se um atacante mover o telemóvel para abrir o portátil e realizar o ataque Evil Maid, você será alertado.