De ce VbootKit nu e o problema
Am citit de mult de Vbootkit. Daca a tot fost readus in atentie de curand m-am gandit sa astern pe "hartie" gandurile mele despre acest rootkit de boot.
In primul rand, conceptul de cod care altereaza MBR-ul este destul de vechi. Printre primele tipuri de virusi chiar. Ca principiu, acest tip de rootkit inlocuieste Master Boot Record-ul sau il altereaza pentru a servi unui scop, sau pentru a impiedica pc-ul sa mai booteze.
Acum, stiti ca Microsoft a lansat, odata cu Vista, o tehnologie numita Bitlocker. Este o tehnologie care se adreseaza componentei numita integritatea datelor - asigurarea ca codul pe care il bootezi azi este la fel cu cel de ieri, cu cel de acum o saptamana si tot asa. Nu o sa intru in detalii, le aveti explicate pe larg aici.
Vbootkit este folosit pentru obtinerea Volume Master Key (VMK), ulterior obtinerea Full Volume Encryption Key (FVEK) si decriptarea datelor de pe HDD, toate astea fara username/parola.
Atacul are doua slabiciuni:
1. Alterarea MBR-ului va duce la respingerea de catre TPM a request-ului pentru VMK. Asta pentru ca atunci cand cheia este creata, "imaginea" MBR-ul, impreuna cu alte date, este stocata in TPM. Astfel ca, atunci cand este prezentat un MBR modificat, TPM nu va elibera VMK si implicit nici FVEK.
2. Implica accesul fizic la statie si atasarea unui HDD extern sau introducerea unui CD. Astfel, scade considerabil rata de succes al acestui atac. Singura ipoteza plauzibila este cea a unui furt cu "dedicatie" - dar deja aici vorbim de spionaj informatic si de alte avioane. (pentru RO)
Comentariul lui Alun la post-ul asta, este, ca deobicei, fundamentat. Singura rezerva este ca in cazul imaginat de el cu CEO-ul, dispozitivul extern care ruleaza alterarea MBR-ului ar trebui sa fie in continuare atasat pc-ului.
Daca e vorba sa demontam miturile, am putea spune ca securitatea IT fara controlul accesului fizic nu exista.