web-dev-qa-db-ja.com

邪悪なメイド攻撃とは正確には何ですか?

今日、PCを起動した後、以下のメッセージを受け取りました。

enter image description here

「悪魔のメイド」攻撃とは正確には何ですか?これによって攻撃される可能性のある方法は何ですか?この場合、私のディスクが「改ざんされている可能性がある」とはどういう意味ですか?

8
Artery

「悪魔」攻撃は、暗号化されていても、オフになっている間に物理アクセスを介してマシンに対して行われるあらゆる攻撃である可能性があります。名前は、攻撃者が外出中にラップトップを危険にさらすために滞在しているどこにいても、クリーニングスタッフに侵入したり、支払いをしたりする可能性があるという考えに由来しています。

暗号化されたデバイスの場合、最も可能性の高い悪意のある攻撃は、物理的またはソフトウェアのいずれかの形式のキーロガーです。物理的なロガーはソフトウェアで検出することはほとんど不可能ですが、物理的な検査で見つけることができます(ラップトップ内の利用可能なスペースや、キーボードの取り外しがいかに簡単かにもよりますが、おそらくあなたが思いもよらない方法で行うことができます。自分で分解せずに確認してください...)。ただし、ソフトウェアキーロガーは大きな脅威です。

VeraCryptブートローダー(パスワードを受け取り、暗号化されたボリュームまたは少なくとも起動に必要な次の部分を解読します)自体を解読する必要があります-暗号化されている場合、他に解読するものがないと実行できませんit =-ソフトウェアキーロガーを配置する場所の主要なターゲットです。暗号化されたハードディスクを別のマシンに接続し、VeraCryptブートローダーを、パスワードを秘密に保存する侵害されたものに置き換え、被害者のマシンに戻します。被害者が次回コンピュータを起動したときに、後で取得するためにハードディスクのパスワードが記録されます。 VeraCryptは、ブートローダーの暗号化フィンガープリントを計算してこれが改ざんされていないかどうかを確認することでこれを検出しようとしますが、攻撃者が攻撃者ができるキーに対してブートローダーをチェックするTPMなどを使用していない限り、熟練した攻撃者もこれを阻止できます上書きしないでください。

そのため、ブートローダーの検証に失敗したようです。これが、VeraCryptがハードディスクのパスワードをすぐに変更するように指示している理由です。攻撃者はおそらくパスワードを盗むことはできません入力したとおり-代わりに多段階の攻撃になり、最初にブートローダーを危険にさらし、次に入力する機会があった後にパスワードを取得します。それ-しかし、一度ロックを解除した後、パスワードを変更する前にマシンに再度アクセスした場合、そのパスワード(およびディスク上のすべてのデータ)を盗む可能性があります。

もちろん、まったく無害なことが起こり、攻撃者がいない可能性もあります。パーティショニングツール、バックアップ/復元ツール、OSインストーラー/アップデーターなど、低レベルのハードディスクを乱すものはすべて、実際に悪意のある操作を行わなくても、ブートローダーのフィンガープリントを無効にする可能性があります。とにかく、パスワードを変更することはおそらく良い考えですが、最後に行ったのはいつですか?

13
CBHacking