Zo voorkomt u een evil-maid-aanval

Bescherm uw bedrijfscomputer tegen ongeautoriseerde fysieke toegang.

Een evil-maid-aanval is zo ongeveer het primitiefste soort aanval dat er is, maar ook een van de meest onaangename aanvalstactieken. De “evil maid” jaagt op onbeheerde apparaten om geheime informatie te stelen, spyware te installeren of op afstand toegang te verkrijgen tot het bedrijfsnetwerk. Hier leest u hoe u zich hiertegen beschermt.

Klassiek voorbeeld:

In december 2007 reisde een delegatie van het Amerikaanse Department of Commerce naar Peking af voor gesprekken over een gezamenlijke strategie tegen piraterij. Bij terugkeer in de V.S. bevatte de laptop van de secretaris van handel echter spyware, en voor de installatie hiervan zou fysieke toegang tot de computer zijn vereist. De eigenaar van de laptop zei dat hij het apparaat te allen tijde bij zich droeg tijdens de onderhandelingen, en het alleen tijdens het diner beneden in zijn hotelkamer had achtergelaten — in de kluis.

In theorie kan een pro een apparaat in 3 tot 4 minuten infecteren, maar dat gebeurt vooral als de computer onbeheerd én niet-vergrendeld is achtergelaten. Maar zelfs als er minimale beveiligingsmaatregelen van kracht zijn, heeft een evil-maid-aanval nog altijd kans van slagen.

Hoe aanvallers toegang tot informatie verkrijgen

Er bestaan tal van manieren om toegang te krijgen tot kritieke informatie. Die hangen af van hoe oud de computer is en welke beveiligingssoftware erop is geïnstalleerd. Oudere apparaten die bijvoorbeeld geen “Veilig opstarten” ondersteunen, zijn op te starten vanaf externe drives en daardoor machteloos tegen evil-maid-aanvallen. Moderne pc’s hebben normaal gesproken standaard de optie “Veilig opstarten” geactiveerd.

Communicatiepoorten die snelle gegevensoverdracht of directe interactie met het apparaatgeheugen ondersteunen, kunnen dienstdoen als sluizen voor het verkrijgen van persoonlijke of bedrijfsgeheimen. Thunderbolt bereikt zijn hoge snelheid wat betreft gegevensoverdracht bijvoorbeeld via directe toegang tot het geheugen — wat ook de deur opent voor evil-maid-aanvallen.

Afgelopen lente deelde computerbeveiligingsexpert Björn Ruytenberg hoe hij een manier had gevonden waarmee elk Windows- of Linux-apparaat met Thunderbolt ingeschakeld gehackt kon worden, zelfs als het apparaat vergrendeld was en verbindingen met onbekende apparaten via externe poorten uitgschakeld waren. Ruytenbergs methode, Thunderspy gedoopt, gaat uit van fysieke toegang tot de gadget en omvat het herschrijven van de firmware van de controller.

Voor Thunderspy moet een aanvaller de Thunderbolt-chip met hun versie van de firmware herprogrammeren. De nieuwe firmware schakelt de ingebouwde bescherming uit en zo verkrijgt de aanvaller dus volledige controle over het apparaat.

In theorie lost het Kernel Direct Memory Access Protection Policy deze kwetsbaarheid op, maar niet iedereen maakt hier gebruik van (en mensen met Windows-versies ouder dan 10 konden dit ook niet). Intel kondigde echter een oplossing voor dit probleem aan: Thunderbolt 4.

Een goede oude usb-stick kan ook als aanvalskanaal dienstdoen. Een miniatuurapparaat dat in een usb-poort wordt gestoken wordt actief zodra de gebruiker de computer aanzet en er wordt vervolgens een BadUSB-aanval uitgevoerd.

Als de informatie waar men naar op zoek is bijzonder waardevol is, kunnen de cybercriminelen zelfs pogen om het apparaat te stelen en het te vervangen door een vergelijkbaar apparaat of een apparaat dat al spyware bevat, maar dit is een dure en moeilijke optie. Dit soort gesjoemel valt snel genoeg op, maar vaak is dit pas nadat het slachtoffer zijn of haar wachtwoord heeft ingevoerd. Maar, zoals we al zeiden, is deze wisseltruc gelukkig een erg dure manier van stelen.

Zo minimaliseert u de risico’s

De eenvoudigste en meest betrouwbare manier om u tegen evil-maid-aanvallen te beschermen is door uw apparaat daar te bewaren waar alleen u er toegang tot hebt. Laat het bijvoorbeeld niet in een hotelkamer achter. Als uw werknemers echter op zakenreis moeten met hun laptops, dan vindt u hieronder een aantal tips die de risico’s kunnen beperken:

  • Gebruik tijdelijke laptops die geen toegang hebben tot kritieke bedrijfssystemen of werkgegevens, en formatteer de harde schijf en installeer het besturingssysteem na elke reis opnieuw;
  • Eis van werknemers dat ze hun werklaptops die onbeheerd achter worden gelaten uitschakelen;
  • Versleutel harde schrijven van computer die het kantoorgebouw verlaten;
  • Gebruik beveiligingssystemen die verdacht uitgaand verkeer blokkeren;
  • Zorg ervoor dat uw beveiligingsoplossing BadUSB-aanvallen detecteert, zoals (Kaspersky Endpoint Security for Business bijvoorbeeld);
  • Update alle software regelmatig, en dan vooral het besturingssysteem;
  • Beperk directe toegang tot het apparaatgeheugen via FireWire, Thunderbolt, PCI en PCI Express-poorten op elk apparaat waar dit mogelijk is.
Tips