我在以下情况下问这个问题:


设备(计算机或移动电话)处于运行状态。
“瞬时”是指时间,例如5到10秒。
系统可能未处于“锁定”状态(例如,显示锁定屏幕要求输入密码)。但是,活动会话没有超级用户特权(手机通常是这种情况)。

黑客可以做什么以进一步访问该系统?

评论

安全第三定律:如果坏人可以不受限制地对您的计算机进行物理访问,则不再是您的计算机。即使访问时间有限,当坏人获得物理访问权时,也要考虑到它受到损害。

如果您的意思是他们只能在短时间内访问,则“简短”可能是一个更好的词。瞬时时间通常比几秒钟要短得多,并且瞬时访问是模棱两可的(并且大多数可能采用其他含义,即获得访问的过程是瞬时的)。

好吧,如果是手机或笔记本电脑,他可能会偷走它。

@immibis因此,该评论的最后一部分。我完全知道问题中所说的话。

一秒钟左右的时间足以使手机看起来像处于锁定状态。大约一分钟后,攻击者离开后,您尝试通过在该设备中输入PIN来解锁手机,其唯一目的是将PIN发送给攻击者...

#1 楼

这一切都取决于系统,攻击者以及他们的准备水平。如果他们有无限的准备,那么他们可以有效地执行无限制访问窗口所能做的任何事情。即使他们对特定系统没有深入的了解,也不会非常迅速地注入允许随后进行远程访问的恶意代码。它们可以:


连接PCMCIA或PCIe卡并转储内存或插入代码。
在键盘的PS / 2或USB电缆之间连接硬件键盘记录器。
快速下载并执行恶意代码,或修改现有代码。
访问敏感文件并保存(例如,使用照相机或USB闪存驱动器)。
物理上破坏计算机(例如,用锤子或电源)通过USB进行浪涌)。
只需抓住系统并将其当掉即可快速赚钱。

是时候讲故事了。我曾经有一个目标,可以在短时间内接近我。我的目标是在他们的笔记本电脑上获得持久性,以泄露敏感文档。我知道每次他们看不见我只有几秒钟,所以我不能只是拿起他们的笔记本电脑花时间。我显然也无法偷走它。幸运的是,我已经做好了准备。我插入了一个可编程的USB设备。插入后,它会模拟键盘输入以打开PowerShell,并执行一些命令来下载我之前设置的有效负载。情况是这样的:


我等到这个人离开后在另一个房间为我买东西。
我俯身躺在笔记本电脑所在的桌子上,秘密地插入设备。
为了安全起见,我等了几秒钟,拔掉了插头,并试图保持脸直。
他们给我我要的东西后,我感谢他们并离开了。
/>回家后,我就在计算机上并连接到他们的机器。

这并不困难,无需花费大量的准备时间,并且相当隐蔽。如果我使用看起来像手机的东西,我可能会变得更加隐身,这样我可以声称我只是在给设备充电,而周围没有其他USB端口。道理是,只需几秒钟的访问,您就可以做很多事情,因此您绝不能低估风险。

那么,如何防范这些威胁呢?您需要开发威胁模型。弄清楚您的对手是谁,他们所追求的资产是什么,以及他们的资源是什么。如果您不希望母亲在您家中时看到您的色情片,那么您可能无需担心利用VGA或HDMI电缆滥用损坏的EDID的漏洞。如果您在竞争激烈的行业(机器人,环氧树脂等)中拥有极其宝贵的公司机密,并且打算前往法国或中国这样的高风险国家,则您绝对需要担心复杂的攻击,因为工业间谍活动(又名“企业情报”的非法方面猖ramp。在对抗性情况下,请始终随身携带计算机。如果您不在视线范围内,请将其锁定;如果您要长时间离开,请随身携带或将其安全固定在保险柜中。

评论


请在星期三阅读。在星期四,电视节目《人类》的新片中显示了完全相同的程序。插入USB,观察Powershell命令出现,安装漏洞利用,稍等片刻,采取措施,将USB取出,就像目标从打印机返回一样。天才。

–轨道轻赛
18年6月15日在12:03

@forest:令我感到沮丧的是,当时我无法向任何了解共同事件的人指出这一点:)

–轨道轻赛
18年6月15日在13:14

法国是高危人群吗?从何时起?

– DeepS1X
18年6月18日在4:09

@ DeepS1X我从搜索“法国工业间谍”中发现了一个例子。另请参阅此以及本文指出法国特别进取。或这个。我的意思是,这是众所周知的。

–森林
18 Jun 18'在4:41



@ Nacht-ReinstateMonica取决于攻击。它肯定会有所帮助,但不能防止例如通过eGPU的DMA(对于甚至具有该功能的笔记本电脑)。

–森林
20-3-21在23:42

#2 楼

我认为您还错过了除黑客之外还需要完成的其他恶意操作。有些USB设备实际上可以炸电脑。因此,即使他们无法访问或安装危险的软件,“几秒钟”也可能造成数千美元的损失,更不用说停机来修复受影响的系统了。

评论


需要注意的是,您甚至不需要像“ USB记忆棒”这样的奇特物品。如果您要遭受身体伤害,可以用锤子和一些决心在几秒钟内做很多事情。 :P

– Salmononius2
18年6月11日在14:08

@ Salmononius2确实如此1.掩藏一把锤子要困难得多。2.没有合理的可否认性(“它刚刚停止工作!”)3.也许对于笔记本电脑而言,但是大多数服务器/台式机机箱所需要的时间不只是一个“几秒钟”就可以完成,而无需像大锤这样的东西。

–Machavity
18年6月11日在14:20

问题在于“进一步访问”并非所有风险。

– schroeder♦
18年6月11日在14:58

然后,最好提供一条切线考虑的注释。我们尝试直接回答问题。

– schroeder♦
18年6月11日在15:55

@MarkAmery这是被指控为恐怖分子的好方法,更不用说马上让FBI陷入困境。简单地破坏某人的计算机安全得多,因为他们所能做的就是向警察投诉,他们不会仅仅因为损坏的财产的价值太低而不会做任何事情。出于同样的原因,隐身的刺客也不会用战斧向受害者喊叫。

–森林
18年6月15日在20:46



#3 楼

我可以考虑延长物理访问的一种方法。



USB驱动器非常小,以至于整个电子部分都可以装在触点下方,而接线片只是这样您就可以将其拔出。您可以通过切掉选项卡以使其秘密地插入插槽中来进行修改,以使所有者可能不会立即注意到那里有东西。到他们这样做的时候,谁知道有人在何时何地插入它?您多久检查一次USB端口? :p

此外,许多笔记本电脑都使用塑料占位符SD卡来防止掉毛和灰尘。您是否经常检查呢?


第三,通过这种隐蔽的方法,您可以制造一条USB电缆,其中包括用作普通充电/数据电缆的控制器,但可以成为任何已连接设备的中间人。或使用像这样的现有“电缆中的USB闪存驱动器”配件:



评论


SD卡不能真正做任何恶意的事情。它们仅被视为大容量存储设备。

–森林
18年6月12日在3:49

@forest好吧,有些系统会自动挂载,这可能会允许一些数量的欺骗-例如。如果可以将Linux盒子安装到您可以控制的盒子中,则很容易将其放下;一个漏洞的存在似乎是合理的,它使您可以做一些比崩溃系统更有用的事情。 (当然,它需要一个实际的漏洞,与USB不同,在USB中,您只能假装成键盘,但这并不能使其固有安全性)

– Aleksi Torhamo
18年6月12日在11:09

@AleksiTorhamo的确如此,文件系统漏洞只是一角钱,但它需要冒燃烧0day的风险,人们并不总是愿意这样做。

–森林
18年6月12日在11:37

@forest:如果您的安全性取决于SD卡仅是大容量存储的假设,请结束游戏:en.wikipedia.org/wiki/Secure_Digital#SDIO_cards

– Ben Voigt
18年6月13日在1:46

@forest是在某些设备上。将其用作附件Vector的更大问题是它需要SD控制器中的硬件支持,而这种支持并不广泛。

–奥斯汀·海梅加恩(Austin Hemmelgarn)
18年6月13日在14:07

#4 楼

如果有人准备快速破坏计算机,则可以很容易地做到这一点:


为大多数常见的操作系统(Windows / Linux / Mac OS X)创建自定义漏洞利用有效载荷。通过HTTP客户端进行通信的非常基本的东西(例如远程外壳)就足够了。尽管可以始终进行事前检查并根据需要进行修改,但防病毒程序不太可能会被防病毒程序检测到。
准备可下载并运行漏洞利用程序的命令。诸如wget ...; chmod +x ...; ./...之类的东西。拥有一些看起来很天真的网页,这些命令可以轻松复制,例如隐藏在一些小文本框中。
请稍等片刻使用受害者的网络浏览器。导航到页面,将命令复制到剪贴板,快速按Alt-F2Win-R弹出“运行”对话框,Ctrl-V粘贴命令,Enter运行它们,Win-Down最小化命令提示符。

完成好吧,这三个键组合花费的时间不到一秒钟,在此之后,漏洞利用程序就有时间在后台下载自身。当然,这只会获得用户级别的特权,但是无论如何,大多数重要数据都是由用户处理的。例如,密码可以在没有管理员权限的情况下被盗。

在手机上,相同的方法无效,因为它们通常默认情况下不允许从未知来源安装代码。在PC上,充其量您可以放慢速度,例如防火墙要求确认。

#5 楼

从物理或安全角度看,许多设备在瞬间可能会极其危险。

例如,firewire提供了对RAM的直接访问,因此可以插入并抓住恶意的FireWire设备( (或更改)特定的RAM内容(如果启用)。现在或将来,其他设备也可能通过外部端口出于恶意目的启用/使用DMA。

USB存在许多攻击。除了已经提到的串联设备,键盘记录程序和电子干扰器之外,还有一些设备会像其他设备一样伪装(看起来像闪存驱动器但包含虚拟键盘的设备,可在主机上自动运行的代码或其他设备)作为隐藏的WiFi,可以弥合空气间隙并允许其他攻击。

监视器电缆存在在线拦截,使第三方可以看到监视器的显示。

严重攻击可能包括转储包含敏感内容的ram(根据研究包括操作系统或受ring-0保护的加密密钥),刷新普通的以及基于固件的rootkit,破坏虚拟机监控程序(尤其是在主机上自动运行),以及可以在几秒钟内完成的其他任何操作完全可以访问系统的恶意软件的秒数。